La Autoridad Catalana de Protección de Datos (en adelante, “APDCAT”) ha sancionado con 1.800 euros a una empresa que, actuando como encargada del tratamiento, difundió más de 50 correos electrónicos sin utilizar la copia oculta. La resolución explica cómo una empresa de servicios sociosanitarios que actuaba como encargada del tratamiento de una residencia y centro ocupacional envió seis correos electrónicos desde diversas cuentas corporativas a cincuenta direcciones de correo electrónicas, vinculadas a familiares y tutores de personas usuarias de la residencia, sin hacer uso de la opción de copia oculta.
El envío de dichos correos electrónicos supuso que se difundieran entre todos los receptores de los mensajes los siguientes datos de carácter personal: (i) la dirección de correo electrónico; (ii) en algunos casos, el nombre y apellidos de los familiares y tutores de las personas usuarias de la residencia; (iiI) en algunos casos, la organización con la que tenían alguna vinculación, dato fácilmente deducible a partir del dominio corporativo de determinadas direcciones de los destinatarios.
Ante las diversas denuncias presentadas en la APDCAT y ya en el marco del procedimiento sancionador, la entidad denunciada puso de manifiesto que no procedía sanción alguna, en la medida en que tenía implementadas determinadas medidas de seguridad con el objetivo de evitar la ocurrencia de este tipo de incidentes, y que, además, estaban trabajando en ampliar y reforzar dichas medidas de seguridad.
Respecto de esta alegación, que constituía la principal línea de defensa de la entidad denunciada, la APDCAT razona y argumenta que “en el procedimiento no se sanciona la falta de implementación de medidas de seguridad, sino el hecho de haberse vulnerado la confidencialidad de los datos. […] Una cosa es la obligación que tiene el responsable o encargado del tratamiento de implementar las medidas técnicas y organizativas pertinentes con el objetivo de evitar la pérdida, destrucción o daño accidental de los datos, o su tratamiento no autorizado o ilícito; y otra cosa el deber de confidencialidad que incumbe a responsables, encargados y a todas las personas que presten servicio en sus organizaciones, en relación con los datos objeto de tratamiento. Por lo tanto, se puede dar una vulneración de la confidencialidad de los datos […] con independencia de que el responsable o encargado del tratamiento tengan implementadas unas medidas de seguridad adecuadas.”