Para enviar un email, se puede hacer de tres formas, usando la opción “Para…”, “CC…”, o “CCO…”.
El envío de “Para…” se usa cuando mandamos un email a un solo contacto, por tanto en este apartado pondremos el correo de la persona que tiene que recibirlo. Las otras opciones son para hacer un envío de un email a más de una persona.
Pero hay una diferencia, y es que si enviamos con la opción “CC…” a varios destinatarios, se manda una copia del email a cada uno de ellos, pero en el apartado de destinatario aparece el correo de todos ellos, es decir, cada uno de los destinatarios puede ver a todos los demás destinatarios a los que se les ha mandado el email. Para poder mandar el email a todos pero sin que les aparezca el correo de los demás destinatarios, debemos ocultarlo usando la opción “CCO…”. Esta es la gran diferencia entre usar un tipo y otro, el ocultar la información de los demás usuarios
Hay que tener mucho cuidado con este matiz, ya que podemos exponernos a una multa por el simple hecho de no ocultar los correos electrónicos de los demás destinatarios a quien vaya dirigido el email. La Agencia Española de Protección de datos (AEPD) ya ha publicado el pasado mes de diciembre, una resolución impuesta a un gabinete de abogados, en la que se les sancionaba con 10.000 euros por enviar un correo electrónico a distintos clientes sin ocultar sus correos.
En ese email, se informaba de que sus cuentas habían sido bloqueadas, una información delicada que los clientes consideraron especialmente privada, por lo que interpusieron denuncia contra el despacho de abogados por vulnerar su derecho a la privacidad de datos personales.
Reglamento General de Protección de Datos (RGPD)
Esta sanción asume el Reglamento General de Protección de Datos (RGPD) 2016/679 del parlamento europeo de 27 de abril de 2016, amparado por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. En el artículo 5 del Reglamento, se establecen los principios presentes en el tratamiento de datos personales como la integridad y la confidencialidad entre otros, los cuales garantizan la seguridad del tratamiento de datos personales.
Este Reglamento no enumera de forma expresa las medidas de seguridad que hay que aplicar al tratamiento de los datos personales, pero en su artículo 32 que habla de la Seguridad en el Tratamiento, dice “el responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable…”.
En el caso de la sanción al despacho de abogados, se acusaron pruebas evidentes de que el bufete vulneró el artículo 32 del Reglamento, es decir, se vulneró la seguridad al tratar los datos personales de sus clientes. Si bien la AEPD no impuso sanción económica teniendo en cuenta el artículo 32, sí lo hizo por considerar que se infringió lo expuesto en el artículo 5.1 apartado f), en el que se dice que los datos personales serán “…tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
En esta ocasión la sanción se saldó con un descuento al pagar el despacho de abogados de forma voluntaria en un plazo acordado, pero infringir el artículo 5 del RGPD puede suponer multas de hasta 20 millones de euros de sanción.