El envío de correos sin copia oculta es una brecha de seguridad

Una persona presentó una reclamación ante la AEPD contra la empresa en la que trabajaba alegando que esta entidad seguía utilizando su correo personal para comunicaciones laborales pese a haber solicitado que se usara únicamente su correo corporativo. Además, denunció que la empresa había enviado correos electrónicos sin utilizar la opción de copia oculta (CCO), lo que supuso la exposición de su dirección personal al resto de destinatarios. Esta situación afectó, al menos, a 129 empleados de la empresa.

La persona había facilitado inicialmente su correo personal tras la subrogación de la plantilla por adjudicación de un contrato público. Aunque en un principio consintió su uso, posteriormente solicitó reiteradamente que se dejara de utilizar, sin que se atendiera su petición. Junto con su reclamación, aportó copia de diversos correos en los que se evidenciaba el uso indebido de su correo personal y la ausencia de copia oculta.

La empresa reconoció el uso del correo personal de forma “puntual y transitoria” por problemas técnicos en la implantación de WhatsApp como canal corporativo. Justificó el uso del correo personal por la falta de dicha herramienta en los móviles corporativos de ciertos empleados, aunque indicó que estaba en proceso de implementación. Respecto al uso inadecuado de la copia oculta, lo calificó como un error puntual no representativo de sus prácticas habituales. Afirmó que, tras la reclamación, cesaron las comunicaciones al correo personal de la persona y se instalaron las herramientas necesarias en su terminal corporativo. Además, comunicó que su personal fue instruido de forma inmediata sobre el uso obligatorio de la copia oculta.

La AEPD acreditó que efectivamente se produjo una brecha de seguridad de tipo confidencial, al haberse expuesto direcciones personales en envíos masivos sin usar CCO. Esta vulneración afectó al menos a 196 empleados y consistió en la exposición de sus direcciones de correo personal.

La conducta del reclamado vulneró el artículo 5.1.f) del RGPD, que exige garantizar una seguridad adecuada de los datos, especialmente frente a accesos no autorizados. La AEPD concluyó que los hechos eran constitutivos de una infracción muy grave al tratarse de una pérdida de confidencialidad que comprometió la seguridad de datos personales de empleados, y no solo de la persona reclamante.

Además, el incidente evidenció la infracción del artículo 32 del RGPD, relativo a la seguridad del tratamiento. La AEPD consideró que la empresa no aplicó medidas técnicas y organizativas adecuadas, como habría sido, por ejemplo, asegurar la formación del personal para evitar el uso inadecuado del correo electrónico. Tampoco se observaron mecanismos eficaces de verificación y supervisión para prevenir errores como el uso indebido del campo de copia visible.

La AEPD enfatizó que el incumplimiento no era justificable por tratarse de una gran empresa con una plantilla extensa y con experiencia en el tratamiento habitual de datos sensibles (laborales, de salud, etc.), lo que exigía un mayor nivel de diligencia. Señaló que el envío de correos sin CCO afectó a decenas de trabajadores y supuso una pérdida efectiva de control sobre datos personales. Se consideró que la empresa no contaba con mecanismos internos de supervisión ni con medidas suficientes de concienciación y formación al personal.

Respecto a la infracción del artículo 32, se destacó que, aunque puedan existir políticas internas, lo relevante es que sean efectivas y proporcionales al riesgo. En este sentido, el hecho de que la empresa permitiera el uso de correos personales sin medidas de protección adecuadas fue una falta de previsión y de implementación de medidas técnicas u organizativas eficaces. También se recalcó que la ausencia de formación o recordatorios previos al incidente evidenciaba una actuación insuficiente para evitar riesgos conocidos en el tratamiento de datos personales.

Por todo lo anterior, la AEPD concluyó que el envío de correos electrónicos sin copia oculta sí constituía una brecha de seguridad y una infracción que debía haberse evitado mediante una mejor implementación de medidas internas. Aunque el incidente pudiera parecer leve en apariencia (pues solo se expusieron direcciones de correo), se trató de un acceso no autorizado que afectó a datos identificativos y que implicó una pérdida de confidencialidad masiva, sin justificación válida ni evidencia de medidas preventivas adecuadas.

La Directora de la AEPD resolvió declarar la terminación del procedimiento sancionador contra el reclamado tras el reconocimiento de responsabilidad y el pago voluntario de la sanción. La cuantía total de la sanción fue de 15.000 euros, desglosada de la siguiente manera: 12.000 euros por la infracción del artículo 5.1.f) del RGPD y 3.000 euros por la infracción del artículo 32 del RGPD.

En definitiva, es criterio de la AEPD que los envíos de correos electrónicos sin copia oculta que suponen una comunicación de datos personales a terceros son una brecha de seguridad que puede afectar a los derechos de los interesados más de lo que en principio podríamos suponer.