Existe una especie de mantra en las empresas que dice, de manera insistente, que si vas a enviar un email a varios destinatarios a la vez has de realizarlo con copia oculta. Es decir, cada persona que reciba ese correo no debe tener acceso a ninguna de las direcciones de los otros destinatarios incluidos en el mismo. No hacerlo de esta manera puede conllevar una sanción grave prevista en la Ley de Protección de Datos (LOPD), siempre que alguno de los destinatarios lo denuncie ante la Agencia Española de Protección de Datos (AEPD). Sin embargo, por descuidos o desconocimiento, situaciones de este tipo se producen a diario.

A la hora de realizar un envío de un correo electrónico a muchos destinatarios, la dirección de estos debe ir en el apartado “CCO” (copia oculta), con lo que se evitará revelar a terceros datos personales como es la dirección de email. Si se colocan las direcciones en el espacio destinado al destinatario principal del correo o el reservado para la copia (“CC”), todos los datos serán visibles y se estará incumpliendo la LOPD. Por ello, es conveniente que todos los empleados de una empresa u organización conozcan los riesgos a los que exponen a la entidad para la que trabajan de no actuar correctamente.

Copia oculta - Conversia

Enviar un email sin poner en copia oculta a todos los destinatarios contraviene lo dispuesto en el artículo 10 de la LOPD, que obliga a guardar secreto profesional a los encargados del tratamiento de datos de carácter personal. “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”, señala dicho precepto.

Sanciones graves por no poner copia oculta

Casos de incumplimiento se producen todos los días y algunos llegan a la autoridad española en protección de datos a través de la denuncia de un particular, al considerar que se ha vulnerado su intimidad. Uno de estos casos tuvo como protagonista a la entidad Fundación Santa María la Real, que envió un correo electrónico el 31 de mayo de 2012, sin copia oculta, a unos 1.000 destinatarios distintos. De tal forma que la dirección de todos los destinatarios era visible para todos los receptores del email.

En su resolución, la AEPD invocó el artículo 10 de la LOPD para calificar la sanción como grave. Asimismo, realizó las diligencias pertinentes para constatar que dicho correo electrónico que motivó la denuncia se envió con los datos de múltiples destinatarios a la vista.

La sanción se quedó en 2.000 € (recordemos que las infracciones graves se penalizan con multas de entre 60.101€ y 300.500€) porque la entidad denunciada reconoció su culpabilidad y acreditó la falta de intencionalidad y de reincidencia. Todo ello lo tuvo en cuenta la AEPD y, por este motivo, aplicó el artículo 45 de la LOPD en sus puntos 4 y 5 para atenuar de manera ostensible la sanción y dejarla, en lo referente a cuantía de la multa, como leve.