Procedimiento sancionador por envío de correo electrónico sin copia oculta.

Sanciones AEPD, Sin categoría

En este procedimiento la AEPD decide apercibir por infracción del artículo 5.1.f) del RGPD al enviarse a los distintos socios de un club deportivo correos electrónicos sin copia oculta,  haciendo accesibles las direcciones de correo personales de todos los socios :

 

Procedimiento Nº: PS/00478/2019
938-051119
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
En el procedimiento sancionador PS/00478/2019, instruido por la Agencia Española de
Protección de Datos, a la entidad CLUB ATLANTIDA SUB DE SANTA CRUZ DE TENERIFE con CIF: G38097754, (en adelante, “la entidad reclamada), por presunta infracción al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de
27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (RGPD), y en base a los siguientes, ANTECEDENTES

PRIMERO: con fecha 01/07/19, D. A.A.A. (en adelante, “el reclamante”), presentó escrito ante esta Agencia Española de Protección de Datos, en la que, entre otras, denunciaba:
“El día 25/06/19, la Junta Directiva del Club Atlántida Sub en Santa Cruz de Tenerife
envió un correo desde la dirección ***EMAIL.1, a todos los socios sin copia oculta, haciendo accesible las direcciones de correo personales de todos los socios. Yo como socio, firmé en mayo de este año un formulario de autorización relativa al uso de datos personales donde autorizo a que se me envíen notificaciones a mi correo, quedando expresamente prohibida la cesión de datos a terceros excepto cuando resulte indispensable para el mantenimiento de la relación con el club y a los organismos obligados por Ley.
El día 26 de junio varios socios solicitaron a la Juta Directiva mediante correo electrónico a la dirección ***EMAIL.1, que mandasen un correo a todos los socios solicitando que borrasen el anterior con las direcciones de correo tanto de su bandeja de entrada como de la papelera. No habiendo obtenido respuesta, procedo a presentar la presente reclamación”.

SEGUNDO: A la vista de los hechos expuestos en la reclamación y de los documentos aportados por el reclamante, la Subdirección General de Inspección de Datos procedió a realizar actuaciones para su esclarecimiento, al amparo de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del RGPD. Así, con fecha 09/09/19 se dirige requerimiento informativo a la entidad. Según certificado del Servicio de Correos, la notificación enviada con fecha 09/09/19 desde esta Agencia, fue entregada en la dirección: ***DIRECCIÓN.1 de Tenerife, el12/09/19 siendo el receptor: D. B.B.B., ***NIF.1

TERCERO: Con fecha 19/09/19, el reclamante remite nuevo escrito a esta Agencia, en
el cual indica, entre otras, lo siguiente:“Con fecha 01/07/19 pongo una reclamación a dicha empresa, por enviar correo a todos los socios sin copia de direcciones ocultas, ahora me dispongo a poner otra reclamación ya que el día 16/09/19,vuelven a enviar otro correo en las mismas condiciones
sin las direcciones ocultas de aproximadamente 300 socios desde la dirección ***EMAIL.1. Informar que, a raíz de este nuevo fallo de seguridad yo y varios de los
socios hemos recibido correos amenazantes desde direcciones falsas en nuestro correo, así como publicidad y correos spam”.

CUARTO: Con fecha 09/10/19, se recibe en esta Agencia, a través de su sede electrónica, documento enviado por Dª C.C.C., en representación de la entidad reclamada con la leyenda: “TRASLADO DE RECLAMACIÓN Y SOLICITUD DE INFORMACIÓN”,sin más documentación ni información anexa.

QUINTO: Con fecha 02/12/19, la Directora de la Agencia Española de Protección deDatos acordó iniciar procedimiento sancionador contra la entidad reclamada, en virtud de los poderes establecidos en el art. 58.2 del RGPD y en los art 47, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), por presunta infracción del artículo 5.1.f) del RGPD y considerada muy grave en el 72.1.a) de la LOPDGDD a efectos de prescripción, fijando una sanción inicial de “APERCIBIMIENTO”, sin perjuicio de lo que resultara en transcurso de la instrucción del procedimiento.

SEXTO: Con fecha 23/02/20, se notificó la incoación de expediente a la entidad reclamada, que no ha presentado ante esta Agencia, ningún escrito o alegación, dentro del el periodo concedido al efecto.

HECHOS PROBADOS
1.- Según denuncia, en los días 25/06/19 y 16/09/19, la Junta Directiva del Club
Atlántida Sub de Santa Cruz de Tenerife, envió sendos correos electrónicos desde la
dirección ***EMAIL.1 a unos 300 socios, sin copia oculta de las direcciones, haciéndolas visibles y de acceso público a de todos los socios.

FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), la Directora de la Agencia Española de Protección de Datos escompetente para resolver este procedimiento.

II
Los apartados 1) y 2), del artículo 58 el RGPD, enumeran, respectivamente, los poderes de investigación y correctivos que la autoridad de control puede disponer al efecto, mencionando en el punto 1.d), el de: “notificar al responsable o encargo del tratamiento las presuntas infracciones del presente Reglamento” y en el 2.i), el de:“imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso.”.
En el supuesto presente, se denuncia que Junta Directiva del Club Atlántida Sub en Santa Cruz de Tenerife ha enviado, en los días 2506/19 y 06/09/19, sendos correos electrónicos desde la dirección ***EMAIL.1, a todos los socios sin copia oculta, haciendo públicas las direcciones de correo personales de todos ellos.

III
Así las cosas, los hechos conocidos podrían ser constitutivos de una infracción, imputable al reclamado, por vulneración del artículo 5.1.f), del RGPD, que indica que: “Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
Por su parte, el apartado a) del artículo 72.1 de la LOPDGDD considera como “muy grave”, a efectos de prescripción, el: “tratamiento de los datos personales vulnerando los principios y garantía del artículo 5 del RGPD”.
Esta infracción puede ser sancionada con multa de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5.a) del RGPD.
La sanción por imponer deberá graduarse de acuerdo con los criterios que establece el artículo 83.2 del RGPD, y con el considerando 148 del propio RGPD, que dispone la posibilidad de sancionar con apercibimiento en determinadas circunstancias. Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia Española de Protección de Datos.

RESUELVE

APERCIBIR: a la entidad CLUB ATLANTIDA SUB DE SANTA CRUZ DE TENERIFEcon CIF: G38097754, por infracción del artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD.

REQUERIR: a la entidad CLUB ATLANTIDA SUB DE SANTA CRUZ DE TENERIFE, para que, proceda a tomar las medidas adecuadas en la gestión de los datos personales de los socios y evitar que los correos electrónicos enviados masivamente a todos ellos se envíen con copia oculta de los destinatarios y así adecuar su política de privacidad a la normativa vigente, para lo que deberá tener en cuenta lo dispuesto en el artículo 5.1.f) del RGPD.

NOTIFICAR: la presente resolución a la entidad CLUB ATLANTIDA SUB DE SANTACRUZ DE TENERIFE.
De conformidad con lo establecido en el artículo 50 de la LOPDPGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDPGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Fuente : AEPD

Publicar un comentario