La Agencia Española de Protección de Datos (AEPD) ha resuelto el expediente sancionador EXP202318921 contra TRUEBA SPORT S.L. por una práctica que vulnera principios básicos de protección de datos: no utilizar la opción de copia oculta (CCO/BCC) en envíos masivos de correo electrónico.
El Error Fundamental: Campo “Copia” vs “Copia Oculta”
El 30 de octubre de 2023, TRUEBA SPORT cometió un error que la AEPD califica como “error humano puntual” pero con graves consecuencias para la privacidad: al enviar información sobre un producto a más de 300 destinatarios, introdujo manualmente todas las direcciones en el campo “Copia” en lugar del campo “Copia oculta”.
La Diferencia Crítica
La resolución es contundente al señalar que la empresa “puso estas direcciones manualmente en el campo ‘Copia’ en vez de en el campo ‘Copia oculta’”, lo que provocó que “los destinatarios del correo electrónico pudieron ver las demás direcciones a las que se remitió dicho correo”.
La Política de Correo Electrónico (Elaborada Posteriormente)
Tras el incidente, TRUEBA SPORT desarrolló una “Política de gestión del correo electrónico” que establece claramente:
“Si tuviera que enviarse un correo electrónico a varios destinatarios que no pertenezcan a la propia compañía, se hará uso de la opción «Copia oculta» (representada por las siglas «BCC» o «CCO», según el servidor de correo) para evitar la comunicación no autorizada de datos personales a terceros.”
El Problema: Protocolo Creado Después del Hecho
La AEPD destaca un aspecto crucial: esta política fue elaborada con fecha posterior a la apertura de las actuaciones, es decir, “en el momento de producirse los hechos reclamados, no consta que se hubiera redactado ninguna norma o protocolo para el tratamiento de datos de carácter personal”.
Las Consecuencias Legales del Error CCO
1. Violación del Principio de Confidencialidad (Art. 5.1.f RGPD)
- Sanción: 1.200 euros
- Fundamento: La no utilización de CCO vulnera la seguridad y confidencialidad que exige el RGPD
- Impacto: Exposición no autorizada de datos personales a terceros
2. Falta de Medidas Técnicas y Organizativas
La resolución subraya que “a falta en esas fechas de una herramienta informática de gestión” y dado que numerosos usuarios habían solicitado información sobre el mismo producto, optaron por “contestar en un único correo electrónico a todos los interesados introduciendo a mano las diferentes direcciones”.
La Importancia del Campo CCO Según la AEPD
La resolución enfatiza que el uso correcto del campo CCO es una medida técnica básica para:
- Proteger la confidencialidad de las direcciones de correo
- Evitar la comunicación no autorizada de datos personales
- Cumplir con el principio de integridad y confidencialidad del RGPD
- Prevenir filtraciones no consentidas por los titulares de los datos
La Lección: CCO como Obligación, No Recomendación
La AEPD deja claro que utilizar el campo de copia oculta (CCO/BCC) no es una buena práctica opcional, sino una obligación legal cuando se envían correos a múltiples destinatarios que no se conocen entre sí.
Reconocimiento de Responsabilidad
TRUEBA SPORT reconoció expresamente su error, manifestando que “la revelación de direcciones electrónicas ajenas y la del propio reclamante se debió a un error humano puntual al poner estas direcciones manualmente en el campo ‘Copia’ en vez de en el campo ‘Copia oculta’”.
Sanción Final
Multa total: 2.000 euros, reducida a 1.200 euros por reconocimiento de responsabilidad y pago voluntario.
La resolución sirve como recordatorio de que el uso correcto del campo CCO en comunicaciones masivas no es solo una cuestión de cortesía digital, sino una obligación legal fundamental para proteger la privacidad de los destinatarios.
