La Federación Ornitológica de Andalucía (FOA) envió en septiembre de 2023 un correo electrónico masivo a más de 200 asociaciones federadas y otros particulares comunicando el “bloqueo” de un usuario en su plataforma PASSERUN (gestión de concursos ornitológicos). El problema: en el cuerpo del mensaje se incluían el nombre, apellidos y número de DNI del afectado, datos que quedaron expuestos ante al menos 25 destinatarios visibles en la cabecera.
La AEPD consideró que estos hechos vulneraban el principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, al no haberse adoptado medidas técnicas u organizativas adecuadas para proteger los datos personales frente a una comunicación no autorizada. La resolución destaca especialmente la sensibilidad del DNI como identificador que permite la identificación directa e inequívoca de una persona física y que conlleva riesgos elevados de suplantación de identidad.
La infracción se tipificó como muy grave conforme al artículo 83.5 del RGPD y al artículo 72.1.a) de la LOPDGDD, con una sanción inicial de 1.500 euros. La FOA reconoció su responsabilidad y efectuó el pago voluntario, acumulando las dos reducciones del 20% previstas en el artículo 85 de la LPACAP, lo que dejó la sanción definitiva en 900 euros.
Además de la multa, se le ordena adoptar en un plazo de tres meses las medidas necesarias para garantizar la confidencialidad de los datos personales tratados y acreditar su cumplimiento ante la AEPD.