La Agencia Española de Protección de Datos (AEPD) ha publicado una resolución que aborda un caso importante sobre confidencialidad en comunicaciones profesionales. Este caso resulta de especial interés para profesionales que manejan datos personales en su correspondencia.
Los hechos del caso
El 12 de junio de 2023, un abogado (A.A.A.) envió un correo electrónico a un notario (B.B.B.) reclamándole el pago de facturas pendientes del Registro de la Propiedad. El notario había presentado diversas escrituras para su inscripción durante 2022 y 2023, lo que generó facturas a nombre de las personas a cuyo favor se efectuaban las inscripciones.
Lo problemático fue que el abogado incluyó como destinatario adicional a un tercer notario (C.C.C.), completamente ajeno al asunto. Este tercer notario ejercía en la misma localidad donde el notario deudor se había trasladado recientemente.
El correo contenía un documento adjunto detallando 6 facturas con su número, asiento, protocolo, fecha, referencia e importe, e informaba expresamente que el notario era «deudor solidario de la Deuda Pendiente» como «Notario autorizante y presentante de los documentos». Esta información confidencial fue así expuesta a un tercero sin ninguna base legal para ello.
El abogado argumentó que incluyó al tercer notario porque «pensó que tal vez el Sr. (…) no estaba atendiendo a las reclamaciones» y quería asegurarse de que la comunicación llegaba al destinatario principal.
Fundamentos jurídicos de la resolución
1. Sobre el tratamiento de datos personales
La AEPD determina, en primer lugar, que los hechos constituyen un tratamiento de datos personales según el artículo 4.1 y 4.2 del RGPD. El abogado, como responsable del tratamiento (art. 4.7 RGPD), realizaba diversas operaciones con datos personales, incluyendo nombres, apellidos, direcciones, correos electrónicos, profesión, y detalles de facturas y deudas.
La resolución enfatiza que los correos electrónicos personales, incluso los profesionales, constituyen datos personales cuando permiten identificar a una persona física. En este caso, la cuenta de correo ***EMAIL.3, aunque el abogado alegó que era corporativa, realmente estaba compuesta por la inicial del nombre y el apellido del otro notario, permitiendo su fácil identificación.
2. Vulneración del principio de confidencialidad
El núcleo de la resolución se centra en la infracción del artículo 5.1.f) del RGPD, que exige que los datos personales sean:
«tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas»
La AEPD argumenta que al exponer información sobre la deuda a un tercero, el abogado vulneró este principio fundamental. Particularmente relevante resulta:
- El documento adjunto al correo contenía información detallada sobre facturas pendientes
- Se informaba explícitamente de la condición de «deudor solidario» del notario reclamante
- No existía base legal para compartir esta información con el tercer notario
- El abogado disponía de los datos de contacto directos del notario deudor, pues reconoció que su cliente se lo había proporcionado
La resolución aborda y desestima el argumento del abogado de que necesitaba incluir al tercer notario para garantizar la recepción del mensaje, señalando que no existía base jurídica para ello.
3. Calificación de la infracción y criterios para la sanción
La AEPD califica la infracción basándose en el artículo 83.5 del RGPD, que tipifica como infracción administrativa la vulneración de «los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9».
Según el artículo 72.1 de la LOPDGDD, esta infracción se considera «muy grave» y prescribe a los tres años, al suponer «una vulneración sustancial de los artículos mencionados».
Para determinar la cuantía de la sanción, la AEPD aplicó los criterios establecidos en el artículo 83.2 del RGPD, considerando:
- La naturaleza y gravedad de la infracción
- El número de afectados (en este caso, limitado)
- El grado de responsabilidad del infractor
- Categorías de datos afectados
- Forma en que la autoridad tuvo conocimiento de la infracción
- Beneficios obtenidos como consecuencia de la comisión de la infracción
En virtud de esta evaluación y conforme al principio de proporcionalidad, la AEPD estableció inicialmente una sanción de 1.000 euros.
Resolución del caso
Tras iniciar un procedimiento sancionador, el abogado:
- Reconoció su responsabilidad
- Realizó un pago voluntario de la sanción
- Se acogió a las reducciones previstas (20% por reconocimiento y 20% por pago voluntario)
Conforme al artículo 85 de la Ley 39/2015 (LPACAP), la sanción inicial de 1.000€ quedó reducida a 600€, terminándose así el procedimiento sancionador.
Adicionalmente, la AEPD requirió al abogado que acreditara la adopción de medidas necesarias para garantizar el cumplimiento del artículo 5.1.f) del RGPD en el futuro.
