Multa de 601 euros por no utilizar “Copia de Carbón Oculta” (CCO)

Interesante resolución de la AEPD que pone de manifiesto el alcance de la Ley Orgánica de Protección de Datos en nuestra vida cotidiana. La denuncia tiene como implicados  dos particulares (personas físicas), lo cual hace aun más cercano a la sociedad los hechos denunciados.

En resumen, se entiende que la denunciada ha infringido el deber de secreto que establece el artículo 10 LOPD al enviar un correo electrónico a 42 destinatarios distintos e incluir las direcciones de e-mail en el campo “Copia Carbón(CC)” dejando, por tanto, visibles a todos los destinatarios las direcciones de correo electrónico de los receptores. A juicio de la AEPD, ha supuesto una vulneración del deber de sigilo, pues no debería haber dado a conocer las direcciones de correo electrónico al resto de destinatarios; es decir, debería haber utilizado la opción “Copia de Carbón Oculta” (CCO).

Sin embargo, la sancionada alega que la dirección de correo electrónico de la denunciante puede ser encontrada en Internet en diferentes páginas, y que por tanto no ha vulnerado ningún secreto pues ella misma publica su dirección electrónica en Internet. ¿Cómo resuelve la AEPD esta cuestión? y además ¿la dirección de correo electrónico es un dato personal? y si los datos fueron obtenidos de Internet ¿no son de acceso público y podemos tratarlos como queramos?

La primera cuestión que se debe analizar es si la dirección de correo electrónico es un dato personal; el artículo 3.a LOPD define este concepto.

En base a esa definición, la AEPD emitió en 1999 un informe jurídico donde se pronunciaba respecto a si la dirección de correo electrónico encajaba o no dentro de esa definición del artículo 3.1, diferenciando entre dos clases de direcciones: las de tipo juanperez@empresa.com y las de tipo loquesea@hotmail.com, dejando claro, que en cualquiera de los dos casos nos encontramos ante un dato personal pues es posible identificar a la persona que se encontraría detrás de una dirección de e-mail.

Por tanto, la dirección de correo electrónico es un dato personal; ahora queda por resolver la cuestión relativa a que la dirección de la demandante se encuentra en varias páginas de Internet. En principio podríamos pensar que por el hecho de estar la dirección en Internet podemos hacer lo que queramos con ella: nada más lejos de la realidad. La AEPD afirma que “la inclusión voluntaria de dicha dirección de correo electrónico por aquél […] no legitima la utilización de la misma por terceros para fines distintos de los expresamente señalados por el denunciante en cualquiera de las páginas en las que éste hubiera reflejado su dirección de correo electrónico, pues sólo el denunciante, como titular de sus datos personales, más concretamente, en este caso, de su dirección de correo electrónico, está legitimado, en los términos y con las excepciones establecidas en la LOPD, para decidir sobre el destino y uso de sus datos personales”.
Esto nos deja cristalino que aunque la dirección aparezca en Internet, si no tenemos consentimiento del interesado no podremos utilizarla para ningún tipo de comunicación.

Completa, afirmando que “en el caso que se examina, efectivamente la dirección de correo electrónico del denunciante constaba en varias páginas de Internet, pero, como ya se ha señalado, a los fines expresamente indicados en las mismas.
La publicación en Internet de una dirección de correo electrónico por su titular no la convierte en un dato que pueda ser utilizado sin límite alguno por parte del responsable del fichero en el que se encuentren incluida.”

Llegados a este punto, conviene analizar el alcance de ese deber de secreto mencionado al principio; la propia resolución lo explica, comentando que “El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”.
Continúa dicho artículo añadiendo: “obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. […], y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto.”

Queda fundado suficientemente como la sancionada no cumplió con las exigencias que la LOPD otorga a nuestros datos personales en lo que se refiere al deber de secreto.


Resolución Completa

105 comentarios en “Multa de 601 euros por no utilizar “Copia de Carbón Oculta” (CCO)”

  1. HOLa
    justamente hace unos dias recibi un email con más 550 personas en cc donde un “amigo” se vendía su equipo de dj

    hice un reply all (usando el cco) justamente linkando este post y pidiendo por favor no enviar mas emaisl de este tipo
    como las respuestas a mi email no fueron muy agradables he pensado seriamente en denunciar a mi “amigo” (encima que ahora recivo emails de nosekieneson a una cuenta ke tenia casi free de spam encima se me enfadan!)
    he estado mirando y lo del articulo 2.2 salva pero siendo un anuncio de compra venda de un ekipo de musica no se esta haciendo una actividad “personal ni domestica”

    debería de haber un how to o un paso a paso para poder defenderse de estas situaciones
    que hacer? como poder denunciar una empresa o partticular¿
    gracias

    Responder
  2. estoy muy preocupada porque hoy envié una comunicación de un boletín de noticias a nuestros clientes y por error los incluí a todos en el campo PARA en vez de CCC.
    ¿qué puedo hacer?
    gracias por su ayuda

    Responder
  3. Hola lena. La verdad es que poco puedes hacer ya… has consumado la infracción… si crees en Dios, puedes rezar para que no tengais ningún cliente con ganas de fastidiar; de hecho estoy casi seguro que alguno de ellos te va a llamar la atención por haber enviado el correo con todos los destinatarios visibles.

    Responder
  4. Liando o desliando aún más este lio, si creo una comunidad web con foro incluido, donde exclusivamente guardo email, nick y password, con el fin de posibilitar las comunicaciones entre usuarios y la comunidad no tiene fin lucrativo(o si lo tuviese también), solo es un lugar donde compartir una afición o donde expresar las mismas preocupaciones, estoy obligado a la LOPD, pues almaceno un fichero que contiene un dato personal(email), por lo que tengo que comunicar a la Agencia de Protección de Datos de la existencia de dicho fichero, su estructura, etc. Y liando la cosa más, utilizo una compañía de hospedaje ubicada en Estados Unidos estoy obligado a yo que se que… . Pregunta: ¿Si tengo un sitio como el que describo o un grupo como los de yahoo o un blog personal donde almaceno emails para comunicarme con la gente que deja comentarios, entonces debo comunicar a la agencia de protección la existencia de datos de dichos ficheros? Creo que me voy a las montañas a ayudar al cabrero de arriba, no puedo pagar a un abogado por compartir mis pensamientos. Por favor, tengo la necesidad personal de crear ese foro. ¿Tengo que comunicar a la agencia que tengo ese archivo de usuarios que pertenece a un sistema de gestión de contenidos (con foro incluido)como joomla? Gracias de antemano.

    Responder
  5. Hola juanete.
    La cosa no está clara… algunos opinan que ese tipo de actividades no encajan en el ámbito de aplicación de la LOPD y por tanto no tienes ninguna obligación al respecto.
    Sin embargo también hay opiniones al contrario… ya te digo que no hay un sentido unánime y precisamente tengo, en mi lista de cosas por escribir, los indicios que hacen llevar a pensar una cosa y otra.

    Como adelanto, yo te advierto, que aunque habría que ver el caso concreto, soy de la opinión de que un grupo de esas características queda vinculado a la LOPD.

    Responder
  6. El otro día escuché en Cadena Dial que cierto escritor famosillo estaba bastante molesto con Julia Otero por hacer precisamente esto.
    A la periodista sólo se le ocurrió enviar la típica postal navideña a sus más de 300 contactos sin ocultar copia. Entre esos contactos, por supuesto, habían correos personales de mucho famosillo y gente VIP.

    Responder
  7. Hola Samuel, mi pregunta en relación a esto es: ¿puedo grabar los emails de empresas – no de personas – que se publican en las webs, y enviarles una newsletter con copia oculta? No hay autorización explícita, pero son datos públicos en directorios, etc. y no se vería su email..
    sería con fines comerciales.

    gracias.

    Responder
  8. Hola Lola.

    Lo que me preguntas en realidad se escapa de la protección de datos (LOPD) y cae dentro de la Ley de Servicios de la Sociedad de la Información, que se aplica tanto a particulares como a empresas en lo referente a remitir por vía electrónica comunicaciones comerciales, mira lo que dice el artículo 21:
    1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los
    destinatarios de las mismas.
    2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
    relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares
    a los que inicialmente fueron objeto de contratación con el cliente.
    En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

    De esta forma, si no tienes el consentimiento o existe una relación previa (que no la hay según me comentas) no podrás enviarles ningún tipo de comunicación comercial.

    Responder
  9. Señor, interesante tema…

    Una cuestión…cómo se determina el consentimiento ???

    Si trabajo en una empresa, tengo las direcciones de los compañeros, nunca me dieron consentimiento expreso para enviarles correos de trabajo. O incluso personas desconocidas que tienen su correo en sus blogs y que indican que la gente les escriba para temas particulares de la temática del blog.

    Dejo la empresa.

    Envío un correo de la forma “Enviar a un amigo”, -que aparece en muchas páginas esta funcionalidad- a compañeros de la ex-empresa.

    En esa situación, estamos en una situación legal ?? ilegal ?? El contenido de “Enviar a un Amigo” no es nada comercial ni se quiere conseguir lucro con dicha comunicación.

    Saludos y gracias.

    Responder
  10. Hola Samuel,
    por lo que se ha comentado aquí, me queda claro que puedo enviar un correo a mis amigos por motivos personales y que no puedo hacerlo a gente de la que no tengo su consentimiento por motivos comerciales. Pero, ¿puedo enviar un correo a todo el personal de mi empresa, para informarles de algo (sin divulgar datos personales de terceros, se entiende)?
    Muchas gracias!

    Responder
  11. Hola Peter.
    Habría que ver primero cual es tu relación y situación en esa empresa, y segundo, saber que es el “algo” que mencionas :).
    Es que con esto de la aplicación de las leyes nunca hay afirmaciones categóricas o general, siempre hay que acudir a cada caso concreto.

    Responder
  12. Hola,
    me refiero a información que no es ni personal ni comercial, por ejemplo, algo relacionado con el trabajo (yo soy un trabajador por cuenta ajena en una empresa, y los correos van dirigidos a otros trabajadores de la misma empresa), del tipo “nuevas plantillas publicadas en la intranet”, “el próximo lunes hay auditoría de calidad” o “recibido paquete del proyecto X en el almacén” (para ello disponemos de listas de distribución donde están las direcciones de todos los trabajadores). Por una parte hay gente que está recibiendo correos con información que no le afecta (pero sería muy laborioso discriminar para cada correo a las personas interesadas), y por otra se pueden ver las direcciones de los demás (que por otra parte son conocidas por todos, pues son públicas). Yo hasta ahora había tenido cuidado de hacerlas ocultas cuando enviaba algo a gente de otras empresas, pero no para la gente del trabajo…
    Esto me lleva a otra duda: por el artículo 2.1 del RLOPD entiendo que a los ficheros donde están estos datos no les afecta dicho reglamento, pero, ¿les afecta la LOPD? (el fichero donde están todos los trabajadores con sus teléfonos y direcciones de correo, la lista de contactos del programa de correo o del teléfono móvil de empresa, etc.
    Por cierto, muy bueno tu blog, lo acabo de recomendar en un curso de protección de datos que estoy haciendo. Aunque con miedo, por escribir en el foro a gente de la que no tengo su permiso… 🙂

    Responder
  13. Si el para el caso que me comentas no vería problema en no ocultar las direcciones de correo de tus compañeros… vamos, así lo entiendo. Aunque también es cierto que aplicando el texto legal “strictu sensu” podríamos concluir que tampoco sería posible incluso en ese caso…

    Sobre el 2.1, al margen de lo que indique el famoso informe jurídico de la AEPD sobre ese artículo, yo entiendo que está excluido del Reglamento pero no de la LOPD.

    Gracias por esas recomendaciones ! 🙂

    Responder
  14. Bueno, ni siquiera la AEPD oculta las direcciones de correo… Por ejemplo, el PS/00293/2007 (el primero que sale del 2007 en la página de la agencia): si ponéis el ratón encima de las direcciones de correo “disociadas”, podréis verlas… ¿no deberían sancionarse a sí mismos? 🙂 Menos mal que normalmente lo hacen bien…

    Responder
  15. Jejejeje Peter, sí, nadie es perfecto, un descuido lo tiene cualquiera, aunque sería cuanto menos curioso ver qué pasaría en esos casos… Por suerte no es normal que la AEPD cometa ese tipo errores.

    Responder
  16. Hola Samuel, respecto a la pregunta de Lola sobre el envío de comunicaciones comerciales me gustaría aclarar una duda. De acuerdo en que no podemos enviar los correos publicitarios sin el consentimiento pero ¿podemos enviar un primer mail solicitando exclusivamente el consentimiento para posteriores comunicaciones comerciales? ¿es sancionable?

    Gracias por anticipado.

    Responder
  17. Esa es una buena pregunta. Mi opinión es que no, ya que el enviar ese email ya supone un tratamiento de datos sin consentimiento, aunque también es cierto que si te fijas en el art. 14 del R.D. 1720/2007 parece que esa posibilidad ya se permite:

    Artículo 14. Forma de recabar el consentimiento.
    1. El responsable del tratamiento podrá solicitar el
    consentimiento del interesado a través del procedimiento
    establecido en este artículo, salvo cuando la Ley exija al
    mismo la obtención del consentimiento expreso para el
    tratamiento de los datos.
    2. El responsable podrá dirigirse al afectado, informándole
    en los términos previstos en los artículos 5 de la
    Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este
    reglamento y deberá concederle un plazo de treinta días
    para manifestar su negativa al tratamiento, advirtiéndole
    de que en caso de no pronunciarse a tal efecto se entenderá
    que consiente el tratamiento de sus datos de carácter
    personal.

    Responder
  18. Sí, es un tratamiento de datos sin consentimiento pero al tratarse de direcciones de correo electrónico de empresa (info@empresa.com) no se aplica la normativa sobre protección de datos porque no tienen la consideración de datos de carácter personal.

    Siendo así, sólo nos debería preocupar la LSSI y no encuentro ningún impedimento para enviar esa comunicación solicitando el consentimiento. Existe una resolución de la Agencia (PS 00913/2005) que trata de pasada el tema y fundamenta la infracción en que el mail si es de carácter comercial.

    Nos quedaría el comprobar que la fuente de la que obtenemos los datos no recoja entre sus condiciones la prohibición de envíos comerciales.

    La misma aplicación tendrá para los datos de contacto de las personas que trabajan en las empresas respecto a los datos de nombre, teléfono, fax… y dirección electrónica (ej: carlos@miempresa.es).

    Lo complicado es que los receptores acepten el envío publicitario, ¿no?

    Gracias.

    Responder
  19. Jejeje, habrá que tener cuidado con la dirección de correo electrónico, no sea que revele la ideología o creencias del afectado… 🙂
    Yo creo que ese primer correo entraría dentro del ámbito del art. 14 que comenta Samuel (similar al primer correo que se envía en cualquier página web cuando te suscribes, para confirmar que realmente eres quien dice ser). Pero si nos agarramos a la letra de la ley y la dirección de correo contiene algo que revele un dato especialmente protegido (a mucha gente le gusta exhibir su ideología o creencias en su dirección de correo), haría falta un consentimiento expreso, no?

    Responder
  20. Te entiendo Senda, pero cuando la LSSI habla de “consentimiento”, la AEPD te indica que la forma de recabar ese “consentimiento” será según lo dispuesto en la LOPD.

    Saludos Peter, seguramente en ese caso estaríamos ante esa categoría de datos “incidentales” que no requieren un tratamiento especial, y aunque en sentido estricto pueda ser un dato de nivel alto, se puede tratar como dato de nivel básico.

    Responder
  21. Un comentario sobre el mensaje de senda: supuestas direcciones de empresa (info, rrhh, etc.) en algunos casos pueden ser acrónimos de personas, pues hay muchas empresas que generan acrónimos para sus trabajadores, que pueden coincidir con esas palabras (puede parecer rebuscado, pero a mí me pasó). El sentido común (el mío, al menos… :)) dice que no se sancione por una confusión de estas, pero me temo que la Agencia lo sancionaría…
    Por otra parte, a los datos de contacto de personas que trabajan en empresas no les afecta el reglamento, pero sí la LOPD.

    Responder
  22. Hola de nuevo, he estado investigando un poco sobre la duda que planteaba con anterioridad y quería compartir las conclusiones con vosotros.

    1. El dictamen 5/2004 del grupo del artículo 29 prohíbe la recogida de direcciones de correo electrónico de internet. También exige que el consentimiento sea previo conforme a la normativa de protección de datos y expreso según la LSSI. De esta manera no es lícito el envío de un primer correo en el que exclusivamente se solicite el consentimiento.
    2. Lo curioso del tema es que si se trata de datos de carácter personal recogidos en fuentes accesibles al público o facilitados por un tercero sí tenemos obligación de informarles sobre el tratamiento de datos conforme al artículo 14 que mencionaba Samuel pero ¿no podemos solicitar en ese correo el consentimiento para envíos comerciales? Lo veo un poco absurdo pero parece ser que no.
    3. Entiendo que las direcciones de contacto de los trabajadores de una empresa o de los empresarios individuales en relaciones b2b no se ven afectadas por el reglamento de protección de datos y tampoco por la LOPD según el informe de la AEPD 2008-0078. Así que, opino, no es necesario contar con Documento de Seguridad, ni medidas de seguridad, ni notificación al registro de la AEPD.

    ¿Os parece correcto? Gracias por las aclaraciones.

    Responder
  23. Hola Senda.
    Sobre el punto 1. El dictamen es de 2004, y va a ser que el Real Decreto 1720/2007 va a estar por encima de ese dictamen, de forma que es posible hacer eso de enviar un primer correo para solicitar el consentimiento (a menos así lo entiendo yo).

    Punto 3. No hagas mucho caso de los informes jurídicos de la AEPD, es mi recomendación :). Utilízalos a efectos ilustrativos pero no te fies de ellos.

    Responder
  24. El Laboratorio Nacional de Calidad del Software de INTECO me acaba de enviar un correo tras participar en uno de sus cursos online. Pero cual es mi sorpresa cuando en el campo “para” aparece mi dirección junto con la del resto de participantes, hasta un total de 142 !!! ¿merece la pena denunciarlo a la AGPD o me conformo con afearles la conducta?

    Saludos.

    Responder
  25. Hola Jose. Si denuncias es muy posible que terminen imponiendo una multa de 600 euros, pero no creo que merezca la pena molestarse, sobre todo porque recuerda que tú no recibirás nada de esa multa…

    Responder
  26. Jose dijo:

    El Laboratorio Nacional de Calidad del Software de INTECO me acaba de enviar un correo tras participar en uno de sus cursos online. Pero cual es mi sorpresa cuando en el campo “paraâ€? aparece mi dirección junto con la del resto de participantes, hasta un total de 142 !!! ¿merece la pena denunciarlo a la AGPD o me conformo con afearles la conducta?
    Saludos.

    Yo les afearia la conducta, por lo que dice Samuel. Ademas le diria que podrian recibir una sancion de 600*142 = 85.200 €, y que resulta dificil ir por ahí de expertos en seguridad si tienen esos agujeros.

    Responder
  27. espinete dijo:

    Lo mejor es retirarse alas montañas y tener cabras y vacas, la tecnología da muchos dolores de cabeza.

    Las cabras tienen pulgas, la montaña es fría en invierno, y sin internet mi vida me permitiría disfrutar mucho menos. Prefiero a tecnología

    Responder
  28. Despues de leer todos los comentarios y las criticas a esta ley, os lanzo una pregunta

    ¿Tan dificil es poner las direcciones en el campo CCO por norma?

    Otra pregunta

    ¿No os molesta que vuestra direccion este reenviandose con todos los mensajes basura de cadenas inutiles?

    Un Saludo

    Responder
  29. Muy buenas Samuel, podrias indicar cual es la referencia de esa resolucion? estoy comenzando a estudiar el tema desde el punto de vista del articulo 10 de la ley y todas las resoluciones que encuentro son a empresas por infraccion de LOPD, y ,me viene al pelo esa resolucion

    lo dicho, si no te importa claro, gracias de todas formas

    Responder
  30. Ultimamente, cuando recibo un mail con direcciones no ocultas, respondo al remitente con sólo dos enlaces en el texto, uno a esta página y otro a http://www.adslzone.net/article1768-la-agpd-multa-con-60101-euros-por-felicitar-las-fiestas-por-e-mail-sin-cco.html , que habla de un ejemplo citado.
    Creo que si les hablas de intimidad, spam, pérdida de tiempo, etc. la mayoría de la gente no le dará importancia. Pero si hablamos de multas, ya lo ven de otra manera.

    Responder
  31. Permanentemente me llegan correos morbosos de un usuario del mesenger, qué debo hacer para evitar recibirlos, agradezco me ayuden.

    Responder

Deja un comentario