El Outlook Express te puede jugar una mala pasada

Un particular ha sido sancionado por enviar una felicitación navideña masiva a una dirección de email que tenía en su libreta de Outlook por error.

No utilizó la opción CCO o Copia Carbón Oculta.

Ya hemos hablado en otra ocasión de los peligros a efectosde protección de datos de enviar correos electrónicos sin utilizar adecuadamente la opción CCO o Copia Carbón Oculta.
Por otra parte el caso que vamos a examinar es especialmente curioso: el sancionado, tras responder a un correo electrónico de un usuario que quería darse de baja de su web, el email de esta persona quedó almacenada automáticamente en la libreta de direcciones del sancionado.

Efectivamente, el Outlook tiene la opción de agregar de forma automática a nuestra libreta la dirección de aquellos a los que respondamos alguna vez (ver muestra).

De esta forma, cuando procedió a felicitar la navidad, añadió en el campo “Para:” toda su libreta, pensando que eran amigos o conocidos; el error se agrava por el hecho de que dejó a la vista de los destinatarios el resto de personas que también habían recibido ese mismo email.

Este caso es sencillo de explicar, y ciertamente ya se va generando cierto cuerpo “jurisprudencial” al respecto a nivel de la Agencia Española de Protección de Datos.

El artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) establece que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

De esta forma, el sancionado, tenía un deber legal de mantener de forma confidencial las direcciones de correo electrónico de su libreta Outlook (al menos la del denunciante); este deber se vio quebrado en el momento en que facilitó, a través de correo electrónico, el email de un tercero sin su consentimiento ¿Cómo hizo esto?… bueno, seguramente todos habremos recibido en algún momento de nuestra vida un correo de esos que llevan adjunto un PowerPoint con alguna chorrada, y el que lo envía lo hace dándole a “Reenviar” y luego añade toda su libreta al campo “Para:” de forma que el próximo que reciba el correo verá no sólo las direcciones que añadió el remitente sino todas las direcciones que han ido pasando anteriormente por la misma situación.

Pues bien, esto supone una vulneración de la LOPD en determinadas circunstancias, como es el caso que nos ocupa.

El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

El propio denunciado admitió todos estos extremos, y admitió haber enviado por error esa felicitación. Ese error, como mencioné antes, se debió a que la dirección del denunciante se había colado automáticamente en su libreta tras responderle en una ocasión.

Finalmente es sancionado por una infracción leve con multa de 601,01 euros.

Descargar resolución mencionada

16 comentarios en “El Outlook Express te puede jugar una mala pasada”

  1. Hablando de accidentes… hoy volví a leer la resolución de Iniciativas Virtuales (la que sancionaba el Share this).

    Resulta que, como de costumbre, la agencia elimina la dirección de correo electrónico del denunciante… pero en este caso, al dejar el ratón encima de la dirección borrada aparece el código mailto: con la dirección de correo del afectado.

    He de reconocer que me ha costado contenerme para no mandarle un email al sujeto en cuestión animándole a que denuncie a la propia Agencia (aunque no derive en sanción económica, igual se le bajaba un poco los humos, que últimamente están muy subidos).

    Responder
  2. Aún en el caso de que se hubiera utilizado la copia oculta, asumiendo que en el correo no hay publicidad (para que quede fuera del artículo 21 de la LSSI), y dado que el usuario se había dado de baja, ¿no sería un tratamiento de datos de carácter personal sin consentimiento del afectado?

    Responder
  3. Hola Peter. Sí, yo también había llegado a esa conclusión o incluso que pudieramos estar ante una vulneración del 4.2: “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.”

    Responder
  4. Pues es verdad, como felicitar la navidad parece algo tan inocente, no había caído en el artículo 4.2… Ahora entiendo esas cláusulas enormes donde dicen que pueden tratar tus datos para miles de cosas distintas… 🙂

    Responder
  5. Hola Samuel

    En primer lugar enhorabuena por el blog, nunca había escrito una respuesta, pero te sigo desde que empecé a trabajar en temas de LOPD (hace un añito), y descubrí los excelentes artículos y comentarios que se leen por aquí.

    Sobre la resolución que has comentado, de alguna forma creo que también entra en la línea actual de la AEPD, de pretender quitarse la fama de “ogro-sancionador”, ya que tal como comentabais por aquí arriba, la conducta del infractor podría haber recibido una sanción más elevada (algo que por otra parte, entiendo que hasta a la Agencia le habrá parecido exagerado).

    A mi en principio también me parecía más lógico sancionar el tratamiento inconsentido del dato como una infracción grave del 44.3 d LOPD (falta de consentimiento para seguir utilizando el mail) en lugar de por infracción leve por incumplir el deber de secreto, aunque al final la multa tendría que ser la misma aplicando la disminución del 45.5 (60.000 euros de multa no solo es desproporcionado sino un crimen contra la navidad!), pero pensándolo más, tal vez no fuese lo más adecuado al estar ante un “mensaje personal”.

    No sé cómo lo verás, pero cuando el art.2.2 de la ley y también la Directiva prevén la no aplicación de la normativa a ficheros/tratamientos de personas físicas en el ámbito exclusivamente personal o doméstico, al fijarnos en la Directiva (en el considerando 12), cuando excluye a estas actividades personales/domésticas, nombra “la correspondencia y la gestión de un repertorio de direcciones” (no sé si hay algún documento del Grupo de trabajo del art.29 interpretando el alcance de esta exclusión)

    Por eso, si ya tenemos a la LSSI para controlar el uso “inadecuado” de la dirección de correo con fines comerciales, en condiciones “normales”, el hecho de enviar un mensaje “personal” de felicitación navideña entiendo que no debería caer en el ámbito de la LOPD ni del secreto “profesional” .

    Pero en este caso, como la cuenta se utiliza indistintamente de forma personal y profesional, supongo que se puede entender que el sancionado no hizo efectivo el derecho de cancelación y reveló un dato que fue recabado del fichero “profesional”, de ahí que se castigase por infracción del deber de secreto (aunque es verdad que el hecho de incluir el mail para el envío supone un tratamiento y una vulneración del principio de calidad)

    Perdón por el tocho y saludos!

    Responder
  6. He visto la resolución y lo que han hecho es limitarse a sancionar lo reclamado. El denunciante no se ha quejado de un tratamiento sin consentimiento.

    Y está claro, no es que en la Agencia no hayan visto el tratamiento sin consentimiento, ni la existencia del fichero, falta de información en la recogida, seguro que tambien falta de medidas de seguridad, etc. Pero si le meten por cada una de esas vulneraciones hablariamos de 60.000+600+600+60.000=121.200€, 20.200.000 de las antiguas pesetas, vamos, que le arruinan la vida, porque viendo el negocio que tiene, no creo que gane mucho.

    Recuerdo un caso de un denunciante que tenia un vecino vandalo, que no paraba de hacerle faenas a su coche. El denunciado puso una videocámara para vigilar su coche, pero no estaba limitado a su plaza de garaje. El vandalo le denuncio por falta de inscripción del fichero y tratamiento sin consentimiento. La propuesta del instructor fue 60.000+600, vamos, que se podria haber comprado varios coches con la sanción propuesta. Finalmente, con el 45.5 se quedó en 600+600.

    Responder
  7. Hola,

    ¿Se me permite hacer una pregunta fuera de tema? La cuestión es que hace un mes reclamé la tutela de la AEPD por vía postal y certificada; sin embargo aún no tengo respuesta de la Agencia donde me comunique el n.º de expediente. ¿Cuánto suelen tardar en enviar la notificación?

    ¡Gracias y felicidades por tan ilustre sitio!

    Responder
  8. Esto NO aplicaría a un particular, ¿no?
    La LOPD excluye explícitamente en su artículo 2.2.a los “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.
    Saludos,
    iogi

    Responder
  9. La culpa no es del Outlook Express o programas similares. La culpa es que se ha vendido lo de los ordenadores y el internet como algo mega-guay donde cualquiera puede participar desde ya, y antes hay que aprender como en todo. No existen los fallos informáticos, los fallos son de los humanos, y en este caso creo que es del humano que consumía el software. (En otros es del que lo hizo)

    Responder

Deja un comentario