El riesgo de que en las compañías se cometa un error humano, nunca es cero. En consecuencia, los responsables deben tener protocolos para gestionar posibles incidentes que pongan en riesgo la privacidad de las personas con anterioridad a la manifestación del incidente.

Aunque hayamos repetido por activa y por pasiva a los empleados que los mails se deben enviar ocultando las direcciones de los destinatarios, salvo que expresamente se desee hacerles partícipes de una conversación visible, hay que contar con los errores humanos dentro de la categoría de riesgos aceptables.

Cuando un empleado envía un mailing con copia visible, en lugar de copia oculta, suele detectarlo después de haber pulsado el botón “enviar”. También es posible que no se percate hasta que recibe aviso o reclamación de algún destinatario. Este empleado, que bien podría estar profundamente concienciado con la protección de datos, debe dar parte a su responsable con carácter inmediato y, junto a la notificación, aportar propuestas de soluciones.

¿Cómo proceder?

En primer lugar, es conveniente remitir un email notificando el incidente y ofreciendo una disculpa a las personas afectadas, indicándole, si es posible, que se han tomado medidas concretas para evitar que este error humano se repita en el futuro.

En segundo lugar, se debe realizar un registro de incidente y un análisis de las posibles consecuencias evaluando el riesgo de que se produzcan daños a la privacidad como resultado directo del mismo. El riesgo se calcula atendiendo a la fórmula “probabilidad x impacto”. El objetivo primordial de este análisis es determinar si procede o no la notificación telemática a la Agencia Española de Protección de Datos (AEPD), de acuerdo el Reglamento General de Protección de Datos (RGPD), para la cual se dispone exclusivamente de 72 horas desde que se produjo.

Para calcular el mencionado riesgo, es preciso asignar valores que midan la probabilidad de que se produzca un daño a la privacidad, y en caso de producirse, el impacto que este daño tendría para cada afectado. Se deberán incluir en este análisis otros aspectos como:

1. Contenido de la comunicación, ya que no es lo mismo enviar una postal de navidad que un email en el que se adjuntan nóminas o informes médicos, siendo el segundo caso mucho mas grave que el primero.

2. Cantidad de destinatarios afectados, ya que no es lo mismo enviar un email a 20 personas que a 5000, siendo el segundo caso más grave que el primero en relación con el volumen de afectados.

3. Reincidencia, ya que no es lo mismo cometer un único error en 15 años, que 2 errores similares en un mes.

4. Tipo de cliente y de emails afectados, ya que no es lo mismo enviar un correo con copia visible a direcciones de contacto profesional, que enviarlo a direcciones personales de clientes, siendo el segundo caso más grave que el primero, lo que no implica descartar que los datos de contacto profesional también requieran un deber de confidencialidad.

Una vez realizado el análisis, se determinará el alcance del daño, así como la procedencia (o no) de notificar el incidente a la Autoridad de Control. En dicha notificación será preciso aportar copia del email visible, copia del email de notificación y disculpa a los afectados, justificación de la legitimación para el tratamiento de los datos objeto del incidente, así como descripción de las medidas técnicas y organizativas implantadas con carácter previo y, por supuesto, las implantadas con carácter posterior para evitar que dicho incidente pueda repetirse.

En un caso como este, las medidas previas podrían estar relacionadas, por ejemplo, con la adecuada formación al personal laboral, debiendo ser la empresa capaz de acreditar dicha formación. Téngase en cuenta que la comunicación verbal a los empleados de las políticas y medidas difícilmente será acreditable. Por otra parte, la realización previa de cursos de formación en materia de protección de datos, así como la notificación fehaciente de políticas conocidas y aceptadas por los miembros de la organización podrían servir de base para sustentar las medidas previas.

Las medidas implantadas a posteriori podrían estar relacionadas con la automatización de los procesos de envío de emails masivos, por ejemplo, recurriendo a plataformas de envío que, por defecto, garantizan la copia oculta. Así también la automatización podría implantarse como parte de los programas propios de gestión de base de datos de la organización, lo que probablemente requerirá una inversión de la empresa en esta mejora, pero a su vez, permitirá acreditar que en el diseño y por defecto, se ha pensado en la privacidad.

Por lo general este tipo de incidentes no suelen impactar de forma grave sobre la privacidad de los afectados y, en consecuencia, no es necesario notificarlo a la AEPD, pero cada caso habría que valorarlo de manera individualizada.

Si la empresa NO notifica el incidente a la AEPD, a pesar de ser grave, ¿a qué consecuencias se expone?

En este caso, el futuro de la empresa quedaría en manos de Dios, Alá o de los afectados por el incidente, que podrían decidir denunciar individual o conjuntamente, lo que pondría a la entidad reclamada en el punto de mira de la Autoridad de Control. Desde luego el reconocimiento de la infracción antes de recibir la denuncia es un elemento que la AEPD tendrá en cuenta al momento de graduar la sanción que corresponda, siempre que dicho reconocimiento sea espontáneo y venga acompañado de las mencionadas medidas técnicas y organizativas previas y posteriores implantadas en la empresa.

Si se interponen denuncias por parte de los afectados, se descartaría un archivo de expediente, ya que la infracción siempre existe en un caso como el que nos ocupa. Sin embargo, en el marco del proceso la empresa podría optar por un posible apercibimiento que viene siendo un tipo de sanción que no conlleva penalización económica. El apercibimiento, por su escasa entidad en lo que al daño se refiere y al elevado nivel cumplimiento de la entidad reclamada, es impuesto por la AEPD cuando ésta considera suficiente advertir a la empresa y, por llamarlo de alguna manera, amonestarla públicamente. Que la empresa no deba pagar una multa no significa que no tendrá perjuicios derivados de esta infracción. La confianza depositada por los clientes o afectados muy probablemente se habrá quebrantado, y será complicado recuperarla. Las resoluciones que terminan con apercibimiento se publican en el registro de la AEPD, por lo que podría sufrirse un daño reputacional si dicha resolución se hace viral y es conocida por clientes de la organización o clientes potenciales.

Que nadie crea que la AEPD hace caso omiso de estas infracciones, por irrelevantes y fortuitas que parezcan, ya que existen innumerables resoluciones publicadas que terminan tanto en sanción como en apercibimiento. Cuando el incidente es resultado de un error humano accidental acaecido a pesar de existir controles previos, y, especialmente cuando puede acreditarse un nivel elevado de cumplimiento del RGPD, el futuro de la empresa puede verse con optimismo.

Lilliam Valenzuela

Abogada Socia

DPD Certificado