Pues bien, la Agencia Española de Protección de Datos acaba de sancionar una vez más, en este caso a una Institución, por incurrir en una infracción de carácter grave, al vulnerar la obligación de guardar secreto recogido en la Ley Orgánica de Protección de Datos, derivado del envío de un correo electrónico masivo a sus clientes, informando acerca de un evento de su especialidad, sin ocultar las aproximadamente 1.000 direcciones de correo electrónico de los destinarios.
Esta sanción como la mayoría de sanciones por el envío de correos electrónicos donde se dejan a la vista los destinatarios, ha sido impuesta por «remitir correos electrónicos revelando direcciones sin utilizar la copia oculta (CCO), incurriendo en una vulneración del deber de secreto recogido en el artículo 10 de la Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre”. En este artículo se dispone que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo». El correo electrónico se considera un dato de carácter personal desde 1999.
Vulnerar el secreto de los datos personales se considera una infracción grave tras la entrada en vigor de la Ley de Economía Sostenible, que también modifica el régimen sancionador de la normativa de protección de datos. Ahora, las infracciones leves oscilan entre 900 y 40.000 euros, las graves entre 40.001 y 300.000 euros y las muy graves entre 300.001 y 600.000 euros. El cambio también permite, en determinadas circunstancias, atenuar la sanción al incorporar la figura del «apercibimiento». Esta medida limitada y excepcional se aplicará cuando se comete la primera infracción, no es muy grave y el denunciado tome las medidas necesarias para corregir la situación en un plazo determinado.
Aunque ya en anteriores ocasiones hemos tenido oportunidad de exponer resoluciones con los mismos fundamentos, lo más relevante en este supuesto es que ni el reconocimiento de los hechos, ni la falta de intencionalidad han conseguido exonerar la imposición de una sanción, como venía sucediendo, junto con la circunstancia de que al considerar este ilícito bajo el nuevo régimen sancionador de protección de datos, surgido tras la entrada en vigor de la citada Ley 2/2011, de 4 de marzo, de Economía Sostenible, la sanción se eleva de 600€ como venía siendo habitual a 2.000€.
La Agencia Española de Protección de Datos atendiendo a los criterios de graduación de las sanciones recogidas en el artículo 45.4 y el artículo 45.5.d) de la Ley de Protección de Datos, modula la sanción dentro del intervalo de las calificadas como leves teniendo en consideración para ello el reconocimiento de la culpabilidad de la institución denunciada y muy especialmente la falta de intencionalidad y reincidencia del mismo.
Es por ello que, para el envío de comunicaciones a los clientes, presentaciones Power Point con valor científico o social particular, enlaces a videos en youtube o servicios similares, o incluso reenvíos de mensajes especialmente interesantes que hayan llegado a nuestro correo y muy especialmente en el sector sanitario (tales envíos pueden contener datos de especial protección como datos de salud), las direcciones electrónicas han de haber sido facilitadas por los pacientes (u obtenidas de registros públicos), se ha de contar con el previo consentimiento del titular para tales transmisiones, la utilización de copia oculta (CCO) en los correos si el mail se dirige a varios destinarios y por último, y no por ello de menor importancia, establecer los mecanismos necesarios para evitar la alteración o el acceso no autorizado (cifrado etc) , cuanto el mensaje contenga datos de nivel de alto, como son los datos de salud.
Publicado en Redacción Médica el Jueves, 07 de febrero de 2013. Número 1844. Año IX.