El pasado día 29 de abril, la empresa comercialmente conocida como Pepephone, Operador de Telefonía Móvil Virtual, publicaba en su propio perfil de Twitter este tuit “Algunos clientes habéis recibido por un error humano un correo con direcciones de email. Hemos metido la pata. Perdonad y borradlo por favor”.
Pedían disculpas por haber procedido al envío de un correo electrónico masivoa clientes cuyas direcciones electrónicas no habían sido ocultadas. Es decir, todos y cada uno de los destinatarios de dicha comunicación comercial visualizaban las direcciones de email del resto de clientes a los que Pepephone había remitido la comunicación.
Al mismo tiempo que reconocían su error, lo achacaban a un fallo humano, solicitaba a todos los clientes que hubieran recibido dicho correo electrónico que lo borraran de sus bandejas de entrada.
Poco tiempo después, ese mismo día, era la propia compañía la que anunciaba que se autodenunciarían ante la Agencia Española de Protección de Datos por el error cometido: “Mañana nos auto-denunciaremos a la APD por el error que hemos cometido al enviar un mail a 4.800 personas sin copia oculta. Lo lamentamos”.
Aparte de la honradez de reconocer y rectificar un error ¿puede existir alguna otra razón que justifique dicha actuación?.
La dirección de correo electrónico de una persona física es un dato de carácter personal amparado por la normativa de protección de datos y si una empresa envía un correo electrónico con las direcciones de todos sus clientes visibles para el resto (en vez de incluirlas como Copia Oculta-CCo), los destinatarios de dicha comunicación podrán visualizar las direcciones electrónicas personales del resto de clientes de dicha compañía lo que, claramente supone una vulneración del deber de secreto profesional (art. 10 LOPD) por parte de la empresa remitente del correo electrónico.Esta vulneración está tipificada como infracción grave y la sanción económica puede alcanzar los 300.000€. Es posible que Pepephone haya reconocido de manera inmediata y espontánea este error para evitar tal cuantía, ya que según el art. 45.4 LOPD, dicha sanción podría verse considerablemente disminuida atendidas una serie de circunstancias como pueden ser el beneficio obtenido o el grado de intencionalidad. En un post anterior comentábamos un caso similar en el que la sanción definitiva fue de 2.000€. Veremos qué decide la Agencia Española de Protección de Datos.
