El envío por error de al menos 700 correos electrónicos en abierto por parte del personal de la oficina de empleo de la Comunidad de Madrid provocó una brecha de seguridad en este organismo, tal y como ha publicado la Agencia Española de Protección de Datos (AEPD) en una resolución, a la que ha tenido acceso Vozpópuli, en la que apercibe al organismo público. Hay que subrayar que el hecho de que sea un organismo público no permite que haya una multa económica.
Se desconoce -la resolución lo oculta- desde qué dirección de correo se mandaron las direcciones de correo en modo abierto y las direcciones que fueron enviadas. Hay dos formas de enviar correo. En modo abierto (CC, Con Copia) u oculto (CCO, Con Copia Oculta). En el primer caso todos los que se incluyan en la cadena de correo podrán ver las direcciones de todos los que sean receptores del correo. En el segundo, solo quien lo envía y el receptor tendrán acceso a sus direcciones, en ningún caso el receptor podrá ver las direcciones del resto a quienes se haya mandado el mail.
En el momento en el que se produjo el envío de los más de 700 correos electrónicos en abierto, el Delegado de Protección de Datos de la oficina de empleo de la Comunidad de Madrid procedió, como es menester, a comunicar a la Agencia Española de Protección de Datos (DPD) que se había producido una brecha o fuga de datos.
Protección de Datos no tiene permitido publicar las direcciones de correo de los afectados -salvo a ellos- ni la dirección de correo que hizo el envío
La AEPD es el organismo encargado de velar por el buen tratamiento de los datos de los españoles y el Delegado de Protección de Datos es el responsable, valga la redundancia, de los datos de las empresas, y el vínculo entre la corporación y la AEPD. En resumen, su labor es supervisar, controlar y coordinar el cumplimiento del Reglamento General de Protección de Datos (RGPD), la Directiva europea por la que se rige el tratamiento de los datos personales en Europa.
La reclamación fue en junio de 2022
La reclamación se produjo el pasado 9 de junio de 2022 y en los motivos de la misma se destaca "la recepción de un correo electrónico, enviado desde la dirección ***EMAIL.1 y remitido a una pluralidad de destinatarios sin haber hecho uso de la funcionalidad CCO, permitiendo que cada uno de los receptores tuviera acceso a las direcciones de envío de todos".
La resolución concluye que "de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la D.G. DEL SERVICIO PÚBLICO DE EMPLEO, con NIF S7800001E, por una infracción del Artículo 5.1.f) del RGPD tipificada en el Artículo 83.5 del RGPD, una sanción de apercibimiento. IMPONER a la D.G. DEL SERVICIO PÚBLICO DE EMPLEO, con NIF S7800001E, por una infracción del Artículo 32 del RGPD tipificada en el Artículo 83.4 del RGPD, una sanción de apercibimiento".
Apoya TU periodismo independiente y crítico
Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación