En el procedimiento sancionador PS/00559/2011 de la AEPD podemos ver la sanción que puede sufrir una entidad por enviar de forma accidental un fichero que contenía datos personales adjunto a un correo electrónico.
Con fecha 15/06/2011, tuvo entrada en esta Agencia un escrito de DÑA. B.B.B. en el que denuncia a la entidad O2 CENTRO WELLNESS PLENILUNIO, S.L. (en lo sucesivo O2 CENTRO WELLNESS), de la que fue cliente, por haberle remitido un correo electrónico de 17/05/2011 que contenía un fichero adjunto con datos de 9.293 personas, incluyendo los suyos. Dicho fichero contiene datos personales de las personas afectadas relativos a nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección e-mail, Número de DNI y sexo.
Durante las actuaciones quedó acreditado que O2 CENTRO WELLNESS remitió a terceros un documento en el que figuran los datos personales de abonados de la entidad relativos a nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección e-mail, Número de DNI y sexo. Esta información no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso.
Por tanto, queda acreditado que por parte de dicha entidad, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los afectados.
Resultado: Sanción de 3.000 € por vulneración del artículo 10 de la LOPD relativo al deber de secreto.
Se ha de ser especialmente cauto a la hora de recoger datos personales de menores.