La Agencia Española de Protección de Datos ha sancionado con 3.000 € por una infracción grave a Pepephone. La operadora cumplió su promesa de denunciarse a si misma ante las autoridades de protección de datos al incluir por error el correo de los destinatarios en un mailing que anunciaba una mejora de tarifa.
La satisfacción de anunciar una mejora gratuita de la capacidad del bono de datos a los clientes de su tarifa ForoCoches se tornó en pesadilla al comprobar que por error se había incluido en el cuerpo del mensaje las miles de direcciones de email de los clientes. La empresa reconoció el error en Twitter y mandó un segundo mensaje de disculpa.
Solo un día después de producirse el incidente, Pepephone remitió un escrito de autoinculpación en el que reconocía que de forma involuntaria el "lamentable error" por el que había "comprometido las direcciones de correo" de algunos de sus clientes y explicaba como se produjo el incidente.
Recientemente hemos mejorado las condiciones de tarifa de algunos clientes de forma automática, y por ello nos hemos puesto en contacto con ellos por mail para informarles de la mejora en sus condiciones de servicio. En el caso presente, el mail iba dirigido un grupo de 4.843 clientes. […]
Cada vez que se procede a realizar un envío de correo electrónico a un grupo de clientes, nuestro sistema genera un fichero temporal con dos valores: la direcciones de email de los destinatarios y un número de serie interno correspondiente a ese cliente. Posteriormente, en la interfaz de nuestro sistema de envío de mensajes se carga ese fichero de direcciones de email y seguidamente se carga el texto del mensaje que se debe enviar (que nunca va personalizado por lo que no incluimos jamás ningún otro dato personal como el nombre o los apellidos). Una vez cargados ambos campos, el mensaje se revisa y se envía, y el fichero origen se elimina. […]
En este proceso de carga, la persona responsable de configurar el envío, y debido a un error humano, cargó la lista de las 4.843 direcciones tanto en el campo de destinatarios como en el cuerpo del mensaje, por lo que se envió un email a estas personas en el que iba visible la dirección de correo de todos los demás destinatarios (el mismo efecto que si no se hubiera puesto a los destinatarios en el campo de copia oculta). A pesar de que existe una pantalla de verificación del mensaje previo al envío, esta persona descuidó verificarlo correctamente y procedió su emisión. […]
Como consecuencia de este hecho, estas direcciones de email, así como el número de serie interno que no tiene ningún significado para los clientes, han sido enviadas y vistas exclusivamente por los clientes que han recibido el mensaje. […]
Tan pronto hemos tenido conocimiento de los hechos, hemos detenido el envío que ya había alcanzado aproximadamente a un 70% de estos 4.843 clientes, y nos hemos puesto inmediatamente en contacto con todos ellos con otro mensaje de correo electrónico para pedirles disculpas por el error y solicitarles que eliminaran los datos recibidos. En paralelo, informamos públicamente del error y de su alcance para dar una explicación a todos los clientes, tanto afectados como no afectados. […]
Adicionalmente, y para garantizar que este hecho no vuelve a ocurrir, hemos revisado el procedimiento de envío de mensajes y solicitado con urgencia una modificación del sistema que garantice que en ningún caso se puede introducir por error en el cuerpo del mensaje una dirección de correo electrónico, ni siquiera por error humano. Esta modificación estará desarrollada y disponible a finales de esta misma semana y hará materialmente imposible que este suceso vuelva a ocurrir de nuevo.
Además de la autoinculpación de Pepephone, un único usuario de entre los 4.843 clientes afectados, también denunció el caso ante Protección de Datos
Aunque la sanción correspondiente a una infracción de caracter grave es de entre 40.001 a 300.000 €, se ha considerado como atenuante la "ausencia de intencionalidad acreditada", de modo que la multa final es de 3.000 €.
