Multazo a los cruceros de Royal Caribbean por filtrar datos personales en emails enviados por error

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 15.000 euros a la compañía de cruceros RCL Cruises LDT (Royal Caribbean) por filtrar datos personales por error a terceras personas a través de correos electrónicos.

Aunque los hechos ocurrieron en el año 2019, la infracción no ha prescrito porque se ha estado llevando a cabo de forma continuada, por lo que ha vulnerado el artículo 32 y 5.1.f del Reglamento General de Protección de Datos (RGPD).

Correos con datos de otros clientes

La reclamación tuvo lugar el 16 de octubre de 2019 por parte de un consumidor que se había puesto en contacto con la empresa de cruceros para solicitar información general. Sin embargo, días después recibió por error un correo electrónico automático que incluía un documento con una oferta de crucero dirigido a una persona desconocida.

En la notificación aparecían los datos personales de esa persona, los de su acompañante y detalles del viaje objeto de la oferta. El consumidor respondió al email y les dijo que no tenía nada que ver con aquello y aunque la oferta fue anulada, no le dieron ningún tipo de explicación.

Un consumidor presenta una reclamación

Es por eso que el cliente decidió presentar una reclamación tras cuestionar las medidas de seguridad adoptadas por el responsable para salvaguardar la confidencialidad de los datos personales que custodia teniendo en cuenta la relevancia de la empresa en el sector a nivel mundial.

El 10 de febrero de 2022 la APED pidió explicaciones a RCL Cruises al ser el responsable de tratamiento de los datos personales de clientes españoles que utilizan el sitio web para solicitar el presupuesto o reservar un crucero dentro del Espacio Económico Europeo.

La compañía culpa a un trabajador

La empresa de cruceros relató que el correo lo envió por error uno de los agentes y que, tras revisar la base de datos, no hay constancia de que los datos del consumidor reclamante se hayan compartido con otros clientes “ya que el incidente fue un error unilateral”.

Artículo relacionado

Multazo de 70.000 euros a seguros Pelayo por ceder los datos de una clienta a otra persona

Consumidor Global

Relataron que, de cara a evitar que en un futuro ocurra un error similar, se había formado a los agentes detectar a la mayor brevedad cualquier tipo de incidente de modo que se gestione y solucione de una manera rápida, aportando explicaciones claras a los afectados.

La AEPD no lo da por prescrito

En junio de 2022 RCL Cruises alegó que tal infracción grave había prescrito porque el artículo 73 de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y Garantías de los derechos digitales establece el plazo en dos años.

Sin embargo, la AEPD entendió que la conducta no se podía dar por prescrita ya que el artículo 30.2 de la Ley 40/2015 de 1 de octubre de Régimen Jurídico del Sector Público relata que “en el caso de infracciones continuadas o permanentes, el plazo comenzará a correr desde que finalizó la conducta infractora”.

1.250.000 pasajeros podrían haberse visto afectados

Por otro lado, la AEPD declaró que la actuación negligente del empleado en la producción de seguridad no exime de responsabilidad a la empresa. Por ello, la AEPD ha sancionado con 15.000 euros a la empresa. 10.000 por infringir el artículo 5.1.f que hace referencia a los principios relativos al tratamiento y otros 5.000 por vulnerar el 32, que habla sobre la seguridad del tratamiento. La sanción no es firme y puede ser recurrida ante la Audiencia Nacional.

Además, se han tenido en cuenta que en 2020 un total de 1.250.000 pasajeros de RCL Cruises pudieron verse afectados por la falta de adopción de medidas técnicas y organizativas para evitar brechas de seguridad.