La ironía es palpable: el órgano encargado de velar por la transparencia y la competencia, la CNMC, podría haber incurrido en una falta grave de protección de datos por algo tan básico como olvidar usar la copia oculta (CCO) en un correo masivo.
Según varias fuentes, la Comisión Nacional de los Mercados y la Competencia habría enviado un correo electrónico a todos los “usuarios de especial relevancia” (influencers, creadores de contenido y comunicadores digitales) sin utilizar copia oculta, exponiendo las direcciones de todos los destinatarios.
El mensaje tenía por objeto la “actualización de datos” exigida por el Real Decreto 444/2024, que regula el registro de estos usuarios ante la CNMC. Sin embargo, la forma de hacerlo ha sido, cuanto menos, desafortunada.
⚖️ POSIBLES IMPLICACIONES LEGALES
Este tipo de error puede parecer anecdótico, pero jurídicamente no lo es.
De confirmarse, supondría una violación del principio de confidencialidad (artículo 5.1.f del RGPD) y podría constituir una brecha de seguridad conforme al artículo 33 del RGPD, lo que obligaría a notificar el incidente a la Agencia Española de Protección de Datos (AEPD).
Y sí, es cierto que Risto Mejide y otros han comentado en redes que “la AEPD hará su agosto con esta sanción”, pero la realidad es más compleja.
La CNMC es un organismo público, y aunque está sujeta al RGPD, las sanciones a entes públicos suelen transformarse en advertencias o requerimientos, más que en multas económicas.
Por tanto, lo más probable es que no haya sanción millonaria, pero sí un tirón de orejas institucional y, esperemos, una revisión interna de protocolos de comunicación.
📩 El error nos recuerda algo fundamental: ninguna institución está exenta de cometer fallos de seguridad básicos.
Enviar un correo masivo sin CCO no solo vulnera la privacidad, sino que puede exponer relaciones profesionales, datos personales e incluso poner en riesgo la reputación de los implicados.
Lo más preocupante es que algunos destinatarios respondieron a ese mismo correo con “Responder a todos”, revelando información personal y amplificando la brecha inicial.
🧠 En un contexto donde la administración exige a los creadores cumplir con nuevas obligaciones digitales, es esencial que el propio regulador predique con el ejemplo.
La confianza en la regulación tecnológica depende tanto de la letra de la ley como del rigor con que las instituciones aplican sus propios estándares.
Porque, al final, la protección de datos no es solo una norma: es una cuestión de respeto.