Por qué la mayoría de pymes están a un fallo de RGPD por culpa del correo electrónico
TL;DR
- El correo es la principal fuente de brechas RGPD en pymes, no los ataques externos: los errores son internos y cotidianos.
- Un correo masivo en CC con todos los destinatarios visibles es una brecha notificable a la AEPD en 72 horas.
- Los reenvíos automáticos al Gmail personal del empleado sacan los datos de la empresa sin contrato de tratamiento.
- Las copias locales de Outlook sin BitLocker activo son un portátil robado que se convierte en brecha obligatoria.
- La política de retención de correo define cuánto tiempo guardas datos que técnicamente ya no deberías tener.
Muchas pymes tienen su RGPD razonablemente ordenado en papel: formularios con consentimiento, política de privacidad actualizada, registro de actividades de tratamiento. Pero el correo electrónico del día a día es un sumidero de datos personales que opera fuera de cualquier control real. No hace falta un ataque externo para tener una brecha: basta con que una persona del equipo administrativo reenvíe una factura con datos de clientes a su Gmail personal, o que alguien use CC en lugar de CCO en un envío a 150 contactos. La AEPD ha sancionado a empresas por exactamente estos errores, y el coste no es solo la multa: es el tiempo de gestión, la notificación a los afectados y el daño reputacional con clientes que reciben una carta diciéndoles que sus datos han sido expuestos.
1. Copias locales de buzones: el riesgo que nadie controla
Cuando un empleado configura Outlook o Thunderbird con descarga local de correos, crea una copia de todos sus mensajes en su ordenador. En modo IMAP con sincronización completa, el equipo tiene una réplica del buzón completo. En modo POP3, los mensajes se descargan y eliminan del servidor, y solo existe la copia local.
Si ese portátil no tiene cifrado de disco activo (BitLocker en Windows, FileVault en Mac), se pierde o se vende sin formatear correctamente, esa copia es una brecha de datos bajo el RGPD. La empresa tiene la obligación de notificar a la AEPD en 72 horas si los datos expuestos pueden causar riesgo para los derechos de los afectados. Un portátil con tres años de correos de clientes, sin cifrado, perdido en el metro, cumple ese criterio.
La solución tiene dos partes: política técnica de retención local en el cliente de correo (no descargar adjuntos de más de X días, limitar el historial local a los últimos N meses) y cifrado de disco obligatorio en todos los equipos. El servicio de ciberseguridad incluye el despliegue de BitLocker centralizado con gestión de claves de recuperación, que es el paso que más pymes tienen pendiente.
Una correduría de seguros de Málaga con 9 empleados fue investigada por la AEPD en 2023 tras el robo de un portátil. El portátil tenía Outlook configurado con POP3 y cinco años de correos descargados localmente, sin cifrado. La resolución resultó en un apercibimiento formal y la obligación de notificar a 340 asegurados que sus datos habían podido quedar expuestos. El coste de la gestión de la brecha, incluyendo la comunicación con afectados y la adaptación del sistema, superó los 8.000 euros.
2. Reenvíos automáticos a cuentas personales
Es uno de los comportamientos más frecuentes y menos controlados: el empleado configura un reenvío automático de su correo corporativo a su Gmail o Hotmail personal para no perderse mensajes cuando está fuera de la oficina. Desde su perspectiva es cómodo. Desde la perspectiva RGPD, es una transferencia de datos personales a un servicio externo con el que la empresa no tiene contrato de tratamiento de datos.
Google o Microsoft (como proveedores de correo personal, no empresarial) no son subencargados del tratamiento de tu empresa: son servicios que el empleado usa a título personal. Los correos de clientes, proveedores y compañeros que llegan a ese Gmail personal están fuera de cualquier control de la empresa sobre el acceso, la retención, el cifrado y el borrado.
Microsoft 365 y Google Workspace permiten desactivar los reenvíos externos a nivel de tenant mediante políticas de correo (en M365: Exchange Admin Center > Anti-spam > Outbound spam filter policy; en Google Workspace: Gmail > Configuración > Configuración predeterminada > Filtros y direcciones bloqueadas). En servidores propios de correo depende de la configuración del MTA. Lo importante es que sea una decisión activa de la empresa, no algo que cada empleado decide por su cuenta.
3. Uso incorrecto de CCO en envíos masivos
Enviar un correo a 200 clientes con todos los destinatarios en el campo Para o CC es una brecha RGPD inmediata: estás revelando a cada uno de los 200 destinatarios la dirección de correo de los otros 199. La AEPD ha sancionado a empresas de todos los tamaños por este error concreto, incluyendo asociaciones, comercios y despachos profesionales.
- Para envíos a más de 10 destinatarios externos: usar siempre CCO o una plataforma de email marketing con listas separadas (Mailchimp, Brevo, Acumbamail).
- Registro del consentimiento: si haces email marketing, documenta cómo y cuándo cada contacto dio su consentimiento para recibir comunicaciones.
- Proceso de baja funcional: cualquier lista de correo debe tener un mecanismo de baja que funcione y que procese las solicitudes en tiempo razonable (máximo 30 días según el RGPD).
- Formación del equipo: el error de CC/CCO suele ocurrir por prisa o desconocimiento, no por mala fe. Un recordatorio de 5 minutos en la siguiente reunión de equipo reduce el riesgo significativamente.
4. Retención: cuánto tiempo conservas los correos
El RGPD no fija un periodo de retención universal para el correo, pero sí exige que los datos personales no se conserven más tiempo del necesario para la finalidad para la que se recogieron. Un correo con datos de un cliente potencial que no llegó a comprar no debería guardarse indefinidamente. Los correos con datos de empleados tienen sus propias obligaciones derivadas de la legislación laboral.
Define una política de retención de correo con al menos estas categorías: correos con valor contractual o fiscal (6 años en España, por la legislación mercantil), correos de recursos humanos (cuatro años o más según el tipo de dato), correos de marketing no convertidos (eliminar tras el periodo acordado en la política de privacidad), y correos de proyectos finalizados (período a definir según el tipo de proyecto).
Microsoft 365 y Google Workspace permiten automatizar la eliminación de mensajes según estas políticas mediante etiquetas de retención. Un servicio de mantenimiento gestionado puede configurar estas políticas y verificar periódicamente que se están aplicando correctamente.
5. El buzón del empleado que se va: un riesgo frecuente
Cuando un empleado deja la empresa, su buzón de correo corporativo contiene datos de clientes, de compañeros y de proveedores que son datos personales bajo el RGPD. La empresa tiene que decidir qué hace con ese buzón, y la decisión debe ser activa y documentada.
La práctica habitual es mantenerlo activo 30-60 días con redirección a un responsable para gestionar correos entrantes pendientes, luego desactivar el acceso externo y mantener el buzón como archivo de solo lectura por el periodo que la legislación exija, y finalmente eliminarlo de forma segura una vez vencido ese periodo. El empleado saliente no puede seguir accediendo al buzón corporativo después de su baja, independientemente de que la empresa tenga preaviso legal o no.
Un error frecuente es no revocar inmediatamente las credenciales del empleado al formalizar la baja. Consulta nuestro artículo sobre política BYOD y gestión de dispositivos en pymes para ver cómo integrar el proceso de baja en un protocolo completo que cubra también los dispositivos personales con datos corporativos.
6. Cifrado en tránsito: lo que tu proveedor de correo ya hace (y lo que no)
Microsoft 365 y Google Workspace cifran los correos en tránsito entre servidores (TLS) y en reposo en sus servidores. Pero esto no cubre todos los escenarios de riesgo: un correo enviado desde un proveedor que no soporte TLS puede viajar sin cifrar, y los adjuntos descargados localmente están tan protegidos como el disco del equipo donde se guardan.
Para comunicaciones con datos especialmente sensibles (documentos médicos, contratos con datos de NIF, expedientes laborales), considera el cifrado de extremo a extremo con S/MIME o PGP, o el uso de plataformas específicas de intercambio seguro de documentos. El correo electrónico estándar, aunque cifrado en tránsito, no es el canal más adecuado para ciertos tipos de documentos.
La auditoría de ciberseguridad incluye la revisión de la configuración de cifrado del correo corporativo y la identificación de flujos de datos que deberían usar canales más seguros.
Riesgos RGPD más comunes en el correo de pymes
| Riesgo | Frecuencia | Notificación AEPD | Solución técnica |
|---|---|---|---|
| CC masivo con destinatarios visibles | Muy alta | Probable si >50 afectados | Formación + plataforma email marketing |
| Reenvíos a Gmail personal | Alta | Posible si hay brecha | Política en M365/Workspace |
| Portátil sin BitLocker robado/perdido | Media | Casi siempre obligatoria | BitLocker + gestión centralizada |
| Buzón ex-empleado sin política | Alta | Riesgo si acceso no revocado | Protocolo offboarding definido |
| Sin política de retención | Muy alta | Riesgo en caso de auditoría | Etiquetas de retención en M365/GW |
Por dónde empezar mañana
- Verifica si hay reenvíos automáticos activos en los buzones de tu empresa. En Microsoft 365: Exchange Admin Center > Mail flow > Rules, busca reglas de reenvío externo. En Google Workspace: Admin Console > Gmail > Configuración predeterminada.
- Comprueba que BitLocker está activo en todos los portátiles con datos corporativos. El comando
manage-bde -status C:en cmd lo verifica. Si no está activo, prioriza los portátiles de empleados con acceso a datos de clientes. - Define por escrito qué pasa con el buzón de un empleado cuando deja la empresa e inclúyelo en el protocolo de offboarding. No tiene que ser un documento complejo: una página con los pasos ordenados es suficiente.
- Configura una política de retención básica que elimine automáticamente los elementos eliminados después de 30 días y archive (no elimine) los mensajes con más de 3 años en buzones activos.
Preguntas frecuentes
¿Cuánto puede multar la AEPD por un error de correo bajo el RGPD?
Las sanciones van desde apercibimientos sin multa económica hasta multas de hasta 20 millones de euros. Para pymes, las sanciones habituales por errores en correo masivo rondan los 3.000-30.000 euros, aunque la AEPD tiene en cuenta el tamaño de la empresa y la proactividad en la corrección.
¿Tengo que notificar a la AEPD si envío un correo masivo con todos en CC?
Sí, si el número de destinatarios es suficiente para constituir una brecha de datos personales. La AEPD puede requerir notificación en 72 horas si existe riesgo para los derechos de los afectados. El criterio es el volumen y la sensibilidad de los datos expuestos.
¿BitLocker en los portátiles evita tener que notificar una pérdida a la AEPD?
Sí. El RGPD establece que si los datos personales estaban cifrados de forma adecuada, la pérdida del dispositivo no constituye una brecha que requiera notificación a los interesados. La notificación a la AEPD puede seguir siendo necesaria en algunos casos, pero las consecuencias son significativamente menores.
¿Microsoft 365 cumple con el RGPD automáticamente?
Microsoft 365 ofrece las herramientas necesarias para cumplir con el RGPD, pero el cumplimiento real depende de cómo configures el servicio. Las políticas de retención, los reenvíos externos y el acceso de usuarios son decisiones que la empresa tiene que tomar activamente.
¿Puedo conservar el buzón de correo de un empleado que ha dejado la empresa?
Durante un tiempo limitado y con justificación, sí. La práctica habitual es mantenerlo activo 30-90 días con redirección, luego convertirlo en archivo de solo lectura por el periodo que la legislación exija, y finalmente eliminarlo de forma segura.
¿Los reenvíos automáticos a Gmail personal son ilegales bajo el RGPD?
No son ilegales per se, pero sí constituyen una transferencia de datos personales fuera del control de la empresa a un servicio sin contrato de tratamiento de datos. La empresa es responsable de las transferencias que hacen sus empleados con los datos que les ha confiado.
¿Cuántos años tengo que conservar los correos de la empresa?
Depende del contenido. Los correos con valor contractual o fiscal suelen estar sujetos a 6 años (legislación mercantil española). El principio RGPD es que no se deben conservar más tiempo del necesario para la finalidad para la que se recogieron.