| Resolución | PS-00508-2025 |
| Firmado | 2025-11-04T00:00:00Z |
| Enlace | 📋 |
El procedimiento sancionador se inició tras una reclamación presentada el 3 de abril de 2023, en la que un cliente de OVH Hispano, S.L.U. denunció que, al solicitar la modificación de un dato vinculado a su cuenta, recibió más de 100 correos electrónicos que contenían información personal de otros usuarios, incluyendo copias escaneadas de DNI, NIF y documentos de empresas. El reclamante había enviado su solicitud a la cuenta de correo «procedimiento@ovh.es» y, desde entonces, recibía copias de los correos enviados por otros usuarios a la misma dirección.
OVH reconoció que el incidente se debió a un error técnico que permitió al reclamante suscribirse a una lista de difusión interna. La empresa tomó medidas correctivas, como eliminar la dirección del reclamante de la lista de distribución, subsanar el error informático y comunicar la brecha de seguridad. Sin embargo, se consideró que la empresa había incumplido la obligación de garantizar la confidencialidad e integridad de los datos personales, vulnerando el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD).
La sanción propuesta inicialmente fue de 120.000 euros, pero se redujo a 72.000 euros debido al pago voluntario y el reconocimiento de responsabilidad por parte de OVH. La empresa pagó la sanción, lo que implicó la terminación del procedimiento sancionador. La resolución confirmó la comisión de la infracción y la sanción impuesta, declarando la terminación del procedimiento.