Si el correo electrónico es un dato personal, es una duda más recurrente de lo que cabría suponer, a la vista de las resoluciones que la AEPD ha hecho en torno a este tema. En este artículo vamos a ver si, de acuerdo al RGPD, el correo electrónico es un dato de carácter personal.
¿Es el correo electrónico un dato personal según el RGPD?
Siempre que nos preguntamos si un dato es un dato de carácter personal, debemos acudir a la definición que dato personal nos hace el RGPD en su artículo 4.1, son datos personales:
Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física […]
Si bien el correo electrónico no se menciona específicamente en esta definición, sí que puede considerarse como un identificador único, puesto que una dirección de correo electrónico remite a un solo usuario (con la excepción de direcciones genéricas corporativas, de lo que hablaremos más adelante).
Pero además, la AEPD ya se ha pronunciado en diferentes ocasiones al respecto; tanto en resoluciones de denuncias por vulneración de protección de datos como en informes jurídicos. Para la AEPD el correo electrónico es un dato personal, puesto que hace que una persona sea identificable.
Como hemos dicho, la dirección de correo electrónico es única para cada usuario (seguro que si habéis intentado usar para vuestro correo un nombre de uso común, habéis tenido que acompañarlo de algo más, como un número, eso es porque dos personas no pueden tener el mismo email), lo que puede permitir su identificación poniendo este dato en relación con otros, como el dominio al que referencia la dirección.
A veces, incluso no es necesario recurrir a otros datos, porque hay quien usa datos personales para crear su dirección de correo (habitual cuando queremos usar direcciones de correo para temas profesionales), por ejemplo, los hay que incluyen el nombre y el apellido. En esos casos, sin ninguna duda, el correo es un dato de carácter personal.
Por lo tanto, si se quiere llevar a cabo un tratamiento del correo electrónico (por ejemplo, enviar comunicaciones comerciales, newsletters, mantener una vía de comunicación o notificación, etc.), es necesario que dicho tratamiento esté legitimado por alguna de las bases jurídicas del artículo 6 del RGPD.
Así mismo, las comunicaciones que se envíen a estos correos electrónicos, deberán llevar el correspondiente texto LOPD para el correo electrónico, pudiendo incluirlo como parte del aviso legal en el correo electrónico, si así lo quiere el responsable del tratamiento.
También se debe informar al titular del correo de la finalidad del tratamiento, la identidad del responsable, el plazo de conservación de los datos, los derechos que puede ejercer al respecto, así como su derecho de revocación y de reclamar ante la AEPD. Y deberá aplicar las medidas de seguridad necesarias para garantizar la protección de dicho dato.
Además, también deberá respetar las obligaciones derivadas de la LSSI-CE para comunicaciones comerciales, no pudiendo enviarlas a un correo electrónico si no se tiene consentimiento expreso del titular de la dirección.
Asegurar la seguridad en el correo electrónico es una responsabilidad que concierne tanto a los propios usuarios como a las empresas y organizaciones que usan esta dirección para comunicarse con sus clientes, usuarios o ciudadanos y pasa también por cumplir con la normativa de protección de datos.
¿Y el correo corporativo?
De acuerdo a la AEPD, el correo corporativo es un dato personal cuando este hace referencia a un usuario concreto (incluso si es una denominación que no use nombre y apellidos) y no cuando se trata de una dirección genérica, a la que puedan acceder diferentes empleados.
Por ejemplo, serían datos personales estas direcciones:
- mario.martin@empresa.com
- att-info01@empra.com
- puesto15-ventas@empresa.com
Y no sería dato personal este tipo de direcciones corporativas:
- atencionclientes@empresa.com
- incidencias@empresa.com
- info@empresa.com
Y si el correo corporativo es un dato personal, ¿significa eso que la empresa no puede tener acceso al correo electrónico de un trabajador despedido? Dependerá de las políticas que tenga la empresa respecto al uso del correo corporativo y el acceso al mismo al finalizar la relación laboral (pinchando en enlace tenéis más información sobre este tema).
En conclusión, de acuerdo a la definición de dato personal del RGPD y las diferentes pronunciaciones de la AEPD, el correo electrónico es un dato personal.