Reglamento General de Protección de Datos
En el 25th de mayo, entrará en vigencia el Reglamento General de Protección de Datos (GDPR). Con la instalación del GDPR, la protección de datos personales se vuelve cada vez más importante. Las empresas deben tener en cuenta normas más estrictas con respecto a la protección de datos. Sin embargo, surgen varias preguntas como resultado de la instalación del GDPR. Para las empresas, puede que no esté claro qué datos se consideran datos personales y quedan por debajo del alcance del RGPD. Este es el caso de las direcciones de correo electrónico: ¿se considera una dirección de correo electrónico como datos personales? ¿Las empresas que usan direcciones de correo electrónico están sujetas al RGPD? Estas preguntas serán respondidas en este artículo.
Los datos personales
Para responder a la pregunta de si una dirección de correo electrónico se considera datos personales o no, se debe definir el término datos personales. Este término se explica en el GDPR. Según el artículo 4 sub a RGPD, datos personales significa cualquier información relacionada con una persona física identificada o identificable. Una persona física identificable es una persona que puede identificarse, directa o indirectamente, en particular en referencia a un identificador como un nombre, un número de identificación, datos de ubicación o un identificador en línea. Los datos personales se refieren a personas físicas. Por lo tanto, la información relativa a personas fallecidas o personas jurídicas no se considera información personal.
Dirección de correo electrónico
Ahora que se determina la definición de datos personales, es necesario evaluar si una dirección de correo electrónico se considera datos personales. La jurisprudencia holandesa indica que las direcciones de correo electrónico podrían ser datos personales, pero que no siempre es así. Depende de si una persona física es identificada o identificable en función de la dirección de correo electrónico. [1] La forma en que las personas han estructurado sus direcciones de correo electrónico debe tenerse en cuenta para determinar si la dirección de correo electrónico puede verse como datos personales o no. Muchas personas físicas estructuran su dirección de correo electrónico de tal manera que la dirección debe considerarse un dato personal. Este es, por ejemplo, el caso cuando una dirección de correo electrónico está estructurada de la siguiente manera: nombre.nombre@gmail.com. Esta dirección de correo electrónico expone el nombre y apellido de la persona física que utiliza la dirección. Por lo tanto, esta persona se puede identificar en función de esta dirección de correo electrónico. Las direcciones de correo electrónico que se utilizan para actividades comerciales también pueden contener datos personales. Este es el caso cuando una dirección de correo electrónico está estructurada de la siguiente manera: initials.lastname@nameofcompany.com. De esta dirección de correo electrónico se pueden derivar las iniciales de la persona que utiliza la dirección de correo electrónico, cuál es su apellido y dónde trabaja esta persona. Por lo tanto, la persona que usa esta dirección de correo electrónico es identificable según la dirección de correo electrónico.
Una dirección de correo electrónico no se considera datos personales cuando no se puede identificar a ninguna persona física a partir de ella. Este es el caso cuando, por ejemplo, se utiliza la siguiente dirección de correo electrónico: puppy12@hotmail.com. Esta dirección de correo electrónico no contiene ningún dato que permita identificar a una persona física. Las direcciones de correo electrónico generales que utilizan las empresas, como info@nombredeempresa.com, tampoco se consideran datos personales. Esta dirección de correo electrónico no contiene ninguna información personal que permita identificar a una persona física. Además, la dirección de correo electrónico no es utilizada por una persona física, sino por una entidad legal. Por tanto, no se consideran datos personales. De la jurisprudencia holandesa se puede concluir que las direcciones de correo electrónico pueden ser datos personales, pero no siempre es así; depende de la estructura de la dirección de correo electrónico.
Existe una gran posibilidad de que las personas físicas puedan ser identificadas por la dirección de correo electrónico que utilizan, lo que hace que las direcciones de correo electrónico sean datos personales. Para clasificar las direcciones de correo electrónico como datos personales, no importa si la compañía realmente usa las direcciones de correo electrónico para identificar a los usuarios. Incluso si una empresa no utiliza las direcciones de correo electrónico con el fin de identificar a las personas físicas, las direcciones de correo electrónico a partir de las cuales pueden identificarse las personas físicas todavía se consideran datos personales. No todas las conexiones técnicas o casuales entre una persona y los datos son suficientes para designar los datos como datos personales. Sin embargo, si existe la posibilidad de que las direcciones de correo electrónico puedan usarse para identificar a los usuarios, por ejemplo para detectar casos de fraude, las direcciones de correo electrónico se consideran datos personales. En este caso, no importa si la empresa tenía la intención de utilizar las direcciones de correo electrónico para este fin. La ley habla de datos personales cuando existe la posibilidad de que los datos puedan usarse para un propósito que identifique a una persona física. [2]
Datos personales especiales
Si bien las direcciones de correo electrónico se consideran datos personales la mayor parte del tiempo, no son datos personales especiales. Los datos personales especiales son datos personales que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o membresía comercial, y datos genéticos o biométricos. Esto se deriva del artículo 9 del RGPD. Además, una dirección de correo electrónico contiene menos información pública que, por ejemplo, una dirección particular. Es más difícil obtener conocimiento de la dirección de correo electrónico de alguien que su dirección particular y depende en gran parte del usuario de la dirección de correo electrónico si la dirección de correo electrónico se hace pública o no. Además, el descubrimiento de una dirección de correo electrónico que debería haber permanecido oculto, tiene consecuencias menos graves que el descubrimiento de una dirección particular que debería haber permanecido oculta. Es más fácil cambiar una dirección de correo electrónico que una dirección particular y el descubrimiento de una dirección de correo electrónico podría conducir a un contacto digital, mientras que el descubrimiento de una dirección particular podría conducir a un contacto personal. [3]
Tratamiento de datos de carácter personal
Hemos establecido que las direcciones de correo electrónico se consideran datos personales la mayor parte del tiempo. Sin embargo, el RGPD solo se aplica a las empresas que procesan datos personales. El procesamiento de datos personales existe de cada acción con respecto a los datos personales. Esto se define adicionalmente en el GDPR. De acuerdo con el artículo 4 sub 2 GDPR, el procesamiento de datos personales significa cualquier operación que se realiza con datos personales, ya sea por medios automáticos o no. Ejemplos son la recopilación, grabación, organización, estructuración, almacenamiento y uso de datos personales. Cuando las empresas realizan las actividades mencionadas con respecto a las direcciones de correo electrónico, están procesando datos personales. En ese caso, están sujetos al GDPR.
Conclusión
No todas las direcciones de correo electrónico se consideran datos personales. Sin embargo, las direcciones de correo electrónico se consideran datos personales cuando proporcionan información identificable sobre una persona física. Muchas direcciones de correo electrónico están estructuradas de manera que se pueda identificar a la persona física que usa la dirección de correo electrónico. Este es el caso cuando la dirección de correo electrónico contiene el nombre o lugar de trabajo de una persona física. Por lo tanto, muchas direcciones de correo electrónico se considerarán datos personales. Es difícil para las compañías hacer una distinción entre las direcciones de correo electrónico que se consideran datos personales y las direcciones de correo electrónico que no lo son, ya que esto depende completamente de la estructura de la dirección de correo electrónico. Por lo tanto, es seguro decir que las empresas que procesan datos personales se encontrarán con direcciones de correo electrónico que se consideran datos personales. Esto significa que estas empresas están sujetas al RGPD y deben implementar una política de privacidad que cumpla con el RGPD.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[ 2 ] Kamerutukken II 1979/80, 25 892, 3 (MVT).
[3] ECLI: NL: GHAMS: 2002: AE5514.