Reglamento General de Protección de Datos (GDPR)
En el 25th de mayo, entrará en vigencia el Reglamento General de Protección de Datos (GDPR). Con la instalación del GDPR, la protección de datos personales se vuelve cada vez más importante. Las empresas deben tener en cuenta normas más estrictas con respecto a la protección de datos. Sin embargo, surgen varias preguntas como resultado de la instalación del GDPR. Para las empresas, puede que no esté claro qué datos se consideran datos personales y quedan por debajo del alcance del RGPD. Este es el caso de las direcciones de correo electrónico: ¿se considera una dirección de correo electrónico como datos personales? ¿Las empresas que usan direcciones de correo electrónico están sujetas al RGPD? Estas preguntas serán respondidas en este artículo.
Los datos personales
Para responder a la pregunta de si una dirección de correo electrónico se considera datos personales o no, se debe definir el término datos personales. Este término se explica en el GDPR. Según el artículo 4 sub a RGPD, datos personales significa cualquier información relacionada con una persona física identificada o identificable. Una persona física identificable es una persona que puede identificarse, directa o indirectamente, en particular en referencia a un identificador como un nombre, un número de identificación, datos de ubicación o un identificador en línea. Los datos personales se refieren a personas físicas. Por lo tanto, la información relativa a personas fallecidas o personas jurídicas no se considera información personal.
Correo electrónico
Ahora que se ha determinado la definición de datos personales, es necesario evaluar si una dirección de correo electrónico se considera un dato personal. Caso holandés ley indica que las direcciones de correo electrónico podrían ser datos personales, pero que no siempre es así. Depende de si una persona física está identificada o es identificable a partir de la dirección de correo electrónico.[1] Para determinar si la dirección de correo electrónico puede considerarse un dato personal o no, hay que tener en cuenta la forma en que las personas han estructurado sus direcciones de correo electrónico.
Muchas personas físicas estructuran su dirección de correo electrónico de tal manera que esta debe considerarse un dato personal. Este es el caso, por ejemplo, de una dirección de correo electrónico estructurada de la siguiente manera: sales@costex.comEsta dirección de correo electrónico expone el nombre y apellido de la persona física que utiliza la dirección.
Por lo tanto, esta persona puede ser identificada a partir de esta dirección de correo electrónico. Las direcciones de correo electrónico utilizadas para actividades comerciales también podrían contener datos personales. Este es el caso cuando una dirección de correo electrónico se estructura de la siguiente manera: sales@costex.comDe esta dirección de correo electrónico se pueden obtener las iniciales, el apellido y el lugar de trabajo de la persona que la utiliza. Por lo tanto, se puede identificar a la persona que la utiliza a partir de su dirección.
Una dirección de correo electrónico no se considera dato personal cuando no se puede identificar a ninguna persona física a partir de ella. Este es el caso, por ejemplo, de la siguiente dirección de correo electrónico: sales@costex.comEsta dirección de correo electrónico no contiene ningún dato que permita identificar a una persona física. Direcciones de correo electrónico generales utilizadas por empresas, como sales@costex.com, tampoco se consideran datos personales.
Esta dirección de correo electrónico no contiene ningún dato personal que permita identificar a una persona física. Además, la dirección de correo electrónico no la utiliza una persona física, sino una entidad jurídica. Por lo tanto, no se considera un dato personal. De la jurisprudencia holandesa se desprende que las direcciones de correo electrónico pueden ser datos personales, pero no siempre es así; depende de la estructura de la dirección de correo electrónico.
Existe una gran posibilidad de que las personas físicas puedan ser identificadas por la dirección de correo electrónico que utilizan, lo que hace que las direcciones de correo electrónico sean datos personales. Para clasificar las direcciones de correo electrónico como datos personales, no importa si la empresa realmente utiliza las direcciones de correo electrónico para identificar a los usuarios. Incluso si una empresa no utiliza las direcciones de correo electrónico con el fin de identificar a las personas físicas, las direcciones de correo electrónico a partir de las cuales se puede identificar a las personas físicas se consideran igualmente datos personales.
No basta con que exista una relación técnica o casual entre una persona y los datos para que se considere que estos son datos personales. Sin embargo, si existe la posibilidad de que las direcciones de correo electrónico puedan utilizarse para identificar a los usuarios, por ejemplo para detectar casos de fraude, las direcciones de correo electrónico se consideran datos personales. En este sentido, no importa si la empresa pretendía o no utilizar las direcciones de correo electrónico para este fin. La ley habla de datos personales cuando existe la posibilidad de que los datos puedan utilizarse para un fin que identifique a una persona física.[2]
Datos personales especiales
Si bien las direcciones de correo electrónico se consideran datos personales la mayor parte del tiempo, no son datos personales especiales. Los datos personales especiales son datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación profesional, y datos genéticos o biométricos. Esto se deriva del artículo 9 del RGPD. Además, una dirección de correo electrónico contiene menos información pública que, por ejemplo, una inicio dirección.
Es más difícil obtener información sobre la dirección de correo electrónico de una persona que sobre su dirección de domicilio y depende en gran medida del usuario de la dirección de correo electrónico si esta se hace pública o no. Además, el descubrimiento de una dirección de correo electrónico que debería haber permanecido oculta tiene consecuencias menos graves que el descubrimiento de una dirección de domicilio que debería haber permanecido oculta. Es más fácil cambiar una dirección de correo electrónico que una dirección de domicilio y el descubrimiento de una dirección de correo electrónico podría dar lugar a un contacto digital, mientras que el descubrimiento de una dirección de domicilio podría dar lugar a un contacto personal.[3]
Tratamiento de datos de carácter personal
Hemos establecido que las direcciones de correo electrónico se consideran datos personales la mayor parte del tiempo. Sin embargo, el RGPD solo se aplica a las empresas que procesan datos personales. El procesamiento de datos personales existe de cada acción con respecto a los datos personales. Esto se define adicionalmente en el GDPR. De acuerdo con el artículo 4 sub 2 GDPR, el procesamiento de datos personales significa cualquier operación que se realiza con datos personales, ya sea por medios automáticos o no. Ejemplos son la recopilación, grabación, organización, estructuración, almacenamiento y uso de datos personales. Cuando las empresas realizan las actividades mencionadas con respecto a las direcciones de correo electrónico, están procesando datos personales. En ese caso, están sujetos al GDPR.
Conclusión
No todas las direcciones de correo electrónico se consideran datos personales. Sin embargo, las direcciones de correo electrónico se consideran datos personales cuando proporcionan información identificable sobre una persona física. Muchas direcciones de correo electrónico están estructuradas de tal manera que se puede identificar a la persona física que utiliza la dirección de correo electrónico. Este es el caso cuando la dirección de correo electrónico contiene el nombre o el lugar de trabajo de una persona física. Por lo tanto, muchas direcciones de correo electrónico se considerarán datos personales.
Es difícil para las empresas distinguir entre direcciones de correo electrónico que se consideran datos personales y direcciones de correo electrónico que no lo son, ya que esto depende completamente de la estructura de la dirección de correo electrónico. Por lo tanto, es seguro decir que las empresas que procesan datos personales se encontrarán con direcciones de correo electrónico que se consideran datos personales. Esto significa que estas empresas están sujetas al RGPD y deben implementar una política de privacidad que sea obediente con el RGPD.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[ 2 ] Kamerutukken II 1979/80, 25 892, 3 (MVT).
[3] ECLI: NL: GHAMS: 2002: AE5514.
