Hace algunos días, en una conversación entre amigos, en una terraza, mientras estábamos mitigando los calores veraniegos, me preguntaron si una dirección de correo electrónico es un dato personal. Mi respuesta fue automática: Por supuesto que sí. No obstante, y seguramente para no aburrir a mi amigo sobre los órganos de control, las competencias y demás, tendría que haberle dado otra respuesta: Depende a la Agencia de Protección de Datos a la que le preguntes.
Porque, por ejemplo, tenemos el criterio ya consolidado desde 1.999 de la Agencia Española de Protección de Datos, que considera que, en cualquier caso, una dirección de correo electrónico es un dato de carácter personal. Resoluciones e Informes jurídicos en este sentido hay varios, pero podemos poner de ejemplo el Informe 0437/2010, en el que se señala:
la dirección de correo electrónico se encuentre amparada por el régimen establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal
Es más, este criterio es mantenido aún cuando la dirección de correo electrónico no muestre datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno).
No obstante, existe un reciente segundo criterio de la Agencia Vasca de Protección de Datos, que difiere del anterior (y que en mi opinión es más acertado). Este criterio lo podemos ver en su Dictamen CN11-037 (que, por cierto, también recoge unos criterios muy interesantes sobre los conceptos «incidental» y «accesorio»). En él se señala lo siguiente:
la dirección de correo electrónico, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica cuando contenga información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, por lo que, cuando no concurran dichas circunstancias su utilización, cesión o nivel de seguridad no estarán sometidos a la normativa de protección de datos.
Si hubiera explicado estos dos criterios a mi amigo, me hubiera «mandado a paseo», así que para evitarlo le debería haber contestado: Si el que trata el dato del correo electrónico es una entidad privada, sí sería un dato de carácter personal; pero si el que trata el dato es una entidad pública de Euskadi, en el ejercicio de sus competencias, no sería un dato de carácter personal, salvo que en la propia dirección de correo electrónico se contuviera información acerca de su titular, entonces sí que se debiera considerar dato de carácter personal». En realidad, mi amigo, con esta respuesta, también me hubiera «mandado a paseo»…
A este respecto recomiendo la lectura del post «El registro en foros no recoge datos personales, ni siquiera el correo electrónico» de David González Calleja
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Una de las muchas incongruencias con las que nos encontramos en este mundo. Pero se puede ir más allá: no sólo depende de a qué agencia preguntes, sino que la misma agencia te da respuestas distintas. Mira la resolución que comenté en mi blog (http://www.ntabogados.blogspot.com.es/2011/01/el-registro-en-foros-no-recoge-datos.html), en la que la AEPD decía que el correo electrónico no es un dato de carácter personal…
Un saludo.
Gracias David por comentar…Si me permites haré una mención de esta entrada tuya en el post…
Desconocía esa resolución de la AEPD…es más sangrante, porque puedo entender diferentes criterios de diferentes Órganos, pero ¿diferente criterio de un mismo Órgano?
Saludos.
Bueno, diferentes criterios sobre lo mismo por parte de la AEPD, no es nada raro… 😉
Un saludo.
Efectivamente, tal y como dice David, diferentes criterios por parte de la misma AEPD no es nada raro… A parte de en otros muchos temas, con relación a la consideración o no como dato de carácter personal de diferentes tipos de datos ya se ha dado también en otras ocasiones, por ejemplo, en el caso del Nº de matrícula de un vehículo.
Gracias Mikel por tu aportación.
Un saludo.
Buen post, sí señor.
Yo creo que la AEPD ya ha girado (o lo va haciendo lentamente) hacia el sentido que dice David. En una resolución de un PS de 2010 (o casi 2011, creo recordar) de envío de un correo mostrando las direcciones de los destinatarios, daba más importancia a aquellos cuya dirección les hacía identificables (más o menos) además del contenido concreto de ese correo que ofrecía datos concretos de determinads cuestiones contractuales.
Total, que en mi opinión, seguir manteniendo que todas las direcciones de correo son dato personal es un verdadero disparate…pero claro, todos lo padeceremos en uno u otro momento…
Muchas gracias!
Bueno, puede que hay un cambio de criterio y recordemos que la protección del correo electrónico ya la da la LSSI. No creo que, además, haya que forzar la aplicación de la LOPD.
Saludos.
Buenas,
Las afirmaciones absolutas del tipo \”la matrícula de un coche siempre es un dato personal\” me parecen una barbaridad, aunque las mantenga la Agencia. Se equivocan, y muchas veces.
No hay que complicarse. Siempre hay que analizar el caso concreto con sus circunstancias, porque lo que en una misma situación, para un individuo puede ser un dato personal, para otro no. Caso de las IPs, por ejemplo: no cabe duda de que para la operadora que las asigna, pueden serlo en principio, si el abonado es una persona física. Pero para mí, por ejemplo, que me proporcionen esos mismos cuatro numeritos, no significa nada, porque no tengo elementos que me permitan asociar esa IP a una persona.
Antológico es el caso MyAlert. La Agencia afirma que un número de móvil es un dato personal, y luego la AN le enmienda la plana. Y así ha habido varias.
Nos hace falta volver a la Ley y a su interpretación en casos concretos, y dejarnos de afirmaciones categóricas 🙂
Un saludo,
Muchas Gracias Félix por el comentario!
A veces se olvida que la Ley hay que interpretarla en su contexto.
Un saludo,