A vueltas con el correo electrónico


Hace algunos días, en una conversación entre amigos, en una terraza, mientras estábamos mitigando los calores veraniegos, me preguntaron si una dirección de correo electrónico es un dato personal. Mi respuesta fue automática: Por supuesto que sí. No obstante, y seguramente para no aburrir a mi amigo sobre los órganos de control, las competencias y demás, tendría que haberle dado otra respuesta: Depende a la Agencia de Protección de Datos a la que le preguntes.

Porque, por ejemplo, tenemos el criterio ya consolidado desde 1.999 de la Agencia Española de Protección de Datos, que considera que, en cualquier caso, una dirección de correo electrónico es un dato de carácter personal. Resoluciones e Informes jurídicos en este sentido hay varios, pero podemos poner de ejemplo el  Informe 0437/2010, en el que se señala:

la dirección de correo electrónico se encuentre amparada por el régimen establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal

Es más, este criterio es mantenido aún cuando la dirección de correo electrónico no muestre datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno).

No obstante, existe un reciente segundo criterio de la Agencia Vasca de Protección de Datos, que difiere del anterior (y que en mi opinión es más acertado). Este criterio lo podemos ver en su Dictamen CN11-037 (que, por cierto, también recoge unos criterios muy interesantes sobre los conceptos “incidental”  y “accesorio”). En él se señala lo siguiente:

la dirección de correo electrónico, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica cuando contenga información acerca de su titular, o en la medida en  que permita proceder a la identificación del mismo, por lo que, cuando no concurran  dichas circunstancias su utilización, cesión o nivel de seguridad no estarán  sometidos a la normativa de protección de datos.

Si hubiera explicado estos dos criterios a mi amigo, me hubiera “mandado a paseo”, así que para evitarlo le debería haber contestado: Si el que trata el dato del correo electrónico es una entidad privada, sí sería un dato de carácter personal; pero si el que trata el dato es una entidad pública de Euskadi, en el ejercicio de sus competencias, no sería un dato de carácter personal, salvo que en la propia dirección de correo electrónico se contuviera información acerca de su titular, entonces sí que se debiera considerar dato de carácter personal”. En realidad, mi amigo, con esta respuesta, también me hubiera “mandado a paseo”…

A este respecto recomiendo la lectura del post “El registro en foros no recoge datos personales, ni siquiera el correo electrónico” de David González Calleja

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Anuncios

9 Responses to “A vueltas con el correo electrónico”


  1. 1 DavidGonzálezCalleja (@NTAbogados) 23/07/2012 en 09:52

    Una de las muchas incongruencias con las que nos encontramos en este mundo. Pero se puede ir más allá: no sólo depende de a qué agencia preguntes, sino que la misma agencia te da respuestas distintas. Mira la resolución que comenté en mi blog (http://www.ntabogados.blogspot.com.es/2011/01/el-registro-en-foros-no-recoge-datos.html), en la que la AEPD decía que el correo electrónico no es un dato de carácter personal…

    Un saludo.

    • 2 Gontzal 23/07/2012 en 09:59

      Gracias David por comentar…Si me permites haré una mención de esta entrada tuya en el post…

      Desconocía esa resolución de la AEPD…es más sangrante, porque puedo entender diferentes criterios de diferentes Órganos, pero ¿diferente criterio de un mismo Órgano?

      Saludos.

  2. 4 Mikel García Larragan 23/07/2012 en 10:43

    Efectivamente, tal y como dice David, diferentes criterios por parte de la misma AEPD no es nada raro… A parte de en otros muchos temas, con relación a la consideración o no como dato de carácter personal de diferentes tipos de datos ya se ha dado también en otras ocasiones, por ejemplo, en el caso del Nº de matrícula de un vehículo.

  3. 6 SMNacho 23/07/2012 en 18:33

    Buen post, sí señor.

    Yo creo que la AEPD ya ha girado (o lo va haciendo lentamente) hacia el sentido que dice David. En una resolución de un PS de 2010 (o casi 2011, creo recordar) de envío de un correo mostrando las direcciones de los destinatarios, daba más importancia a aquellos cuya dirección les hacía identificables (más o menos) además del contenido concreto de ese correo que ofrecía datos concretos de determinads cuestiones contractuales.
    Total, que en mi opinión, seguir manteniendo que todas las direcciones de correo son dato personal es un verdadero disparate…pero claro, todos lo padeceremos en uno u otro momento…

    • 7 Gontzal 23/07/2012 en 18:58

      Muchas gracias!

      Bueno, puede que hay un cambio de criterio y recordemos que la protección del correo electrónico ya la da la LSSI. No creo que, además, haya que forzar la aplicación de la LOPD.

      Saludos.

  4. 8 Félix Haro 25/07/2012 en 20:56

    Buenas,

    Las afirmaciones absolutas del tipo \”la matrícula de un coche siempre es un dato personal\” me parecen una barbaridad, aunque las mantenga la Agencia. Se equivocan, y muchas veces.

    No hay que complicarse. Siempre hay que analizar el caso concreto con sus circunstancias, porque lo que en una misma situación, para un individuo puede ser un dato personal, para otro no. Caso de las IPs, por ejemplo: no cabe duda de que para la operadora que las asigna, pueden serlo en principio, si el abonado es una persona física. Pero para mí, por ejemplo, que me proporcionen esos mismos cuatro numeritos, no significa nada, porque no tengo elementos que me permitan asociar esa IP a una persona.

    Antológico es el caso MyAlert. La Agencia afirma que un número de móvil es un dato personal, y luego la AN le enmienda la plana. Y así ha habido varias.

    Nos hace falta volver a la Ley y a su interpretación en casos concretos, y dejarnos de afirmaciones categóricas 🙂

    Un saludo,


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

  • Mi compañero Jesús escribiendo sobre "Competencia respecto al Esquema de Certificación AEPD-DPD" ow.ly/Bkx230fDae5 2 weeks ago
  • Ojeando Esquema Certificación de DPO de la AEPD, me pregunto: ¿En base a que competencia la AEPD crea ese Esquema? Yo no veo ninguna.... 2 weeks ago

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Competencia respecto al Esquema de Certificación AEPD-DPD

Ciertamente siempre he tenido en gran consideración y estima la doctrina emanada desde la AEPD, en la que la suma de sus resoluciones, informes y guías han confeccionado un entramado científico, en cuanto al orden, que nos ha ofrecido soluciones a los problemas que la normativa no era capaz de exponer con el detalle y […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: