En 1999 la Agencia Española de Protección de Datos realizó un informe sobre si han de ser consideradas como cesión de datos la venta o cesión de un fichero que contenga direcciones de correo electrónico. En este caso, planteó dos posibilidades contrapuestas: aquellos correos que pueden identificar o permitir la identificación de una persona física o aquellos que no.
¿Qué es el correo electrónico?
Para
comprender bien este concepto hay que tener en cuenta varias cosas. El correo
electrónico es un servicio de mensajería en el que se intercambian todo tipo de
datos (texto, archivos de audio, vídeo o imagen...) a través de sistemas de
comunicación electrónicos como internet. Al igual que ocurre con el correo
postal convencional, el correo electrónico necesita una serie de datos de
remitente, destinatario y las direcciones desde donde se envían y se guardan
los mensajes (buzón).
Así, para
enviar un mensaje es necesario la dirección de correo electrónico. Esta
dirección consta de tres partes importantes:
1. Dominio de primer nivel: donde
figuran las siglas del país (a excepción de los .com, .org, .net, etc): .es,
.eu, .arg, .us, .mx
2. Dominio de segundo nivel: hace
referencia a la empresa que presta los servicios de mensajería o al nombre de dominio
propio (organismo, empresa, etc.).
3. Nombre de usuario: separado por el
símbolo de la arroba (“@”) le sigue el nombre de usuario que debe ser único en
cada empresa.
Alternativas posibles
La primera
posibilidad de que pueda considerarse dato de carácter personal es por la
información concreta que ofrece la dirección. Por ejemplo: nacho.urion@fabrica.es
En este
caso, el dominio de primer nivel es “.es”, lo que nos lleva a que es una
persona que puede vivir o es de España; el dominio de segundo nivel “fabrica”,
nos indica que pertenece a la empresa del mismo nombre; y “nacho.urion” es su
nombre y apellido que lo identifica como trabajador de esa empresa. Quizás
existan dos Nacho Urion en la empresa (padre e hijo), pero en conjunto es un
dato que hace identificable a una persona.
Una segunda
posibilidad es que no contengan datos que identifiquen directamente al titular
y, por tanto, no puede considerarse como dato personal. Tal es el caso de adt33@proveedor.com
El dominio
de primer nivel es genérico que significa comercial, el de segundo nivel nos
informa que ha contratado los servicios de un proveedor de mensajería y el
nombre de usuario es abstracto. No obstante, la Agencia Española de
Protección de Datos dice claramente que “incluso en este supuesto,
la dirección de correo electrónico aparecerá necesariamente referenciada a un
dominio concreto, de tal forma que podrá procederse a la identificación del titular
mediante la consulta del servidor en que se gestione dicho dominio, sin que
ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por
parte de quien procede a la identificación. Por todo ello se considera que
también en este caso, y en aras a asegurar, en los términos establecidos por la
Jurisprudencia de nuestro Tribunal Constitucional, la máxima garantía de los
Derechos Fundamentales de las personas, entre los que se encuentra el derecho a
la "privacidad", consagrado por el artículo 18.4 de la Constitución,
será necesario que la dirección de correo electrónico, en las circunstancias
expuestas, se encuentre amparada por el régimen establecido en la LOPD”.
Por tanto, si la dirección de correo electrónico identifica o hace indentificable
a una persona o no muestra información suficiente, siempre se considerará como
dato de carácter personal amparado por la Ley de Protección de Datos y el
artículo 18.4 de la Constitución Española.