El auge de la protección de datos de carácter personal, sus vinculaciones y riesgos con las nuevas tecnologías

El auge de la protección de datos de carácter personal, sus vinculaciones y riesgos con las nuevas tecnologías

En palabras de la propia Agencia Española de Protección de Datos, “El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.”

 

Como todo derecho fundamental viene constitucionalmente recogido, encontrando su encuadre en lo dispuesto en el artículo 10, en consonancia con lo previsto en el artículo 18.4 ambos de nuestra Carta Magna. Pero es más, desarrollado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en lo sucesivo LOPD, y por su Reglamento de Desarrollo, dicha disposición transpone al ordenamiento jurídico español la Directiva 95/46/CE, sobre Protección de datos. El derecho a la protección de datos es un derecho en permanente avance que se ha visto reconocido y cada vez más protegido, a nivel europeo. La Agencia Española de Protección de Datos se configura como el ente público independiente encargado de garantizar el respeto a la normativa instaurada sobre la protección de los datos de carácter personal, gozando, en consecuencia, de potestad sancionadora autónoma.

 

Considerando que vivimos en un mundo eminentemente tecnológico, donde prácticamente todo se ejecuta a través de Internet, nuestros datos de carácter personal se encuentran altamente expuestos, y su cesión es tan simple como peligrosa, un simple “click” es suficiente para revelar datos cuya titularidad y en consecuencia uso pertenece en exclusiva al ámbito o esfera de intimidad de cada individuo.

 

Las empresas han tenido que adaptarse de manera frenética al entorno, motivo por el que las redes sociales, plataformas web, y el correo electrónico se convierten en la principal herramienta de marketing de la que disponen para hacer llegar su producto o servicio al usuario o consumidor final. En un contexto como el actual el correo electrónico se convierte en un mecanismo esencial para llegar al usuario final. Y es aquí donde se plantea la duda, ¿es el correo electrónico un dato de carácter personal y como tal goza de la protección que brinda la LOPD?

 

La Agencia Española de Protección de Datos se ha pronunciado en tal sentido, emitiendo el informe jurídico 0437/2010 que resuelve de manera clara la polémica. Así, en palabras de la propia Agencia, la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.

 

Clasifica además dos supuestos esenciales de dirección de correo electrónico, dependiendo del grado de vinculación o identificación que la misma mantiene con los datos del titular de dicha cuenta de correo. Así señala la Agencia, existen aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). Y dispone dicho organismo que en este supuesto no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal.

 

Por su parte, distingue la Agencia un segundo supuesto, que sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación. Por todo ello se considera que también en este caso, (…), será necesario que la dirección de correo electrónico se encuentre amparada por el régimen establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

 

No cabe duda, pues, de la dirección de correo electrónico, sea cual sea la fórmula empleada para la construcción o configuración de la misma, tiene la consideración de dato de carácter personal y, por ende, goza de toda la protección brindada por la LOPD.

 

Analicemos un supuesto práctico. Una empresa decide hacer una campaña de emailing para promocionar un nuevo servicio entre sus clientes, cuyos datos de carácter personal, entre los cuales se encuentra la dirección de correo electrónico, se encuentran debidamente inscritos en los ficheros de la empresa, tras haber prestado estos de manera libre e inequívoca su consentimiento para que sus datos se encuentren recogidos en dicho fichero. Además, todos ellos son conocedores de los datos del titular del fichero, así como han sido debidamente informados de la posibilidad y forma de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. Es decir, se está cumpliendo, de este modo, de manera fiel con lo dispuesto en la LOPD.

 

Ahora bien, por un error humano, absolutamente involuntario y comprensible, se envía la comunicación promocional del nuevo servicio a todos los clientes, sin añadir las direcciones de correo electrónico de estos en el campo de Copia de Carbón oculta o CCO. Todos los destinatarios del mensaje pueden ver las direcciones de correo electrónico del resto de clientes de la empresa, si bien solo pueden ver eso, puesto que la empresa en cada campaña de emailing emplea exclusivamente las direcciones de correo electrónico, sin que se acompañen de datos identificativos de los titulares.

 

Así, en esta circunstancia y considerando que la dirección de correo electrónico, tal y como expone la Agencia, tiene la consideración de dato de carácter personal, se acaba de vulnerar el deber de secreto contenido en el artículo 10 de la LOPD. El tenor literal de dicho precepto señala:

 

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

 

De este modo, un error humano, encuadrable dentro del más estricto riesgo operacional, constituye una contravención del deber de secreto y, como tal, y atendiendo a lo dispuesto en el artículo 44.3.d) de la LOPD, una infracción grave, que, conforme a lo previsto en el artículo 45.2 de la LOPD, lleva aparejada una sanción comprendida entre la elevadísima suma de los 40.001 euros y los 300.000 euros. Será la Agencia quien determine el importe exacto de la sanción atendiendo a diferentes criterios normativamente regulados en el mismo artículo 45 de la LOPD. Ahora bien, un error absolutamente involuntario y sin intencionalidad alguna, que se limita a la revelación de la dirección de correo electrónico, sin ningún otro dato de carácter personal adicional que identifique de manera inmediata a los titulares de dichas direcciones electrónicas, puede tener unas consecuencias fatales. Si bien el legislador parece haber sido consciente de la dureza de las sanciones aparejadas para las infracciones consideradas graves, ya que en el artículo 45.5 de la LOPD prevé la imposición de la sanción en la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trata en determinados supuestos. Entre ellos, se encuentra el reconocimiento espontáneo de la culpabilidad, mitigándose de ese modo las consecuencias fatales de un error absolutamente humano, en atención, entre otros, al “arrepentimiento” mostrado.

Por todo lo anterior, y a modo de conclusión, cabe decirse que se deben extremar las precauciones a la hora de emplear datos de carácter personal a través de las nuevas tecnologías disponibles, teniendo siempre presente que la dirección de correo electrónico tiene el carácter de dato personal, por lo que un mero error involuntario puede tener unas consecuencias fatales, dado el proteccionismo instaurado a nivel no solo nacional, sino europeo, respecto del derecho fundamental de la privacidad. Es imprescindible cumplir con todas las exigencias normativamente fijadas en materia de protección de datos de carácter personal, ya que si un mero error humano puede conllevar la comisión de una infracción grave y la consiguiente imposición de una elevadísima sanción, el cumplimiento de las obligaciones establecidas puede mitigar dichos efectos punitivos.

Leave a Reply