La Agencia Española de Protección de Datos (AEPD) sancionó al operador de telefonía móvil Vodafone con 70.000 euros por infringir los artículos 21 del Reglamento General de Protección de Datos (RGPD) en cuanto al derecho de oposición y, 21 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), respecto al envío de comunicaciones comerciales, suponiendo 50.000 y 20.000 euros respectivamente.
Muy resumidamente, el derecho de oposición es aquel que permite a los interesados oponerse al tratamiento de sus datos personales. Por tanto, cuando un usuario ejercita su derecho de oposición y la solicitud de ejercicio es aceptada, el responsable del tratamiento (quien toma las decisiones sobre cómo utilizar la información personal) tendrá que dejar de utilizar dichos datos personales.
Por su parte, la LSSICE nos dice que está prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico que no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir que, la regla general prohíbe el envío de mensajes publicitarios si no hay un consentimiento del usuario.
Volviendo al caso que nos ocupa, el reclamante recibía mensajes publicitarios de Vodafone en su correo electrónico y, a pesar de haber ejercitado su derecho de oposición al envío de este tipo de comunicaciones y de ser aceptado por la compañía, recibió cuatro mensajes más de este tipo. Ante todo esto, Vodafone alegó que la dirección de correo electrónico utilizada para el envío de comunicaciones electrónicas con finalidad comercial no se puede considerar un dato de carácter personal por lo que no sería de aplicación la normativa de protección de datos (RGPD) y, por ende, no se le puede sancionar.
Dicho esto, antes de dar respuesta a si un correo electrónico es un dato personal o no, es importante destacar que el RGPD en su artículo 2.1 establece su ámbito de aplicación. El mismo abarca al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
A su vez, en su artículo 4.2 nos define lo que se considera tratamiento, entendiéndolo como cualquier operación o conjunto de operaciones efectuadas sobre datos personales o conjunto de datos personales, mediante procedimientos manuales o automatizados relacionadas con la obtención, uso, registro, organización, estructuración, conservación, elaboración, utilización, entre otros.
De igual forma, la referida normativa de protección de datos en su artículo 4.1 define como dato personal cualquier información sobre una persona física identificada o que se pueda llegar a identificar. En este sentido, son datos personales por ejemplo un nombre y apellido, un rostro o imagen cuando te hacen una fotografía, un pasaporte, DNI o número de identificación nacional, la dirección IP de tu ordenador o dispositivo. De manera que, una dirección de correo electrónico es considerada a todos los efectos como un dato personal.
Sobre la consideración del correo electrónico como dato personal también se pronunció la AEPD, organismo público encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España, en su Informe jurídico 0437/2010:
“La primera de las cuestiones a resolver en este caso estriba en determinar si la dirección de correo electrónico es un dato de carácter personal.
La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:
El primero de ellos se refiere a aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a nuestro juicio, no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo electrónico el nombre y, en su caso, los apellidos del titular (o sus iniciales).
Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal.
Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación”.
De igual forma, la European Commission puntualiza que para aquellos formatos que no identifiquen a ninguna persona en particular o cargo de la empresa no se tendrá en consideración la condición de dato personal, puesto que se hace referencia a una dirección genérica, en principio, accesible por cualquier usuario y empleado. Ahora bien, cuando ésta es utilizada por un único empleado, pudiéndose identificar (directa o indirectamente), como es el caso, con determinados dígitos o con el cargo que ocupa se considera dato personal a todos los efectos.
En conclusión, un correo electrónico es un dato personal a todos los efectos y enviar comunicaciones comerciales a dicho correo electrónico supone utilizar (tratar) la información personal del usuario. Por tanto, no cabe la menor duda de que la normativa de protección de datos (RGPD) se aplica al caso comentado y la sanción está totalmente justificada.
Además, si una persona ejercita su derecho de oposición al envío de comunicaciones comerciales, e incluso después de haberse aceptado su solicitud se siguen enviando los mensajes al correo, evidentemente se están infringiendo los artículos 21 del RGPD en cuanto al derecho de oposición y 21 de la LSSICE respecto al envío de comunicaciones comerciales, siendo correcta la sanción de 50.000 y 20.000 euros respectivamente.
Por último, si necesitas ayuda legal, puedes ponerte en contacto con nuestros especialistas en Protección de Datos en www.terminosycondiciones.es
