04 Feb Correo electrónico corporativo y protección de datos
¿Constituye el correo electrónico un dato de carácter personal según lo establecido en la normativa?
En general, si la cuenta de correo incluye el nombre y apellidos, o incluso solo el nombre de la persona trabajadora es un dato personal, y por tanto afectado por el Reglamento General de Protección de datos (en adelante, RGPD), en tanto la definición de datos de carácter personal es “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”
No cabe duda entonces que una dirección de correo electrónico, que contiene un nombre o un apellido de una persona, tal y como nos recuerda la Agencia Española de Protección de datos (en adelante AEPD), en su Informe 0437/2010, es un dato de carácter personal:
«La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:
El primero de ellos se refiere a aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a nuestro juicio, no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo electrónico el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).
Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal.
Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación…Junto con estos dos supuestos, debe añadirse, evidentemente, que si en un fichero junto con la dirección de correo electrónico aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación sería absoluta y no se plantearía duda de que nos encontramos ante datos de carácter personal.”
De estos informes, se establece indudablemente que se trata de un dato de carácter personal, a pesar de la consideración del Comité Europeo de protección de datos que utilizó como ejemplo de lo que no constituye un dato de carácter personal, una dirección de correo del tipo info@empresa.com, tal y como se puede consultar aquí: https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_es
Así pues, la AEPD considera cualquier dirección de correo electrónico a través de la cual se puede identificar a una persona, un dato de carácter personal y, por tanto, concluimos que, para tratar dicha información, entre otras cuestiones, se precisa una base jurídica de las recogidas en el art. 6.1 del RGPD.
Ahora bien, al ser para uso corporativo, ¿puede el empleador revisar dicho correo?
Es importante establecer internamente una regulación del uso de los medios tecnológicos proporcionados por la empresa, en los acuerdos de confidencialidad que firma el empleado en primera instancia, debe de incluirse información concisa y pertinente sobre el uso del correo electrónico corporativo, como herramienta profesional y dejando constancia de las prohibiciones de uso como herramienta personal.
En este acuerdo o compromiso de confidencialidad, o en las políticas de seguridad de la empresa, se debe de informar previamente si existe un control empresarial de dichos medios. Siempre y cuando la medida de control sea proporcional (no exista otra medida menos invasiva).
Aún así, es un tema controvertido que ha suscitado distintas resoluciones y procedimientos, por lo que cada situación requiere de un estudio específico para realizar conclusiones pertinentes y adecuadas al caso concreto.
Si tienes dudas, ¡podemos ayudarte!