El correo electrónico es un dato personal. Así lo ha establecido la Agencia Española de Protección de Datos en una reciente resolución en la que sanciona a una empresa de telecomunicaciones. La compañía enviaba comunicaciones comerciales sin consentimiento y continuó enviándolas aunque la solicitante ejercitó su derecho de oposición.
Se impone una sanción de 70.000€ por:
- Infracción del Artículo 21 RGPD – 50.000€: No ejercitar el derecho de oposición solicitado por la recurrente.
- Infracción del Artículo 21 LSSI – 20.000€: Envío de comunicaciones comerciales sin estar previa y expresamente autorizadas o solicitadas por la solicitante.
La entidad alegó que la dirección de correo electrónico, medio por el cual se realizaron dichas comunicaciones, no se puede considerar dato personal. En consecuencia, no sería de aplicación el RGPD y por eso no se tramitó el derecho de oposición solicitado.
Sin embargo, alega la AEPD que al amparo del art. 4 RGPD sí puede considerarse el correo electrónico como tal. En este senido, establece que es dato personal toda información sobre una persona física identificada o identificable.
En consecuencia, un correo electrónico es un dato personal, en la medida que no es más que un conjunto de signos o palabras escogidas libremente por el interesado. Además, hay que recordar que no coincide con la dirección de ningún otro usuario, lo que le hace fácilmente identificable.
Únicamente no se considerará dato personal, conforme a lo establecido por la Comisión Europea, los formatos que no identifiquen a ninguna persona o cargo de la empresa. En estos supuestos, donde se hace referencia a una dirección genérica, se puede acceder a la misma por cualquier usuario y empleado.
Sin embargo, si fuera utilizada por un único empleado, pudiéndose identificar, el correo electrónico se considera dato personal a todos los efectos.
Puede consultar la resolución completa haciendo clic aquí.
- Denuncian vulneración de protección de datos en permisos de acceso a vecinos de Vigo por restricciones navideñas
- ¡Nueva sentencia del TJUE!
- El interés vital y la protección de datos
- Sanción de 91 millones de euros a Meta Ireland
- ¿Qué obligaciones se derivan de la Directiva NIS 2?
- Principales amenazas para la ciberseguridad