• 5 abril, 2011

Correo sin copia oculta y envío de datos personales

El envío masivo de correo sin copia oculta puede vulnerar la LOPD

El otro día un par de personas me comentaron, al hacer un envío de correo colectivo con los destinatarios en vista pública, que dicho mail estaba vulnerando la Ley de Protección de Datos porque la Agencia así lo sanciona cuando se envía de forma colectiva correo sin copia oculta.

Así, hace ya dos años y pico se difundió bastante la noticia de que la Agencia Española de Protección de Datos (AEPD), había sancionado a una persona física por el envío de un correo electrónico a un colectivo de personas sin usar el mecanismo de Copia de Carbón Oculta (CCO), disponible en todo gestor de correo electrónico.

Dado que otros ya se ocuparon suficientemente de aquella noticia, la pequeña adición que quiero hacer es de matiz: el lenguaje al difundir un hecho de trascendencia jurídica puede jugar una mala pasada y lo cierto es que los juristas y abogados debemos hacer un esfuerzo por matizar (que en gran parte en eso consiste nuestra profesión), el alcance de las cosas.

Los hechos noticiables realmente eran dos: a) que se sancionara a una persona física, pues la inmensa parte de las veces la AEPD incoa expedientes sancionadores contra entidades; personas jurídicas que revisten formas civiles o mercantiles del tipo sociedades mercantiles, fundaciones, asociaciones, sindicatos… etc, y b) que el hecho sancionable era el equivocado uso del correo electrónico. La relevancia de esta circunstancia estriba en que, precisamente, esta tecnología se usa masivamente y de no poner cuidado y observar el requerimiento de uso de CCO para mails masivos es fácil incurrir en una cesión de datos.

Entrando en arena, es cierto que la Agencia ha sancionado a una persona física en varias ocasiones por mandar correo sin copia oculta, por entender que ello equivale a una cesión inconsentida de datos personales, pues la dirección de correo electrónico es considerada dato personal. Sin embargo, el contexto al que hacían referencia las personas que me advirtieron no entra en el ámbito de aplicación de la LOPD. Me explico: desde luego en el caso de la sanción de la Agencia que he citado se trata de una persona física (la resolución se puede descargar aquí), sin embargo, y aquí viene lo importante a los efectos que nos interesan, dicha persona actuaba dentro del tráfico mercantil y la comunicación de datos se realizó en un contexto de promoción comercial de la operadora de telefonía Vodafone: había sido subcontratada por una promotora comercial, contratada a su vez por dicha operadora de telefonía, para difundir una de sus campañas comerciales. Además, como datos relevantes debe aclararse que la dirección de correo electrónico desde la que se realizó el envío no fue facilitada al sancionado por el intermediario sino que aquél usó uno propio y que la dirección del denunciante afectado fue encontrada en Internet.

A la vista de tales datos la cuestión es, entonces, que la sanción se impuso a un particular en uso de una base de datos comercial y que actuaba en su condición de comerciante en el ejercicio del comercio (se desconoce si era un autónomo o empresario individual pero se debería entender que sí), la distinción es importante porque según el artículo 2 de la LOPD, sobre el ámbito de aplicación de esta Ley, apartado 2.a), se excluye de la aplicación de la norma orgánica: “A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”, es decir, que cuando se reúnen esas dos condiciones: actuar a título de persona física y se tratan datos personales propios de un fichero personal, ni es de aplicación la protección de datos, ni se puede incoar un expediente sancionador por enviar un correo sin copia oculta de forma masiva.

Es el caso habitual de los correo sin copia oculta que enviamos, como particulares. a los amigos y contactos que tenemos en la típica cuenta de correo gratuita y recabados desde dentro de nuestra esfera privada. Así, mandar un correo sin copia oculta a los amigos o familiares no equivale a una cesión de datos porque dicha acción queda fuera del ámbito de aplicación de la LOPD, pues se aplica la excepción prevista en el referido artículo 2, apartado a), ya que los datos de contacto que proceden de nuestro ámbito doméstico y que se mandan en ejercicio de una actividad exclusivamente personal no quedan sujetos a la Ley orgánica.

Actualización: En ayuda de lo anterior acude el considerando nº 12 de la Directiva referencia en la materia: 95/46/CE del Parlamento Europeo y del Consejo , de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que declara que debe excluirse la aplicación de la Ley expresamente “el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones”.

Asimismo, la propia Audiencia Nacional corrigiendo y anulando una resolución de la Agencia de Protección de Datos ha tratado de ir perfilando la excepción prevista en el artículo 2.2 de la LOPD y así en su SAN de 15 de junio de 2006, define qué ha de darse para que la exclusión opere:

“La Agencia de Protección de Datos sostiene sobre esta cuestión que cuando los datos de las agendas personales salen de la esfera personal y forman parte de un conjunto de datos recogidos para la promoción de un evento, nos encontramos ante un tratamiento de datos sujeto al ámbito de aplicación de la LOPD.

Parece que lo relevante para la Administración a los efectos de la sujeción al régimen legal de protección de datos es la existencia de un tratamiento de datos en el sentido legal.

(…) El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1999 es insuficiente. Un particular puede realizar operaciones de recogida de datos para elaborar en su ordenador, agenda electrónica o agenda manual un fichero de direcciones de sus amistades, lo que es muy frecuente como todos sabemos, tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).

Lo relevante para la sujeción al régimen de protección de datos no será por tanto que haya existido tratamiento, sino si dicho tratamiento se ha desarrollado en un ámbito o finalidad que no sea exclusivamente personal o doméstico.

(…) La pretensión de que tales actividades, en cuanto al tratamiento de datos , debieran quedar sujetas a los principios de protección contemplados en la ley 15/1999, con fundamento en una concepción maximalista del principio del consentimiento, como parece expresar la Agencia de Protección de Datos , conllevaría una desnaturalización de las relaciones sociales, sometiéndolas a unos rigores formales en cuanto al manejo de datos personales totalmente ajenos al sentir social y en modo alguno exigidas por el derecho fundamental a la autodeterminación informativa, derecho que no es absoluto y que debe ser interpretado en cuanto a sus manifestaciones y exigencias partiendo de su contraposición con otros derechos y valores constitucionales, como el libre desarrollo de la personalidad, y de la realidad social a la que está dirigido”.

Dos recordatorios sobre la materia:

  • Las direcciones de correo electrónico sí pueden ser consideradas como dato personal. Aunque no siempre lo sean, casi que por defecto es mejor considerarlas así porque se ahorra uno muchos males.
  • Internet NO es considerado como una fuente de acceso público, de acuerdo al criterio seguido por la Agencia de Protección de Datos.

Correo sin copia oculta y envío de datos personales | UCELAY Bufete de Abogados Mercantiles en Madrid

Consulte

91 445 03 07