19.6.2007
Buenas prácticas de correo electrónico
Interesante lectura en Baquia de obligatoria lectura para evitarnos disgustos
El uso del correo electrónico entraña algunos riesgos relativos a la protección de datos personales, que deben ser vigilados.
Las noticias aparecidas recientemente en diarios nacionales sobre la imposición de una multa de 600 € a un particular nos ofrecen la ocasión de explicar alguna práctica que debe evitarse en el uso del correo electrónico. En el caso que nos ocupa, D. Emilio mantenía como actividad la venta de teléfonos móviles y pequeños periféricos de ordenador personal, para lo cual había colgado en Internet sus datos de correo electrónico y número de teléfono.
Por otra parte, Vodafone había lanzado en septiembre de 2005 una campaña de promoción comercial de sus productos de telefonía móvil, con interesantes ofertas como la portabilidad a Vodafone con un móvil Nokia 6630 por sólo 89 euros. Esta campaña fue llevada a cabo por su red de promotores comerciales. D.ª Angelines, autónoma y perteneciente a la red de promotores, envío en diciembre de 2005 un correo publicitario a 43 destinatarios a la vez, uno de los cuales era precisamente D. Emilio. El contenido del correo era puramente comercial, anunciando la campaña de productos de telefonía móvil de Vodafone.
En enero de 2006, D. Emilio decidió denunciar este hecho ante la Agencia Española de Protección de Datos (AEPD). La AEPD acordó iniciar un procedimiento sancionador a D.ª Angelines por la presunta infracción del artículo 10 de la LOPD, “Deber de secreto”. D.ª Angelines alegó en su descargo que había incluido por error las direcciones de correo electrónico los 43 destinatarios en el campo “CC Copia”, en lugar de en el campo “CCO – Con Copia Oculta”. Además alegaba que la dirección de correo de D. Emilio había sido obtenida de Internet, una “fuente accesible al público”.
Análisis del caso
Este caso nos permite repasar algunos conceptos importantes en materia de protección de datos:
- La dirección de correo electrónico con formato “usuario@dominio.xxx” se considera un dato de carácter personal, sin necesidad de que vaya asociada al nombre completo del destinatario, e incluso sin que sea aparentemente deducible la identificación de este destinatario. Aunque a los técnicos nos resulte algo exagerado, la dinámica de la protección del derecho a la privacidad ofrece en estos casos las máximas garantías.
- La LOPD admite el tratamiento de los datos personales sin el consentimiento del afectado cuando los datos figuren en fuentes accesibles al público y sean necesarios para fines legítimos –como la promoción comercial-. Sin embargo, el que los datos puedan emplearse sin que el interesado haya otorgado su aquiescencia, no legitima el desvelar dichos datos a terceros distintos del propio interesado, como ha ocurrido en este caso con el envío del correo electrónico del denunciante a los otros 42 destinatarios.
- El concepto de “fuente accesible al público” está perfectamente delimitado en la LOPD, no pudiendo la Internet incardinarse en este concepto, salvo que nos refiramos a los medios de comunicación (periódicos y revistas) digitales. Por tanto, las alegaciones de D.ª Angelines de que había obtenido el dato de Internet, “una fuente accesible al público”, no son válidas. Siendo puristas, el uso de la dirección de correo de D. Emilio habría requerido su consentimiento, y recoger y tratar datos sin el consentimiento del interesado supone la infracción del artículo 6 de la LOPD, tipificada como grave.
- La LOPD excluye de su régimen de protección a los ficheros que mantengan los particulares para actividades “exclusivamente personales o domésticas”. Aunque D.ª Angelines no es una empleada de Vodafone, y es posible que desarrolle su labor de promotora comercial desde un ámbito “casi doméstico”, la actividad comercial en la que se encuadró el envío del correo obliga a considerar esta actividad como profesional, y por tanto le es de aplicación el régimen de protección de derechos y sancionador de la LOPD.
Aplicación de la AEPD al caso
En este caso la AEPD podría haber imputado a D.ª Angelines bien una infracción del artículo 10 (Deber de secreto), o bien una infracción del artículo 11 (Comunicación de datos). ¿Por qué se ha decantado la AEPD por el artículo 10? Bueno, lo que sí sabemos es que la infracción del artículo 11 lleva aparejada una sanción de tipo muy grave, con un importe de 300.000 a 600.000 euros, mientras que la infracción del artículo 10 conlleva una sanción que puede ser tipificada como leve, grave o muy grave, dependiendo del tipo de dato desvelado -y la revelación del dato del correo electrónico, en el caso que nos ocupa, sólo implica una infracción leve-.
Hubiera sido mucho más sensato que la propia LOPD contemplase la posibilidad de tipificar la comunicación ilegítima de datos como infracción al menos grave (de 60.000 a 300.000 euros), pero dada la realidad, es muy sensato que el envío del correo por D.ª Angelines se haya considerado infractor del artículo 10. Alegaba también D.ª Angelines un razonamiento cabal: si la dirección de correo de D. Emilio aparecía en Internet, no era secreta, y por tanto, ¿qué secreto ha desvelado ella al enviar su correo electrónico?
Sobre este argumento prevalece la teoría del derecho a la protección de datos, que atribuye al titular de los datos el control sobre el destino de los mismos. Es decir, D. Emilio ha decidido publicar sus datos personales en Internet con una finalidad concreta, pero no ha decidido que sean empleados con otra finalidad –la promoción comercial- ni por supuesto revelados a terceros. Asoma aquí la importancia crucial de la finalidad del tratamiento de los datos.
Sanción aplicada
Finalmente, en noviembre de 2006, la AEPD impuso a D.ª Angelines una sanción de 600 euros por vulneración del deber de secreto. Aunque este suceso haya podido provocar una reacción ante lo elevado de la sanción, lo cierto es que en este caso la AEPD ha optado por imponer la sanción mínima dentro de la franja correspondiente a las infracciones leves (600 a 60.000 euros), además de que ha pasado por alto cualquier otra infracción, como el tratamiento de los datos del interesado sin su consentimiento.
Pero si se hubiese tratado de un envío protagonizado por una empresa, es muy posible que no se hubiera logrado tanta deferencia por parte de la AEPD. Por tanto, repasemos si no estamos incurriendo en esta mala práctica cuando enviamos ciertos correos electrónicos…
- Un comercial anuncia su salida de una empresa a su “cartera de clientes”, o bien se presenta en su rol de nuevo gerente de cuentas.
- Una empresa anuncia un evento e invita a posibles asistentes.
- Se publicita un nuevo producto o promoción comercial.
Y ni que decir tiene que esta prevención no se debe aplicar cuando un empleado envía un correo a varios destinatarios de la misma empresa, pues no se considera vulneración del deber de secreto.
Pedro Serrera Cobos es Director del Centro de Sistemas de Información, Fraternidad Muprespa