Adreces de correu electrònic i l'abast de GDPR. Reglament general de protecció de dades

A la 25th de maig, entrarà en vigor el Reglament general de protecció de dades (GDPR). Amb la instal·lació de GDPR, la protecció de dades personals és cada cop més important. Les empreses han de tenir en compte normes més estrictes en matèria de protecció de dades. Tot i això, sorgeixen diverses preguntes arran de l’abonament del GDPR. Per a les empreses, potser no està clar quines dades es consideren dades personals i se situen sota l’àmbit del GDPR. Aquest és el cas de les adreces de correu electrònic: es considera una adreça de correu electrònic dades personals? Les empreses que utilitzen adreces de correu electrònic estan subjectes al GDPR? Aquestes preguntes es responen en aquest article.

Dades personals

Per respondre a la pregunta de si es considera o no una adreça de correu electrònic dades personals, cal definir el terme dades personals. Aquest terme s’explica al GDPR. A partir de l’article 4 sub GDPR, per dades personals s’entén qualsevol informació relativa a una persona física identificada o identificable. Una persona física identificable és una persona que pot ser identificada, directa o indirectament, en particular per fer referència a un identificador com un nom, un número d’identificació, dades d’ubicació o un identificador en línia. Les dades personals es refereixen a persones físiques. Per tant, la informació sobre persones mortes o persones jurídiques no es considera informació personal.

Adreces de correu electrònic i l'abast de GDPR

Correu electrònic

Ara que es determina la definició de dades personals, cal considerar si una adreça de correu electrònic és una dada personal. La jurisprudència holandesa indica que les adreces de correu electrònic podrien ser dades personals, però que no sempre és així. Depèn de si una persona física s'identifica o no a partir de l'adreça de correu electrònic. [1] S’ha de tenir en compte la forma en què les persones han estructurat les seves adreces de correu electrònic per determinar si es pot veure o no l’adreça de correu electrònic com a dades personals. Moltes persones físiques estructuren la seva adreça de correu electrònic de manera que l’adreça s’ha de considerar dades personals. Aquest és el cas, per exemple, quan una adreça de correu electrònic s’estructura de la manera següent: [protegit per correu electrònic] Aquesta adreça de correu electrònic exposa el nom i cognoms de la persona física que utilitza l'adreça. Per tant, aquesta persona es pot identificar a partir d’aquesta adreça de correu electrònic. Les adreces de correu electrònic que s’utilitzen per a activitats empresarials també podrien contenir dades personals. Aquest és el cas quan una adreça de correu electrònic s’estructura de la manera següent: [protegit per correu electrònic] D’aquesta adreça de correu electrònic es pot derivar quines són les inicials de la persona que utilitza l’adreça de correu electrònic, quin és el seu cognom i on treballa aquesta persona. Per tant, la persona que utilitza aquesta adreça de correu electrònic es pot identificar en funció de l’adreça de correu electrònic.

No es considera una adreça de correu electrònic dades personals quan no es pugui identificar cap persona física. Aquest és el cas quan per exemple s’utilitza la següent adreça de correu electrònic: [protegit per correu electrònic] Aquesta adreça de correu electrònic no conté dades de les quals es pugui identificar una persona física. Adreces de correu electrònic generals que utilitzen empreses, com [protegit per correu electrònic]Tampoc es consideren dades personals. Aquesta adreça de correu electrònic no conté cap informació personal a partir de la qual es pugui identificar una persona física. A més, l’adreça de correu electrònic no l’utilitza una persona física, sinó una persona jurídica. Per tant, no es consideren dades personals. De la jurisprudència holandesa es pot concloure que les adreces de correu electrònic poden ser dades personals, però no sempre és així; depèn de l'estructura de l'adreça de correu electrònic.

Hi ha una gran possibilitat que les persones físiques puguin ser identificades per l’adreça de correu electrònic que utilitzen, cosa que fa que les adreces de correu electrònic siguin dades personals. Per classificar les adreces de correu electrònic com a dades personals, no importa si l'empresa realment utilitza les adreces de correu electrònic per identificar els usuaris. Tot i que una empresa no utilitza les adreces de correu electrònic amb la finalitat d’identificar les persones físiques, encara es consideren dades personals les adreces de correu electrònic a partir de les quals es poden identificar persones físiques. No totes les connexions tècniques o coincidents entre una persona i les dades són suficients per designar les dades com a dades personals. No obstant això, si existeix la possibilitat que es puguin utilitzar les adreces de correu electrònic per identificar els usuaris, per exemple per detectar casos de frau, es consideren dades personals de les adreces de correu electrònic. En aquest sentit, no importa si l'empresa vol utilitzar o no les adreces de correu electrònic amb aquesta finalitat. La llei parla de dades personals quan existeix la possibilitat que les dades puguin ser utilitzades amb un propòsit que identifiqui una persona física. [2]

Dades personals especials

Si bé les adreces de correu electrònic es consideren dades personals la majoria de les vegades, no són dades personals especials. Les dades personals especials són dades personals que revelen un origen racial o ètnic, opinions polítiques, creences religioses o filosòfiques o pertinença al comerç, i dades genètiques o biomètriques. Això deriva de l’article 9 GDPR. A més, una adreça de correu electrònic conté menys informació pública que, per exemple, una adreça de casa. És més difícil obtenir coneixement de l'adreça de correu electrònic d'algú que la de casa, i en gran part de l'usuari de l'adreça de correu electrònic depèn que es faci pública o no l'adreça de correu electrònic. A més, el descobriment d’una adreça de correu electrònic que hauria d’haver estat ocult, té conseqüències menys greus que la descoberta d’una adreça de casa que hauria d’haver estat oculta. És més fàcil canviar una adreça de correu electrònic que una adreça de casa i descobrir una adreça de correu electrònic podria conduir a un contacte digital, mentre que el descobriment d’una adreça de casa pot comportar un contacte personal. [3]

Tractament de dades personals

Hem establert que les adreces de correu electrònic es consideren dades personals la majoria de les vegades. Tot i això, GDPR només s'aplica a empreses que processin dades personals. El tractament de dades personals existeix de totes les accions pel que fa a dades personals. Això es defineix més a GDPR. D’acord amb l’article 4 sub 2 GDPR, el tractament de dades personals significa qualsevol operació que es realitzi sobre dades personals, siguin o no de forma automàtica. En són exemples la recollida, el registre, l’organització, l’estructuració, l’emmagatzematge i l’ús de dades personals. Quan les empreses realitzen les activitats esmentades respecte a les adreces de correu electrònic, processen dades personals. En aquest cas, estan subjectes al GDPR.

Conclusió

No totes les adreces de correu electrònic es consideren dades personals. Tanmateix, es consideren dades personals les adreces de correu electrònic quan proporcionen informació identificable sobre una persona física. Moltes adreces de correu electrònic estan estructurades de manera que es pugui identificar la persona física que utilitza l'adreça de correu electrònic. Aquest és el cas quan l’adreça de correu electrònic conté el nom o lloc de treball d’una persona física. Per tant, es consideraran dades personals moltes adreces de correu electrònic. És difícil per a les empreses distingir entre adreces de correu electrònic que es consideren dades personals i adreces de correu electrònic que no ho són, ja que això depèn totalment de l’estructura de l’adreça de correu electrònic. Per tant, és segur dir que les empreses que processen dades personals es trobaran amb adreces de correu electrònic que es consideren dades personals. Això vol dir que aquestes empreses estan subjectes a la GDPR i haurien d’implementar una política de privadesa que compleixi el GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Compartir
Law & More B.V.