Adreces de correu electrònic i l'abast de GDPR. Reglament general de protecció de dades

A la 25th de maig, entrarà en vigor el Reglament general de protecció de dades (GDPR). Amb la instal·lació de GDPR, la protecció de dades personals és cada cop més important. Les empreses han de tenir en compte normes més estrictes en matèria de protecció de dades. Tot i això, sorgeixen diverses preguntes arran de l’abonament del GDPR. Per a les empreses, potser no està clar quines dades es consideren dades personals i se situen sota l’àmbit del GDPR. Aquest és el cas de les adreces de correu electrònic: es considera una adreça de correu electrònic dades personals? Les empreses que utilitzen adreces de correu electrònic estan subjectes al GDPR? Aquestes preguntes es responen en aquest article.

Dades personals

Per respondre a la pregunta de si es considera o no una adreça de correu electrònic dades personals, cal definir el terme dades personals. Aquest terme s’explica al GDPR. A partir de l’article 4 sub GDPR, per dades personals s’entén qualsevol informació relativa a una persona física identificada o identificable. Una persona física identificable és una persona que pot ser identificada, directa o indirectament, en particular per fer referència a un identificador com un nom, un número d’identificació, dades d’ubicació o un identificador en línia. Les dades personals es refereixen a persones físiques. Per tant, la informació sobre persones mortes o persones jurídiques no es considera informació personal.

Adreces de correu electrònic i l'abast de GDPR

Correu electrònic

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Hi ha una gran possibilitat que les persones físiques puguin ser identificades per l’adreça de correu electrònic que utilitzen, cosa que fa que les adreces de correu electrònic siguin dades personals. Per classificar les adreces de correu electrònic com a dades personals, no importa si l'empresa realment utilitza les adreces de correu electrònic per identificar els usuaris. Tot i que una empresa no utilitza les adreces de correu electrònic amb la finalitat d’identificar les persones físiques, encara es consideren dades personals les adreces de correu electrònic a partir de les quals es poden identificar persones físiques. No totes les connexions tècniques o coincidents entre una persona i les dades són suficients per designar les dades com a dades personals. No obstant això, si existeix la possibilitat que es puguin utilitzar les adreces de correu electrònic per identificar els usuaris, per exemple per detectar casos de frau, es consideren dades personals de les adreces de correu electrònic. En aquest sentit, no importa si l'empresa vol utilitzar o no les adreces de correu electrònic amb aquesta finalitat. La llei parla de dades personals quan existeix la possibilitat que les dades puguin ser utilitzades amb un propòsit que identifiqui una persona física. [2]

Dades personals especials

Si bé les adreces de correu electrònic es consideren dades personals la majoria de les vegades, no són dades personals especials. Les dades personals especials són dades personals que revelen un origen racial o ètnic, opinions polítiques, creences religioses o filosòfiques o pertinença al comerç, i dades genètiques o biomètriques. Això deriva de l’article 9 GDPR. A més, una adreça de correu electrònic conté menys informació pública que, per exemple, una adreça de casa. És més difícil obtenir coneixement de l'adreça de correu electrònic d'algú que la de casa, i en gran part de l'usuari de l'adreça de correu electrònic depèn que es faci pública o no l'adreça de correu electrònic. A més, el descobriment d’una adreça de correu electrònic que hauria d’haver estat ocult, té conseqüències menys greus que la descoberta d’una adreça de casa que hauria d’haver estat oculta. És més fàcil canviar una adreça de correu electrònic que una adreça de casa i descobrir una adreça de correu electrònic podria conduir a un contacte digital, mentre que el descobriment d’una adreça de casa pot comportar un contacte personal. [3]

Tractament de dades personals

Hem establert que les adreces de correu electrònic es consideren dades personals la majoria de les vegades. Tot i això, GDPR només s'aplica a empreses que processin dades personals. El tractament de dades personals existeix de totes les accions pel que fa a dades personals. Això es defineix més a GDPR. D’acord amb l’article 4 sub 2 GDPR, el tractament de dades personals significa qualsevol operació que es realitzi sobre dades personals, siguin o no de forma automàtica. En són exemples la recollida, el registre, l’organització, l’estructuració, l’emmagatzematge i l’ús de dades personals. Quan les empreses realitzen les activitats esmentades respecte a les adreces de correu electrònic, processen dades personals. En aquest cas, estan subjectes al GDPR.

Conclusió

No totes les adreces de correu electrònic es consideren dades personals. Tanmateix, es consideren dades personals les adreces de correu electrònic quan proporcionen informació identificable sobre una persona física. Moltes adreces de correu electrònic estan estructurades de manera que es pugui identificar la persona física que utilitza l'adreça de correu electrònic. Aquest és el cas quan l’adreça de correu electrònic conté el nom o lloc de treball d’una persona física. Per tant, es consideraran dades personals moltes adreces de correu electrònic. És difícil per a les empreses distingir entre adreces de correu electrònic que es consideren dades personals i adreces de correu electrònic que no ho són, ja que això depèn totalment de l’estructura de l’adreça de correu electrònic. Per tant, és segur dir que les empreses que processen dades personals es trobaran amb adreces de correu electrònic que es consideren dades personals. Això vol dir que aquestes empreses estan subjectes a la GDPR i haurien d’implementar una política de privadesa que compleixi el GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Compartir