Foto de Maksim Goncharenok en Pexels
La AEPD sanciona a 2 empresas y nos lo recuerda
El día 19 de octubre de 2021, leíamos 2 resoluciones sancionadoras de la AEPD en las que se desestiman alegaciones sobre que el email no es un dato de carácter personal.
Una sanción fue de 20.000€ por el envío de correos electrónicos publicitarios sin consentimiento, es decir, por infracción del art. 21 LSSI y la otra de 2.000€ al no informar de los fines y características del tratamiento de los datos personales lo que supuso infracción del art. 13 RGPD.
Siguiendo nuestros análisis habituales de los procedimientos de la Agencia Española de Protección de Datos (AEPD) queremos destacar estas dos resoluciones, en los que las dos empresas sancionadas tienen un tamaño y actividad muy diferente y por tanto son sancionadas en cuantías muy distintas.
La sancionada con 2.000€ contaba en su web con un apartado para facilitar un email de contacto sin informar sobre el tratamiento de datos
Según la resolución, contaba con una página web “inactiva” en la que únicamente dejó un apartado donde se podía introducir exclusivamente un correo electrónico con el fin de dar respuesta a posibles incidencias de antiguos clientes sin contar con información sobre el tratamiento de sus datos.
La sancionada alegó que “al no recabar ningún tipo de información personal, no puede ser aplicable el artículo 13 del RGPD” ya que dicho email no se podía considerar un dato de carácter personal, eso sí, procedió a desactivar la web tras sus alegaciones.
La Agencia no atiende estas alegaciones y le sanciona por el tiempo que estuvo activa, pudiendo en ese tiempo obtener datos personales de los usuarios sin informarles de los fines y características del tratamiento de sus datos personales (no existía política de privacidad). Enlace a la resolución.
Destacar que la Agencia sí archiva y deja sin efecto la sanción inicialmente propuesta de 2.000€ por infracción de artículo 22.2 de la LSSI, en lo que respecta a la política de cookies, al haber eliminado la página web de internet.
La sancionada con 20.000€ envió nuevos emails publicitarios tras ejercer derecho de oposición y confirmarle que dejaría de recibirlos
El denunciante recibe en su email mensajes publicitarios y ejercita su derecho de oposición, pero recibe 4 mensajes más en los siguientes 2 meses, después de informarle que había realizado las gestiones oportunas para que no se le volviera a enviar nuevos correos publicitarios.
La infracción del artículo 21 del LSSI, por su responsabilidad en el envío de correos electrónicos publicitarios sin el consentimiento, le supuso los 20.000€ de sanción, a los que se le añadieron otros 50.000€ por infracción del artículo 21 del RGPD, al no gestionar correctamente del derecho de oposición ejercido por el reclamante. Enlace a la resolución.
Sobre la consideración en las 2 resoluciones de que el correo electrónico utilizado no debe ser considerado dato personal ni le es de aplicación el RGPD, la Agencia recuerda:
- La definición del art. 4 del RGPD respecto al “dato personal” y que en definitiva se trata de toda información sobre una persona física identificada o identificable, tal que: “la dirección de email deba ser considerada a todos los efectos como un dato de carácter personal, pues se forma por un conjunto de signos o palabras libremente elegidos por el interesado con la única limitación de que dicha dirección no coincida con la de otra persona quedando, por tanto, totalmente identificada del resto de las personas”.
- La Agencia señala que además, hay que tener en cuenta el “Informe 261/2021” del Gabinete Jurídico de la AEPD y “Por tanto, cuando la dirección de correo electrónico contenga información acerca de su titular que lo identifique, como pueda ser el nombre, o cualquier otra combinación de elementos alfanuméricos, en los cuales no existe duda de que dicha dirección pertenece a una determinada persona ha de ser considerada como dato de carácter personal y en aquellos supuestos en los que la dirección de correo electrónico no muestra datos alfanuméricos que los relaciones con la persona titular de la cuenta, no serán considerado un dato de carácter personal, a no ser que se puede deducir la identidad a partir de otros datos, como el dominio, la dirección IP, etc., conjunta o separadamente, y que permitan la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso, esta dirección de correo electrónico también se considerada dato de carácter personal”.
- Respecto a las alegaciones de la Comisión Europea sobre no considerar dato de carácter personal a un email tipo info@empresa.com, la Agencia puntualiza que la Comisión Europea se refiere a aquellos formatos que no identifican a ninguna persona en particular o cargo de la empresa en particular, si no que hace referencia a una dirección de correo electrónico genérica donde, en principio, cualquier usuario o empleado tiene acceso, mientras que en el caso que nos ocupa es usado por un solo empleado, pudiéndose identificar directa o indirectamente con el nombre, con determinados dígitos o con el cargo que ocupa.
Recordemos: ¿Qué es lo que debemos tener presentes en el envío de comunicaciones comerciales por medios electrónicos?
El artículo 21.1 de la LSSI prohíbe de forma expresa las comunicaciones comerciales para la promoción directa o indirecta de los bienes o servicios sin consentimiento expreso del destinatario, si bien esta prohibición tiene su excepción cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
Conclusión: Recuerda que una dirección de correo electrónico o email sí es un dato de carácter personal
Como ya mencionábamos en nuestro artículo de abril de este año, a raíz de 2 sanciones de la AEPD tras el envío de comunicaciones-comerciales enviadas sin consentimiento, es nuestra responsabilidad saber qué es un dato de carácter personal y no alegar ante a la autoridad de control, la Agencia, tal desconocimiento.
Y recuerda también que antes de enviar tus comunicaciones comerciales hay normas que cumplir y una vez más, si tras una reclamación dices que vas a solucionarlo, deberás acreditar que “has cumplido”.
