Español | English
rss facebook linkedin Twitter

Sobre datos personales

Mucho se habla en Internet sobre la protección de los datos personales de los usuarios. Resulta frecuente encontrar información sobre riesgos y amenazas (salgo en una foto del Facebook, busco mi nombre y mira lo que aparece, cookies, perfiles, etc), pero curiosamente la mayoría de las veces refiriéndose a estos datos personales de manera abstracta o vaga, sin dar una información clara sobre a qué se están refiriendo dichas amenazas. Términos como este u otros relacionados (privacidad) se usan con mucha frecuencia pero casi nunca se explican o definen adecuadamente. Así pues, vamos a intentar comenzar por el principio.

El concepto dato de carácter personal puede ser definido como "cualquier información concerniente a personas físicas identificadas o identificables" (LOPD). Se plantean sin duda muchos casos ambiguos, ¿Es la matrícula del coche un dato de carácter personal? ¿Y la localización exacta de una persona? ¿Y la nacionalidad? En casos como este está claro que con cada uno de estos datos no se puede identificar unívocamente a una persona, pero esto cambia si se pueden combinar varios de estos datos. Es posible que si tenemos una idea aproximada sobre dónde se encuentra una persona (con el GPS del móvil por ejemplo) y también conocemos otros datos como su sexo o su nacionalidad no resulte difícil averiguar quién es exactamente.



En España la ley que se encarga de proteger la privacidad (volveremos a este término en el futuro) de las personas es la LOPD (Ley Orgánica de Protección de Datos) y se aplica precisamente a todo aquello que se considere un “dato de carácter personal” según la definición expuesta previamente y durante las fases de recogida, uso y conservación de dicha información (registros, encuestas, promociones, etc).



Uno de los ejemplos que resulta más controvertido en este sentido es el correo electrónico. ¿Se puede considerar una dirección de correo electrónico un dato de carácter personal? En general una dirección de correo no identifica a una persona (por ejemplo, contacto@s21sec.com), aunque en muchos casos se utilizan reglas para definir dichas direcciones que pueden dar mucha información (nombre+apellido@s21sec.com). Por lo tanto, dada la definición, no se puede afirmar que la dirección de correo electrónico sea un dato de carácter personal. Sin embargo, una dirección de correo electrónico siempre está asociada a un dominio, mediante el cual es posible identificar al sujeto “dueño” de dicha dirección. La APD (Agencia de Protección de Datos) considera que sí y por lo tanto queda dentro del ámbito de aplicación de la LOPD.

Como resumen, un dato de carácter personal es toda aquella información que identifica de manera unívoca a una persona. Pero conviene tener cuidado, también la combinación de otras informaciones sin aparente importancia y que no corresponden a dicha categoría pueden conducir a la elaboración de perfiles y a la identificación como última consecuencia (“Mira lo que me he bajado para el móvil, te registras, luego le das aquí y te aparece donde están los restaurantes que tienes cerca”).

Más información:

Información y decálogo sobre la protección de datos (Gobierno de Navarra)
En este blog: aquí, aquí y aquí.

Alberto Yoldi
S21Sec e-crime

3 comentarios:

Anónimo dijo...

De mi esperiencia, la interpretación que hace la AEPD respecto de una dirección de correo electronico sería la siguiente:
PepePerez@agpd.es seria un dato de caracter personal, en todo caso.
pe234@agpd.es no seria dato de caracter personal, pues no define univocamente a la persona, ni siquiera se sabe realmente si es un correo de una persona, podria serlo de una unidad administrativa, de un servicio de listas, de un buzon de sugerencias, etc. pero si pasa a ser dato de caracter personal cuando se asocia a una perona. Asi, si tenemos
Pepe Perez, telefono: 2345667, e-mail: pe234@agpd.es.
En este caso si que es un dato de caracter personal.

Anónimo dijo...

Perdor, quise decir experiencia.

deincognito dijo...

Buenas, Alberto

Buen artículo.

Podrás encontrar una corrección a lo dicho en este post en las reflexiones que hice aquí no hace mucho (busca deincognito). No se trata de identificar unívocamente, nuestro legislador mete la pata. Se trata de que se puede identificar a una persona y, en función de lo que se conoce de ella, se desarrollen tratamientos que impacten en el ejercicio de sus derechos con independencia de que conozcamos o poder conocer su nombre y apellidos:

http://www.samuelparra.com/2009/06/18/ley-proteccion-datos-no-aplicable-sistemas-videovigilancia-que-no-generen-ficheros/

Salu2


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login