En 1999, la Agencia Española de Protección de Datos (AEPD) emitió un informe jurídico para determinar si la venta o cesión de un fichero que contenga direcciones de correo electrónico debía considerarse como cesión de datos según la Ley Orgánica de Protección de Datos (LOPD). Este análisis se basó en si dichas direcciones tenían la consideración de datos de carácter personal, conforme al artículo 3.a) de la LOPD.
La dirección de correo electrónico se forma por un conjunto de signos o palabras elegidos por su titular, con la única restricción de que no coincidan con las de otra persona. Esta combinación puede tener o no significado y puede coincidir con el nombre de otra persona. Por lo tanto, se identificaron dos supuestos esenciales de direcciones de correo electrónico, atendiendo al grado de identificación con el titular de la cuenta:
1. **Identificación directa**: En este caso, la dirección de correo electrónico contiene información sobre su titular, como nombre, apellidos, empresa o país de residencia. En este supuesto, la dirección de correo electrónico identifica directamente al titular, por lo que se considera un dato de carácter personal. Ejemplos incluyen direcciones que contienen el nombre y apellidos del titular, o el dominio de la empresa en la que trabaja.
2. **Identificación indirecta**: Aquí, la dirección de correo electrónico no parece mostrar datos relacionados con el titular (por ejemplo, una combinación alfanumérica sin significado). Sin embargo, la dirección está referenciada a un dominio concreto, lo que permite identificar al titular mediante la consulta del servidor que gestiona dicho dominio. Aunque este proceso puede requerir un esfuerzo adicional, no se considera desproporcionado. Por lo tanto, también en este caso, la dirección de correo electrónico se considera un dato de carácter personal, para garantizar la máxima protección de los derechos fundamentales de las personas, incluyendo el derecho a la privacidad.
En consecuencia, la AEPD concluyó que la cesión de un listado de direcciones de correo electrónico está sujeta al artículo 11 de la LOPD. La mera publicación en Internet de un directorio de direcciones de correo electrónico no convierte estos datos en accesibles al público, ya que dicha inclusión implica un tratamiento de datos que debe contar con el consentimiento informado de los afectados, conforme a los artículos 5 y 6 de la LOPD.
Este informe subraya la importancia de proteger las direcciones de correo electrónico como datos personales, independientemente de si contienen información directa o indirecta sobre el titular. La AEPD enfatiza la necesidad de obtener el consentimiento de los afectados antes de cualquier cesión o tratamiento de estos datos, asegurando así la protección de su privacidad.