El informe jurídico de la AEPD (Agencia Española de Protección de Datos) sobre el cribado de correos electrónicos, emitido en 2007, aborda la consulta de una empresa sobre si la actividad de cribado de correos electrónicos realizada por una empresa en Estados Unidos constituye un tratamiento de datos conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y si implica una transferencia internacional de datos.
### Consideraciones Principales:
1. **Direcciones de Correo Electrónico como Datos Personales**:
– Las direcciones de correo electrónico se consideran datos de carácter personal, ya que pueden identificar directamente a una persona. Esto implica que cualquier tratamiento de estas direcciones está sujeto a la Ley Orgánica 15/1999.
2. **Tratamiento de Datos**:
– La actividad de cribado de correos electrónicos por parte de una empresa en Estados Unidos se considera un tratamiento de datos, ya que implica la recogida, grabación, conservación y elaboración de información personal.
3. **Encargado del Tratamiento**:
– La empresa estadounidense que realiza el cribado es considerada encargada del tratamiento, siempre y cuando el tratamiento se limite a la actividad contratada y no utilice los datos para otros fines.
4. **Contrato y Medidas de Seguridad**:
– Es necesario un contrato escrito entre la empresa española (responsable del tratamiento) y la empresa estadounidense (encargada del tratamiento) que especifique las condiciones del tratamiento, las medidas de seguridad y la destrucción o devolución de los datos una vez cumplido el contrato.
5. **Transferencia Internacional de Datos**:
– La transferencia de datos a Estados Unidos, un país que no ofrece un nivel adecuado de protección de datos, implica una transferencia internacional. Para que esta transferencia sea legal, debe cumplirse con lo dispuesto en la Ley Orgánica 15/1999 y obtener la autorización del Director de la AEPD.
6. **Información y Consentimiento**:
– Los empleados deben ser informados sobre el cribado de sus correos electrónicos y los medios utilizados. La empresa tiene legitimación para filtrar el contenido de los correos electrónicos de los empleados siempre que se trate de cuentas proporcionadas por la empresa para fines laborales y se haya informado previamente a los trabajadores.
7. **Legitimación y Proporcionalidad**:
– La empresa debe justificar la necesidad del cribado y asegurarse de que las medidas de vigilancia sean proporcionales al riesgo y respeten la dignidad y privacidad de los trabajadores.
### Recomendaciones:
– **Transparencia**: Informar claramente a los trabajadores sobre las políticas de vigilancia y los motivos detrás de las mismas.
– **Proporcionalidad**: Asegurarse de que las medidas de control sean adecuadas y necesarias para proteger los intereses legítimos de la empresa sin invadir excesivamente la privacidad de los trabajadores.
– **Seguridad**: Implementar medidas de seguridad adecuadas para proteger los datos personales y evitar accesos no autorizados.
– **Consentimiento**: Limitar el uso del consentimiento a situaciones en las que los trabajadores puedan expresarse libremente y sin perjuicio.
### Conclusión:
El informe subraya la importancia de cumplir con la normativa de protección de datos tanto en el tratamiento de datos como en las transferencias internacionales. La empresa debe asegurarse de que todas las actividades de cribado de correos electrónicos se realicen de manera transparente, proporcional y segura, y que se obtenga el consentimiento informado de los trabajadores afectados. Además, es crucial contar con un contrato adecuado que regule la relación entre el responsable y el encargado del tratamiento, y obtener la autorización necesaria para la transferencia internacional de datos.