El Informe Jurídico 285/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la posibilidad de crear una cuenta de correo electrónico común para la transmisión de datos personales sometidos a medidas de seguridad de nivel alto. La consulta planteada no encuentra una respuesta directa en las normas de protección de datos, lo que dificulta una respuesta terminante. Sin embargo, el informe ofrece una serie de consideraciones basadas en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007.
El informe destaca que, aunque las normas no abordan específicamente la creación de cuentas de correo común para datos sensibles, es crucial cumplir con las medidas de seguridad establecidas en el Título VIII del Reglamento. Estas medidas incluyen la definición clara y documentada de las funciones y obligaciones de los usuarios con acceso a los datos, así como la implementación de mecanismos de control para evitar accesos no autorizados.
El artículo 89 del Reglamento establece que las funciones y obligaciones de los usuarios deben estar claramente definidas y documentadas en el documento de seguridad. Además, el artículo 91.1 y 91.3 especifican que los usuarios solo deben tener acceso a los recursos necesarios para el desarrollo de sus funciones, y que deben existir mecanismos para evitar accesos no autorizados.
En el caso de medidas de seguridad de nivel alto, el artículo 103 del Reglamento exige un estricto control de los accesos, registrando detalles como la identificación del usuario, la fecha y hora del acceso, el fichero accedido, y si el acceso fue autorizado o denegado. Además, el artículo 105 establece que la transmisión de datos a través de redes públicas o inalámbricas debe realizarse cifrando los datos o utilizando mecanismos que garanticen su integridad y confidencialidad.
El informe concluye que, aunque el Reglamento no se refiere directamente a la creación de cuentas de correo común para datos sensibles, es prudente y garantista sujetar dicha creación a cautelas que aseguren la identificación del remitente y la transmisión segura de los datos. Por lo tanto, se recomienda atribuir direcciones de correo específicas a cada usuario autorizado o, en su defecto, limitar el acceso a las cuentas de correo a quienes estén autorizados para transmitir los datos.
En resumen, la AEPD aconseja que cualquier iniciativa de crear cuentas de correo común para la transmisión de datos personales sensibles debe estar respaldada por medidas de seguridad robustas y mecanismos de control estrictos, en línea con las disposiciones del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.