El informe jurídico de la AEPD (Agencia Española de Protección de Datos) con número 0156/2009 aborda la cuestión de cómo debe considerarse, a efectos de la normativa de protección de datos, la situación en la que ciertos datos de participantes en un juego quedaron expuestos debido a una manipulación fraudulenta. Los datos en cuestión (teléfono y correo electrónico) fueron facilitados voluntariamente por los participantes y no eran estrictamente necesarios para la participación en el concurso.
El informe comienza analizando si los datos de teléfono y correo electrónico constituyen datos personales, lo cual determinaría la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Según el artículo 2.1 de esta ley, se considera dato personal cualquier información concerniente a personas físicas identificadas o identificables. El artículo 5.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999 amplía esta definición, incluyendo cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que permita identificar a una persona.
La Audiencia Nacional ha ratificado este criterio en varias sentencias, destacando que un dato es personal si su identificación puede realizarse sin esfuerzos desproporcionados. En el caso de los números de teléfono, si están asociados a un nombre y apellidos, claramente constituyen datos personales. Incluso sin esta asociación directa, si permiten identificar al titular, también se consideran datos personales.
En cuanto a las direcciones de correo electrónico, el informe señala que pueden ser consideradas datos personales en dos supuestos: cuando contienen información explícita sobre el titular (como nombre y apellidos) y cuando, aunque no contengan esta información, pueden ser referenciadas a un dominio concreto que permita identificar al titular sin un esfuerzo desproporcionado.
El informe concluye que tanto el número de teléfono como el correo electrónico de los usuarios del juego constituyen datos personales, y su tratamiento está sujeto a la Ley Orgánica 15/1999. Esta ley impone al responsable del fichero la adopción de medidas de seguridad adecuadas para garantizar la integridad y confidencialidad de los datos, evitando su alteración, pérdida o acceso no autorizado.
El Reglamento de desarrollo de la Ley Orgánica 15/1999 establece tres niveles de medidas de seguridad (básico, medio y alto) que deben adoptarse en función de la naturaleza de los datos tratados. En el caso de una incidencia como la descrita, se debe registrar en el registro de incidencias, detallando el tipo de incidencia, el momento en que se produjo, las personas involucradas y las medidas correctoras aplicadas.
Finalmente, el informe aborda la cuestión de la transferencia internacional de datos, señalando que las transferencias a países que no proporcionen un nivel de protección equiparable al de la ley española requieren autorización previa de la AEPD, salvo en los casos excepcionales previstos en la ley. La transferencia debe declararse en el Registro General de Protección de Datos, independientemente de si se requiere autorización o no.