Qué significa el RGPD para tu correo electrónico (y qué no cubre)

Qué exige el RGPD

En esencia, el RGPD establece que los datos personales deben recogerse con un fin concreto, usarse solo para ese fin, protegerse con un cuidado razonable y eliminarse cuando ya no hagan falta.

Para el correo electrónico, esto se traduce en cosas muy concretas. Los datos deben vivir en lugares definidos y protegidos. El acceso debe estar controlado y registrado. Cuando un usuario o una organización pide la eliminación, esa eliminación tiene que ser real, no una marca discreta en una base de datos mientras el contenido sigue ahí durante años.

Este último punto importa más de lo que parece. Eliminar de verdad significa que la base de datos procesa un borrado y que las copias de seguridad caducan según un calendario definido. No es complicado, pero requiere intención.

Dónde se complica el "cumplimiento"

El RGPD trata sobre la protección de datos. No prohíbe que un proveedor use tus datos dentro de sus propios sistemas, siempre que lo declare en sus términos de servicio. Un proveedor puede cumplir el RGPD al cien por cien y aun así usar el contenido de tus correos para entrenar modelos internos, mejorar filtros o tomar decisiones de producto.

Casi nadie lee los términos con detalle. Casi todos asumen que "cumple" significa que su correspondencia se trata como algo privado. Y no siempre es lo mismo.

El RGPD aplicado al correo es distinto

La mayor parte del debate sobre el RGPD gira en torno al consentimiento: si la persona aceptó recibir ese correo, si aceptó el tratamiento de sus datos. Pero la correspondencia profesional normal no funciona así. Cuando un proveedor te manda un presupuesto, cuando un cliente te envía un brief, cuando un colega te reenvía un documento, nadie ha firmado nada. Nadie ha dado su consentimiento.

El contenido de un correo es dato personal según el RGPD. Nombres, direcciones, adjuntos, conversaciones sobre personas, todo entra en la definición del reglamento. El nombre del remitente está en la cabecera. Sus palabras, en el cuerpo. La gente envía contraseñas, credenciales de acceso, contratos, datos financieros, sin pensar dos veces dónde acaba ese contenido. Según el RGPD, cualquier dato que sirva, solo o combinado, para identificar a una persona entra en la regulación. Un hilo de correo entra sobradamente.

Entonces, ¿qué base legal cubre que el destinatario almacene y procese ese mensaje? El RGPD exige una base lícita para cualquier tratamiento. La más citada para la correspondencia profesional recibida es el "interés legítimo": la idea de que existe una relación pertinente y proporcionada entre las partes. En cristiano: recibiste un correo en el curso de tu actividad, guardarlo es razonable. Esa es la base en la que se apoyan casi todas las organizaciones, lo sepan o no.

Algunas intentan compensar la falta de cualquier acuerdo con un descargo de responsabilidad en el pie del mensaje: una línea que dice que el correo va dirigido solo al destinatario indicado y que se prohíbe cualquier uso no autorizado. Esos avisos no crean obligación legal. Los añade el remitente después de que el mensaje haya salido de su control, y llegan a una infraestructura con la que no tiene ningún acuerdo. Pueden indicar intención, pero no obligan a nadie. Y más allá de lo legal, hay una cuestión práctica: la expectativa implícita de privacidad en la correspondencia es real, da igual lo que permitan los términos. Cuando esa expectativa se rompe, por un proveedor, sea a propósito o no, el daño a la confianza suele ser permanente.

Cómo lo enfocamos en Grace Mail

Diseñamos Grace Mail en torno a un principio que va más allá del mínimo regulatorio. Tus datos no deberían ser legibles, utilizables ni accesibles para nadie fuera de tu organización, nosotros incluidos.

En la práctica, eso significa una instancia dedicada por cliente: tu servidor, tus datos, nada de infraestructura compartida. Significa cifrado aplicado de forma agresiva, reduciendo al mínimo el tiempo que cualquier contenido pasa fuera del almacenamiento cifrado. Significa eliminación real cuando se solicita, y copias de seguridad que caducan según un calendario definido. Y significa un cliente de correo propio, en desarrollo, que pone las claves de cifrado directamente en manos del usuario para reforzar aún más la seguridad.

Nada de esto lo exige el RGPD. Nosotros creemos que debería ser lo mínimo de todas formas.

En el caso improbable de que algo saliera mal, el modelo de instancia dedicada contiene la exposición a una sola organización. No a millones de buzones. Uno.

Nuestra recomendación

El correo electrónico casi nunca se revisa hasta que algo obliga a hacerlo. Funciona, así que se queda. Pero la aplicación del RGPD se está afinando, el entrenamiento de IA con datos de comunicaciones ya no es una preocupación de minorías, y las empresas que tratan la privacidad como algo accesorio cada vez se ven más, y rinden cuentas más a menudo. Vale la pena preguntar a tus equipos legal y técnico cómo se procesa tu correo de verdad, dónde vive y qué permiten hacer con él los términos de tu proveedor.