Qué significa el RGPD para tu email — y qué no cubre
Las normativas de protección de datos cambiaron la forma en que las empresas piensan en el software que usan. El email no es la excepción, y el RGPD aparece una y otra vez como el motivo por el que las compañías revisan a sus proveedores. Pero "cumple con el RGPD" se volvió una etiqueta que se aplica a casi todo, y muchas veces significa cosas muy distintas.
Qué exige el RGPD
En el fondo, el RGPD establece que los datos personales deben recogerse con un fin concreto, usarse solo para ese fin, protegerse con un cuidado razonable y eliminarse cuando ya no hagan falta.
Para el email en concreto, esto se traduce en algunas cosas prácticas. Los datos deben vivir en lugares definidos y protegidos. El acceso debe estar controlado y registrado. Cuando un usuario o una organización pide que se borre algo, ese borrado tiene que ser real, no una banderita en una base de datos mientras el contenido real sigue ahí durante años.
Este último punto importa más de lo que parece. Un borrado real significa que la base de datos ejecuta un delete y que los respaldos expiran según un calendario definido. No es complicado, pero requiere intención.
Dónde se complica el "cumple"
El RGPD cubre la protección de datos. No prohíbe que un proveedor use tus datos dentro de sus propios sistemas, siempre que lo declare en sus términos de servicio. Un proveedor puede cumplir el RGPD al cien por cien y aun así usar el contenido de tus emails para entrenar modelos internos, mejorar sistemas de filtrado o tomar decisiones de producto.
Casi nadie lee los términos a fondo. La mayoría asume que "cumple" significa que su correspondencia se trata como privada. Esas dos cosas no siempre coinciden.
El RGPD aplicado al email funciona distinto
Casi toda la discusión sobre RGPD gira en torno al consentimiento: ¿la persona aceptó recibir este email, aceptó que se procesaran sus datos? Pero la correspondencia normal de trabajo no funciona así. Cuando un proveedor te manda una cotización, cuando un cliente te envía un brief, cuando un colega te reenvía un documento, nadie firmó nada. Nadie hizo opt-in.
El contenido de un email es dato personal según el RGPD. Nombres, direcciones de correo, archivos adjuntos, conversaciones sobre personas: todo entra dentro de la definición del reglamento. El nombre del remitente está en la cabecera. Sus palabras, en el cuerpo. La gente envía contraseñas, credenciales de acceso, contratos, datos financieros, sin pensarlo dos veces y sin preguntarse dónde termina realmente ese contenido. Según el RGPD, cualquier dato que sirva por sí solo o combinado con otros para identificar a una persona cuenta. Un hilo de correo cuenta de sobra.
Entonces, ¿qué base legal cubre que el destinatario almacene y procese ese mensaje? El RGPD exige una base legal para todo tratamiento. La más citada para correspondencia recibida en contexto profesional es el "interés legítimo": la idea de que existe una relación relevante y proporcionada entre las partes. En lenguaje llano: recibiste un email en el curso de tu actividad, guardarlo es razonable. Esa es la base en la que se apoyan casi todas las organizaciones, lo sepan o no.
Algunas organizaciones intentan tapar la ausencia de un acuerdo con un aviso al pie del correo: una línea diciendo que el mensaje va dirigido solo al destinatario nombrado y que cualquier uso no autorizado queda prohibido. Esos avisos no generan ninguna obligación legal. Los añade el remitente después de que el mensaje ya salió de su control, y llegan a una infraestructura con la que no tiene acuerdo alguno. Pueden señalar una intención, pero no obligan a nadie. Y más allá de lo legal, hay una cuestión práctica: la expectativa implícita de privacidad en la correspondencia existe, da igual lo que permitan los términos. Cuando un proveedor rompe esa expectativa, a propósito o no, el daño a la confianza suele ser permanente.
Cómo lo enfocamos en Grace Mail
Diseñamos Grace Mail sobre un principio que va más allá del mínimo regulatorio. Tus datos no deberían ser legibles, utilizables ni accesibles para nadie fuera de tu organización, nosotros incluidos.
En la práctica, esto significa una instancia dedicada por cliente: tu servidor, tus datos, sin infraestructura compartida. Significa cifrado aplicado de forma agresiva, minimizando el tiempo que cualquier contenido pasa fuera del almacenamiento cifrado. Significa borrado real cuando se solicita, y respaldos que expiran según un calendario definido. Y significa un cliente de correo propio en desarrollo que pone las claves de cifrado directamente en manos de los usuarios para reforzar aún más la seguridad.
Nada de esto lo exige el RGPD. Nosotros pensamos que debería ser la base, igualmente.
En el caso improbable de que algo saliera mal, el modelo de instancia dedicada hace que la exposición quede contenida a una sola organización. No millones de buzones. Uno.
Nuestra recomendación
El email casi nunca se revisa hasta que algo obliga a hacerlo. Funciona, así que se queda. Pero la aplicación del RGPD está madurando, el entrenamiento de IA con datos de comunicaciones dejó de ser una preocupación de nicho, y las empresas que tratan la privacidad como algo secundario están cada vez más expuestas y son cada vez más responsables. Vale la pena preguntar a tus equipos legales y técnicos cómo se procesa realmente tu correo, dónde vive y qué les permiten hacer con él los términos de tu proveedor.