La legislación europea, Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997, y la española LOPD 15/99 de 13 dic y más recientemente el RLOPD (Reglamento de la LOPD, 1720/2007 de 27 dic.) definen el concepto de dato personal mediante una redacción que puede llegar a quedarse corta:

El artículo 3 de la LOPD utiliza una definición muy genérica de Datos de Carácter Personal:

“cualquier información concerniente a personas físicas identificadas o identificables”.

Esta definición ha sido ampliada por el artículo 5 del RLOPD al referirse a los mismos como:

“cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

Asimismo, el RLOPD ha incluido en el Glosario de Términos la definición de persona identificable, entendiendo como tal:

“toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”.

Aun así, el término sigue siendo poco preciso.

Fuera de los típicos ficheros informáticos o en papel donde existan datos “directos” de personas, es decir características o valores, existen otras “manifestaciones” de los datos personales a partir de los cuales ha sido necesario un estudio específico. De esta manera la AEPD (Agencia Española de Proteccion de datos) a través de sus Resoluciones ha ido concretando  y ampliando los conceptos, por lo que también deberemos considerar Datos Personales los siguientes:

• La imagen de un empleado (fija o grabación de vídeo): “…la grabación de la imagen de una persona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste el criterio de la Agencia Española de Protección de Datos…” (Resolución R/00035/2006, Cuestiones Generales sobre Videovigilancia).
  
  
• La imagen de un cliente//fan o friend. Ello implica que si disponemos de alguna comunidad web, página en facebook, twitter, etc y hacemos acciones de marketing sobre nuestro CRM SOCIAL, debemos o bien declarar este fichero especificamente o asociar estos sistemas de información al fichero actual de clientes.
  
  
• La dirección de correo electrónico: “…no existe duda de que la dirección decorreo electrónico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal”. (Cribado de correo electrónico. Informe Jurídico 0391/2007.).
  
  
• La dirección IP: “…las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”. Dice elifnorme “En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999”.
  (Carácter de dato personal de la dirección IP. Informe AEPD 327/2003.).
  
  
• Las Cookies . La generación de datos transaccionales y los logs que almacenan los proveedores de acceso a Internet también es importante desde este punto de vista, ya que contienen información personal sobre las visitas de los navegantes a los sitios que, al igual que con las cookies, se relaciona con una dirección IP. Por otro lado, y tal como señala María de los Reyes Corripio10, podemos equiparar los datos transaccionales a los “datos sobre el tráfico” a que se refiere la Directiva sobre Protección de Datos, y considerarse, por tanto, datos de carácter personal.
  
  
• La grabación de voz. En algunas organizaciones en los servicios de Call Center se guardan las llamadas de los clientes. Incluso en ocasiones algunos sistemas automatizados guardan esta conversación conviertiéndola en texto y enviando la llamada por correo electrónico.
  
  
• Datos biométricos (huella, iris, etc.): “los datos biométricos tenían la condición de datos de carácter personal y que, dado que los mismos no contienen ningún aspecto concreto de la personalidad, limitando su función a identificar a un sujeto cuando la información se vincula con éste, su tratamiento no tendrá mayor trascendencia que el de los datos relativos a un número de identificación personal, a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos”.
  (Tratamiento de la huella digital de los trabajadores. Informe AEPD 1/1999.).
  
  
• Datos de tráfico. Lo mismo puede decirse con los llamados clickstream data, que se recogen tanto por proveedores de acceso como por los servidores de páginas web, y contienen información sobre los sitios y páginas web visitadas, el tiempo que se ha estado en cada una, el orden en que se han visitado, los foros en los que ha participado el usuario y las direcciones de correo electrónico enviadas o recibidas por éste.

Todos estos datos se utilizan para finalidades asociadas al Marketing one to one y al Email marketing, lo que requiere la elaboración de contenidos personalizados de acuerdo con el perfil del cliente. En este sentido, sobre todas estas casuísticas de datos personales será necesario aplicar toda la relación de  medidas y actuaciones (aviso legal, registro de ficheros, medidas de seguridad, etc.)