El otro día, en una conversación entre compañeras y compañeros del sector legal y tecnológico, surgió una pregunta aparentemente sencilla, pero con implicaciones profundas: ¿las contraseñas son datos personales? Lo curioso fue que, lejos de haber consenso, cada uno defendía con sólidos argumentos su postura. Y ahí pensé: este debate merece ser compartido.
Desde Legitec, como consultores en protección de datos y ciberseguridad, queremos lanzar esta cuestión a nuestra comunidad profesional, a clientes actuales y futuros, y a quienes simplemente se interesan por cómo se protegen sus datos en el mundo digital. Porque esta no es una discusión meramente teórica. La respuesta a esta pregunta puede determinar el nivel de responsabilidad legal, las medidas de seguridad aplicables y el enfoque que adopta una organización para proteger la información de sus usuarios.
Veamos los dos lados del debate.
🎯 Primera postura: Sí, claro que son datos personales
Quienes están en este lado de la balanza lo tienen claro: una contraseña está directamente relacionada con una persona. Y si el RGPD dice que un dato personal es cualquier información que permita identificarla (directa o indirectamente), la contraseña entra de lleno.
Algunos de sus argumentos:
- Las contraseñas casi siempre están ligadas a un email, un nombre de usuario o una cuenta concreta. Si esa cuenta es identificable, la contraseña también lo es.
- Muchas veces contienen pistas personales: fechas de nacimiento, nombres de hijos, mascotas… incluso datos sensibles (¡ojo ahí!).
- El acceso a una contraseña suele abrir la puerta a toda la identidad digital de alguien. Si eso no es personal, ¿qué lo es?
- Y por cierto: la AEPD ha impuesto sanciones a empresas por no proteger bien las contraseñas. Lo ha hecho aplicando el RGPD, como si fueran datos personales.
❌ Otra postura: No, una contraseña por sí sola no identifica a nadie
Otros defienden que estamos exagerando. Que una contraseña, aislada, es solo una cadena de caracteres, sin ningún valor identificativo.
Estos son algunos de sus puntos clave:
- “g7#lM%29” no nos dice absolutamente nada sobre nadie. Sin contexto, no identifica.
- Lo importante es el combo usuario + contraseña. Separadas, no valen nada.
- Muchas contraseñas están cifradas o “hasheadas”. Es decir, ni siquiera la empresa que las guarda puede leerlas. ¿Cómo va a ser eso un dato personal?
- Considerarlas siempre datos personales puede llevar a una sobrerregulación innecesaria. Ya hay normas técnicas que obligan a protegerlas (ENS, ISO, NIST…). No hace falta meter el RGPD en todo.
¿Y qué dice la ley?
Aunque el RGPD no menciona expresamente las contraseñas, sí hay pronunciamientos relevantes. Por ejemplo, el Comité Europeo de Protección de Datos (EDPB) ha considerado que identificadores como nombres de usuario, claves de acceso y otros elementos de autenticación son datos personales cuando están vinculados a una cuenta identificable.
Por su parte, la Agencia Española de Protección de Datos (AEPD) ha sancionado en diversas ocasiones a entidades que no protegían adecuadamente las contraseñas de sus usuarios, aplicando el artículo 32 del RGPD. Y no lo ha hecho por tratarse de información técnica o confidencial, sino por considerar que el tratamiento de contraseñas forma parte de los datos personales que deben protegerse.
En definitiva, el contexto es clave. Una contraseña sin vinculación a ninguna cuenta o persona puede no ser un dato personal. Pero en la mayoría de los escenarios reales, esa contraseña forma parte del ecosistema de identificación digital de una persona física. Y ahí entra el RGPD.
Entonces… ¿qué hacemos?
Como suele pasar en protección de datos, no hay una única respuesta universal. Pero sí hay una conclusión clara: si en tu empresa recoges o almacenas contraseñas de usuarios, lo más seguro (y responsable) es tratarlas como si fueran datos personales.
¿Significa eso aplicar el RGPD, cifrarlas, documentarlo todo, tener medidas técnicas adecuadas y notificar si hay una brecha?
Sí. Y además, te lo exige el sentido común.
En Legitec, ayudamos cada día a empresas, ayuntamientos, asociaciones y organizaciones de todo tipo a resolver este tipo de dudas. No solo desde la ley, sino con una mirada práctica y adaptada a cada realidad. Porque cumplir no es solo «rellenar papeles». Es entender bien los riesgos, anticiparse y actuar con cabeza.
¿Y tú qué opinas?
¿Crees que las contraseñas deberían tratarse siempre como datos personales? ¿Depende del caso? ¿Estamos sobrerregulando?
Nos encantará leerte en comentarios o redes.