Blog
GOOGLE DOT RULE: Un riesgo invisible para la privacidad y el cumplimiento normativo
TagsLeyesprevenciónciberseguridadfraude en líneacumplimiento legalprotección de datos
GOOGLE DOT RULE: Un riesgo invisible para la privacidad y el cumplimiento normativo

I. Resumen Ejecutivo.

Este documento examina la configuración de Gmail denominada “Google Dot Rule” como un riesgo emergente y frecuentemente subestimado en materia de privacidad, que puede afectar directamente el cumplimiento de leyes como la Ley 21.719 de Protección de Datos Personales en Chile, la LOPDP de Ecuador. A partir de la combinación entre el diseño técnico de Gmail (ignorancia de puntos y uso de alias con “+”) y las prácticas habituales de registro y gestión de correos electrónicos en las organizaciones, se describe cómo se pueden producir fugas de información, tratamientos indebidos tras la revocación del consentimiento y errores en la gestión de derechos de los titulares.

El trabajo desarrolla los fundamentos técnicos del comportamiento de Gmail, analiza su relevancia práctica a la luz de estadísticas de uso global y latinoamericano, y revisa casos y criterios de autoridades de protección de datos en materia de calidad del dato, seguridad y comunicaciones erróneas, como marco análogo para comprender el riesgo. Finalmente, se proponen recomendaciones legales, técnicas y de procesos, con especial foco en sectores críticos (financiero, retail, telecomunicaciones y salud), y se plantea la necesidad de incorporar este fenómeno dentro de los modelos de privacidad desde el diseño y de gobernanza de datos, como un ejemplo concreto de cómo decisiones técnicas aparentemente menores pueden tener un impacto significativo en el cumplimiento regulatorio.

II. Introducción.

El comportamiento de normalización de direcciones implementado por Gmail —conocido como Google Dot Rule— constituye un fenómeno técnico de larga data, derivado de la libertad que otorga el estándar SMTP/IMAP respecto del tratamiento de la “local part” de una dirección electrónica (RFC 5321 y RFC 5322). Bajo esta regla, Gmail elimina todos los puntos presentes antes del símbolo @ y omite todo el texto que sigue al operador “+”, generando así múltiples variantes de una misma dirección que convergen en un único buzón.

Aunque este comportamiento está documentado públicamente por Google, pocas organizaciones lo integran en sus modelos de gestión de datos, verificación de identidad o control de calidad del dato. Esta desconexión entre el diseño técnico de Gmail y los procesos corporativos de registro, autenticación y contacto crea escenarios de riesgo que impactan directamente la privacidad y la protección de datos personales.

Desde la perspectiva normativa, este fenómeno interactúa con principios centrales del cumplimiento, tales como:

• Exactitud y actualización de los datos - (Ley 21.719 art. 8, RGPD art. 5.1.d, LOPDP art. 10)

• Limitación de la finalidad y minimización - (Ley 21.719 art. 7, RGPD art. 5.1.b-c)

• Integridad y confidencialidad (Ley 21.719 art. 24, RGPD art. 5.1.f)

• Gestión del consentimiento y su revocación - (Ley 21.719 art. 13, LOPDP art. 18, RGPD art. 7)

En contextos donde Gmail domina el ecosistema de correo personal —superando el 60% en varios países de Latinoamérica—, la probabilidad de materialización de errores derivados del Dot Rule aumenta exponencialmente. Esto no solo habilita fugas involuntarias de información o comunicaciones enviadas sin base legal, sino que también desafía la robustez de los modelos de riesgo, gobernanza del dato y principios de privacidad desde el diseño que las organizaciones afirman implementar.

Este documento analiza el Google Dot Rule desde una perspectiva integral —técnica, normativa y operativa—, presentando evidencia, casos comparables, escenarios reales de riesgo y medidas específicas para mitigar estos impactos en industrias críticas como la financiera, retail, telco y salud.

III. Fundamento técnico del Google Dot Rule.

El “Google Dot Rule” es un comportamiento específico del servicio Gmail que deriva de la libertad otorgada a los proveedores de correo para interpretar la local-part de una dirección de email, conforme a los estándares definidos en RFC 5321 (SMTP) y RFC 5322 (Internet Message Format). Estos estándares establecen que la parte anterior al símbolo @ es completamente gestionada por cada proveedor, permitiendo reglas internas de normalización, alias o equivalencias funcionales.

En el caso de Gmail, la normalización incluye dos mecanismos principales:

a) Eliminación de puntos (“.”) en la parte local

Gmail considera equivalentes todas las direcciones donde el nombre de usuario difiere únicamente por la presencia, ausencia o ubicación de puntos. Ejemplo funcional:

• jose.berrios@gmail.com

• j.o.s.e.berrios@gmail.com

• joseberrios@gmail.com

Todas se resuelven al mismo identificador interno, generando una única bandeja de entrada joseberrios@gmail.com

b) Alias mediante signo “+” (subaddressing)

Gmail también ignora todo el contenido que sigue al signo “+”, de acuerdo con mecanismos de subdireccionamiento permitidos por los RFC. Ejemplo:

• jose.berrios+promo@gmail.com

• joseberrios+registro@gmail.com ambas redirigen al titular real de joseberrios@gmail.com.

Este comportamiento está documentado públicamente en el Google Help Center, aunque rara vez es considerado por organizaciones que dependen del email como identificador. La normalización implica que direcciones que parecen distintas para un sistema corporativo pueden, en realidad, ser la misma para Gmail. Por ende, si una empresa almacena estas variantes sin aplicar una capa propia de normalización, se genera una divergencia entre la identidad percibida por la organización y la identidad real gestionada por Gmail.

Desde una perspectiva técnica, el riesgo emerge cuando un responsable del tratamiento utiliza el email como clave primaria, parámetro de segmentación, o identificador de cliente, sin comprender las reglas de equivalencia implementadas por Gmail. Este desfase puede resultar en:

• Envío de información personal a destinatarios incorrectos.

• Incumplimientos en la revocación del consentimiento.

• Conflictos en la gestión de identidad digital.

• Errores de seguridad y privacidad estructurales.

En síntesis, el Google Dot Rule no es un error ni una falla, sino una decisión de diseño alineada con los estándares de correo electrónico. El riesgo surge cuando las organizaciones no adaptan sus procesos, sistemas y controles para gestionar estas equivalencias. Esto convierte un comportamiento técnico legítimo en un vector de riesgo para el cumplimiento normativo y la protección de datos.

IV. Uso masivo de Gmail: impacto y estadísticas.

El impacto potencial del Google Dot Rule depende directamente de la penetración que tiene Gmail como proveedor de correo electrónico a nivel global y regional. En este sentido, diversas fuentes coinciden en que Gmail es, desde hace varios años, uno de los servicios de correo gratuito más utilizados en el mundo. Según un análisis de mercado actualizado al año 2025, Gmail concentra alrededor del 24 %–30 % del mercado global de clientes de correo electrónico, consolidándose como uno de los principales proveedores a escala planetaria. Otros estudios, como los de CleanEmail, sitúan la cuota global de Gmail en torno al 30.7 %, lo que refuerza la idea de su presencia dominante en el ecosistema digital.

Cuando se revisan cifras de usuarios activos, no solo de cuota de mercado, la magnitud de Gmail se hace aún más evidente. Google ha informado que el servicio cuenta con más de 1.8 mil millones de usuarios activos, cifra instalada en múltiples reportes y análisis sectoriales. Este volumen de usuarios, superior al tamaño de la población de todos los países de Latinoamérica combinados, convierte cualquier riesgo asociado al comportamiento técnico de Gmail en un riesgo con alcance masivo.

El caso latinoamericano es particularmente relevante, dado que la región muestra una adopción muy alta de servicios gratuitos de correo, especialmente Gmail. Según los datos más recientes disponibles, en Chile aproximadamente el 67.3 % de los residentes utilizan Gmail como su proveedor principal de correo personal libre, una de las cifras más altas a nivel regional. Estudios sobre marketing digital en LATAM indican que los proveedores más utilizados en campañas masivas siguen siendo Gmail, Outlook/Hotmail y Yahoo, cubriendo más del 70 % del ecosistema regional de correos personales.

En conjunto, estas cifras muestran que una proporción muy significativa de la población —tanto global como especialmente latinoamericana— utiliza Gmail como correo personal. Esto implica que la compatibilidad (o incompatibilidad) entre la Google Dot Rule y los procesos internos de registro, validación y depuración de correos electrónicos dentro de las organizaciones no es un riesgo marginal, sino uno con impacto poblacional, regulatorio y operacional. En consecuencia, cualquier desviación en la calidad del dato, procesos de normalización o revocación del consentimiento puede afectar directamente a millones de usuarios, elevando la criticidad de este riesgo dentro de los modelos de cumplimiento y gestión de privacidad.

V. Jurisprudencia y sanciones.

Dado que la protección de datos personales es un ámbito aún incipiente en Latinoamérica —con leyes recientes como la Ley 21.719 en Chile o la LOPDP en Ecuador— y con autoridades en fase temprana de implementación, resulta relevante analizar la experiencia de jurisdicciones más consolidadas, como España. En este sentido, la jurisprudencia de la Agencia Española de Protección de Datos (AEPD) ofrece un marco de referencia útil para comprender cómo los errores en la gestión del correo electrónico pueden constituir infracciones relevantes, aun cuando no existan sanciones específicas relacionadas con la Google Dot Rule.

Es importante precisar que no existe, hasta la fecha, evidencia pública de sanciones en Latinoamérica directamente asociadas al uso o desconocimiento de la Google Dot Rule, lo cual es esperable dada la reciente entrada en vigor o modernización de las leyes locales.

Tampoco la AEPD ha emitido resoluciones que sancionen expresamente incidentes derivados de esta regla técnica de Gmail. Sin embargo, sí existen numerosos expedientes sancionatorios que abordan errores derivados del uso incorrecto del correo electrónico, todos ellos extrapolables a los riesgos que pueden materializarse cuando las organizaciones no gestionan adecuadamente la calidad, unicidad o validación de direcciones de correo electrónico. Algunos ejemplos relevantes son:

• Procedimiento PS-00566/2024, en el cual la AEPD sanciona a una entidad por enviar información personal a destinatarios incorrectos debido a errores en la gestión interna de datos de contacto. Este caso resulta especialmente pertinente, pues demuestra que una falla en los procesos de registro, verificación o actualización de correos electrónicos puede conducir a un incidente de comunicación indebida.

• Otras resoluciones de la AEPD también sancionan prácticas como:

o El envío de comunicaciones a cuentas equivocadas debido a duplicidades o errores de digitación.

o La existencia de bases de datos sin depuración, generando envíos indebidos.

o El uso de datos desactualizados que terminan filtrando información a terceros no autorizados.

Estos casos ilustran una conclusión clave: las autoridades de protección de datos sancionan el tratamiento incorrecto de correos electrónicos cuando ello produce filtraciones, revelación accidental, uso indebido o tratamiento no autorizado de datos personales, aun cuando la causa raíz sea un error operativo, administrativo o tecnológico.

En esa lógica, si una empresa desconoce el funcionamiento de la Google Dot Rule y no implementa controles para evitar duplicidades o variantes equivalentes de un mismo correo, los riesgos derivados —como comunicaciones indebidas, vulneración del consentimiento o imprecisión del dato— serían imputables a la organización, no al proveedor del servicio de correo.

Por tanto, aunque la Google Dot Rule no genera por sí misma un incidente, la falta de adecuación de las empresas a una regla técnica conocida, documentada y pública, sí puede traducirse en infracciones sancionables por principios como:

• Exactitud del dato (AEPD, RGPD art. 5.1.d / Ley 21.719 art. 8.b)

• Limitación de la finalidad

• Seguridad del tratamiento

• Integridad y confidencialidad

• Responsabilidad proactiva (accountability)

En consecuencia, la jurisprudencia española refuerza que la adecuada gestión del correo electrónico es esencial, y que los errores en este ámbito —incluyendo aquellos que podrían derivarse del desconocimiento de la Google Dot Rule— pueden constituir infracciones significativas bajo marcos regulatorios de protección de datos.

VI. Riesgos de privacidad derivados del Dot Rule.

A pesar de que la Google Dot Rule es un comportamiento documentado y perfectamente conocido del servicio Gmail —no un defecto ni una vulnerabilidad— muchas organizaciones en Latinoamérica estructuran sus procesos, bases de datos y sistemas de comunicación sin contemplar este comportamiento técnico. Esta desconexión entre el diseño de Gmail y las prácticas corporativas genera escenarios donde variantes aparentemente distintas de una dirección (con puntos, sin puntos o con alias “+”) son tratadas como identidades separadas, aun cuando corresponden a un mismo buzón. El resultado no es atribuible a Google, sino a fallas en la gestión del dato, ausencia de controles de calidad, y desalineación entre procesos legales, TI y operaciones.

La relevancia de estos riesgos aumenta en el contexto de las nuevas legislaciones latinoamericanas —como la Ley 21.719 de Chile, la LOPDP de Ecuador y marcos inspirados en el RGPD— que exigen estándares más estrictos de exactitud del dato, licitud del tratamiento, respeto al consentimiento y adopción de medidas razonables de seguridad. Cuando las organizaciones no normalizan las direcciones Gmail, los flujos de comunicación pueden derivar en envíos cruzados, tratamiento indebido, violaciones de consentimiento, o entrega no autorizada de información, lo que configura incidentes de protección de datos.

En este contexto, los principales riesgos derivados del desconocimiento o mala implementación del tratamiento de direcciones Gmail incluyen:

• Fuga de información entre clientes que comparten variantes equivalentes.

Cuando dos clientes registran variantes equivalentes bajo Dot Rule, la empresa puede creer que son personas distintas; sin embargo, Gmail entregará la información al mismo receptor.

• Violación de consentimiento cuando no se normalizan direcciones.

Si el titular revoca consentimiento sobre una variante, pero la empresa mantiene otra versión equivalente, continuará enviando comunicaciones no autorizadas.

• Incumplimiento del principio de exactitud del dato, transparencia y minimización.

El mantenimiento de múltiples variantes para un mismo usuario contraviene obligaciones de mantener la información exacta y actualizada.

• Envío ilegal de comunicaciones tras revocación.

Un error común es eliminar el correo “con punto” pero mantener el “sin punto”, provocando envíos ilegales desde el punto de vista normativo.

• Incidente reportable ante la Ley 21.719.

Si se envía información personal a una variante no autorizada que llega al titular equivocado, se configura un incidente que podría ser reportable ante la autoridad.

VII. Ejemplos prácticos

Para comprender la materialización del riesgo asociado al Google Dot Rule —derivado no de un error de Gmail, sino de la falta de normalización y control por parte de los responsables del tratamiento— resulta útil revisar escenarios concretos donde esta incompatibilidad técnica-operativa puede generar vulneraciones al principio de exactitud, entregas indebidas de información y tratamientos ilícitos. Los siguientes casos ilustran situaciones frecuentes en organizaciones latinoamericanas y evidencian cómo este riesgo se manifiesta en contextos reales.

Ejemplo 1 — Dos clientes, un mismo inbox

Un primer cliente registra lucas.rojas@gmail.com y un segundo cliente registra lucasrojas@gmail.com como correos distintos dentro del sistema. Para Gmail, ambas direcciones son equivalentes y se entregan al mismo titular. La empresa, desconociendo esta equivalencia, puede enviar información personal del segundo cliente al primero, generando una fuga de información.

Ejemplo 2 — Revocación de consentimiento

Un titular revoca el consentimiento para recibir comunicaciones en lucas.rojas@gmail.com, y la empresa elimina únicamente esa variante. Sin embargo, una versión equivalente (lucasrojas@gmail.com) permanece en sus sistemas y continúa recibiendo mensajes. Esto configura un envío no autorizado, vulnera la revocación del consentimiento y constituye un tratamiento ilícito derivado de una base mal gestionada.

VIII. Mitigaciones legales, técnicas y operacionales

La gestión del riesgo asociado al Google Dot Rule no depende de corregir una funcionalidad de Gmail —pues no es un error— sino de fortalecer las prácticas internas de las organizaciones. La mitigación requiere un enfoque integral que combine requisitos jurídicos, medidas técnicas y disciplina operativa en la administración de datos personales. Solo una aproximación holística permite asegurar que los tratamientos se ajusten a los principios de exactitud, licitud y minimización establecidos por las normativas de protección de datos.

a) Mitigaciones legales

Desde la perspectiva jurídica, la mitigación implica incorporar explícitamente la normalización de correos y la verificación reforzada como medidas de seguridad exigibles bajo el principio de exactitud y calidad del dato. También requiere protocolos claros para cambios de direcciones, revocación de consentimiento y trazabilidad de decisiones, a fin de garantizar un tratamiento lícito conforme a la Ley 21.719, la LOPDP y el RGPD.

b) Mitigaciones técnicas

En el ámbito técnico, la clave está en adoptar mecanismos que permitan identificar, unificar y bloquear variantes equivalentes de cuentas Gmail antes de que ingresen a los sistemas. Esto incluye incorporar algoritmos de normalización, validaciones activas de correo y controles antifraude que aseguren que cada titular tenga un único registro operativo, reduciendo el riesgo de fugas y envíos indebidos.

c) Mitigaciones de procesos y gobierno

Operacionalmente, la mitigación requiere estándares de calidad del dato, procedimientos de revisión periódica de bases, y coordinación entre áreas legales, TI y negocio para asegurar consistencia en la captura, actualización y uso de direcciones electrónicas. La gobernanza adecuada del dato se transforma así en un elemento esencial para prevenir incidentes y sostener el cumplimiento continuo.


Publicado en Revista El Derecho Informatico en Diciembre de 2025 https://elderechoinformatico.com/revistas/

Powered by Derechoteca LLC