{"id":6206,"date":"2018-02-11T10:23:27","date_gmt":"2018-02-11T08:23:27","guid":{"rendered":"https:\/\/www.hiberus.com\/crecemos-contigo\/?p=6206"},"modified":"2021-02-19T12:48:19","modified_gmt":"2021-02-19T10:48:19","slug":"la-ip-como-dato-personal","status":"publish","type":"post","link":"https:\/\/www.hiberus.com\/crecemos-contigo\/la-ip-como-dato-personal\/","title":{"rendered":"La consideraci\u00f3n de la IP como dato personal"},"content":{"rendered":"<p>La consideraci\u00f3n de la IP como un dato personal ha sido tradicionalmente discutida.<\/p>\n<p>Hay quienes consideran que este dato no es suficiente para identificar a la persona que se encuentra detr\u00e1s del dispositivo conectado a Internet.<\/p>\n<p>El art\u00edculo 4 del\u00a0<strong>Reglamento General de Protecci\u00f3n de Datos (GDPR)\u00a0<\/strong>establece que se considerar\u00e1n datos personales:<\/p>\n<p>\u201c<em>toda informaci\u00f3n sobre una persona f\u00edsica identificada\u00a0<strong>o identificable\u00a0<\/strong>(\u00abel interesado\u00bb). Se considerar\u00e1 persona f\u00edsica identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un n\u00famero de identificaci\u00f3n, datos de localizaci\u00f3n, un identificador en l\u00ednea o uno o varios elementos propios de la identidad f\u00edsica, fisiol\u00f3gica, gen\u00e9tica, ps\u00edquica, econ\u00f3mica, cultural o social de dicha persona\u201d.<\/em><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-18018 \" src=\"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-content\/uploads\/2018\/02\/93190-1-1024x683.jpg\" alt=\"La IP como dato personal GDPR Proteccion de datos Responsable del Tratamiento\" width=\"571\" height=\"357\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>A pesar de contar con Resoluciones que se pronuncian claramente sobre esta materia desde hace a\u00f1os (las m\u00e1s relevantes de 2003, 2014 y 2016), el cambio de paradigma articulado con el GDPR en materia de protecci\u00f3n de datos personales ha hecho que resurja este debate, por lo que, resulta conveniente refrescar algunos conceptos.<\/p>\n<p><strong>La pol\u00e9mica gira en torno al concepto de \u201cidentificable\u201d<\/strong>. Algunos prestadores de servicios de medios en l\u00ednea alegan que existe gran dificultad de proceder a esta identificaci\u00f3n, considerando que contando \u00fanicamente con de la IP se necesitan medios especiales y no suficientemente accesibles para llegar a poner nombre y apellidos a una persona; es decir, para completar el proceso de identificaci\u00f3n de forma efectiva. Por esta raz\u00f3n, esta corriente de opini\u00f3n considera que los repositorios de direcciones IP que no cuenta con otra informaci\u00f3n personal adicional, no pueden tener la condici\u00f3n de datos personales debido a esta \u201cimposibilidad\u201d material de identificaci\u00f3n del interesado.<\/p>\n<p>Frente a ello, las autoridades espa\u00f1olas y europeas pronuncian en sentido contrario considerando que, con los <strong>medios existentes es m\u00e1s que posible<\/strong> la identificaci\u00f3n.<\/p>\n<h2><strong>Criterio de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD).<\/strong><\/h2>\n<p>La m\u00e1xima autoridad en Protecci\u00f3n de Datos en nuestro pa\u00eds se pronunci\u00f3 mediante el\u00a0<a href=\"https:\/\/www.agpd.es\/portalwebAGPD\/canaldocumentacion\/informes_juridicos\/otras_cuestiones\/common\/pdfs\/2003-0327_Car-aa-cter-de-dato-personal-de-la-direcci-oo-n-IP.pdf\">Informe 327\/2003<\/a>\u00a0 a favor de que la IP sea considerada dato personal.<\/p>\n<p>Considera que para alcanzar la condici\u00f3n de identificable es necesario que el proceso de identificaci\u00f3n <strong>se pueda llevar a cabo utilizando \u201cmedios razonables\u201d<\/strong>, es decir, que no sean de muy dif\u00edcil o casi imposible ejecuci\u00f3n.<\/p>\n<p>La Agencia considera que s\u00ed se puede obtener informaci\u00f3n adicional de los usuarios a trav\u00e9s de la IP por medios razonables, por ejemplo a trav\u00e9s de los proveedores de acceso a Internet (Telef\u00f3nica, Vodafone, etc.), administradores de redes locales, o\u00a0<em>\u201cutilizando\u00a0 medios invisibles de tratamiento para recoger informaci\u00f3n adicional sobre el usuario, tales como cookies con un identificador \u00fanico o sistemas modernos de miner\u00eda de datos unidos a bases de datos con informaci\u00f3n sobre usuarios de Internet que permite su identificaci\u00f3n\u201d.<\/em><\/p>\n<p>Por tanto,\u00a0<strong>desde el punto de vista de la AEPD, la IP es un dato de car\u00e1cter personal.<\/strong><\/p>\n<h2><strong>Criterio del Tribunal Supremo (TS)<\/strong><\/h2>\n<p>En Espa\u00f1a, el pronunciamiento m\u00e1s cualificado en torno a esta cuesti\u00f3n ha venido de la mano de la Sala de lo Contencioso del TS qui\u00e9n, en su\u00a0<a href=\"http:\/\/www.poderjudicial.es\/search\/doAction?action=contentpdf&amp;databasematch=TS&amp;reference=7195354&amp;links=&amp;optimize=20141023&amp;publicinterface=true\">Sentencia de 3 de octubre de 2014\u00a0<\/a>(FJ 4) establece, sin dejar lugar a dudas, que la IP debe ser considerada como dato personal.<\/p>\n<p>As\u00ed estima que, \u201c<em>las direcciones IP son datos personales, en el sentido del art\u00edculo 3 LOPD, ya que contienen informaci\u00f3n concerniente a personas f\u00edsicas \u201cidentificadas o identificables\u201d.<\/em><\/p>\n<p>Considera que el hecho de que el prestador de servicios online alegue no disponer de los medios necesarios para realizar la identificaci\u00f3n en su mano <strong>no exime de la consideraci\u00f3n de dato personal<\/strong> a las direcciones IP, pues \u201c<em>no cabe duda que, a partir de la direcci\u00f3n IP puede identificarse directa o indirectamente la identidad del interesado\u201d.<\/em><\/p>\n<p>En consecuencia, se\u00f1ala que si se desea tratar este dato, debe cumplirse con los deberes de consentimiento e informaci\u00f3n previstos en la normativa de protecci\u00f3n de datos; pues, el hecho de que un usuario \u201c<em>conozca que su direcci\u00f3n IP es visible y puede ser conocida, no significa que acepte, de forma inequ\u00edvoca, su uso y tratamiento por terceros, ni que consienta de forma espec\u00edfica el tratamiento de sus datos\u201d,\u00a0<\/em>de la misma forma que sucede con las matr\u00edculas, las direcciones de correo electr\u00f3nico que figuran en Internet o los datos que aparecen en los buzones:\u00a0<strong>el hecho de que est\u00e9n a la vista de todos no quiere decir que se pueda hacer un uso libre de ellos<\/strong>.<\/p>\n<h2><strong>Criterio del Tribunal de Justicia de la Uni\u00f3n Europea (TJUE)<\/strong><\/h2>\n<p>La\u00a0<a href=\"http:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=184668&amp;pageIndex=0&amp;doclang=es&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1314731\">Sentencia del\u00a0<\/a><a href=\"http:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=184668&amp;pageIndex=0&amp;doclang=es&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1314731\"><strong>Tribunal de Justicia de la Uni\u00f3n Europea de 19 de octubre de 2016 (<\/strong><\/a><a href=\"http:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=184668&amp;pageIndex=0&amp;doclang=es&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1314731\"><strong><em>Patrick Beyer v.\u00a0<\/em><\/strong><\/a><a href=\"http:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=184668&amp;pageIndex=0&amp;doclang=es&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1314731\"><strong><em>Bundesrepublik<\/em><\/strong><\/a>\u00a0<a href=\"http:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=184668&amp;pageIndex=0&amp;doclang=es&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1314731\"><strong><em>Deutschland<\/em><\/strong><\/a><a href=\"http:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=184668&amp;pageIndex=0&amp;doclang=es&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1314731\"><strong><em>),\u00a0<\/em><\/strong><\/a>\u00a0pese a no pronunciarse de una forma tan clara como el TS y la AEPD, termina fallando en el mismo sentido que \u00e9stos.<\/p>\n<p>Determina que\u00a0<em>\u201cuna direcci\u00f3n IP din\u00e1mica registrada por un proveedor de servicios de medios en l\u00ednea con ocasi\u00f3n de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al p\u00fablico constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposici\u00f3n, cuando \u00e9ste disponga de medios legales que le permitan identificar a la persona interesada gracias a la informaci\u00f3n adicional de que dispone el proveedor de acceso a Internet de dicha persona\u201d.<\/em><\/p>\n<p>La resoluci\u00f3n termina puntualizando que\u00a0<em>\u201cexisten v\u00edas legales que permiten al proveedor de servicios de medios en l\u00ednea dirigirse, en particular en caso de ataques cibern\u00e9ticos, a la autoridad competente a fin de que \u00e9sta lleve a cabo las actuaciones necesarias para obtener dicha informaci\u00f3n del proveedor de acceso a Internet y para ejercitar acciones penales. Por tanto, parece que el proveedor de servicios de medios en l\u00ednea dispone de medios que pueden utilizarse razonablemente para identificar, con ayuda de otras personas, a saber, la autoridad competente y el proveedor de acceso a Internet, al interesado sobre la base de las direcciones IP conservadas\u201d.<\/em><\/p>\n<p>Por lo tanto, concluye que todos los proveedores de <strong>servicios de medios en l\u00ednea<\/strong> potencialmente <strong>pueden llegar a identificar a las personas a trav\u00e9s de las direcciones IP<\/strong> por el mero hecho de que existan mecanismos a trav\u00e9s de los cuales los proveedores de acceso a Internet puedan llegar a proporcionar su identidad; lo que en Espa\u00f1a se produce, ya que \u00e9stos tienen la obligaci\u00f3n de conservar los datos de conexi\u00f3n de los usuarios durante un periodo que puede oscilar entre los 6 meses y los 2 a\u00f1os de acuerdo con la\u00a0<a href=\"https:\/\/www.boe.es\/buscar\/act.php?id=BOE-A-2007-18243\">Ley 25\/2007, de 18 de octubre, de conservaci\u00f3n de los datos relativos a las comunicaciones electr\u00f3nicas y a las redes p\u00fablicas de comunicaciones.<\/a><\/p>\n<p>Por ello, de nuevo, debe considerarse que la direcci\u00f3n IP es un dato personal.<\/p>\n<p><strong>Recomendaci\u00f3n del equipo de Hiberus LegalTech &amp; CyberSec<\/strong><\/p>\n<p>En base a todo lo expuesto, si bien no se dispone de una gran cantidad de Resoluciones en esta materia, consideramos que s\u00ed que hay fundamentos suficientes como para considerar que las <strong>direcciones IP son consideradas datos de car\u00e1cter personales<\/strong>; por lo que, si se realizan tratamientos sobre las mismas deben necesariamente regirse por la normativa de protecci\u00f3n de datos personales.<\/p>\n<p>De lo contrario el Responsable del Tratamiento se enfrentar\u00eda a elevadas sanciones de acuerdo con el GDPR, especialmente si se utilizan de forma masiva con la finalidad de realizar estad\u00edsticas, an\u00e1lisis de perfiles o segmentaci\u00f3n de publicidad.<\/p>\n<p>Nuestros profesionales del \u00e1rea\u00a0<strong>Hiberus Cibersecurity<\/strong>\u00a0son especialistas en soluciones de cualquier implicaci\u00f3n legal tecnol\u00f3gica. Contacta con nosotros para un servicio \u00e1gil, eficaz y cercano, aporta a tu empresa unas medidas de prevenci\u00f3n, seguridad y confianza en el cumplimiento y gesti\u00f3n del riesgo legal y de\u00a0<a href=\"https:\/\/www.hiberus.com\/soluciones\" target=\"_blank\" rel=\"noopener noreferrer\">ciberseguridad<\/a>\u00a0de tu compa\u00f1\u00eda.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La consideraci\u00f3n de la IP como un dato personal ha sido tradicionalmente discutida. Hay quienes consideran que este dato no es suficiente&#8230;<\/p>\n","protected":false},"author":2,"featured_media":6210,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_ayudawp_aiss_exclude":false,"footnotes":""},"categories":[7],"tags":[49],"class_list":{"0":"post-6206","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-next-tech","8":"tag-legal-tecnologico"},"acf":[],"_links":{"self":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts\/6206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/comments?post=6206"}],"version-history":[{"count":5,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts\/6206\/revisions"}],"predecessor-version":[{"id":18019,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/posts\/6206\/revisions\/18019"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/media\/6210"}],"wp:attachment":[{"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/media?parent=6206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/categories?post=6206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hiberus.com\/crecemos-contigo\/wp-json\/wp\/v2\/tags?post=6206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}