Emergentes

La consideración de la IP como dato personal

5 Mins de lectura

La consideración de la IP como un dato personal ha sido tradicionalmente discutida.

Hay quienes consideran que este dato no es suficiente para identificar a la persona que se encuentra detrás del dispositivo conectado a Internet.

El artículo 4 del Reglamento General de Protección de Datos (GDPR) establece que se considerarán datos personales:

toda información sobre una persona física identificada o identificable («el interesado»). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

La IP como dato personal GDPR Proteccion de datos Responsable del Tratamiento

 

A pesar de contar con Resoluciones que se pronuncian claramente sobre esta materia desde hace años (las más relevantes de 2003, 2014 y 2016), el cambio de paradigma articulado con el GDPR en materia de protección de datos personales ha hecho que resurja este debate, por lo que, resulta conveniente refrescar algunos conceptos.

La polémica gira en torno al concepto de “identificable”. Algunos prestadores de servicios de medios en línea alegan que existe gran dificultad de proceder a esta identificación, considerando que contando únicamente con de la IP se necesitan medios especiales y no suficientemente accesibles para llegar a poner nombre y apellidos a una persona; es decir, para completar el proceso de identificación de forma efectiva. Por esta razón, esta corriente de opinión considera que los repositorios de direcciones IP que no cuenta con otra información personal adicional, no pueden tener la condición de datos personales debido a esta “imposibilidad” material de identificación del interesado.

Frente a ello, las autoridades españolas y europeas pronuncian en sentido contrario considerando que, con los medios existentes es más que posible la identificación.

Criterio de la Agencia Española de Protección de Datos (AEPD).

La máxima autoridad en Protección de Datos en nuestro país se pronunció mediante el Informe 327/2003  a favor de que la IP sea considerada dato personal.

Considera que para alcanzar la condición de identificable es necesario que el proceso de identificación se pueda llevar a cabo utilizando “medios razonables”, es decir, que no sean de muy difícil o casi imposible ejecución.

La Agencia considera que sí se puede obtener información adicional de los usuarios a través de la IP por medios razonables, por ejemplo a través de los proveedores de acceso a Internet (Telefónica, Vodafone, etc.), administradores de redes locales, o “utilizando  medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación”.

Por tanto, desde el punto de vista de la AEPD, la IP es un dato de carácter personal.

Criterio del Tribunal Supremo (TS)

En España, el pronunciamiento más cualificado en torno a esta cuestión ha venido de la mano de la Sala de lo Contencioso del TS quién, en su Sentencia de 3 de octubre de 2014 (FJ 4) establece, sin dejar lugar a dudas, que la IP debe ser considerada como dato personal.

Así estima que, “las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas “identificadas o identificables”.

Considera que el hecho de que el prestador de servicios online alegue no disponer de los medios necesarios para realizar la identificación en su mano no exime de la consideración de dato personal a las direcciones IP, pues “no cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado”.

En consecuencia, señala que si se desea tratar este dato, debe cumplirse con los deberes de consentimiento e información previstos en la normativa de protección de datos; pues, el hecho de que un usuario “conozca que su dirección IP es visible y puede ser conocida, no significa que acepte, de forma inequívoca, su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos”, de la misma forma que sucede con las matrículas, las direcciones de correo electrónico que figuran en Internet o los datos que aparecen en los buzones: el hecho de que estén a la vista de todos no quiere decir que se pueda hacer un uso libre de ellos.

Criterio del Tribunal de Justicia de la Unión Europea (TJUE)

La Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre de 2016 (Patrick Beyer v. Bundesrepublik Deutschland),  pese a no pronunciarse de una forma tan clara como el TS y la AEPD, termina fallando en el mismo sentido que éstos.

Determina que “una dirección IP dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposición, cuando éste disponga de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona”.

La resolución termina puntualizando que “existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales. Por tanto, parece que el proveedor de servicios de medios en línea dispone de medios que pueden utilizarse razonablemente para identificar, con ayuda de otras personas, a saber, la autoridad competente y el proveedor de acceso a Internet, al interesado sobre la base de las direcciones IP conservadas”.

Por lo tanto, concluye que todos los proveedores de servicios de medios en línea potencialmente pueden llegar a identificar a las personas a través de las direcciones IP por el mero hecho de que existan mecanismos a través de los cuales los proveedores de acceso a Internet puedan llegar a proporcionar su identidad; lo que en España se produce, ya que éstos tienen la obligación de conservar los datos de conexión de los usuarios durante un periodo que puede oscilar entre los 6 meses y los 2 años de acuerdo con la Ley 25/2007, de 18 de octubre, de conservación de los datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Por ello, de nuevo, debe considerarse que la dirección IP es un dato personal.

Recomendación del equipo de Hiberus LegalTech & CyberSec

En base a todo lo expuesto, si bien no se dispone de una gran cantidad de Resoluciones en esta materia, consideramos que sí que hay fundamentos suficientes como para considerar que las direcciones IP son consideradas datos de carácter personales; por lo que, si se realizan tratamientos sobre las mismas deben necesariamente regirse por la normativa de protección de datos personales.

De lo contrario el Responsable del Tratamiento se enfrentaría a elevadas sanciones de acuerdo con el GDPR, especialmente si se utilizan de forma masiva con la finalidad de realizar estadísticas, análisis de perfiles o segmentación de publicidad.

Nuestros profesionales del área Hiberus Cibersecurity son especialistas en soluciones de cualquier implicación legal tecnológica. Contacta con nosotros para un servicio ágil, eficaz y cercano, aporta a tu empresa unas medidas de prevención, seguridad y confianza en el cumplimiento y gestión del riesgo legal y de ciberseguridad de tu compañía.

 

184 posts

Sobre el autor
En Hiberus trabajamos día a día para alcanzar tus objetivos. Sea cual sea tu proyecto, maximizamos tus resultados.
Artículos

EL SOPORTE LEGAL QUE TU EMPRESA NECESITA

Cumplimiento legal y seguridad de la información es confianza, tranquilidad y reputación para tu empresa.

Nuestra meta es aportar valor añadido a tu negocio prestando un servicio eficaz, ágil, directo y cercano, que te permita gozar de la mayor prevención, tranquilidad y calidad de cumplimiento legal en refuerzo de tu competitividad.

¿Te ayudamos?

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡No te pierdas de nada!

Te mantenemos al dia de tendencias y novedades sobre el futuro del trabajo, formas de hacer crecer tu negocio, liderazgo digital y muchas cosas más..

Newsletter