| Artículos | 01 SEP 2004

Las direcciones IP serán consideradas datos personales

Tags: Histórico
Alfonso H. Marín.
Con la ley en la mano, las direcciones IP serán oficialmente datos personales, aunque su tratamiento de facto ya era el mismo anteriormente. Esto implica más protección para los usuarios y más complicaciones para las empresas.

La Ley de Protección de Datos (LOPD), define un dato personal como “cualquier información concerniente a personas físicas identificadas o identificables”. Esta denominación dejaba abierta la posibilidad de que las direcciones IP se trataran como datos de tipo personal. La Agencia Española de Protección de Datos (AEPD) ha dado luz ahora sobre este asunto, y ha decidido considerar las direcciones IP como datos de carácter personal. Según la AEPD, la justificación de que las direcciones IP sean datos personales reside en que el uso de ciertas herramientas existentes en la Red permiten encontrar el enlace entre el nombre de dominio y la empresa o particular.
PRODAT, organización especializada en consultoría sobre protección de datos, confirma este argumento basándose en que, si bien no siempre es posible identificar a los usuarios de Internet a partir de los datos tratados en la Red, es posible hacerlo en muchos casos, y en consecuencia se trata de datos de tipo personal.
Una vez consideradas las direcciones IP como dato de carácter personal, se adoptarán las medidas de seguridad que se citan en el Real Decreto 994/1999 en función del nivel de los datos. Por ejemplo, los archivos que contienen únicamente direcciones IP son considerados según la AEPD de nivel básico. En cambio, un archivo con direcciones IP asociadas a páginas web visitadas y que permitan elaborar un perfil o evaluar la personalidad del internauta, es considerado como nivel medio.
Estas conclusiones implican importantes consecuencias para los proveedores de servicio de Internet y, por supuesto, para los usuarios. En primer lugar, los ISP junto a los administradores de redes locales y terceras partes podrán identificar por medios razonables a los usuarios a los que han asignado direcciones IP, y se podrá relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies o sistemas de minería de datos.
Para el abogado especialista Javier Ribas, exigir el tratamiento de dichas direcciones IP como datos personales será altamente costoso para muchas empresas, tanto desde el punto de vista de la aplicación de las medidas de seguridad establecidas en el real decreto 994/1999, como en la aplicación de los restantes requisitos jurídicos exigidos por la LOPD (obligaciones de información, consentimiento, etc.). Además, existen ciertas implicaciones sobre lo que pueden ser o no “medios razonables” de identificación de los usuarios, y sobre todo, “del cumplimiento de las obligaciones de información y de obtención del consentimiento”.
Por ejemplo, existen casos en los que las direcciones IP no se corresponden a una persona física, en el caso de acceder a Internet a través del servidor proxy de la empresa en la que trabaja un usuario. En este caso, la dirección IP pública del usuario no coincide con su dirección IP privada, y por lo tanto se tendrían que poner en práctica otros métodos para identificar los datos personales del usuario. Ribas advierte que estos mecanismos podrían representar una invasión de la intimidad del usuario, ya que los datos de identificación pueden ser obtenidos y tratados sin su consentimiento y utilizando técnicas que pueden constituir un delito.
Sin embargo, el uso de las direcciones IP como datos personales no es una práctica nueva para los ISP, y tampoco supone una sorpresa. Las condiciones de contratación de un servicio de Internet con cualquier proveedor contemplan la posible utilización de las IP como dato personal, pero siempre bajo orden judicial previa. Este dato, bien corresponda a una IP fija o a una dinámica, supone un dato más que se puede contrastar con otros datos personales ante un requerimiento judicial.
La Comisión de Libertades e Informática (CLI), plataforma independiente de carácter no gubernamental, se felicita de esta nueva postura de la AEPD, y considera que beneficia los derechos y libertades de los individuos. Para esta comisión, la IP como dato personal en Internet es el equivalente al NIF en la vida real, al tratarse de un dato que permite la identificación indirecta de un individuo junto con otros datos. Además, el criterio de la AEPD obliga a los responsables de estos tratamientos a informar a los afectados y recabar su consentimiento para el tratamiento, por lo que teóricamente no existe riesgo de indefensión por parte del usuario.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información