¿Es una dirección IP un dato personal? Algunas reflexiones

Aunque no es una cuestión nueva, el crecimiento geométrico del uso de dispositivos con conexión a Internet para acceder a contenidos y el rastro que dicha navegación deja plantea cuestiones interesantes no exentas de polémica.

El pasado mes de mayo el Abogado General del Tribunal de Justicia de la Unión Europea presentó sus conclusiones en un procedimiento en el que básicamente se plantea si una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de servicios de telecomunicaciones, constituye para dicho proveedor un “dato personal”.

Antes de entrar en la cuestión conviene aclarar algunos conceptos:

Una dirección IP es una secuencia de números que asignada a cualquier dispositivo que permita la navegación (ordenador, smartphone, tablet, etc) lo identifica y permite acceder a la red de comunicaciones.

El dispositivo para conectarse a Internet necesita esa secuencia numérica que los proveedores de acceso a la red proporcionan (movistar, vodafone, etc). Esa dirección IP se transmite al servidor donde está almacenada la web objeto de consulta (un diario digital, una tienda online, etc).

Las compañías telefónicas que son las que dan estos servicios suelen asignar a sus clientes las llamadas “IP dinámicas” de forma que en cada conexión a Internet son diferentes. Esa asignación queda registrada por razones de servicio.

Por lo tanto, de entrada y sin más información, la dirección IP dinámica no permite identificar a un usuario. Ahora bien un cruce de dicha información con otros datos permitiría identificarlo y por ello convertirse en un dato personal. La cuestión es de dónde proceden los datos y si esto es viable y legal.

El tema se ha suscitado a propósito de la petición de un ciudadano alemán que tras consultar diferentes páginas de instituciones oficiales solicita que cesen en el registro de las direcciones IP siempre que no fuera preciso para la disponibilidad del servicio.

La demanda siguió su curso procesal en los tribunales alemanes y al llegar al Tribunal Supremo, la Sala decidió formular una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea: la más importante; si estamos en ante un dato personal desde el momento en que un tercero (el proveedor de acceso) disponga de los datos personales que permiten identificar al interesado.

Por otra parte, se plantea si una disposición de un país puede registrar los datos de un usuario sin su consentimiento cuando sea necesario para ofrecer y facturar el uso del servicio de telecomunicación y según la cual el objetivo de garantizar el funcionamiento del servicio no puede justificar la utilización de esos datos tras las conclusión de cada operación de uso concreto.

Estas cuestiones deben ser dilucidadas al amparo de la Directiva 95/46 de Protección de Datos que establece que son datos personales cualquier información sobre una persona física identificada o identificable.

El nuevo Reglamento General de Protección de Datos que entrará en vigor en 2018 amplia y matiza la definición: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

El principio de calidad establece igualmente entre otras obligaciones, que los datos han de ser conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente.

La opinión del Abogado General que podrá ser seguida o no por el TJUE en su Decisión final, tras un detallado análisis de la cuestión:

  • Considera que una dirección IP dinámica constituye para el proveedor de servicios de telecomunicaciones un dato personal en la medida en que si posee otros datos adicionales asociados a dicha dirección IP dinámica, permitan la identificación del usuario.
  • Se inclina a considerar que entre las causas justificativas del tratamiento de determinados “datos de uso”, el interés legítimo del prestador de servicios de telecomunicación para proteger el uso general de éstos.

Por lo tanto y a la espera de la decisión del Tribunal hemos de considerar que en interpretación de lo dispuesto en la Directiva 95/46 la dirección IP dinámica será dato personal en la medida en que junto con otros datos permitan identificar a una persona.

Aprende a cómo proteger el contenido de tu web.

Algunas reflexiones

El gran reto del llamado BIG DATA es precisamente este. Un dato, aislado, en sí mismo, tal vez no proporcione información sobre un usuario ni permita identificarlo pero son millones de datos los que se recogen de cada uno de nosotros a diario: en la navegación en Internet, en nuestros propios dispositivos móviles, en los dispositivos RFID que tenemos incorporados a tarjetas y certificados, en todos los movimientos en los que dejemos un “rastro digital”. La interpretación del “uso legítimo” de los datos puede ser la clave puesto que parece lógico que se guarden datos para garantizar el servicio pero no para “vendernos cosas” mediante el conocimiento previo, detallado y exhaustivo de nuestros hábitos. No digamos en un uso malicioso de dichos datos que en las manos inadecuadas podrían ser una información valiosa en situaciones de conflicto bélico…

En definitiva, la consideración de lo que es dato personal, de lo que se puede hacer o no con los datos y cuáles son los límites se va matizando a medida que las tecnologías permiten obtener más y más información de los usuarios. La finalidad de su uso, en lo que insistimos tanto en nuestro asesoramiento es lo que marca la frontera entre el uso legítimo y el que no lo es. El nuevo Reglamento 2016/679 apunta en este sentido…

En H&A somos expertos en derecho digital y TMT

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios