¿Es la IP un dato personal?

0
551

La cuestión de si la dirección IP puede ser considerada como un dato personal ha sido controvertida dado que existen posturas que defienden que no es fielmente identificable a la persona que se encuentra detrás del dispositivo, como así manifiestan algunos prestadores de servicios de medios en línea que, a menudo, alegan no disponer de los medios necesarios para realizar la identificación.

En primer lugar, debemos dar una definición de lo que la Ley General de Protección de Datos considera como datos personales. En este sentido, el artículo 4 del Reglamento General de Protección de Datos establece que es:

 “toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

La doctrina y la jurisprudencia parece haberse decantado por su tratamiento como dato personal desde el año 2003 como así lo establece el Tribunal Supremo en la Sentencia de 3 de octubre de 2014, que establece que la IP debe ser considerada dato personal por la aplicación del artículo 3 de la Ley Orgánica de Protección de Datos y, por tanto, deberá garantizarse la seguridad y el cumplimiento de la legislación en materia de protección de datos al recabar, tratar, conservar y transmitir estos datos.

Del mismo modo, el Tribunal de Justifica de la Unión Europea se ha manifestado en este sentido en diversas resoluciones entre las que destacamos la Sentencia TJUE de 19 de octubre de 2016 (Patrick Beyer vs. Bundesrepublik Deutschland) reconociendo la IP como dato personal, cuyo titular podrá ser identificado cuando el proveedor disponga de medios suficientes para ello. Esto, además, se ve propiciado en nuestro país donde es obligatorio conservar los datos de conexión de los usuarios durante un periodo de entre los seis meses y dos años conforme a la Ley 25/2007, de 18 de octubre, de conservación de los datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones que establece, en su artículo 5, que la obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores.

Por ejemplo, Movistar establece en su política de privacidad respecto a los plazos de conservación de la información que, «en cumplimiento del principio de limitación del plazo de conservación, los datos serán tratados única y exclusivamente durante el tiempo necesario y para las finalidades para las que se hayan recabado en cada momento. Serán pues mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. Por todo lo anterior, Movistar ha establecido los siguientes los plazos de conservación que serán aplicables en función de la finalidad y de la base legitimadora, salvo que en algún supuesto se haya especificado un plazo diferente en la presente Política de privacidad o en las condiciones de prestación de cada uno de los productos y servicios Movistar:

  • (…) tratamientos relacionados con la ejecución del contrato, los datos serán conservados durante el tiempo que sea estrictamente necesario para cumplir con las finalidades que requiera cada Producto o Servicio. (…); la información sobre tráfico, navegación y localización se tratará durante un periodo que puede oscilar entre 3 y 12 meses para cumplir con las obligaciones de mantenimiento de la seguridad de las redes o prevención del fraude.
  • (…) los datos relacionados con la contratación y la facturación de los productos y servicios contratados, (…)un plazo de 8 años desde la baja del cliente.
  • (…) se conservarán los datos de tráfico y localización 12 meses que podrán ser solicitados mediante requerimiento judicial.

Transcurridos los plazos anteriormente indicados, los datos podrán ser destruidos, bloqueados o anonimizados, según proceda, y de conformidad con lo indicado por la legislación”.

En su artículo 3 la Ley 25/2007, de 18 de octubre, respecto a los datos objeto de conservación establece que, “los datos que deben conservarse por los operadores especificados en el artículo 2 de esta Ley -esto es, los sujetos obligados: los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones-, entre otros, son los siguientes:

  1. Datos necesarios para rastrear e identificar el origen de una comunicación:

1. Con respecto a la telefonía de red fija y a la telefonía móvil:

  1. Número de teléfono de llamada.
  2. ii) Nombre y dirección del abonado o usuario registrado.

2. Con respecto a la telefonía de red fija y a la telefonía móvil:

  1. La identificación de usuario asignada.
  2. La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.
  3. El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono”.

La reciente actualización de la Ley General de Protección de Datos requiere que realicemos un nuevo análisis respecto a si podemos considerarlos identificables o no. Las autoridades españolas y europeas reconocen que si es posible la identificación con los medios que existen actualmente partiendo de la IP, si bien es cierto que si deseamos identificar per se a una persona por el uso de la IP, su ratificación no será completa ya que requiere de medios adicionales que garanticen su identificación. No obstante, la Agencia Española de Protección de Datos cómo manifiesta en el Informe 327/2003 y en la Declaración sobre buscadores de Internet de 1 de diciembre de 2007 considera que, estos datos son datos personales y que los medios adicionales necesarios para garantizar la identificación son “medios razonables” de no difícil ejecución mediante los proveedores de acceso a Internet o utilizando  medios invisibles de tratamiento para recoger información adicional sobre el usuario (cookies). Esto se refiere tanto a las IP fijas como a las dinámicas.