Estas aquiContenido / La APD considera "dato de carácter personal" la dirección IP
La APD considera "dato de carácter personal" la dirección IP
REEDICIÓN - Este artículo fue publicado en Kriptópolis el 5/7/2004
Como consecuencia, muchos webmasters deberán registrar sus ficheros en la Agencia
Por Marta Escudero y Javier Maestre
La Agencia Española de Protección de Datos ha emitido un informe jurídico por el que considera que la dirección IP, por sí sola, constituye un dato de carácter personal y que, por tanto, los titulares de las páginas que almacenen este dato tendrán que registrar el fichero correspondiente. El incumplimiento de esta obligación puede ser sancionado con multas de más de 300.000 Euros en caso de considerarse infracción grave...
Desde que se publicara la Ley 34/2002, de los Servicios de la Sociedad de la Información (LSSI) se creó cierta incertidumbre en lo que respecta a la consideración de la dirección IP como dato de carácter personal, debido a la obligación de retención de datos de tráfico que imponía el artículo 12 de la dicha norma.
En efecto, dicho precepto establecía la obligación para los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos, de retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información y por un periodo máximo de 12 meses. Además establece dicha Ley que esta información debería almacenarse bajo las medidas de seguridad adecuadas para evitar su alteración, pérdida o acceso de terceros. Sin embargo, no detalla ni los datos concretos que han de almacenarse, ni a qué tipo de medidas de seguridad se refiere, dejándolo para su posterior desarrollo reglamentario.
Por tanto, la LSSI impone la obligación de almacenar los datos de tráfico y conservarlos durante un año con las debidas cautelas, pero no especifica que estos datos, en concreto las direcciones IP, tuvieran el carácter de dato personal a los efectos de la LOPD. Esta situación de incertidumbre se agrava ante la falta de desarrollo reglamentario de las previsiones contenidas en la Ley. Es más, en la propia página creada por la Administración para ayudar al cumplimiento de la normativa es establece la "suspensión" de esta obligación hasta la publicación del Reglamento de desarrollo de la Ley que, tras dos años desde su aprobación, se encuentra todavía pendiente.
En este contexto, recientemente la Agencia Española de Protección de Datos ha pretendido arrojar un poco de luz en este punto mediante un informe publicado en su página web en el que estudia la situación partiendo de la definición que la LOPD confiera a la expresión "datos de carácter personal", a saber: "cualquier información concerniente a personas físicas identificadas o identificables".
Este informe, que es muy breve y profundiza muy poco en el tema, concluye con que existen distintas maneras de identificar a un usuario de Internet a partir de la dirección IP, ya sea ésta dinámica o estática y que, por tanto, aunque no todos los agentes de Internet tengan la posibilidad de identificar a los usuarios, la mera posibilidad de que la identificación sea posible a partir de una IP, hace que la normativa de protección de datos sea aplicable, en opinión de la Agencia.
Es decir, la dirección IP se entiende, por sí sola y a pesar de considerarla aisladamente, como dato de carácter personal porque permite identificar a una persona física, el usuario, o al menos hacerla identificable a través de distintos medios.
Además, establece que las medidas de seguridad que corresponderá adoptar para la debida protección del fichero dependerán de los datos que en el mismo se contengan. Así, si únicamente se contienen direcciones IP, el fichero será de nivel básico y si, por ejemplo, el fichero contiene la dirección IP asociada a los sitios web solicitados con la finalidad de elaborar un perfil del usuario, se deberían adoptar las medias de seguridad de nivel medio.
A pesar de este informe emitido por la Agencia, no hay que olvidar que la LSSI dispone en el párrafo 4º del art. 12 que reglamentariamente se establecerán las categorías de datos que deben conservarse, el plazo de conservación en cada supuesto concreto, las condiciones en que deberán almacenarse, tratarse y custodiarse, la manera en que se deberán entregar a los órganos autorizados en el caso de ser requeridos, y el modo de destrucción.
Por tanto, es de esperar que aunque el informe mencionado establece que con carácter general las direcciones IP han de someterse a la normativa de protección de datos, cuando finalmente se dicte el Reglamento de desarrollo de la LSSI se disponga de unas pautas más concretas y explícitas conforme a las cuales deberán ser tratadas las direcciones IPs en relación con la protección de datos.
Mientras tanto, lo cierto es que con esta interpretación de la Agencia, los responsables de páginas web que, de alguna manera, almacenen las IPs de los usuarios (circunstancia muy usual en algunas páginas como por ejemplo las que albergan foros), deberán proceder a dar de alta el fichero correspondiente en la Agencia Española de Protección de Datos, ya que a pesar de la brevedad del informe emitido por la Agencia y su carácter poco explicativo, éste especifica claramente que la IP debe considerarse como un dato de carácter personal y por tanto hay que cumplir con las obligaciones dispuestas en la Ley Orgánica de Protección de Datos, al menos de momento.
Informe 327/03 de la Agencia "Carácter de dato personal de la dirección IP"
Marta Escudero y Javier Maestre
Abogados de Bufet Almeida
http://www.bufetalmeida.com
Es que no me queda claro si lo consideráis aunque creo que habláis desde la suposición de estar bajo la LSSI.
Si no es así, como en los cada vez menos blogs -cada día más sitios usan publicidad- que no usan publicidad, si no obtienes beneficios económicos de tu sitio y es de carácter personal, no estás bajo la LSSI, no tienes porqué proporcionar datos fiscales sobre ti o tu sitio y, lo más importante, puedes recoger datos personales sin declararlos siempre que sean para uso personal siempre.
O sea, después de mucho leer, llamar a la Agencia y analizar todo lo que yo, personalmente, he podido recabar para mi propio blog o el sitio para el que trabajo:
---
En mi blog he dejado de usar AdSense y Analytics ya que, al ser datos que se cederán a otra entidad, ésta a su vez se reserva el derecho a cederlos, y bajo otras leyes, uno no puede garantizar lo que la LOPD exige en esta materia: La no cesión o la cesión controlada.
Primero porque google se reserva estos derechos a su antojo y segundo porque no está bajo la jurisdicción de la LOPD española, así que, como decía, no podemos garantizar eso a no ser que tengamos un contrato o escrito por parte de google donde se nos informe para qué, dónde y cómo podrán ceder esos datos: un pez que se muerde la cola en muchos niveles.
AdSense y Google, seas una empresa o no, ya es de muy dudosa compatibilidad con nuestra LOPD.
Así que registres o no el fichero no vas a poder cumplir con la LOPD:
AdSense y Analytics fuera del blog, ya es un blog personal, de uso personal, no comercial y sólo debes informar de la recabación de datos, de su seguridad pero no tienes porqué registrar ningún fichero ni informar a la Agencia, ya sean comentarios, emails o datos estadísticos.
---
En otros sitios para los que me he informado de ello, usar AdSense o Analytics complica mucho las cosas por lo que comentábamos antes.
Para una Admon. Pública que no está bajo la LSSI, igual:
Las condiciones de uso de google no nos son del todo válidas y el registro e inscripción de datos es obligatorio incluyendo un aviso en el BOP lo cual no agiliza mucho el proceso, algo que la agencia debería tener en cuenta.
Un saludo.
Es la combinación de IP más fecha la que sí puede contribuir a su identificación, porque muchas IPs son dinámicamente asignadas, y es el operador de telecomunicaciones el que puede relacionarlas, finalmente, con un usuario, teniendo en cuenta el momento en que se asignó la IP.
Por supuesto, la combinación IP y dirección MAC (identificador único de todas las tarjetas de red existentes) también es suficiente.