La APD considera "dato de carácter personal" la dirección IP

Como consecuencia, muchos webmasters deberán registrar sus ficheros en la Agencia

Por Marta Escudero y Javier Maestre

La Agencia española de protección de datos ha emitido un informe jurídico por el que considera que la dirección IP, por sí sola, constituye un dato de carácter personal y que, por tanto, los titulares de las páginas que almacenen este dato tendrán que registrar el fichero correspondiente. El incumplimiento de esta obligación puede ser sancionado con multas de más de 300.000 Euros en caso de considerarse infracción grave.

Desde que se publicara la Ley 34/2002, de los Servicios de la Sociedad de la Información (LSSI) se creó cierta incertidumbre en lo que respecta a la consideración de la dirección IP como dato de carácter personal, debido a la obligación de retención de datos de tráfico que imponía el artículo 12 de la dicha norma.

En efecto, dicho precepto establecía la obligación para los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos, de retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información y por un periodo máximo de 12 meses. Además establece dicha Ley que esta información debería almacenarse bajo las medidas de seguridad adecuadas para evitar su alteración, pérdida o acceso de terceros. Sin embargo, no detalla ni los datos concretos que han de almacenarse, ni a qué tipo de medidas de seguridad se refiere, dejándolo para su posterior desarrollo reglamentario.

Por tanto, la LSSI impone la obligación de almacenar los datos de tráfico y conservarlos durante un año con las debidas cautelas, pero no especifica que estos datos, en concreto las direcciones IP, tuvieran el carácter de dato personal a los efectos de la LOPD. Esta situación de incertidumbre se agrava ante la falta de desarrollo reglamentario de las previsiones contenidas en la Ley. Es más, en la propia página creada por la Administración para ayudar al cumplimiento de la normativa es establece la "suspensión" de esta obligación hasta la publicación del Reglamento de desarrollo de la Ley que, tras dos años desde su aprobación, se encuentra todavía pendiente.

En este contexto, recientemente la Agencia Española de Protección de Datos ha pretendido arrojar un poco de luz en este punto mediante un informe publicado en su página web en el que estudia la situación partiendo de la definición que la LOPD confiera a la expresión "datos de carácter personal", a saber: "cualquier información concerniente a personas físicas identificadas o identificables".

Este informe, que es muy breve y profundiza muy poco en el tema, concluye con que existen distintas maneras de identificar a un usuario de Internet a partir de la dirección IP, ya sea ésta dinámica o estática y que, por tanto, aunque no todos los agentes de Internet tengan la posibilidad de identificar a los usuarios, la mera posibilidad de que la identificación sea posible a partir de una IP, hace que la normativa de protección de datos sea aplicable, en opinión de la Agencia.

Es decir, la dirección IP se entiende, por sí sola y a pesar de considerarla aisladamente, como dato de carácter personal porque permite identificar a una persona física, el usuario, o al menos hacerla identificable a través de distintos medios.

Además, establece que las medidas de seguridad que corresponderá adoptar para la debida protección del fichero dependerán de los datos que en el mismo se contengan. Así, si únicamente se contienen direcciones IP, el fichero será de nivel básico y si, por ejemplo, el fichero contiene la dirección IP asociada a los sitios web solicitados con la finalidad de elaborar un perfil del usuario, se deberían adoptar las medias de seguridad de nivel medio.

A pesar de este informe emitido por la Agencia, no hay que olvidar que la LSSI dispone en el párrafo 4º del art. 12 que reglamentariamente se establecerán las categorías de datos que deben conservarse, el plazo de conservación en cada supuesto concreto, las condiciones en que deberán almacenarse, tratarse y custodiarse, la manera en que se deberán entregar a los órganos autorizados en el caso de ser requeridos, y el modo de destrucción.

Por tanto, es de esperar que aunque el informe mencionado establece que con carácter general las direcciones IP han de someterse a la normativa de protección de datos, cuando finalmente se dicte el Reglamento de desarrollo de la LSSI se disponga de unas pautas más concretas y explícitas conforme a las cuales deberán ser tratadas las direcciones IPs en relación con la protección de datos.

Mientras tanto, lo cierto es que con esta interpretación de la Agencia, los responsables de páginas web que, de alguna manera, almacenen las IPs de los usuarios (circunstancia muy usual en algunas páginas como por ejemplo las que albergan foros), deberán proceder a dar de alta el fichero correspondiente en la Agencia Española de Protección de Datos, ya que a pesar de la brevedad del informe emitido por la Agencia y su carácter poco explicativo, éste especifica claramente que la IP debe considerarse como un dato de carácter personal y por tanto hay que cumplir con las obligaciones dispuestas en la Ley Orgánica de Protección de Datos, al menos de momento.  

Informe 327/03 de la Agencia "Carácter de dato personal de la dirección IP"

Marta Escudero y Javier Maestre
Abogados de Buffet Almeida
http://www.bufetalmeida.com