La dirección IP como dato disociado


Pormathiasfoletto- Postado em 22 outubro 2012

 

 

De: Javier Ribas
Fecha: Octubre 2004
Origen: Noticias Jurídicas

El informe 327/03 de la Agencia Española de Protección de Datos (AEPD) llega a la conclusión de que las direcciones IP, tanto fijas como dinámicas, son datos de carácter personal a los que hay que aplicar medidas de seguridad de nivel básico. Los razonamientos de la AEPD son los siguientes:

  1. Los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios a los que han asignado direcciones IP.

  2. Con la asistencia de terceras partes responsables de la asignación de la dirección IP se puede identificar a un usuario de Internet por medios razonables.

  3. Existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos.

Sin embargo, existen muchas actividades en las que se trabaja con direcciones IP completamente disociadas y en las que no es posible identificar a un usuario concreto de Internet por medios razonables. Exigir el tratamiento de dichas direcciones IP como datos personales, con la consiguiente aplicación de medidas de seguridad de nivel básico, sería altamente costoso para muchas empresas.

No son direcciones IP que puedan ser asociadas a una persona física por medios razonables, por ejemplo, los de todos aquellos usuarios que acceden a Internet a través del servidor proxy de su proveedor de acceso o de la empresa en la que trabajan. En estos casos, la dirección IP pública del usuario no coincide con su dirección IP privada y su identificación sólo puede conseguirse mediante un mandamiento judicial o en los casos expresamente previstos por la Ley. Entiendo que ninguno de esos supuestos representa un medio razonable de identificación.

Tampoco debe considerarse un medio razonable el uso de técnicas ilegales de identificación de usuarios a los que se refieren los antes mencionados puntos 2 y 3 de los razonamientos de la AEPD. Respecto al punto 2, los datos personales de identificación de un usuario no pueden ser cedidos por los responsables de la asignación de la dirección IP si no existe un consentimiento previo del afectado, concurren los requisitos establecidos por la Ley o son solicitados a través del oportuno mandamiento judicial. Respecto al punto 3, la mayoría de las actividades descritas pueden representar una invasión de la intimidad del usuario, ya que los datos de identificación son obtenidos y tratados sin su consentimiento y utilizando técnicas que pueden tener cabida en el artículo 197 del Código Penal. Según mi modo de ver, la comisión de un delito no es un medio razonable de identificación, y el hecho de que haya unos pocos que puedan hacerlo no debe penalizar a todos los demás, que actuan legalmente.

Por otra parte muchos procesos de tratamiento de direcciones IP se realizan sin intervención humana, y forman parte de la gestión cotidiana del tráfico de paquetes IP que permite el funcionamiento de Internet. Las actividades de routing y de caching, por ejemplo, no deberían entenderse en ningún caso como tratamiento de datos personales.

Pero los argumentos que más apoyan la tesis de que las direcciones IP disociadas no tienen que ser consideradas datos personales los da la propia AEPD al tratar otros números asociables a personas físicas como los números de teléfono y las matrículas de los automóviles.

Respecto a los teléfonos, es conocido el criterio de la AEPD sobre la ilegalidad de la búsqueda inversa, lo cual ha obligado a bloquear esta función en una famosa sede web ubicada en Bélgica, que permitía conocer la identidad del titular de un número de teléfono español. Claro que pueden realizarse búsquedas inversas a través de las guías de papel, pero no podemos decir que se trate de un medio muy razonable.

Por otro lado, el director de la AEPD se manifestó respecto a la identificación de las personas que convocaron, via sms, las manifestaciones del 13 de marzo y dijo que las operadoras podrien negarse a atender la petición de la Comisión de investigación del Congreso de proporcionar estas identificaciones amparándose en la LOPD y el secreto de las comunicaciones. Sin embargo, deberían facilitar dicha información en caso de mandamiento judicial.

El caso de las matrículas es distinto, porque el registro de la DGT es público, y cualquiera puede consultar los datos del propietario de coche si acredita un interés legítimo y presenta su DNI. Así consta en las recomendaciones de la AEPD a la DGT y en el Reglamento General de Vehículos. Si embargo, hay que tener en cuenta la variable del volúmen. No considero que se traten datos personales cuando se utilizan las matrículas de miles de coches para conocer el posible origen geográfico de los visitantes de una ciudad, por ejemplo. Entre otras cosas, porque la obtención de su identidad no podría realizarse por medios razonables.

Las características de los teléfonos y de las matrículas concurren en las direcciones IP de forma acumulativa:

  1. Son datos que participan en un proceso de comunicación o transacción electrónica como los números de teléfono.

  2. Son datos que no pueden asociarse a una persona física sin su previo consentimiento o mediante un procedimiento legal que no puede ser considerado como un medio razonable de identificación.

  3. Son datos que, a causa de su enorme volumen, y de su tratamiento automatizado sin intervención humana no pueden ser asociados a una persona física a través de medios razonables.

Por todo ello considero que es un error tratar todas las direcciones IP como un dato personal, ya que, en muchos casos la disociación es permamente, y sólo puede eliminarse con un esfuerzo económico o de tiempo, que no puede considerarse razonable.

El efecto más negativo de considerar la dirección IP como un dato personal es el cumplimiento de las obligaciones de información y de obtención del consentimiento. La verdad, me resulta difícil pensar en un router informando de los derechos de acceso, rectificación, cancelación y oposición a los emisores y destinatarios de los millones de paquetes IP que pasan diariamente por sus circuitos.

Javier Ribas.
Abogado.

 

Disponível em: http://noticias.juridicas.com/articulos/20-Derecho%20Informatico/200410-555174910142761.html