“Las Direcciones IP: ¿Se pueden considerar como Dato Personal?”

Las direcciones IP son uno de los elementos más comunes que se pueden encontrar en Internet. Todas las páginas web que se visiten, cualquier computadora desde la que se trabaje e incluso los routers con los que uno se conecte, tienen asignado una de estas direcciones. IP significa “Internet Protocol“, o lo que es lo mismo, “Protocolo de Internet”. Se trata, como dice su nombre, de un conjunto de reglas que guían las comunicaciones a través de la red. Por su parte, la dirección IP es un formato numérico de dirección (por ejemplo: IP 147.67.243.28.), comparable a un número de teléfono, que hace posible la comunicación en internet de los aparatos conectados a la red, como servidores web, servidores e-mail u ordenadores personales. La dirección IP es la manera que tiene Internet de saber quién es quién. Al consultar una página se comunica la dirección del ordenador que hace la consulta al ordenador en el que está albergada la página, de modo que puedan transmitirse los datos de un ordenador a otro a través de internet. Se trata por lo tanto, de una especie de “registro” para identificar a la persona cuando está conectado.

Sin embargo, debemos diferenciar las direcciones IP Públicas de las direcciones IP Privadas, puesto que cada una de ellas tienen finalidades diferentes. Una IP Pública es la dirección que es asignada por empresas que dan acceso a Internet (como Telefónica o Claro), y sirve para identificar a la persona dentro de Internet cuando ésta se conecta. Los proveedores de Internet podrán establecer direcciones IP fijas, de forma similar a las conexiones a la red telefónica. No obstante, esto es poco frecuente, puesto que internet está organizado, en la actualidad, de modo que cada proveedor de acceso dispone de un número limitado de direcciones. Por eso se usan en la mayoría de los casos direcciones IP dinámicas, es decir, en vez de asignarle al usuario una dirección IP que nunca cambia, se le designa una IP que puede variar cada cierto tiempo.

Nadie puede navegar por la red sin una IP, y ninguna página web puede estar online si no tiene una IP asociada. Cuando uno escribe una dirección como ‘www.google.pe’ o “www.facebook.com”, lo que hace el navegador es traducir ese texto a una dirección IP para poder conectarse a la página de Google y acceder a su contenido. Por lo tanto, estas direcciones IP públicas sirven para identificar al usuario en la inmensidad de la red, ya que ninguna IP se puede repetir.

Y, por otro lado, encontramos a las IP Privadas, que son aquellas que se asignan cuando uno, por ejemplo, se conecta con varios dispositivos a la red de su casa. Cada dispositivo como la computadora, la laptop, la impresora, el smartphone, la Tablet tendrán una IP propia y para que no existan conflictos entre ellos cada uno tendrá una IP diferente. Cabe aclarar que las IPs privadas no se repiten dentro de una misma red. Esto quiere decir que en una casa, cada aparato conectado tendrá una IP diferente sin que se repita ninguna. No obstante, los números de dirección de IPs de distintas redes privadas pueden coincidir con los números de otras direcciones IPs que se encuentren en redes diferentes. Por ejemplo, su número de IP privada no puede coincidir con ningún dispositivo que se conecte a la red de su casa; sin embargo, su número de IP privada puede ser igual al de su mejor amigo que se encuentra en otra red privada.

Asimismo, es importante diferenciar la dirección IP con la dirección MAC, que es el identificador único de un dispositivo de red asignado por el fabricante. La diferencia básica entre la dirección MAC y la dirección IP es que una dirección MAC identifica de forma única un dispositivo que desea participar en una red. Por otro lado, una dirección IP es un número al que se le asigna de manera única la conexión de una red con una computadora, tablet, celular u otro dispositivo.

¿Podría considerarse como dato personal la dirección IP? El numeral 4 del artículo 2° de la Ley de Protección de Datos Personales – Ley N° 29733 -señala que un dato personal es toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados. Por ejemplo, son datos personales, los nombres, apellidos, correos electrónicos, edad, datos biométricos, datos relativos a la salud, etc. Por su parte, el numeral 4 del artículo 2° del Reglamento de la Ley de Protección de Datos Personales (aprobado por Decreto Supremo N° 003-2013-JUS) establece que un dato personal es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados. Por tanto, los datos personales sirven para identificar a una persona, así como para revelar información de la misma.

Una dirección IP no identifica necesariamente a una persona; sin embargo, esta información la podría hacer identificable. ¿Qué significa esto? De acuerdo con el artículo 4° del Reglamento General de Protección de Datos Personales de la Unión Europea, se considerará persona física (natural) identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto quiere decir que si se cuentan con datos que no se encuentren unidos a un determinado nombre pero permiten identificar a la persona, esta información será considerada como un dato personal. Cabe señalar que, no será identificable si dicha identificación requiere plazos o actividades desproporcionados[1].

En ese sentido, si, por ejemplo, recabamos imágenes a través de una cámara de vigilancia, las imágenes recogidas, pertenecen a personas, que podemos, o no, identificar. Si las imágenes se captan con una resolución tal que permitan identificar a una persona, ésta sería una persona identificable. Asimismo, existen empresas de publicidad que crean perfiles de usuarios que se encuentran disociados de un nombre. Si al momento de realizar un cruce de información con estos perfiles, se puede asociar esta información a una determinada persona estaremos hablando de un dato personal, debido a que esto lo hace identificable.

Bajo esta misma línea de pensamiento, tanto las direcciones IP fijas como dinámicas, con independencia del tipo de acceso, potencialmente pueden identificar a un usuario a partir de datos tratados en la red. Tal como se explicó anteriormente, las empresas de telecomunicaciones son las que suelen asignar a sus clientes las direcciones IP dinámicas, de forma tal que éstas quedan registradas en su sistema. Por tanto, estas direcciones IP, en sí mismas, no pueden ser consideradas como un dato personal hasta su asociación efectiva a una persona natural. Es decir, de entrada y sin información adicional, la dirección IP no permite identificar a un usuario. Ahora bien, un cruce de dicha información con otros datos permitiría identificarlo y por ello convertirse en un dato personal.

Al respecto, debemos recordar que a nivel europeo existen algunas resoluciones que dotan de carácter personal a la dirección IP. La Agencia Española de Protección de Datos (AEPD) dictaminó en sucesivos informes y declaraciones que las direcciones IP son datos de carácter personal y, por tanto, objeto de la normativa en materia de protección de datos de personas físicas. Así lo expresan, entre otras resoluciones emitidas por la AEPD, el Informe 327/2003, y la Declaración sobre buscadores de Internet del 1 de diciembre de 2007. La AEPD considera que sí se puede obtener información adicional de los usuarios a través de la IP por medios razonables, por ejemplo a través de los proveedores de acceso a Internet (Telefónica, Vodafone, etc.), administradores de redes locales, o utilizando  medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación. Por lo tanto, desde el punto de vista de la AEPD, la IP es un dato de carácter personal.

De la misma manera, en España, el pronunciamiento más cualificado en torno a esta cuestión ha venido de la mano de la Sala de lo Contencioso del Tribunal Supremo quien, en su Sentencia del 3 de octubre de 2014 establece, sin dejar lugar a dudas, que la IP debe ser considerada como dato personal. Así estima que, las direcciones IP son datos personales que contienen información concerniente a personas físicas identificadas o identificables. Considera que el hecho de que el prestador de servicios online alegue no disponer de los medios necesarios para realizar la identificación en su mano, no exime de la consideración de dato personal a las direcciones IP, pues no cabe duda de que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado.

Asimismo, el Tribunal de Justicia de la Unión Europea (TJUE), mediante la sentencia en el asunto C‑582/14, señaló que una dirección IP dinámica puede ser considerada como un dato personal. El TJUE responde a la primera cuestión prejudicial que se le planteó[2] señalando que la dirección IP dinámica de un usuario registrada por el prestador de servicios de medios en línea de un sitio de  Internet constituye para aquél un dato personal, dado que, según parece desprenderse de la normativa alemana, este prestador puede dirigirse a la autoridad competente para que lleve a cabo las actuaciones necesarias para obtener del proveedor de acceso a Internet información adicional que permitiría la identificación de la persona y para ejercitar acciones penales. El TJUE entiende, por tanto, que estaríamos ante un medio que el prestador de servicios de medios en línea puede razonablemente utilizar para identificar a la persona, sin que ello implique un esfuerzo desmesurado.

En nuestra opinión, una dirección IP será considerada como un dato personal en la medida que la persona quien trate esos datos tenga información adicional o pueda conseguirla, directa o indirectamente, y que esto le permita identificar de forma indubitable quién es la persona a la que se le asignó ese número. En este supuesto, tal como señala la resolución anteriormente mencionada del Tribunal Supremo Español, si se desea tratar este dato, debe cumplirse con los deberes de consentimiento e información previstos en la normativa de protección de datos; pues, el hecho de que un usuario conozca que su dirección IP es visible y puede ser conocida, no significa que acepte, de forma inequívoca, su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos, de la misma forma que sucede con las matrículas, las direcciones de correo electrónico que figuran en Internet o los datos que aparecen en los buzones: el hecho de que estén a la vista de todos no quiere decir que se pueda hacer un uso libre de ellos.

A modo de reflexión, el gran reto que presenta el desarrollo de nuevas tecnologías es precisamente este. Un dato, aislado en sí mismo, tal vez no proporcione información sobre un usuario ni permita identificarlo pero son millones de datos los que se recogen de cada uno de nosotros a diario: en la navegación en Internet, en nuestros propios dispositivos móviles, en general en todos los movimientos en los que dejemos un “rastro digital”. Las empresas que se dedican a recolectar estos datos deben garantizar que se le está dando un uso adecuado y conforme a ley respecto de nuestros datos personales. En definitiva, la consideración de lo que es dato personal, de lo que se puede hacer o no con éstos y cuáles son los límites, deben ser tratados conforme a la finalidad para la cual fue recopilada y no deberá extenderse a otras que no hayan sido la establecidas de manera inequívoca como tal al momento de su compilación.

[1]Por ejemplo, será desproporcional si una persona tiene una dirección de IP en su base de datos pero para poder asociarlo a una determinada persona, tendrá que realizar una investigación sobre la posición geográfica de la IP y luego de ello solicitar una orden judicial para obtener datos adicionales de los internautas vinculados a ese número de IP. No será desproporcional, en cambio, si organizaciones como Telefónica o Claro disponen de procedimientos razonables para acceder a las asignaciones de sus propios usuarios, o si se es el administrador o dueño de una red local, puesto que muy probablemente se disponga de herramientas para poder determinar los nombres de los usuarios.

 

[2]    El Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania) planteó como cuestión prejudicial si una dirección IP dinámica debe considerarse o no como un “dato personal” en el marco de la información que pueden recabar los prestadores de servicios de la sociedad de la información.

 


Related Posts