Alejandro Morales Cáceres

Abogado Asociado en el Estudio Torres y Torres Lara

23 de Mayo del 2019

“Las Direcciones IP: ¿Se pueden considerar como Dato Personal?”

Las direcciones IP son uno de los elementos más comunes que se pueden encontrar en Internet. Todas las páginas web que se visiten, cualquier computadora desde la que se trabaje e incluso los routers con los que uno se conecte, tienen asignado una de estas direcciones. IP significa “Internet Protocol“, o lo que es lo mismo, “Protocolo de Internet”. Se trata, como dice su nombre, de un conjunto de reglas que guían las comunicaciones a través de la red. Por su parte, la dirección IP es un formato numérico de dirección (por ejemplo: IP 147.67.243.28.), comparable a un número de teléfono, que hace posible la comunicación en internet de los aparatos conectados a la red, como servidores web, servidores e-mail u ordenadores personales. La dirección IP es la manera que tiene Internet de saber quién es quién. Al consultar una página se comunica la dirección del ordenador que hace la consulta al ordenador en el que está albergada la página, de modo que puedan transmitirse los datos de un ordenador a otro a través de internet. Se trata por lo tanto, de una especie de “registro” para identificar a la persona cuando está conectado.

Sin embargo, debemos diferenciar las direcciones IP Públicas de las direcciones IP Privadas, puesto que cada una de ellas tienen finalidades diferentes. Una IP Pública es la dirección que es asignada por empresas que dan acceso a Internet (como Telefónica o Claro), y sirve para identificar a la persona dentro de Internet cuando ésta se conecta. Los proveedores de Internet podrán establecer direcciones IP fijas, de forma similar a las conexiones a la red telefónica. No obstante, esto es poco frecuente, puesto que internet está organizado, en la actualidad, de modo que cada proveedor de acceso dispone de un número limitado de direcciones. Por eso se usan en la mayoría de los casos direcciones IP dinámicas, es decir, en vez de asignarle al usuario una dirección IP que nunca cambia, se le designa una IP que puede variar cada cierto tiempo.

Nadie puede navegar por la red sin una IP, y ninguna página web puede estar online si no tiene una IP asociada. Cuando uno escribe una dirección como ‘www.google.pe’ o “www.facebook.com”, lo que hace el navegador es traducir ese texto a una dirección IP para poder conectarse a la página de Google y acceder a su contenido. Por lo tanto, estas direcciones IP públicas sirven para identificar al usuario en la inmensidad de la red, ya que ninguna IP se puede repetir.

Y, por otro lado, encontramos a las IP Privadas, que son aquellas que se asignan cuando uno, por ejemplo, se conecta con varios dispositivos a la red de su casa. Cada dispositivo como la computadora, la laptop, la impresora, el smartphone, la Tablet tendrán una IP propia y para que no existan conflictos entre ellos cada uno tendrá una IP diferente. Cabe aclarar que las IPs privadas no se repiten dentro de una misma red. Esto quiere decir que en una casa, cada aparato conectado tendrá una IP diferente sin que se repita ninguna. No obstante, los números de dirección de IPs de distintas redes privadas pueden coincidir con los números de otras direcciones IPs que se encuentren en redes diferentes. Por ejemplo, su número de IP privada no puede coincidir con ningún dispositivo que se conecte a la red de su casa; sin embargo, su número de IP privada puede ser igual al de su mejor amigo que se encuentra en otra red privada.

Asimismo, es importante diferenciar la dirección IP con la dirección MAC, que es el identificador único de un dispositivo de red asignado por el fabricante. La diferencia básica entre la dirección MAC y la dirección IP es que una dirección MAC identifica de forma única un dispositivo que desea participar en una red. Por otro lado, una dirección IP es un número al que se le asigna de manera única la conexión de una red con una computadora, tablet, celular u otro dispositivo.

¿Podría considerarse como dato personal la dirección IP? El numeral 4 del artículo 2° de la Ley de Protección de Datos Personales – Ley N° 29733 -señala que un dato personal es toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados. Por ejemplo, son datos personales, los nombres, apellidos, correos electrónicos, edad, datos biométricos, datos relativos a la salud, etc. Por su parte, el numeral 4 del artículo 2° del Reglamento de la Ley de Protección de Datos Personales (aprobado por Decreto Supremo N° 003-2013-JUS) establece que un dato personal es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados. Por tanto, los datos personales sirven para identificar a una persona, así como para revelar información de la misma.

Una dirección IP no identifica necesariamente a una persona; sin embargo, esta información la podría hacer identificable. ¿Qué significa esto? De acuerdo con el artículo 4° del Reglamento General de Protección de Datos Personales de la Unión Europea, se considerará persona física (natural) identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto quiere decir que si se cuentan con datos que no se encuentren unidos a un determinado nombre pero permiten identificar a la persona, esta información será considerada como un dato personal. Cabe señalar que, no será identificable si dicha identificación requiere plazos o actividades desproporcionados[1].

En ese sentido, si, por ejemplo, recabamos imágenes a través de una cámara de vigilancia, las imágenes recogidas, pertenecen a personas, que podemos, o no, identificar. Si las imágenes se captan con una resolución tal que permitan identificar a una persona, ésta sería una persona identificable. Asimismo, existen empresas de publicidad que crean perfiles de usuarios que se encuentran disociados de un nombre. Si al momento de realizar un cruce de información con estos perfiles, se puede asociar esta información a una determinada persona estaremos hablando de un dato personal, debido a que esto lo hace identificable.

Bajo esta misma línea de pensamiento, tanto las direcciones IP fijas como dinámicas, con independencia del tipo de acceso, potencialmente pueden identificar a un usuario a partir de datos tratados en la red. Tal como se explicó anteriormente, las empresas de telecomunicaciones son las que suelen asignar a sus clientes las direcciones IP dinámicas, de forma tal que éstas quedan registradas en su sistema. Por tanto, estas direcciones IP, en sí mismas, no pueden ser consideradas como un dato personal hasta su asociación efectiva a una persona natural. Es decir, de entrada y sin información adicional, la dirección IP no permite identificar a un usuario. Ahora bien, un cruce de dicha información con otros datos permitiría identificarlo y por ello convertirse en un dato personal.

Al respecto, debemos recordar que a nivel europeo existen algunas resoluciones que dotan de carácter personal a la dirección IP. La Agencia Española de Protección de Datos (AEPD) dictaminó en sucesivos informes y declaraciones que las direcciones IP son datos de carácter personal y, por tanto, objeto de la normativa en materia de protección de datos de personas físicas. Así lo expresan, entre otras resoluciones emitidas por la AEPD, el Informe 327/2003, y la Declaración sobre buscadores de Internet del 1 de diciembre de 2007. La AEPD considera que sí se puede obtener información adicional de los usuarios a través de la IP por medios razonables, por ejemplo a través de los proveedores de acceso a Internet (Telefónica, Vodafone, etc.), administradores de redes locales, o utilizando  medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación. Por lo tanto, desde el punto de vista de la AEPD, la IP es un dato de carácter personal.

De la misma manera, en España, el pronunciamiento más cualificado en torno a esta cuestión ha venido de la mano de la Sala de lo Contencioso del Tribunal Supremo quien, en su Sentencia del 3 de octubre de 2014 establece, sin dejar lugar a dudas, que la IP debe ser considerada como dato personal. Así estima que, las direcciones IP son datos personales que contienen información concerniente a personas físicas identificadas o identificables. Considera que el hecho de que el prestador de servicios online alegue no disponer de los medios necesarios para realizar la identificación en su mano, no exime de la consideración de dato personal a las direcciones IP, pues no cabe duda de que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado.

Asimismo, el Tribunal de Justicia de la Unión Europea (TJUE), mediante la sentencia en el asunto C‑582/14, señaló que una dirección IP dinámica puede ser considerada como un dato personal. El TJUE responde a la primera cuestión prejudicial que se le planteó[2] señalando que la dirección IP dinámica de un usuario registrada por el prestador de servicios de medios en línea de un sitio de  Internet constituye para aquél un dato personal, dado que, según parece desprenderse de la normativa alemana, este prestador puede dirigirse a la autoridad competente para que lleve a cabo las actuaciones necesarias para obtener del proveedor de acceso a Internet información adicional que permitiría la identificación de la persona y para ejercitar acciones penales. El TJUE entiende, por tanto, que estaríamos ante un medio que el prestador de servicios de medios en línea puede razonablemente utilizar para identificar a la persona, sin que ello implique un esfuerzo desmesurado.

En nuestra opinión, una dirección IP será considerada como un dato personal en la medida que la persona quien trate esos datos tenga información adicional o pueda conseguirla, directa o indirectamente, y que esto le permita identificar de forma indubitable quién es la persona a la que se le asignó ese número. En este supuesto, tal como señala la resolución anteriormente mencionada del Tribunal Supremo Español, si se desea tratar este dato, debe cumplirse con los deberes de consentimiento e información previstos en la normativa de protección de datos; pues, el hecho de que un usuario conozca que su dirección IP es visible y puede ser conocida, no significa que acepte, de forma inequívoca, su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos, de la misma forma que sucede con las matrículas, las direcciones de correo electrónico que figuran en Internet o los datos que aparecen en los buzones: el hecho de que estén a la vista de todos no quiere decir que se pueda hacer un uso libre de ellos.

A modo de reflexión, el gran reto que presenta el desarrollo de nuevas tecnologías es precisamente este. Un dato, aislado en sí mismo, tal vez no proporcione información sobre un usuario ni permita identificarlo pero son millones de datos los que se recogen de cada uno de nosotros a diario: en la navegación en Internet, en nuestros propios dispositivos móviles, en general en todos los movimientos en los que dejemos un “rastro digital”. Las empresas que se dedican a recolectar estos datos deben garantizar que se le está dando un uso adecuado y conforme a ley respecto de nuestros datos personales. En definitiva, la consideración de lo que es dato personal, de lo que se puede hacer o no con éstos y cuáles son los límites, deben ser tratados conforme a la finalidad para la cual fue recopilada y no deberá extenderse a otras que no hayan sido la establecidas de manera inequívoca como tal al momento de su compilación.

[1]Por ejemplo, será desproporcional si una persona tiene una dirección de IP en su base de datos pero para poder asociarlo a una determinada persona, tendrá que realizar una investigación sobre la posición geográfica de la IP y luego de ello solicitar una orden judicial para obtener datos adicionales de los internautas vinculados a ese número de IP. No será desproporcional, en cambio, si organizaciones como Telefónica o Claro disponen de procedimientos razonables para acceder a las asignaciones de sus propios usuarios, o si se es el administrador o dueño de una red local, puesto que muy probablemente se disponga de herramientas para poder determinar los nombres de los usuarios.

 

[2]    El Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania) planteó como cuestión prejudicial si una dirección IP dinámica debe considerarse o no como un “dato personal” en el marco de la información que pueden recabar los prestadores de servicios de la sociedad de la información.

 

Comentarios

MÁS DE ESTE AUTOR

Derechos de Autor e Inteligencia Artificial

De acuerdo a un informe realizado por la OMPI, desde la aparición de la Inteligencia Artificial[1] (en adelante, “IA”) en los años 1960, los...

Aspectos Legales de los e-Sports en el Perú

“King” es el nombre con el que Thiago Lapp, un adolescente argentino de 13 años juega Fortnite. El pasado 29 de julio se volvió viral porque...

El Contexto como Factor Determinante en la Categorización de los Datos Personales

El 18 de agosto de 2015, un equipo de hackers denominado “Impact Team” publicó nombres, apellidos, edad, dirección de domicilio, correos...

“Las Direcciones IP: ¿Se pueden considerar como Dato Personal?”

Las direcciones IP son uno de los elementos más comunes que se pueden encontrar en Internet. Todas las páginas web que se visiten, cualquier...

¿Se deberían regular las OTTs en Perú?

Las posibilidades de miles de millones de personas conectadas por dispositivos móviles, con una facilidad sin precedentes de acceso a la...

LA OBEDIENCIA DEL DERECHO: Un impostergable reto de la ciencia del derecho y algunas reflexiones a propósito de la obra del profesor Tom Tyler

Introducción

Desde mediados del siglo pasado, han sido muchos quienes han optado por cursar sus estudios de postgrado en Derecho en los Estados...

Adhesión del Perú al Convenio de Budapest: ¿Por qué es importante?

El Internet ha logrado que las fronteras nacionales desaparezcan. Así, como podemos comprar “online” ropa en China, guardar nuestros...

Los “Influencer”: Aspectos legales a tener en cuenta

Hace algunos días me quedé conversando con uno de mis mejores amigos, Stefano Schiantarelli, quien es dueño de “¾ Burger Bar” y “Alinea...

¿Puede mi empleador revisar mis correos y mis navegaciones por Internet?

Son muchos los casos en los que las computadoras del trabajo, el correo corporativo, la conexión a internet de la oficina, el Whatsapp del...

Nuevas Tendencias en Protección de Datos Personales

El pasado jueves 06 de diciembre se publicó en España la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos...

Medidas de Protección de Datos Personales aplicado a los Chatbot

Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de...

El “Marketing Mix” en el mercado legal

Para Philip Kotler “el marketing es un proceso social y administrativo mediante el cual grupos e individuos obtienen lo que necesitan y desean a...

Redes Sociales y Paternidad

Hace no mucho tiempo atrás era común que los padres de familia mostraran las imágenes de sus hijos a través de fotografías o videos a sus...

El nuevo Reglamento General de Protección de Datos de la Unión Europea

El nuevo Reglamento General de Protección de Datos (RGPD) busca garantizar estándares de protección de datos personales elevados y adaptados a...

Caso Facebook: ¿Cómo tratan nuestros datos personales?

El pasado 10 de abril, el Congreso de los Estados Unidos interrogó a Mark Zuckerberg por la filtración masiva de datos personales a la empresa...

¿Los difuntos tienen derecho a la protección de datos personales?

El 19 de febrero del presente año, el reconocido periodista deportivo Daniel Peredo Mechola falleció a causa de un paro cardíaco. Este evento...

Preguntas y respuestas sobre el Comité de Seguridad y Salud en el Trabajo

Autora: Claudia Seminario Gómez

Todo empleador debe contar con un Sistema de Gestión de la Seguridad y Salud en el Trabajo, de modo que...

¿Se deben regular las criptomonedas en el Perú?

Desde la creación del Bitcoin en el año 2009, las criptomonedas no han dejado de crecer y han surgido multitud de monedas...

La regulación de la Inteligencia Artificial

Hace 75 años el escritor Iscaac Asimov formuló en su relato “El círculo vicioso” las “Tres Leyes de la Robótica”, las cuales tienen la...

¿Qué es el “Blockchain” y por qué es importante que un abogado esté al tanto?

En el año 2009, Satoshi Nakamoto creó el Bitcoin, una criptodivisa que tiene como “back end” al “Blockchain” o “cadena de bloques”,...

El Big Data y sus implicancias legales en la Protección de Datos Personales

No cabe duda de que nos encontramos en pleno auge de la era de la información, ya que desde el inicio de la civilización hasta el 2013, se...

Sobre la Metodología para Determinar Caudales Ecológicos y el impacto en las inversiones

Autora: Cinthya Escate Asociada del Estudio Lazo, de Romaña & CMB Abogados

A mediados de junio del año pasado, la Autoridad Nacional del Agua...

¿Cuál es el impacto jurídico que tiene el uso de redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales?

El auge de la tecnología y la globalización ha llevado a preguntarnos cuál es el impacto jurídico que tiene el uso de las redes sociales en lo...

El Abogado de hoy y su llamado a la protección del medioambiente

Autor:

Juan Diego Mujica Filippi

Hace 43 años, el 5 de junio de 1974, la Asamblea General de las Naciones Unidas decidió que a partir de...

Sociedades de Beneficio: un nuevo paradigma en el Derecho Empresarial

Autor: 

Juan Diego Mujica Filippi

En la actualidad, el Derecho Empresarial es testigo del surgimiento de un fenómeno societario reciente,...

La indispensable especialización de los inspectores de trabajo

Autora: Claudia Seminario Gómez

La seguridad y salud en el trabajo no es un tema nuevo pero, indiscutiblemente, ha tomado fuerza en los últimos...

Los emprendimientos de interés social bajo el Derecho peruano: ¿cómo estructurar una empresa social en el Perú?

Autor: 

Paolo Robilliard D’Onofrio

En el Perú viene despertando poco a poco el interés por migrar de un esquema de apoyo social basado en la...

Fiscalización Laboral - Deber de Vigilancia: ¿Cajón de sastre para la imposición de multas?

Autora: Claudia Seminario Gómez

Todo aquel que ha visto de cerca una inspección laboral a cargo de la SUNAFIL, que involucra a una empresa...

Aportes Societarios en la Era Digital: ¿Se puede aportar “Bitcoins” a una Sociedad Anónima?

Imagínense que un grupo de accionistas en una Sociedad Anónima decidan incrementar su capital aportando “Bitcoins”. ¿Esto es legalmente...

El abuso de derecho en el Derecho Societario Peruano

Montesquieu alguna vez dijo: “La libertad es el derecho a hacer lo que las leyes permiten. Si un ciudadano tuviera derecho a hacer lo que éstas...

El Decreto Legislativo N° 1272 y cómo "optimizar" el Procedimiento Sancionador

Autor: Ernesto Soto

El Decreto Legislativo N° 1272 modificó la Ley N° 27444, Ley del Procedimiento Administrativo General, para “optimizar la...

Los problemas de agencia y las soluciones legales

En el ámbito económico, se habla de una relación principal-agente cuando un individuo (el Principal) encarga a un segundo (el Agente) la...

Una acertada aplicación del principio de indivisibilidad por parte del SENACE

Autor: Juan Manuel Pazos

Durante el presente año, el Servicio Nacional de Certificación Ambiental para las Inversiones Sostenibles (SENACE)...

Justicia: Las dos caras de Jano

Autor: Nelson Ramírez Jiménez  Abogado por la Universidad Federico Villareal 

El Dios Jano posee dos caras debido a su capacidad para abrir o...

El silencio de los insolventes y el “período de sospecha”: ¿Qué riesgos se asumen al contratar con quien podría estar a puertas de un procedimiento concursal?

Autor:

Paolo Robilliard D’Onofrio

Existe un riesgo obvio al contratar con quien es o podría estar próximo a ser insolvente, y es que esa...

Los nuevos vientos en la comercialización de Microseguros en el Perú

Autor: Gianfranco Iparraguirre

En el mercado de seguros existen una variedad de productos destinados a cubrir riesgos que, de sucederse, podrían...

¿NOS ASEGURAMOS LOS PERUANOS ANTE NUESTROS PRINCIPALES TEMORES?

Autor: Gianfranco Iparraguirre

Hace unos días revisaba una presentación, en el sitio web de la Superintendencia de Banca, Seguros y AFP (

“La ley es la ley”: ¿Puede corregirse un acuerdo mal adoptado por una persona jurídica, sin sufrir las consecuencias del error?

Autor: 

Paolo Robilliard D’onofrio

Los cuestionamientos que actualmente se vienen haciendo a ciertos partidos políticos, por presuntamente no...

¿Subsidiaria o Sucursal? Una mirada más allá de la responsabilidad limitada

Autor: 

Paolo Robilliard D’Onofrio

Cuando, desde una perspectiva de negocios, llega el momento de que un grupo empresarial extranjero establezca...

La Necesidad de Dinamizar el Proceso de Otorgamiento de Derechos Petroleros.

Autores:

Giancarlo Guardia y Susana Ramos

La industria petrolera está en crisis. La producción petrolera en nuestro país ha descendido de...