Tiene la dirección IP dinámica el carácter de dato personal

02/11/2016
Por Noemí Brito Izquierdo

Recientemente, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictado una sentencia importante en relación al caso C‑582/14, en lo que concierne a las posibilidades del gestor o titular de un sitio de internet y, en definitiva, de cualquier prestador de servicios en línea de defenderse y reaccionar en caso de que un ataque cibernético por parte de los usuarios pudiera comprometer el correcto funcionamiento de su página y servicios, al permitirle conservar y tratar ciertos datos personales de los usuarios, en particular, su dirección de protocolo de internet dinámica (direcciones de IP dinámica) que, como ya apunta esta sentencia, constituye, para tal gestor y/o prestador, un dato personal cuando éste dispone de medios legales que le permitan identificar de forma razonable al usuario de que se trate gracias a información suplementaria en manos del proveedor de acceso a Internet del usuario. Ciertamente, esta información serviría a tal gestor o prestador para articular las acciones legales que correspondiera frente a los usuarios atacantes en defensa de sus derechos e intereses legítimos.

A tenor de esta sentencia se plantean dos cuestiones principales, a saber:

1. ¿Tiene la dirección IP dinámica el carácter de dato personal?

2. ¿Puede justificar el interés legítimo del gestor o titular de un sitio web en garantizar el correcto funcionamiento general del mismo la conservación y, en general, el tratamiento de ciertos datos personales (direcciones IP dinámicas) de los usuarios sin su consentimiento?

Dirección IP como dato personal

En lo que concierne a la primera cuestión, se debe destacar que desde hace ya algún tiempo atrás, tanto la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE)[1], cuanto la jurisprudencia del Tribunal Supremo español[2] viene categorizando a las direcciones IP de los usuarios como datos de carácter personal, con la consiguiente aplicación de los principios de  información y de consentimiento a los efectos del tratamiento de los mismos, así como del resto de la normativa protectora de datos personales. También la Agencia Española de Protección de datos (AEPD) se ha manifestado en algún Informe Jurídico en este mismo sentido.[3]

En este contexto, la STJUE de 19 de octubre de 2016, -en la línea ya apuntada de forma previa también por las Conclusiones del el Sr. M. CAMPOS SÁNCHEZ-BORDONA, Abogado General de este Alto Tribunal, del pasado 12 de mayo de 2016[4]-, examina específicamente el caso de las direcciones de IP dinámicas, que son aquellas direcciones IP que son asignadas de forma temporal al usuario por el proveedor de servicios de acceso a Internet (ISP) ostentando, por consiguiente, una duración máxima determinada y cambiando con cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas (invariables y que permiten la identificación del dispositivo conectado a la red), las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. La única manera de poder identificar al usuario que está detrás de las IP dinámicas sería cruzando esta información con la información suplementaria en manos del ISP.

A este respecto, la anterior STJUE aclaró que una dirección IP dinámica registrada por un proveedor o gestor de servicios de medios en línea, es decir, por el gestor de un sitio de Internet, durante la consulta de su sitio de Internet accesible al público constituye, respecto a este gestor, un dato personal cuando el mismo dispone de medios legales y razonables que le permitan identificar al usuario gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicho usuario[5]. En definitiva, se tratará de una persona física identificable y con ello, de conformidad con el derecho aplicable, de información de tipo personal.

[1] Remítase a la Sentencia de la Sección Sexta de la Sala de lo Contencioso-administrativo del Tribunal Supremo: http://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=7195354&links=%226153/2011%22&optimize=20141023&publicinterface=true

[2] Entre otras, resultan de interés las SSTJUE de 29 de enero de 2008 y de 24 de noviembre de 2011: http://curia.europa.eu/juris/liste.jsf?language=es&num=C-275/06 y http://curia.europa.eu/juris/document/document.jsf?docid=115205&doclang=ES

[3] Véase así el Informe Jurídico AEPD nº 327/2003: https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2003-0327_Car-aa-cter-de-dato-personal-de-la-direcci-oo-n-IP.pdf

[4]Texto accesible desde esta URL:  http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=690386

[5] No sería posible tal asociación (ni nos encontraríamos ante datos de carácter personal) cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante. En este sentido, véase el Considerando 68 de las siguientes Conclusiones del Abogado General del TJUE: http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=690386. En este caso, el gestor o prestador de un sitio de Internet podrá articular diversas vías legales que le permiten dirigirse, en el caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones legales que correspondan.

[6] Este Reglamento puede consultarse a través de la siguiente dirección web: https://www.boe.es/doue/2016/119/L00001-00088.pdf

 

Se expone a continuación el análisis de una serie de resoluciones e informes de la Agencia Española de Protección de Datos (AEPD) que han analizado y despejado cuestiones dudosas.

El análisis de casos concretos ayuda con frecuencia a esclarecer aspectos prácticos que desde el punto de vista de la normativa de protección de datos pueden no resultar totalmente claros tras un primer análisis de la normativa.

La dirección IP: ¿Se considera datos de Carácter Personal?
Las direcciones IP o Internet Protocol es el conjunto de números que identifican de manera lógica y jerárquica un equipo en Internet; ya sea un ordenador o cualquier otro dispositivo capaz de conectarse a Internet.

La dirección IP con la que un equipo navega por Internet, es única en el momento de la navegación y ningún otro equipo puede estar navegando con la misma dirección, es por esto que cabría identificarla como la “matrícula” del equipo en Internet.13

 13 Hay que tener en cuenta que las direcciones IP pueden ser dinámicas o estáticas dependiendo si el usuario accede siempre con la misma dirección, o si lo hace cada vez que se conecta con una diferente. No obstante, e independientemente de que lo haga con una modalidad o con otra, queda registrado en el archivo histórico del proveedor.

 Si se parte del concepto de dato de carácter personal dispuesto en el artículo 3 a) de la LOPD se observa que el dato de carácter personal es todo aquel dato que identifique o haga identificable a una persona física.

La dirección IP por sí sola no hace identificable directamente a una persona física, sino que hace identificable a un equipo, y en su caso, a una conexión a Internet contratada a nombre de una persona en concreto, al menos inicialmente.

Todos los proveedores de acceso a Internet disponen de un fichero histórico14 en el que queda guardada la dirección IP asignada a cada uno de sus abonados en el momento concreto en el que se conectan, de igual manera los datos de tráfico, fecha, hora y otros de semejante naturaleza; de cara a poder facturar posteriormente los servicios.

Con todo ello, la Agencia Española de Protección de Datos, entendió en el Informe 327/2003 que siempre que medie la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, esto es, obtener su identidad civil (nombre dirección, número de teléfono, etc) por medios razonables, de modo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.