Las empresas cada vez recogen y tratan más datos de registros en línea. Y dentro de esos datos están incluidas, además de las páginas web o los procesos de acceso, las direcciones IP de los equipos que acceden a Internet. Pero, ¿es la dirección IP un dato personal? ¿Qué dice el RGPD al respecto? ¿Y la Agencia Españolas de Protección de Datos? Lo vemos en el siguiente artículo.
¿Qué es una dirección IP?
Una dirección IP (Protocolo de Internet) es una marca numérica atribuida a cada uno de los dispositivos conectados a una red informática que usa el Protocolo de Internet. Esta marca numérica tiene dos funciones:
- Proporciona la dirección de la ubicación del dispositivo
- Identifica la interfaz de la red
Esas direcciones IP no pueden identificar la identidad de la persona que está utilizando ese dispositivo, solo identifican el propio dispositivo que está conectado a la red.
Existen dos tipos de IP:
- Estáticas: Al dispositivo se le asigna una dirección IP específica y es la misma siempre que se conecta a Internet.
- Dinámicas: al dispositivo se le asigna una dirección IP distinta cada vez que se conecta a la red. En este caso, también puede asignarse una nueva IP para cada nueva sesión o al transcurrir un determinado tiempo en la sesión.
Será más fácil asociar una dirección IP a un dispositivo cuanto más tiempo el dispositivo tenga atribuida esa misma IP.
Normalmente, la información precisa para conectar una dirección IP a un equipo no es de acceso público. Por ejemplo, una dirección IP puede asociarse a una determinada oficina del gobierno pero no a un equipo o persona concreta de esa oficina.
¿Qué identifica la dirección IP?
Con la IP se podrá identificar al proveedor de servicios de Internet que asignó esa IP a cada equipo. Y este proveedor, a través de esa IP, puede saber a qué persona o entidad le asignó esa IP concreta.
Muchos expertos creen que las direcciones IP no pueden ser consideradas como datos personales ya que los proveedores de servicios de Internet no facilitan a nadie la identificación de las personas asociadas a esas IP. Para poder rastrear la IP de un usuario de servicios de Internet es necesaria una orden judicial.
Consideran que esa información no es un dato personal ya que es muy complicado encontrar una dirección IP y asociarla a una persona concreta.
La IP y los datos personales en el RGPD
En el RGPD no queda claro si una dirección IP puede incluirse dentro de la definición que se establece de datos personales.
Un dato personal, según esta normativa, es toda información relativa a una persona física identificada o identificable. Y una persona identificable se considera aquella a la que es posible identificar, directa o indirectamente, a través de datos como nombre, DNI, ubicación, identificador online u otros aspectos como rasgos físicos, fisiológicos, genéticos, culturales, económicos o sociales.
Según esto, la dirección IP es un dato personal en caso de que el proveedor posea todos los datos necesarios para asociar esa IP a una persona concreta. Es decir, si nuestro proveedor de Internet puede rastrear las actividades que realizamos online o nuestra identidad a través de la dirección IP de nuestros dispositivos, esa IP será considerada un dato personal. Y, en esos casos, el proveedor necesitará el consentimiento del propietario de esa IP para poder tratarla.
Pero los supuestos no están muy claros.
¿Qué dice la AEPD sobre las direcciones IP?
En cambio, la Agencia Española de Protección de Datos (AEPD) lo tiene mucho más claro.
La APED define un dato personal como cualquier información relativa a una persona que permita su identificación.
En este sentido, entiende que el Protocolo TCP/IP es un modelo básico de transmisión de datos a través de internet, en el cual cada ordenador se identifica con una dirección IP única. Los paquetes de información que se transmiten mediante este protocolo incLuyen la dirección IP de emisor y destinatario.
Por su parte, el DNS es un mecanismo que asigna nombres a los ordenadores identificados con una dirección IP. Y señala que hay herramientas que permiten encontrar la relación entre el nombre del dominio y una empresa o particular.
Del mismo modo, los proveedores de acceso a internet o administradores de redes también pueden identificar a los usuarios a los que se les ha asignado una dirección IP.
Por tanto, la postura de la AEPD es evidente. Aunque no siempre se puede identificar a un usuario a través de los datos de red, se debe partir de la consideración de que la IP es un dato personal. Por tanto, las direcciones IP fijas y dinámicas ha de cumplir con la normativa de protección de datos recogida en el RGPD y la LOPDGDD.
Casos en los que la IP se considera un dato personal
En el caso de que se pretenda hacer un seguimiento de lo que una persona concreta está haciendo por un tercero que tenga acceso a los datos necesarios y capacidad para poder realizar ese seguimiento, la dirección IP es considerada un dato personal.
Por ejemplo, la recopilación de direcciones IP para averiguar los sitios que visitan los empleados, sí se considera información personal. Pero si se usan esas direcciones IP para analizar el tráfico general, en ese caso no se deberían considerar como datos personales.
La dirección IP siempre es un dato de carácter personal?
Un caso más complicado es la recopilación de direcciones IP por motivos de seguridad. Esos registros en línea son utilizados para determinar el nivel de seguridad de una empresa. En estos casos es posible averiguar si una dirección IP ha sido el origen de un determinado ataque informático y asociar esa IP al ciberatacante concreto.
Resumiendo, podemos decir que lo que convierte un dirección IP en un dato personal es su vinculación a una persona específica.
Escribe aquí tu comentario