Las empresas cada vez recogen y tratan más datos de registros en línea. Y dentro de esos datos están incluidas, además de las páginas web o los procesos de acceso, las direcciones IP de los equipos que acceden a Internet.

A través de esos registros es posible saber de dónde procede un determinado ataque informático, el tipo de ataque del que se trata y permiten también alertar antes de que ese ataque se produzca, para intentar prevenirlo.

Con la entrada en vigor del RGPD nos surgen dos preguntas:

¿Se consideran datos personales las direcciones IP?

¿Pueden recogerse, tratarse y guardarse sin el consentimiento de su propietario?

La respuesta depende de múltiples circunstancias. Aquí te lo explico.

¿Qué es una dirección IP?

Una dirección IP (Protocolo de Internet) es una marca numérica atribuida a cada uno de los dispositivos conectados a una red informática que usa el Protocolo de Internet. Esta marca numérica tiene dos funciones:

  • Proporciona la dirección de la ubicación del dispositivo
  • Identifica la interfaz de la red

Esas direcciones IP no pueden identificar la identidad de la persona que está utilizando ese dispositivo, solo identifican el propio dispositivo que está conectado a la red.

Existen dos tipos de IP:

  • Estática: Al dispositivo se le asigna una dirección IP específica y es la misma siempre que se conecta a Internet.
  • Dinámica: al dispositivo se le asigna una dirección IP distinta cada vez que se conecta a la red. En este caso, también puede asignarse una nueva IP para cada nueva sesión o al transcurrir un determinado tiempo en la sesión.

Será más fácil asociar una dirección IP a un dispositivo cuanto más tiempo el dispositivo tenga atribuida esa misma IP.

Normalmente, la información precisa para conectar una dirección IP a un equipo no es de acceso público. Por ejemplo, una dirección IP puede asociarse a una determinada oficina del gobierno pero no a un equipo o persona concreta de esa oficina.

¿Qué identifica la dirección IP?

Con la dirección IP se podrá identificar al proveedor de servicios de Internet que asignó esa IP a cada equipo. Y este proveedor, a través de esa IP, puede saber a qué persona o entidad le asignó esa IP concreta.

Muchos expertos creen que las direcciones IP no pueden ser consideradas como datos personales ya que los proveedores de servicios de Internet no facilitan a nadie la identificación de las personas asociadas a esas IP. Para poder rastrear la IP de un usuario de servicios de Internet es necesaria una orden judicial.

Consideran que esa información no es un dato personal ya que es muy complicado encontrar una dirección IP y asociarla a una persona concreta.

Datos personales en el RGPD

En el RGPD no queda claro si una dirección IP puede incluirse dentro de la definición que se establece de datos personales.

Un dato personal, según esta normativa, es toda información relativa a una persona física identificada o identificable. Y una persona identificable se considera aquella a la que es posible identificar, directa o indirectamente, a través de datos como nombre, DNI, ubicación, identificador online u otros aspectos como rasgos físicos, fisiológicos, genéticos, culturales, económicos o sociales.

Según esto, la dirección IP sería considerada como un dato personal en caso de que el proveedor posea todos los datos necesarios para asociar esa IP a una persona concreta. Es decir, si nuestro proveedor de Internet puede rastrear las actividades que realizamos online o nuestra identidad a través de la dirección IP de nuestros dispositivos, esa IP será considerada un dato personal. Y, en esos casos, el proveedor necesitará el consentimiento del propietario de esa IP para poder tratarla.

Pero los supuestos no están muy claros.

Contexto en el que se use la IP

En el caso de que se pretenda hacer un seguimiento de lo que una persona concreta está haciendo por un tercero que tenga acceso a los datos necesarios y capacidad para poder realizar ese seguimiento, la dirección IP es considerada un dato personal.

Por ejemplo, la recopilación de direcciones IP para averiguar los sitios que visitan los empleados, sí se considera información personal. Pero si se usan esas direcciones IP para analizar el tráfico general, en ese caso no se deberían considerar como datos personales.

Un caso más complicado es la recopilación de direcciones IP por motivos de seguridad. Esos registros en línea son utilizados para determinar el nivel de seguridad de una empresa. En estos casos es posible averiguar si una dirección IP ha sido el origen de un determinado ataque informático y asociar esa IP al ciberatacante concreto.

Resumiendo, podemos decir que lo que convierte un dirección IP en un dato personal es su vinculación a una persona específica.

 

¿Por qué la dirección IP es un dato personal?
4.6 (92%) 5 votos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.