(+34) 954233752

¿Tengo que modificar el aviso legal de mi web ahora que la IP dinámica es un dato personal?

Antes de dar la respuesta a si hay que modificar el aviso legal (política de privacidad o la que corresponda) de los sitios web ahora que una dirección IP dinámica es considerada como un dato personal, se debe aclarar si realmente estas direcciones IP tendrán siempre dicha consideración, y por tanto, su tratamiento estará sometido a la normativa de protección de datos, que requiere, con carácter general, informar y obtener el consentimiento de los interesados.

Este dilema nace a raíz de la Sentencia de 19 de octubre de 2016 de la Sala Segunda del Tribunal de Justicia de la Unión Europea (C-582/2014), que ha analizado recientemente si una dirección IP dinámica tiene la consideración de dato personal, es decir, que identifica a una persona física, o al menos, la hace identificable sin requerir plazos o esfuerzos desproporcionados.

Aunque es muy probable que quien esté leyendo este texto sepa qué es una dirección IP, incluyo una breve explicación a continuación. Las direcciones IP son secuencias de números que se asignan a los dispositivos conectados a Internet (ordenador, tablet, móvil, …) para que éstos puedan comunicarse entre sí a través de esa red. Cuando se consulta un sitio de Internet, la dirección IP del dispositivo que consulta se comunica al servidor en el que se aloja el sitio consultado. Dicha comunicación es necesaria para que los datos consultados puedan transferirse al destinatario correcto.

Así, los dispositivos de los usuarios de Internet reciben de los proveedores de acceso a Internet para conectarse una dirección IP, y ésta puede ser estática o dinámica, que sería como su matrícula para poder circular por Internet. Es estática cuando el proveedor siempre asigna la misma, y es dinámica cuando ésta cambia con ocasión de cada nueva conexión a Internet, por lo que no permiten relacionar, mediante ficheros accesibles al público, un dispositivo concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. La gran mayoría son dinámicas, ya que su coste para el usuario es mucho menor.

Tras esta breve explicación, es el momento de plantear el caso analizado por la Sentencia: un usuario de Internet obtiene de su proveedor de acceso a Internet una IP dinámica para poder navegar a través de su ordenador. En su navegación, este usuario visita el sitio web de una entidad, que es un proveedor de servicios de Internet, como podría serlo cualquier empresa que tenga su web en Internet para ofrecer información sobre sus productos o servicios. La tecnología de funcionamiento de Internet permite que el proveedor de servicios puede conocer las direcciones IP de sus visitantes (que les asigna su proveedor de acceso), y en este caso, el proveedor de servicios almacena las direcciones IP de sus visitantes por motivos de ciberseguridad.

El proveedor de servicios entiende que la conservación de esos datos es necesaria para garantizar la seguridad y la continuidad del buen funcionamiento de sus sitios de Internet que esta entidad hace accesibles al público, ya que permiten, en particular, detectar los ataques informáticos denominados ataques mediante denegación de servicio (que persiguen paralizar el funcionamiento de esos sitios inundando de modo deliberado y coordinado ciertos servidores de Internet con un gran número de solicitudes) y permiten luchar contra esos ataques.

Así, el Tribunal entra a dilucidar si estas direcciones IP dinámicas registradas por un prestador de servicios en relación con un acceso a su sitio de Internet constituye para éste un dato personal desde el momento en que un tercero (en este caso, un proveedor de acceso) dispone de los datos adicionales que permiten identificar al interesado.

Como he mencionado anteriormente, un dato tendrá la consideración de personal cuando identifique o haga identificable a una persona física. Partimos de la base de que una dirección IP dinámica no constituye una información relativa a una persona física identificada, puesto que tal dirección no revela directamente la identidad de la persona física propietaria del dispositivo desde el cual se realiza la consulta de un sitio de Internet ni la de otra persona que pudiera utilizar ese dispositivo.

Visto que no es un dato que identifique a una persona física, debe darse una respuesta a si una dirección IP dinámica hace identificable a la persona física que la usa. Existe una controversia doctrinal relativa a la cuestión de si, para determinar si una persona es identificable, procede tomar como base un criterio objetivo o un criterio relativo.

Conforme al criterio objetivo, datos como las direcciones IP, son datos personales, aunque solamente un tercero pueda determinar la identidad del interesado, siendo ese tercero en este caso, el proveedor de acceso a Internet que ha conservado información adicional que permite identificar a éste mediante las mencionadas direcciones IP.

Según el criterio relativo, tales datos son personales respecto a una entidad, como el proveedor de acceso a Internet del usuario, porque permiten la identificación precisa del mismo, pero no lo son respecto a otra entidad, como el proveedor de servicios de Internet consultados por el usuario, dado que este titular del sitio web no dispone, en el caso de que el usuario no haya revelado su identidad durante las sesiones de consulta de su sitio, de la información necesaria para su identificación sin un esfuerzo desmesurado.

Este último es el criterio que parece emplear el Tribunal de Justicia de la Unión Europea en interpretación de la Directiva 95/46 de Protección de Datos, que estipula que para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento, o, subraya el Tribunal, por cualquier otra persona, para identificar a dicha persona.

En la medida en que esta Directiva hace referencia a los medios que puedan ser razonablemente utilizados tanto por el responsable del tratamiento como por cualquier otra persona, su tenor sugiere que, para que un dato pueda ser calificado de dato personal, en el sentido de dicha Directiva, no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona.

Por tanto, el quid de la cuestión es si la posibilidad de combinar una dirección IP dinámica con dicha información adicional en poder del proveedor de acceso a Internet constituye un medio que pueda ser razonablemente utilizado para identificar al interesado por parte del proveedor de servicios.

Dando contestación a esta cuestión, el Tribunal comienza aclarando que esto no sucede cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante.

Sin embargo, como en el caso analizado existen vías legales que permiten al proveedor de servicios de Internet dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales, debe entenderse que sí hacen identificable al usuario visitante, y por tanto, la dirección IP dinámica sí sería un dato personal.

Por consiguiente, según este Tribunal, una dirección IP dinámica registrada por un proveedor de servicios de Internet con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposición, cuando éste disponga de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona.

Una interpretación restrictiva de esta Sentencia me parece lógica, y que ya en alguna ocasión se ha aplicado en España respecto a direcciones IP dinámicas almacenadas para actuar legalmente contra sus usuarios, algo que parece suceder también en este caso, pues el proveedor de servicios de Internet almacenaba estas direcciones, además de para evitar posibles ataques cibernéticos, con el fin específico de actuar legalmente contra los atacantes, llegado el caso.

Sin embargo, una interpretación extensiva de la misma, puede llegar al absurdo de que todo dato que combinado con cualquier registro o fichero de terceros permita hacer identificable a alguien será considerado como dato personal, ya que los tribunales casi siempre podrán identificar al interesado ante una hipotética actuación legal, llegando así una interpretación objetiva de cuando un dato tiene la consideración de identificable.

En cualquier caso, es conveniente que quien tenga un sitio web incluya en sus avisos la información necesaria respecto al tratamiento de datos de las direcciones IP, sea o no con fines de actuar legalmente contra el titular de la misma, como puede ser la analítica de las direcciones IP que visitan su sitio web, o por supuesto, las de los comentarios de su blog.

Pero además de informar, la normativa de protección de datos exige, salvo en las excepciones especialmente previstas, obtener el consentimiento del interesado, algo a lo que también se refiere la Sentencia en cuestión.

El Tribunal aclara que con arreglo al artículo 7, letra f), de la Directiva 95/46, el tratamiento de datos personales es lícito si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección.

En definitiva, con objeto de mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad, estima el Tribunal que los proveedores de servicios de Internet pueden tener un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de dichos sitios, aunque aclara finalmente que habrá que estar siempre a las circunstancias particulares de cada caso concreto. Ahí queda eso para la seguridad jurídica de los proveedores de Internet.

Pedro Rodríguez López de Lemus

No Comments

Sorry, the comment form is closed at this time.