(+34) 954 369 315

¿Son las direcciones IP datos personales?

En este artículo se abordará si una dirección IP por sí sola es un dato personal, que según nos define Wikipedia[1], es “un número que identifica, de manera lógica y jerárquica, a una Interfaz en red (elemento de comunicación/conexión) de un dispositivo (computadora, tableta, portátil, smartphone) que utilice el protocolo IP o (Internet Protocol), que corresponde al nivel de red del modelo TCP/IP”.

Añade esta definición de Wikipedia, que la dirección IP “puede cambiar muy a menudo debido a cambios en la red, o porque el dispositivo encargado dentro de la red de asignar las direcciones IP, decida asignar otra IP (por ejemplo, con el protocolo DHCP). A esta forma de asignación de dirección IP se le denomina también dirección IP dinámica (normalmente abreviado como IP dinámica). Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados, generalmente tienen la necesidad de una dirección IP fija (comúnmente, IP fija o IP estática). Esta no cambia con el tiempo. Los servidores de correo, DNS, FTP públicos y servidores de páginas web necesariamente deben contar con una dirección IP fija o estática, ya que de esta forma se permite su localización en la red”.

Así, una dirección IP (IPv4) es un numero compuesto de cuatro cifras, cada una de ellas de 0 a 255, unidas por un punto (por ejemplo, 88.6.228.142), que los proveedores de servicios de acceso a Internet otorgan a los equipos informáticos de sus usuarios en sus conexiones a Internet, y que queda reflejado en los servidores a los que acceden estos equipos. Lo habitual es que la mayoría de los usuarios particulares, y gran parte de los profesionales, dispongan al conectarse a Internet de direcciones IP dinámicas, es decir, que van cambiando a lo largo del tiempo. Por ello, aunque en cierta medida estas direcciones de Internet son geolocalizables a través de buscadores especializados, en los mejores de los casos la localización dará como resultado una población, o incluso un barrio, pero no una dirección concreta que pueda hacer identificable a una persona física.

Por ello, en principio, solo los proveedores de servicios de acceso a Internet que asignan una dirección IP a sus clientes conocerán quien es el titular de ese servicio contratado. Así, tal y como indicó el Tribunal de Justicia de la Unión Europea en el asunto C-70/10[2] en este contexto, las direcciones IP “son datos protegidos de carácter personal, ya que permiten identificar concretamente a tales usuarios”.

No obstante, cuando un usuario accede a un servicio de Internet en el que se ha registrado previamente, identificándose, el prestador del servicio podrá relacionar esa dirección IP con una persona identificada. Sin embargo, lo habitual es que el prestador de un servicio en Internet solo sepa la dirección IP del usuario o, mejor dicho, del equipo que está accediendo a sus servicios.

Por ejemplo, todos los usuarios que visiten un sitio web de una empresa estarán dejando grabado en el servidor de esta empresa su dirección IP, otorgada a su equipo de forma temporal por su proveedor de acceso a Internet, la hora de este acceso, y todas las acciones que se hagan en este sitio web. Así, esta empresa podrá comprobar que un equipo con una dirección IP determinada en un momento concreto accedió a distintas páginas de su sitio web.

Por todo ello, la cuestión es discernir si estas direcciones IP dinámicas pueden hacer identificables a las personas que son usuarias de las mismas por parte de los proveedores de servicios de Internet, por ejemplo, el que dispone de un sitio web.

Para ello, acudimos en primer lugar al RGPD, que en su Considerando 30 indica que “Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.”

Aquí, el RGPD, más que aclarar si una dirección IP, estática o dinámica, identifica a una persona, lo que hace es indicar que, en combinación con otra información añadida que se obtenga, pueden hacer identificable a una persona, pero solo cuando se capte esa otra información que permita identificarle, lo que no siempre es posible y, sobre todo, en la mayoría de los casos ni siquiera se tiene la intención de obtener. Pero si acudimos a la definición de datos personales establecida en el artículo 4.1 del RGPD, además de establecer que son “toda información sobre una persona física identificada o identificable”, esta definición incluye como ejemplo de persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante “un identificador en línea”.

En este sentido, el Tribunal de Justicia de la Unión Europea en el ya aludido asunto C‑582/14, por el que el Bundesgerichtshof[3] decidió plantearle la cuestión prejudicial relativa a si “una dirección IP registrada por un prestador de servicios [de medios en línea] en relación con un acceso a su sitio de Internet constituye para éste un dato personal desde el momento en que un tercero (en este caso, un proveedor de acceso) disponga de los datos adicionales que permiten identificar al interesado”.

El alto Tribunal europeo parte de las siguientes premisas:

  • En primer lugar, “para prevenir ataques y posibilitar el ejercicio de acciones penales contra los «piratas», la mayor parte de esos sitios registran todas las consultas en ficheros de protocolo. En ellos se conservan, al final de la sesión de consulta de dichos sitios, el nombre del sitio o fichero consultado, los términos introducidos en los campos de búsqueda, la fecha y hora de la consulta, la cantidad de datos transmitidos, la constatación del éxito de la consulta y la dirección IP del ordenador desde el que se ha realizado la consulta”.
  • En segundo lugar, “los datos que consisten en una dirección IP dinámica y en la fecha y hora de la sesión de consulta de un sitio de Internet a partir de dicha dirección IP, registrados por un proveedor de servicios de medios en línea no permiten, por sí solos, identificar al usuario que ha consultado ese sitio de Internet durante dicha sesión y, por otro lado, el proveedor de acceso a Internet dispone, por su parte, de información adicional que, si se combinara con esa dirección IP, permitiría identificar a dicho usuario”.

Y en base a estas, concluye este Tribunal que aunque “el Derecho alemán no permite al proveedor de acceso a Internet transmitir directamente al proveedor de servicios de medios en línea información adicional, necesaria para identificar al interesado, parece no obstante, sin perjuicio de las comprobaciones que debe hacer a este respecto dicho tribunal, que existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales”, por lo que “debe interpretarse en el sentido de que una dirección IP dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposición, cuando éste disponga de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona”.

En este mismo sentido podemos mencionar la Sentencia del Tribunal Supremo, Sala de lo Contencioso, de tres de octubre de 2014, n.º 6153/2011, en la que se estima “que las direcciones IP son datos personales”.

Igualmente, la AEPD en su Informe 327/2003[4], bajo el epígrafe “Carácter de dato personal de la dirección IP”, da respuesta a la consulta relativa a si las direcciones IP son consideradas como datos de carácter personal, indicando que “aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”. En el mismo sentido, entre otros, se pronuncian los Informes 213/2004[5] (Cesión de la dirección IP a las Fuerzas y Cuerpos de Seguridad), y el 0261/2012[6] de esta Agencia.

Sin embargo, frente a la idea de que siempre pueden existir medios legales para hacer identificable al usuario de una dirección IP, lo que lo convertiría en un dato personal que hace identificable a una persona física, la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, declara, en su artículo 2, que “la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales”.

A su vez, el artículo 33.b del Código Penal[7] establece que son delitos graves las infracciones que son castigadas con prisión superior a cinco años. Sin embargo, el artículo 579 de la Ley de Enjuiciamiento Criminal[8] ha establecido, con posterioridad, que un juez puede acordar la detención de la correspondencia privada siempre que la investigación tenga por objeto algún delito castigado con una pena de, al menos, tres años de prisión.

Por tanto, los prestadores de servicios de comunicaciones electrónicas tienen la obligación comunicar los datos necesarios para identificar a sus usuarios siempre que el delito objeto de investigación esté castigado con una pena de, al menos, tres años, en vez de cinco.

Pero ¿quiere decir esto que la autoridad judicial no puede solicitar a los prestadores de servicios de comunicaciones electrónicas la identificación de sus usuarios a través de la IP si el delito investigado no alcanza una pena de tres años de prisión?

Esta cuestión se la planteó la Audiencia Provincial de Tarragona al Tribunal de Justicia de la Unión Europea, que ha contestado, a través de la Sentencia de 2 de octubre de 2018. En su respuesta, el Tribunal Europeo alude a la norma que fue traspuesta con la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, la Directiva sobre la privacidad y las comunicaciones electrónicas, indicando que esta no limita su objetivo a la lucha contra los delitos graves, sino que se refiere a los delitos en general. Por lo que, conforme al principio de proporcionalidad, en el ámbito de la prevención, investigación, descubrimiento y persecución de delitos, solo puede justificar una injerencia grave el objetivo de luchar contra la delincuencia que a su vez esté también calificada de grave, y cuando la injerencia que implica dicho acceso no es grave, puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general.

Por ello, debe analizarse en cada caso si los datos personales del usuario a los que pretende acceder la Policía Judicial entrañan una injerencia grave en su derecho fundamental a la protección de datos, y si así fuera, dicho acceso solo estaría justificado para perseguir delitos penados con, al menos, tres años de prisión; y si no entrañara una injerencia grave, el acceso estaría justificado para perseguir cualquier tipo de delito.

En definitiva, cuando los datos a los que se pretende acceder son solo los nombres, apellidos, y dirección del usuario, al ser datos que no permiten extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados, el acceso estaría justificado para perseguir cualquier tipo de delito.

[1] https://es.wikipedia.org/wiki/Direcci%C3%B3n_IP

[2] Sentencia del Tribunal de Justicia (Sala Tercera), de 24 de noviembre de 2011, en el asunto C-70/10, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la cour d’appel de Bruxelles (Bélgica), mediante resolución de 28 de enero de 2010, recibida en el Tribunal de Justicia el 5 de febrero de 2010, en el procedimiento entre Scarlet Extended SA y Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM).

[3] Tribunal Supremo Civil y Penal de Alemania.

[4] https://www.aepd.es/informes/historicos/2003-0327.pdf

[5] https://www.aepd.es/informes/historicos/2004-0213.pdf

[6] https://www.aepd.es/informes/historicos/2012-0261.pdf

[7] Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

[8] Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal.

Pedro Rodríguez López de Lemus

Sin comentarios

Lo sentimos, no se permiten comentarios en este momento