Las direcciones IP como datos de carácter personal

Las direcciones IP son secuencias de números que se asignan a los ordenadores conectados a Internet para que estos puedan comunicarse entre sí a través de esa red. Cuando se consulta un sitio de Internet, la dirección IP del ordenador que consulta se comunica al servidor en el que se aloja el sitio consultado. Las direcciones IP pueden ser “estáticas” o “dinámicas”. Estas últimas cambian en cada nueva conexión a Internet y, a diferencia de las “estáticas” no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet.

La Agencia de Protección de Datos, en su Informe 327/2003, ya estableció que las direcciones IP, tanto “fijas” (o “estáticas”) como “dinámicas”, son datos de carácter personal:

“[…] los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP. Un proveedor de acceso a Internet que tiene un contrato con un abonado a Internet, normalmente mantiene un fichero histórico con la dirección IP (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección. Es más, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación.

En estos casos ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.

En otros casos, un tercero puede llegar a averiguar la dirección IP dinámica de un usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo. Obviamente, resulta más sencillo identificar a los usuarios de Internet que utilizan direcciones estáticas.

Sin embargo, en muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación.

Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos. […]”

En el apartado 51 de la sentencia de 24 de noviembre de 2011, Scarlet Extended (C- 70/10, EU:C:2011:771), que se refería a la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Tribunal de Justicia también estimó, en esencia, que las direcciones IP de los usuarios de Internet son datos protegidos de carácter personal (ya que permiten identificar concretamente a esos usuarios). Sin embargo, esta afirmación se refería a la hipótesis en la que la recogida y la identificación de las direcciones IP de los usuarios de Internet se realizan por los proveedores de acceso a Internet.

Por su parte, la Sala de lo Contencioso-Administrativo del Tribunal Supremo, en su sentencia de 3 de octubre de 2014, también considera que las direcciones IP son un dato de carácter personal.

En su motivo cuarto, señala:

“CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008.

Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C- 275/2006.

La Sala comparte y hace suyos los razonamientos de la Sala de instancia.

De acuerdo con el escrito de solicitud de la exención del deber de informar del tratamiento a los titulares de los datos (folio 3 del expediente administrativo), el tratamiento de datos que PROMUSICAE pretende llevar a cabo se refiere al nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.

Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas «identificadas o identificables». El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que «se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación…».

No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.

La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46, es decir, información sobre una persona física identificada o identificable, pues «con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión».

Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento. […]”

Por último, la reciente sentencia del Tribunal de Justicia (Sala Segunda), de 19 de octubre de 2016, resuelve dos cuestiones prejudiciales relativas a las direcciones IP:

  1. ¿Debe interpretarse el artículo 2, letra a), de la Directiva en el sentido de que una dirección IP registrada por un prestador de servicios [de medios en línea] en relación con un acceso a su sitio de Internet constituye para éste un dato personal desde el momento en que un tercero (en este caso, un proveedor de acceso) disponga de los datos adicionales que permiten identificar al interesad?

El Tribunal de Justicia concluye que una dirección dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal cuando éste disponga de medios legales (por ejemplo, como en el supuesto de ataques cibernéticos,  a través de la autoridad competente)  que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona.

El Tribunal razona que para determinar si una dirección IP dinámica constituye un dato personal en relación con dicho proveedor de servicios de medios en línea, debe comprobarse si dicha dirección IP (al no constituir una información relativa a una “persona física identificada”, puesto que tal dirección no revela directamente la identidad de la persona física propietaria del ordenador desde el que se realiza la consulta) puede calificarse, sin embargo, de información relativa a una “persona física identificable” cuando la información adicional necesaria para identificar al usuario la tiene el proveedor de acceso a Internet de ese usuario. Partiendo de la base de que se considera identificable a la persona que puede ser identificada no sólo directamente, sino también indirectamente, considerando el conjunto de los medios que puedan ser razonablemente utilizados para identificar a dicha persona, y que no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona, el Tribunal concluye que una dirección IP dinámica registrada por un proveedor de servicios de medios en línea constituye, respecto a dicho proveedor, un dato personal cuando éste disponga de medios legales que le permitan identificar a la persona interesada a través de la información adicional del proveedor de acceso a Internet de dicha persona.

Se trataría de los casos en que existan vías legales que permitan al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales.

Recordemos que, en España,  la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, regula la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados (los establecidos en su artículo 6) siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales

  1. ¿Se opone el artículo 7, letra f) de dicha Directiva a una disposición nacional (alemana) con arreglo a la cual un prestador de servicios [de medios en línea] sólo puede recoger y utilizar los datos personales de un usuario sin su consentimiento cuando sea necesario para ofrecer y facturar el uso concreto del medio en línea por ese usuario, y con arreglo a la cual el objetivo de garantizar el funcionamiento general del medio en línea no puede justificar la utilización de esos datos tras la conclusión de cada operación de uso concreta?

El Tribunal de Justicia considera que el artículo 7, letra f) de la Directiva 95/46 (que se refiere al llamado “interés legítimo”) se opone a la normativa a la que se refiere la sentencia. En opinión del Tribunal, dicho artículo se opone a que un Estado miembro excluya de manera categórica y generalizada la posibilidad de someter a un tratamiento determinadas categorías de datos personales, sin permitir una ponderación de los derechos e intereses en conflicto en cada caso concreto y que un Estado miembro no puede establecer con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto.

La normativa nacional que se analiza en el asunto reduce el alcance del principio previsto en el artículo 7, letra f) de la Directiva al excluir que el objetivo de garantizar el funcionamiento general del medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de los usuarios que requieren protección con arreglo al artículo 1, apartado 1 de la misma Directiva.

Por tanto, podemos concluir que las direcciones IP, tanto “estáticas” como “dinámicas”, tienen la consideración de dato de carácter personal, dejando el Tribunal de Justicia abierta la puerta a la aplicación del llamado “interés legítimo” para justificar el tratamiento de dicho dato de carácter personal, exigiendo esta aplicación, en todo caso, una ponderación de los derechos e intereses en conflicto, en atención a las circunstancias concurrentes en el caso particular. Y, recordando, que es jurisprudencia reiterada del Tribunal que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario.