La dinamización de Internet y la creación de nuevos servicios han llevado a considerar ciertos datos como información personal amparada por la legislación en materia de protección de datos. Al igual que ocurre con la dirección de correo electrónico, hay dos datos más que merecen atención: las direcciones IP y los Login.
¿Qué son direcciones IP?
Internet es
la mayor red pública en la que están conectados millones de ordenadores y
dispositivos móviles. Al igual que las redes privadas o intranet, para que los
ordenadores puedan conectarse entre sí es necesario una identificación. Como
ocurre con el correo electrónico que necesita de una serie de datos para
definir el destino de los mensajes, los ordenadores requieren de unas
direcciones para enviarse información. Estas direcciones se denominan Internet
Protocol (IP) y está compuesta por números agrupados en cuatro partes
por un punto (ejem. 10.220.2.112). Cada grupo está comprendido por números que
van del 0 al 255 y determinan la identidad del ordenador o dispositivo. Sin
embargo, en la práctica el usuario no introduce los cuatro grupo de números
para acceder a un ordenador. Para ello se creó el sistema de nombre de dominio
DNS, sistema que asigna un nombre a la dirección IP para que pueda ser más
fácil reconocer distintos ordenadores.
Para que un
ordenador pueda conectarse a otro a través de internet es imprescindible que se
le asigne una dirección IP. Para ello debe contratar los servicios de un
proveedor de acceso a internet facilitándole información personal como nombre y
apellidos, teléfono, DNI, dirección postal, etc. Una vez que se contrata el
servicio, el número IP estará asociado al ordenador y a los datos personales.
Los Login: el control de
acceso
Para acceder
a una página web, redes sociales o correo electrónico es necesario una
identificación personal mediante la cual introducimos un nombre de usuario y
una contraseña que solo el interesado conoce. Ese proceso de control de acceso
se denomina Login, aunque también suelen referirse como logueo o loguearse.
Al igual que la contratación de las direcciones IP, para acceder a un servicio,
por ejemplo redes sociales, es necesario aportar una serie de datos como son el
nombre y apellidos, fotografía, dirección de correo electrónico, fecha de
nacimiento y, en muchos casos para aportar un nivel de seguridad mayor, un
número de teléfono. Al contratar el servicio el nombre de usuario se asocia a
los datos personales.
Consideraciones de la AEPD y
el Tribunal Supremo
Ya en 2003
la Agencia Española de Protección de Datos publicó el Informe
327/2003 en el que se planteaba esta cuestión contemplada en el
artículo 3 a) de la LOPD. Según la agencia, las direcciones IP por sí mismas,
al ser varios grupos de números, no identifican a persona alguna. Sin embargo,
“en muchos casos existe la posibilidad de relacionar la dirección IP del
usuario con otros datos de carácter personal, de acceso público o no, que
permitan identificarlo, especialmente si se utilizan medios invisibles de
tratamiento para recoger información adicional sobre el usuario, tales como
cookies con un identificador único o sistemas modernos de minería de datos
unidos a bases de datos con información sobre usuarios de Internet que permite
su identificación”.
Y añade la
misma interpretación para los Login: “En cuanto a la consideración de los
"log-in" de acceso a Internet o a páginas personales como datos de
carácter personal, resultarán de aplicación las consideraciones que se realizan
en párrafos anteriores”.
En cualquier
caso, ambos se consideran dato personal tanto por la vinculación de la IP o
Login a los datos personales recogidos con la contratación del servicio como
por la información que el usuario va dejando en el ordenador o dispositivo
(cookies) y en los servicios que utiliza (mensajes, post, chat, etc.).
Esta
interpretación de la AEPD la siguió el Tribunal Supremo, Sala Tercera,
Sección 6ª en su Sentencia de 10 de octubre de 2014. La
empresa PROMUSICAE pretendía tratar datos de los usuarios que
utilizaban redes peer to peer (eMule, Torrent, etc.) para
descargar música sin informarles previamente como exige el artículo 5
LOPD. Para la empresa, no era necesario la previa información a cada
usuario puesto que la información que se recogía era solamente numérica, sin
ningún otro dato que pudiera identificar a los usuarios. La AEPD y la Audiencia
Nacional prohibieron el tratamiento de dichos datos en esas condiciones ya que,
según el TS “no cabe duda que, a partir de la dirección IP, puede
identificarse directa o indirectamente la identidad del interesado, ya que los
proveedores de acceso a Internet tienen constancia de los nombres, teléfono y
otros datos identificativos de los usuarios a los que han asignado las
particulares direcciones IP, por lo que se cumplen las premisas legales para
considerar que los números que forman una IP son un dato personal.”
Incluso se
determinó que este tipo de datos IP o Login no entraban en el grupo de
información exenta del deber de información al interesado (art. 5.5 LOPD)
puesto que no tenía un carácter excepcional:
a) Cuando la
ley expresamente lo prevea.
b) Cuando el
tratamiento tenga fines históricos, estadísticos o científicos.
c) Cuando la
información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia de Protección de Datos, en
consideración al número de interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias.
Otro dato
importante es que, aunque un usuario aporte información personal no significa
que esté dando un consentimiento tácito para ser tratado por terceros. En este
caso de las descargas, el TS concluye que "no puede equipararse el
conocimiento por el titular de que su dirección IP es visible en las redes P2P,
con su consentimiento para su tratamiento automatizado junto con otros datos de
su tráfico". Es decir, aunque no es necesario que el usuario consienta
expresamente que sus datos personales pueden ser tratados, sí es obligatorio
que el consentimiento sea al menos inequívoco (art. 6.1 LOPD).