La dirección IP es un dato de carácter personal

Esta semana hemos conocido el informe jurídico de la Agencia de Protección de Datos donde indica que la dirección IP es un dato de carácter personal.

En todo tipo de interpretación jurídica de un texto siempre hay que ser riguroso con el lenguaje y utilizar la definición de términos que se realice en el articulado de la ley. En este caso, debemos recurrir al artículo 3 de la citada Ley 15/1999, de protección de datos de carácter personal, en donde se define "Dato de carácter personal" como cualquier información concerniente a personas físicas identificadas o identificables.

Normalmente una definición ambigüa de términos produce a posteriori interpretaciones muy diferentes de la Ley. Respecto al tema que nos ocupa, la Agencia de Protección de Datos argumenta en su informe jurídico el por qué una IP es una información relativa a una persona física.


El tema es complicado y conflictivo, puesto que como bien sabemos, el acceso a un sistema de información se realiza tras un proceso de identificación y autenticación, manejando como personalidad dentro del ciberespacio el concepto de usuario del sistema. La vinculación 1:1 entre usuario y persona física también es otro tema conflictivo, puesto que demostrar este hecho con un carácter probatorio suficiente depende de diversos factores ya que muchas veces, esta vinculación se basa en el supuesto de que solo la persona física conoce la palabra de acceso o password del sistema. Hasta que no llegue la firma digital y este proceso de identificación y autorización sea algo más riguroso y formal, existen muchas posibilidades de averiguar la contraseña de un usuario y por tanto, suplantar su identidad virtual. Por tanto, es cierto que una dirección IP podría asociarse y sólo en algunos casos, a un usuario con una vinculación uníca. Imagino que cuando empiecen a aparecer los primeros conflictos al respecto se intentará definir mejor esta relación "Dirección IP-persona".

Respecto a la trascendencia que este hecho pueda tener en el futuro, en mi opinión personal, creo que lo que la Agencia de Protección desea regular es el descontrol existente respecto a la recogida de rastros de navegación "Log's" que realizan los sistemas de información sobre los usuarios. Siempre, para ver con claridad el trasfondo de un problema en el ciberespacio es bueno recurrir a hacer un paralelismo con el mundo físico. En este caso, lo que tendríamos que imaginar es que si en el mundo real ocurriera lo mismo que en el mundo virtual, nada más salir de casa tendríamos a un cámara de televisión grabandonos desde la puerta de nuestra casa. Por tanto, conocería que carreteras, calles y avenidas utilizamos (igual que es posible saber los equipos de interconexión que utilizamos al alcanzar un sitio web), conocería en que tiendas o comercios entramos e incluso que le preguntamos a cada uno de los dependientes (igual que se registran rutas de navegación dentro de un portal, enlaces desde donde llegamos a un sitio web o palabras que buscamos en los portales). En fín, si toda esta información se almacenase y posteriormente se procesase (hecho que no se si ocurre o no pero que en el futuro podría ocurrir), podrían conocer nuestro perfil psicológico y de consumo con pelos y señales.

Por tanto, está claro que esta información que si es de CARACTER PERSONAL debe regularse, y al menos, el usuario debe saber QUIENES y QUÉ se está grabando respecto a su persona, para posteriormente que el mismo usuario decida que permite hacer a esas instituciones con sus datos.

Por tanto, me parece muy bien que la Agencia de Protección de Datos quiera poner un poco de control sobre todo esto, aunque técnicamente veo muy complicado la aplicación del Reglamento de Medidas de Seguridad que la Ley de Protección de Datos exige aplicar sobre los ficheros de Datos de Carácter Personal. Otro día comentaré las supuestas implicaciones que va a tener esta nueva filosofía a la hora de tratar los log's de acceso.



El informe jurídico de la Agencia de Protección de Datos puede consultarse aqui:
Agencia de Protección de Datos:: Informe 327/03 :: Carácter de dato personal de la dirección IP.