jueves, 1 de enero de 2009

Lo obvio

Fue muy discutido el Informe Jurídico 327/2003 de la Agencia Española de Protección de Datos donde se analizaba la IP como dato de carácter personal. Frente al razonamiento de la AEPD, algunos argumentaron que la IP puede, como mucho, identificar el ordenador, no a una persona, y que por lo tanto, en ningún caso debe ser considerada un dato de carácter personal.

Parece ser que la Sentencia de la Audiencia Nacional de 17 de septiembre de 2008 que les comenté hace unos días ha reabierto el debate. Les recuerdo que la tan comentada y poco leída Sentencia indicaba en su Fundamento Jurídico Cuarto:

"(...)la Agencia Española de Protección de Datos no ha razonado, y menos ha acreditado, que a través del número de teléfono móvil se haya identificado al titular del mismo o que a partir del citado número fuese posible tal identificación, de forma que el citado número de teléfono ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de dato de carácter personal (...)"

Los que defendía que la IP no debe considerarse dato de carácter personal han creído ver confirmados por la Audiencia Nacional sus pensamientos más íntimos: Si el número de móvil no es un dato de carácter personal porque no identifica a una person, la IP tampoco puede serlo.

Sinceramente, poco aporta esta sentencia al concepto de dato de personal y poco modifica lo que el Grupo de Trabajo del artículo 29 estableció en el año 2007 en relación a la IP (Dictamen 4/2007, sobre el concepto de dato de carácter personal. WP 136):

"El Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable. En ese sentido ha declarado que «los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente en un fichero la fecha, la hora, la duración y la dirección IP dinámica asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de servicios de Internet que mantienen un fichero registro en el servidor HTTP. En estos casos, no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 2 de la Directiva».

Especialmente en aquellos casos en los que el tratamiento de direcciones IP se lleva a cabo con objeto de identificar a los usuarios de un ordenador (por ejemplo, el realizado por los titulares de los derechos de autor para demandar a los usuarios por violación de los derechos de propiedad intelectual), el responsable del tratamiento prevé que los «medios que pueden ser razonablemente utilizados» para identificar a las personas pueden obtenerse, por ejemplo, a través de los tribunales competentes (de otro modo la recopilación de información no tiene ningún sentido), y por lo tanto la información debe considerarse como datos personales.

Un caso particular sería el de algunos tipos de direcciones IP que en determinadas circunstancias y por diversas razones técnicas y organizativas no permiten realmente la identificación del usuario. Así sucede, por ejemplo, con las direcciones IP atribuidas a un ordenador instalado en un cibercafé, en el que no se pide identificación alguna a los clientes. En este caso, puede argüirse que los datos recogidos sobre el uso de un determinado ordenador «X» durante una determinada franja horaria no permiten la identificación del usuario con medios razonables y, por lo tanto, no son datos personales. Sin embargo cabe señalar que, muy probablemente, los prestatarios de servicios de Internet no sabrán si la dirección IP en cuestión permite la identificación o no, y tratarán los datos asociados a ese IP de la misma manera que tratarían la información asociada a las direcciones IP de los usuarios debidamente registrados e identificables. Así pues, a menos que el prestatario de servicios de Internet sepa con absoluta certeza que los datos corresponden a usuarios que no pueden ser identificados, tendrá que tratar toda información IP como datos personales, para guardarse las espaldas."

¿De verdad creen que merece la pena dar más vueltas sobre esta obviedad?

No hay comentarios: