Tras dos años de inactividad, me complace comunicarte el inicio de
una nueva etapa de la circular informativa e-landwell sobre aspectos
jurídicos de las tecnologías de la información, que nuestro despacho
envía a sus clientes y suscriptores. Ya sabes que si no deseas
recibirla, sólo tienes que enviar un mensaje a
javier.ribas@... con la palabra BAJA.

En este caso, el asunto tratado en la circular es el criterio, a mi
parecer erróneo, de la AEPD, que considera que la dirección IP es un
dato personal. Ello afecta a todas las empresas con páginas web o
red local, que tienen que declarar el fichero, informar a sus
usuarios sobre la conservadción de su dirección IP y aplicar las
correspondientes medidas de seguridad.

Espero que sea interesante para tí.

Saludos.

Xavier Ribas
Teléfono 639108413

---------------------------------------------------------------

La dirección IP como dato disociado

El informe 327/03 de la Agencia Española de Protección de Datos
(AEPD) llega a la conclusión de que las direcciones IP, tanto fijas
como dinámicas, son datos de carácter personal a los que hay que
aplicar medidas de seguridad de nivel básico. Los razonamientos de
la AEPD son los siguientes:

1. Los proveedores de acceso a Internet y los administradores de
redes locales pueden identificar por medios razonables a los
usuarios a los que han asignado direcciones IP.

2. Con la asistencia de terceras partes responsables de la
asignación de la dirección IP se puede identificar a un usuario de
Internet por medios razonables.

3. Existe la posibilidad de relacionar la dirección IP del usuario
con otros datos de carácter personal, de acceso público o no, que
permitan identificarlo, especialmente si se utilizan medios
invisibles de tratamiento para recoger información adicional sobre
el usuario, tales como cookies con un identificador único o sistemas
modernos de minería de datos.

Sin embargo, existen muchas actividades en las que se trabaja con
direcciones IP completamente disociadas y en las que no es posible
identificar a un usuario concreto de Internet por medios razonables.
Exigir el tratamiento de dichas direcciones IP como datos
personales, con la consiguiente aplicación de medidas de seguridad
de nivel básico, sería altamente costoso para muchas empresas.

No son direcciones IP que puedan ser asociadas a una persona física
por medios razonables, por ejemplo, los de todos aquellos usuarios
que acceden a Internet a través del servidor proxy de su proveedor
de acceso o de la empresa en la que trabajan. En estos casos, la
dirección IP pública del usuario no coincide con su dirección IP
privada y su identificación sólo puede conseguirse mediante un
mandamiento judicial o en los casos expresamente previstos por la
Ley. Entiendo que ninguno de esos supuestos representa un medio
razonable de identificación.

Tampoco debe considerarse un medio razonable el uso de técnicas
ilegales de identificación de usuarios a los que se refieren los
antes mencionados puntos 2 y 3 de los razonamientos de la AEPD.
Respecto al punto 2, los datos personales de identificación de un
usuario no pueden ser cedidos por los responsables de la asignación
de la dirección IP si no existe un consentimiento previo del
afectado, concurren los requisitos establecidos por la Ley o son
solicitados a través del oportuno mandamiento judicial. Respecto al
punto 3, la mayoría de las actividades descritas pueden representar
una invasión de la intimidad del usuario, ya que los datos de
identificación son obtenidos y tratados sin su consentimiento y
utilizando técnicas que pueden tener cabida en el artículo 197 del
Código Penal. Según mi modo de ver, la comisión de un delito no es
un medio razonable de identificación, y el hecho de que haya unos
pocos que puedan hacerlo no debe penalizar a todos los demás, que
actuan legalmente.

Por otra parte muchos procesos de tratamiento de direcciones IP se
realizan sin intervención humana, y forman parte de la gestión
cotidiana del tráfico de paquetes IP que permite el funcionamiento
de Internet. Las actividades de routing y de caching, por ejemplo,
no deberían entenderse en ningún caso como tratamiento de datos
personales.

Pero los argumentos que más apoyan la tesis de que las direcciones
IP disociadas no tienen que ser consideradas datos personales los da
la propia AEPD al tratar otros números asociables a personas físicas
como los números de teléfono y las matrículas de los automóviles.

Respecto a los teléfonos, es conocido el criterio de la AEPD sobre
la ilegalidad de la búsqueda inversa, lo cual ha obligado a bloquear
esta función en una famosa sede web ubicada en Bélgica, que permitía
conocer la identidad del titular de un número de teléfono español.
Claro que pueden realizarse búsquedas inversas a través de las guías
de papel, pero no podemos decir que se trate de un medio muy
razonable.

Por otro lado, el director de la AEPD se manifestó respecto a la
identificación de las personas que convocaron, via sms, las
manifestaciones del 13 de marzo y dijo que las operadoras podrien
negarse a atender la petición de la Comisión de investigación del
Congreso de proporcionar estas identificaciones amparándose en la
LOPD y el secreto de las comunicaciones. Sin embargo, deberían
facilitar dicha información en caso de mandamiento judicial.

El caso de las matrículas es distinto, porque el registro de la DGT
es público, y cualquiera puede consultar los datos del propietario
de coche si acredita un interés legítimo y presenta su DNI. Así
consta en las recomendaciones de la AEPD a la DGT y en el Reglamento
General de Vehículos. Si embargo, hay que tener en cuenta la
variable del volúmen. No considero que se traten datos personales
cuando se utilizan las matrículas de miles de coches para conocer el
posible origen geográfico de los visitantes de una ciudad, por
ejemplo. Entre otras cosas, porque la obtención de su identidad no
podría realizarse por medios razonables.

Las características de los teléfonos y de las matrículas concurren
en las direcciones IP de forma acumulativa:

1. Son datos que participan en un proceso de comunicación o
transacción electrónica como los números de teléfono.

2. Son datos que no pueden asociarse a una persona física sin su
previo consentimiento o mediante un procedimiento legal que no puede
ser considerado como un medio razonable de identificación.

3. Son datos que, a causa de su enorme volumen, y de su tratamiento
automatizado sin intervención humana no pueden ser asociados a una
persona física a través de medios razonables.

Por todo ello considero que es un error tratar todas las direcciones
IP como un dato personal, ya que, en muchos casos la disociación es
permamente, y sólo puede eliminarse con un esfuerzo económico o de
tiempo, que no puede considerarse razonable.

El efecto más negativo de considerar la dirección IP como un dato
personal es el cumplimiento de las obligaciones de información y de
obtención del consentimiento. La verdad, me resulta difícil pensar
en un router informando de los derechos de acceso, rectificación,
cancelación y oposición a los emisores y destinatarios de los
millones de paquetes IP que pasan diariamente por sus circuitos.

Xavier Ribas

FIN DE LA CIRCULAR

- Para darse de baja de esta circular puede enviar un mensaje a
javier.ribas@... con la palabra BAJA.

- Los datos utilizados para enviar esta circular figuran en un
fichero cuyo responsable es PricewaterhouseCoopers Jurídico y
Fiscal, S.L. El fichero se encuentra ubicado en nuestro despacho de
Madrid, sito en Paseo de la Castellana, 53. Podrá ejercitar los
derechos de acceso, rectificación, cancelación u oposición enviando
un mensaje a javier.ribas@...

- El archivo histórico de circulares enviadas se encuentra en
http://www.onnet.es/circular.htm