RGPD – La IP Dinámica como dato personal
En este artículo trataremos sobre un caso que se nos plantea de vez en cuando, muy relacionado con el mundo del Derecho Digital, la IP dinámica, y su tratamiento en el nuevo Reglamento General de Protección de Datos (RGPD) ¿Se trata de un dato personal?
Uno de los aspectos fundamentales de las normativas de Privacidad, y más concretamente del nuevo RGPD, es el concepto de Dato Personal. El artículo 4 del citado Reglamento lo define como “cualquier información relativa a una persona física identificada o identificable; Una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, identificador en línea o uno o más factores específicos de las características físicas, fisiológicas, genéticas, mentales, económicas, culturales o sociales de esa persona.” Es decir, como todo dato que identifique a una persona física o permita su identificación.
En algunos casos es evidente identificar un dato como personal: nombre, cuenta bancaria, dirección, teléfono, etc… Sin embargo en otros casos no está tan claro y variará según las circunstancias. Por ejemplo: la voz. Si emitiesen mi voz por la radio sin ninguna presentación previa probablemente usted no podría saber quién soy, pero si en lugar de mi voz se emitiese la de alguna estrella mediática, política o deportiva, entonces la situación sería diferente. Esa voz haría reconocible a la persona que la emite y por lo tanto se convertiría en un dato personal.
Entonces, en el caso de la IP dinámica, ¿puede considerarse como dato personal?
La respuesta es sí. El RGPD deja claro que el concepto de datos personales incluye identificadores en línea y datos de localización, lo que significa que la definición legal de datos personales especifica más allá de cualquier duda que las direcciones IP, las cookies, los identificadores de dispositivos móviles y similares son personales y deben ser protegidos en consecuencia.
Como muestra, el 19 de octubre de 2016, el Tribunal de Justicia de la Unión Europea (TJUE) decidió que la dirección IP dinámica de un visitante de un sitio web es “dato personal,” en virtud de la Directiva 95/46, en las manos de un operador de un website que tenga los medios para obligar a un proveedor de servicios de Internet a identificar a un individuo basado en la dirección IP.
El caso fue presentado por Patrick Breyer, un político del Partido Pirata Alemán. Breyer afirmó que el almacenamiento de direcciones IP por parte del gobierno alemán de usuarios que visitaban sitios web del gobierno alemán permitía la creación de perfiles de usuario y, por lo tanto, era inadmisible según el artículo 15 de la Ley telemática alemana (TMA). En respuesta, el gobierno alemán argumentó que las direcciones IP dinámicas (en contraposición a las direcciones IP estáticas) no son datos personales y, por consiguiente, el almacenamiento de direcciones IP dinámicas por parte del gobierno no se rige por dicho artículo.
El TJUE se puso de parte de Breyer, basándose en el considerando 26 de la Directiva sobre protección de datos, que establece que para determinar si una persona es identificable, “deben tenerse en cuenta todos los medios que razonablemente puedan utilizar el responsable del tratamiento o cualquier otra persona para identificar a dicha persona”.
El Tribunal constató que los operadores de sitios web estaban recopilando las direcciones IP para identificar a posibles atacantes cibernéticos y, en algunos casos, iniciar procedimientos penales contra ellos. En este contexto, es probable que el gobierno tuviera una razón legítima para exigir que el proveedor de servicios de Internet correlacione la dirección IP con el titular de la cuenta y permita así al gobierno identificar al individuo. Por lo tanto, el tribunal sostuvo que la prueba de probabilidad razonable fue cumplida, concluyendo que las direcciones IP dinámicas en estas circunstancias eran datos personales.
Sin embargo, las direcciones IP dinámicas u otros identificadores indirectos, en circunstancias en las que no existe una intención realista o un motivo para identificar a una persona física, pero es posible hacerlo, podrían no ser dato personal si la prueba de identificación es una “imposibilidad práctica porque requiere esfuerzo desproporcionado”.
MCA Consultores y Abogados puede adaptar tu organización al nuevo Reglamento General de Protección de Datos (RGPD).