La IP y el mail como datos de carácter personal
Redacto la presente entrada como respuesta a una interesante reflexión que nos hace Guillermo Díaz en su blog. Va referida a si la IP por sí sola debe considerarse o no un dato de carácter personal.
Estoy de acuerdo con él en que la IP por sí sola, sobre todo en el supuesto de ser dinámica, no debiera considerarse un dato de carácter personal. Y añado algo más: pienso lo mismo del email. Trataré de explicar mi postura con ejemplos prácticos.
Habrá ocasiones en las que un mail por sí solo sea claramente un dato de carácter personal pero, en mi opinión no siempre tiene que ser así:
- dato de carácter personal: “miguelangel@matagonzalez.com”. En este caso, la AEPD y yo consideramos que se trata claramente de un dato de carácter personal
- dato que carece de carácter personal: “agf1976@hotmail.com”. Aquí la AEPD y yo discrepamos. El Organismo opina que este segundo supuesto es por sí solo un dato de carácter personal ya que “podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación”. Y yo estoy en desacuerdo con que ese esfuerzo no sea desproporcionado o, al menos, no tan proporcionado como otros.
Todos sabemos que, en el momento en el que una persona se crea una cuenta de email, el prestador del servicio no te obliga a que la cuenta de correo electrónico que elijas te identifique. Por tanto, dependerá de la elección del usuario que el email elegido sea o no, por sí solo, un dato de carácter personal.
Y se me ocurre otro supuesto para complicarlo un poco más, ¿que ocurre si yo registro guillermodiaz@gmail.com? A pesar de que la dirección parece indicar que mi nombre es Guillermo Díaz, en realidad el titular de esa cuenta no es Guillermo Díaz sino un servidor. En mi opinión, en este supuesto tampoco estamos ante un dato por sí solo de carácter personal.
Reconozco, sin embargo, que considerar aisladamente a un dato como personal o no es algo complejo. Pero opino que es un error intentar generalizar. Y sino, mirad las conclusiones fundadas sobre esta materia con las que hace poco nos ilustraba nuestro amigo Jorge Campanillas.
“¿Cuáles de los siguientes datos pueden considerarse por sí solos de carácter personal?
- La imagen: Rotundamente sí
- La IP: Rotundamente sí
- La dirección de correo electrónico: Sí
- El número de DNI: No
- La matrícula del coche: Sí
- El número de teléfono: No“
Menudo caos… y menudo criterio. Para mi, lo más coherente será remitirse a lo establecido por el nuevo RD 1720/2007 y, en concreto, al artículo 5 g) del Reglamento: “Dato de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables“.
¿Queréis más debate en esta materia de la protección de datos, tan de moda últimamente?. David Maeztu nos informa de posibles conflictos entre la LOPD y el nuevo Reglamento. Y Javier Prenafeta comenta alguna “chapuza” más por parte del legislador.
A pesar de todo lo anterior, si la AEPD considera que tanto el mail como la IP son, por sí solos, un dato de carácter personal más les vale a los responsables del fichero tratarlos como tal o, de lo contrario, se verán expuestos a elevadas sanciones (las más altas de Europa, por cierto).
Enero 30th, 2008 at 18:10
Interesantes reflexiones, Miguel.
Tal vez (intentando defender la postura que han utilizado) debamos tener en cuenta que la IP dinámica + el momento en que esta es utilizada sí que puede servir para identificar al titular del servicio (otro tema es si esta identificación puede resultar útil o no, y el análisis necesario al respecto de si el titular es persona física o jurídica). Si tuviéramos por cierto este dato, y en el fichero de cuentas se añadiese la IP , además de fecha y hora en que es utilizada para crear el correo, podríamos llegar a la misma identificación que en el caso anterior. Y si tenemos por cierto que la IP es por si misma un dato protegido… me da la sensación que no son una ni dos empresas las que no siguen las medidas necesarias para poteger el acceso a las mismas.
Y respecto al Reglamento… habrá que ver si le tocan algo, porque lo que es ahora mismo…
Un saludo
Enero 31st, 2008 at 0:43
Totalmente marciano.
Lo que ocurre es que la IP puede ser del proxy o de la conexión de una entidad, la matrícula identificar a un vehículo de empresa, la dirección de correo electrónico ser corporativa o del departamento de una empresa, luego no se puede generalizar.
Lo del DNI por más que lo pienso no lo entiendo, porque pocas cosas hay que identifiquen más a una persona física que ese número.
En fin.
Enero 31st, 2008 at 9:49
La Protección de Datos es una caja llena de sorpresas en nuestro país, y la AEPD un misterio. Me gusta sobretodo el criterio de la Agencia a la hora de calificar el DNI como un dato no personal: el número de por sí no es un dato personal, aunque sí lo es cuando se adscribe a una persona en concreto. Razonamiento digno de Groucho Marx.
Saludos
Enero 31st, 2008 at 17:51
Me parece muy bueno tu razonamiento. No obstante, hay algún punto en el que no coincido del todo contigo. Tal y como yo lo veo, el correo electrónico es el pseudónimo público o privado de una persona a través del cual se puede mantener una conversación personal, profesional o comercial con ésta, es decir, es como un número de teléfono de una de las “antiguas” tarjetas anónimas prepago. El hecho de que las estas sims fuesen no directamente vinculantes a un individuo de forma automática no descartaba “per se” su naturaleza de dato personal protegible.
Así, el e-mail o dirección de correo electrónico, por el solo hecho de ser un dato tras el cual se encuentra una persona a la que potencialmente se puede identificar a través del primero (sea o no complicado este proceso de ), nos indica tres cosas: 1)Es un dato; 2)es personal; 3)está protegido.
Si el TUE acaba de expresar -muy acertadamente- su rechazo a anteponer los derechos de autor a los de la protección de datos, no creo que la onerosidad del éxito en la vinculación del e-mail a su propietario vaya a ser antepuesta en ningún caso a la protección de este dato, herramienta potencial de identificación de usuarios.
Considero que la decisión de la AEPD de incluir el e-mail en todo caso en el elenco de datos de carácter personal protegible es absolutamente correcta.
Febrero 1st, 2008 at 21:13
A modo de conclusión, y aunque siga sosteniendo que la direción IP (y mas la dinámica) por si sola no es un dato de caracter personal, aconsejo igual que haces tu, que los responsables de los ficheros no entren en disquisiciones y las traten como tal, en evitación de posibles sanciones, no sólo mas elevadas que en Europa, si no que también son mayores que las previstas en otras regulaciones.
Febrero 3rd, 2008 at 11:01
Un post interesante al respecto:
http://blog.s21sec.com/2008/01/datos-personales-direcciones-ip-y-los.html
Febrero 3rd, 2008 at 14:42
Bueno,
Otro interesante debate en el que nos cruzamos casi siempre los mismos ;-)
A ver para cuándo un despacho conjunto. Con esto del RLOPD puede ser que consigamos ingresos más que suficientes para todos. Qué sepáis que muchos vivimos en zonas próximas del Norte (Bilbao, Zaragoza, Logroño) y otros vivimos en Madrid. Tanto “vivimos” a ver si adivináis dónde vivo yo en el Norte o en Madrid ;-P
Ante tanta incerditumbre = inseguridad jurídica mejor poner un poco de sentido común.
Véamos, en primer lugar, creo que es importante huir de las excepciones que interpretativamente pueda plantear la determinación de un dato que pudiera permitir la identificación y, por tanto, dato de carácter personal, y centrarnos en lo que normalmente sucede con los datos que podemos estar tratando. Me explico. En una base de datos de contactos como puede ser la mantenida en este blog con respecto a los comentaristas de este post -tomo por válida la doctrina Bodil Lindqvist-, tenemos perfiles de dos tipos: identificado (a menos que todos estéis usando datos falsos, incluidas vuestras fotos ;-p) e ¿identificable o anónimo?.
Me temo que soy la excepción al primer perfil y que propicio el segundo (anónimo, claro). Todos los demás habéis optado por ir con la cara descubierta. En mi caso podemos considerar que el usuario y el correo anónimos no permiten mi identificación, de modo que Miguel podría prescindir de aplicarme las políticas, procedimientos y medidas de seguridad aplicables al fichero de datos personales “Comentaristas” -aunque no creo que es de los que acepta la tesis Bodil Lindqvist porque no tiene cláusula de privacidad alguna ;-P). Pero, ya puestos lo más sencillo es obviar la excepción.
Esto es lo que yo recomendaría para estos casos, pues aplicar la excepción supondría costes adicionales y el riesgo de ser sancionado. Que yo llegara a denunciar a Miguel tendría una probabilidad bastante baja, primero porque no me sale y segundo más que nada porque sería difícil mi identificación dando pie a incumplimientos graves.
De acuerdo que la cosa puede cambiar si el volumen de datos de la excepción constituye la regla, pero maldita sea tenemos que cumplir la LOPD. Puede entonces tener sentido dedicar recursos específicos a los datos personales que constituyen la excepción, de modo que se reduzca el coste de gestión del volumen más elevado de datos.
Finalmente, nos queda el problema de quien genera un fichero específico para el tratamiento de direcciones IP. Pongamos un ejemplo. Imaginemos una empresa que trata ingentes cantidades de direcciones IP o URLs por medio del uso de tecnologías de rastreo de Internet como puede ser el caso de la policía que investiga delitos de pornografía infantil, un CERT, empresas que presten servicios de identificación de servicios maliciosos para esas nuevas funcionalidades antifraude de los navegadores, empresas que presten servicios de vigilancia digital,… Los medios de estas entidades suelen ser importantes, pero no por ello tienen la posibilidad de identificar a los usuarios de las direcciones IP pues estos datos por lo general están en manos de los servicios WhoIs o de ISPs, quienes no pueden hacerlos accesibles por efecto de las normativas de protección de datos personales. Y sinceramente considerar que pudiera emitirse una autorización judicial que obligue a un ISP a entregar los datos en el marco de una investigación criminal o para dirimir un proceso civil no creo que sea una tesis válida para dar el toque de personal a un dato, pues en tal caso cualquier dato podría ser considerado personal. Además incluso accediendo a los datos identificativos del cliente del ISP que estaba detrás de una dirección IP puede que no en todos los casos sea posible identificar de forma unívoca a una persona (cibercafés, universidades, empresas y otros casos de ordenadores de uso compartido, conexiones wi-fi abiertas, navegación desde móvil prepago, proxies de navegación,…).
Otra cosa es que por ejemplo en el caso de webs personales con dominio específicamente registrado o en el caso de blogs las direcciones IP y en otros casos si pueden ser consideradas datos de carácter personal dada la información hecha pública en las URLs registradas.
Entoces, ¿qué pueden hacer estos entes que tratan direcciones IP? Pues nada más y nada menos que tienen dos opciones: adecuar y mantener adecuados estos ficheros a la LOPD o rezar para que la AGPD no ponga el ojo en ellas, y si acaso que una argumentación muy bien sentada en base al principio de proporcionalidad pueda ser aceptada por la AGPD o, en su defecto, por los órganos judiciales.
Y fijaos que a quienes creen estos ficheros pudiera corresponderles aplicar las medidas del nivel básico cualificado-medio atenuado (RMS) o, más adelante, las de nivel básico y medio (RLOPD) por cuanto que las informaciones hechas públicas en algunas web registradas durante la monitorización pueden constituir “un conjunto de datos de carácter personal que ofrezcan una definición de las
características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos”
Un saludo
PD: Por cierto, a los que sois bloggers, ¿las direcciones de correo que se exigen obligatoriamente para mandar comentarios evitando así el spam las tenéis accesibles? Gracias.
Febrero 4th, 2008 at 17:52
Buenas tardes, “deincognito”,
antes de nada quisiera agradecer tu ilustrativo comentario. Me parece que has sabido analizar en profundidad un tema cotidiano y que afecta a casi todos los bloggers que permiten comentarios en sus bitácoras.
Por otro lado, quisiera informarte de 2 asuntos:
1) La política de privacidad de mi blog está continuamente accesible en la parte superior de la web. http://www.miguelangelmata.com/aviso-legal/
2) Respecto a las direcciones de mail que se exigen antes de comentar, su finalidad no es tanto evitar el spam (ya que eso va en función de los enlaces que contenga el comentario en cuestión y si son excesivos en comentario se pone “pendiente de moderación” y no se publica automáticamente) sino por temas de identificación. En mi caso concreto su finalidad es la de conocer la gente que se interesa por lo que escribo. Aunque no les puedo poner cara, al menos me podré poner en contacto con ellos si lo estimase conveniente en un futuro.
Un saludo,
Miguel A. Mata
Pd: A pesar de que creías que no tenía Política de Privacidad en el blog y que desconozcas que tengo la solicitud de inscripción de un fichero en la AEPD (pendiente de inscripción definitiva), te agradezco que “no te salga” el denunciarme ante el órgano competente ;)
Febrero 4th, 2008 at 21:29
Miguel,
Perdona. Con las prisas tan sólo miré hacia abajo, donde típicamente está este tipo de cosas. Tantas prisas, tantas prisas,… y tampoco me pasé por la web de la AGPD.
A pesar de que ambos hemos empleado emoticones quería dejar claro que evidentemente lo de la denuncia no era más que una broma.
Siento el error.
La verdad lo de la doctrina Bodil Lindqvist lo veo más que excesivo en el caso de los blogs, pero con la ley en la mano…
Ah, y gracias por tu altruismo al mantener el blog.
Un saludo
Febrero 7th, 2008 at 12:29
Buenos días, “deincognito”,
sabe que en ningún momento pensé que fuera en serio lo relacionado con la denuncia ante la AEPD. Agradezco tus comentarios, que hacen la tarea de mantener el blog mucho más dinámica.
Un saludo,
Miguel A. Mata
Mayo 2nd, 2008 at 21:25
[...] En relación con este punto, cabe preguntarse si una dirección de correo electrónico (ver blog de Miguel Ángel Mata), la dirección IP de un terminal (ver blog oficial de Google) o el número interno de [...]
Junio 1st, 2008 at 8:53
Parece muy sencillo darse cuenta de que grandes compañías como google en comunicación con otras compañías podrían recopilar, usando la dirección IP del usuario, tal cantidad de datos en un corto periodo de tiempo (horas o días) tal cantidad de información que ésta le determinara de manera única.
Es decir el poder es muy grande, de ahí la necesidad de una ley de protección.
Junio 11th, 2008 at 11:13
[...] aclarando la consideración que para la AEPD tiene la IP como dato de carácter personal y que, aunque no sea siempre así, en la mayoría de las ocasiones lo es y por hay que [...]
Julio 2nd, 2008 at 18:50
Que yo sepa…, si no estás bajo la LSSI, es decir, si no obtienes beneficios económicos del sitio o servicio, si tu sitio (blog, lo que sea…) es personal, y entiendo que escribir tus impresiones y recoger las que te envían lo es pese a ser un acto público, puedes recoger datos de carácter personal sin necesidad de registrarlos en la AEPD, no?.
Es decir, siempre que el uso sea meramente personal -lo que conlleva la no cesión obviamente-, por ejemplo ver las estadísticas de tu blog o quien escribe, puedes recoger datos sin registrarlos. Eso sí, esto no implica el no garantizar la seguridad, no informar antes de hacerlo, etc…
No?, creo que tengo por ahí el apartado de la ley donde lo dice :S
Un saludo.
Julio 2nd, 2008 at 18:57
Ya lo tengo (2a), bueno, no era muy difícil ^^!
Aunque es ambiguo… creo que es lo que digo, no?:
Sé que lo difícil será establecer qué son “actividades exclusivamente personales o domésticas” pero publicar un blog pesonal y permitir compartir opiniones lo es, no?.
Un saludo.