Carácter de dato personal de la dirección IP. Informe 327/2003

La consulta plantea diversas cuestiones referentes a la consideración como dato de carácter personal de una dirección IP de acuerdo a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, y sus implicaciones de cara a la adopción de las medidas de seguridad contempladas en el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio.

En primer lugar, se platea si las direcciones IP son consideradas como datos de carácter personal.

Para resolver la cuestión, debe partirse de la consideración de si una dirección de IP tiene el carácter de dato de carácter personal, dado que sólo en ese caso será aplicable al caso lo dispuesto en la Ley 15/1999, a tenor de lo establecido en su artículo 2.1.

Respecto a dicha cuestión, debe partirse en todo caso de la definición de dato de carácter personal que  establece el artículo 3 a) de la Ley, que lo define como cualquier información concerniente a personas físicas identificadas o
identificables.

El TCP/IP se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección IP numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección IP del emisor y del destinatario.

Por otro lado, el DNS (sistema de nombre de dominio) es un mecanismo de asignación de nombres a ordenadores identificados con una dirección IP. Ciertas herramientas existentes en la red permiten encontrar el enlace entre el
nombre de dominio y la empresa o el particular.

A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que  han asignado direcciones IP. Un proveedor de acceso a Internet que tiene un contrato con un abonado a Internet, normalmente mantiene un fichero histórico con la dirección IP (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de
dirección. Es mas, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la
posterior facturación.

En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.

En otros casos, un tercero puede llegar a averiguar la dirección IP dinámica de un usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo. Obviamente, resulta más sencillo identificar a los usuarios de Internet que utilizan direcciones estáticas.

Sin embargo, en muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que
permite su identificación.

Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa
sobre protección de datos.

Consideradas la direcciones IP como dato de carácter personal, de cara a la adopción de las medidas de seguridad que recoge el Real Decreto 994/1999, su artículo 4 señala que:

“1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica
5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los
artículos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.”

En este sentido un fichero que contuviera únicamente las direcciones IP, en principio resultaría de aplicación las medidas de seguridad nivel básico. Por el contrario un fichero que contuviera la dirección IP asociada, por ejemplo, a los sitios web solicitados con la finalidad de elaborar un determinado perfil del usuario, si el mismo permite obtener una evaluación de la personalidad del individuo, se deberán adoptar las medidas de seguridad nivel medio. Con ello queremos decir que, deberán implementarse sobre fichero los dispositivos técnicos que garanticen los niveles de seguridad que especifica el 4 del Reglamento, atendiendo a la naturaleza de la información tratada, y en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

En cuanto a la consideración de los “log-in” de acceso a Internet o a páginas personales como datos de carácter personal, resultarán de aplicación las consideraciones que se realizan en párrafos anteriores. Si identifica de forma
directa al usuario, no hay duda de que estaremos ante un dato de carácter personal, por el contrario si este es anónimo, en principio no sería un dato de carácter personal, pero si, por ejemplo, el proveedor de servicios de Internet a través de ese “og in”, puede identificar al usuario con el que tiene un contrato de acceso a Internet, sí será considerado como un dato de carácter personal.

Carácter de dato personal de la dirección IP. Informe 327/2003

Posible vulneración de la ley de protección de datos de CopeerRight Agency

CoPeerRight Agency es una de las “empresas” más nefastas para Internet, los ciudadanos y el sentido común que pueda concebirse.

En un mundo digital el lobby de presión de cierta parte de la industria se mantiene en su empecinamiento obtuso de creer que los años no deberían pasar, que todo avance es sólo una amenaza y no una oportunidad.

e-mule_logo
Creative Commons License photo credit: Ai@ce

Cuando CoPeerRight Agency (que suena super importante pero que más bien da lástima si uno se para a leer su correos) gastando ingentes cantidades de sus amos, pretende justificarse diciendo que de una película se baja un millón de copias de forma “ilegal” (¿ilegal según qué ley o interpretación? Eso no lo aclaran) y que se producen más de cinco millones de tentativas que frustran, uno cabe preguntarse ¿es que nadie ve una oportunidad de negocio ahí?

Suponemos que a CoPeerRight Agency no les pagan por pensar, es bastante evidente, pero alguien debería reflexionar si sigue siendo rentable seguir insultando a los ciudadanos, a los potenciales clientes y entorpeciendo la natural evolución que la tecnología impone en ¡sí ya pleno siglo XXI!

Sin embargo quiero hacer notar una frase de  la directora de CoPeerRight Agency en España, Romira González que podemos leer en El País:

“Después se pasa a la identificación de todos los usuarios que han ingresado con fines de descarga, caso en el que reciben el mensaje de advertencia”

Y me pregunto si la Agencia de Protección de Datos Personales no debería investigar de forma inmediata y urgente a esta agencia. Recabar datos personales de usuarios sin permiso y realizar comunicaciones puedes suponer una infracción grave de esta ley (hasta 600.000 euros para las arcas del estado y votantes contentos). Creo que los internautas que reciban una comunicación de esta agencia deberían pedir la cancelación inmediata y urgente de sus datos en los ficheros de esta agencia. Si están identificando están recabando información en sus ficheros sin aviso. Esto me parece muy grave y hay que empezar a denunciar. Que en este país no se denuncia lo suficiente los abusos. Pero lo que es más, la AGPD tendría que ser la primera en hacerlo, que ahora lo sabe y tiene pruebas periodísticas que lo avalan.

Si no se hace así será una demostración más de que los ciudadanos, los votantes que pagamos cosas como la AGPD estamos siendo ridiculizados por nuestra clase política.

Posible vulneración de la ley de protección de datos de CopeerRight Agency

¡Google me ha quitado mi preciado PageRank!

Mi tesssssoro…. ¡No he podido dormir! ¡No he podido comer! Mi vida se ha convertido en una pesadilla ahora que Google se ha fijado en mí, habrá visto que alguna vez he hablado de análisis patrocinados y he realizado alguno, e incluso muchos análisis no patrocinados y ¿me ha castigado? Seguramente sí. Por díscolo, por desafiar la opinión de ciertos gurús que todo lo saben y jamás se equivocan… o por cualquier otro motivo. Es Google, hace lo que le viene en gana, y lo hace bien “casi siempre”.

Estoy en el infierno horripilante de haber desafiado a Google.

No sé qué hacer. ¿Qué puedo hacer? ¡Había ganado 70 euros en dos meses haciendo análisis vs los 23 euros que tengo acumulados tras dos años usando Adsense (la cual quité por ponerme publicidad favorable a los DRMs)! ¿¡Y cómo lo pago!? Con un cruel y fastidioso castigo. De PR5 que llegué a tener para envidia de todos y aumento de mi jactancia, pasando a un PR4 que mantuve gracias a que muchos me han enlazado para acabar con un miserable “cero patatero” de la plebe “no lo suficientemente importante para Google”.

Mi vida está rota. Soy un miserable sin categoría ni condición. Google ha hablado, me ha señalado y ahora sólo puedo llorar y quejarme amargamente de mi fortuna injusta.

XD

¡Google me ha quitado mi preciado PageRank!

Decir ser o ser, eh ahí la cuestión

Existe una diferencia fundamental entre lo que dice la gente que es o hace y lo que la gente es o hace. Parecerá obvio, pero no lo es tanto.

Muchos son los que se dicen activos, justos, valientes, honrados, razonables, conciliadores, avanzados,…  pero lo que se dice carece de valor si no va acompañado por hechos que le avalen; hechos contrastables.  Es decir, mucha gente no es coherente con lo que dice que es ya que normalmente actúa en otro sentido. Engañan a los demás y lo que es peor, se engañan a si mismos.

Es por eso que a las personas no se las debe de valorar tanto por sus palabras como por sus hechos. ¿De qué me sirve aquel que se dice valiente si se queda impasible y no actúa cuando alguien es agredido en condiciones de inferioridad numérica? ¿De qué sirve aquel que despotrica contra la invasión de la privacidad si luego su mayor preocupación es ver el programa de “gran hermano” de turno?

Para los que intentan ser coherentes cada día es una prueba. De una manera u otra hemos de aprender a diferenciar aquellos que se creen que son algo de aquellos que realmente son algo.

Curiosamente además, aquellos que realmente son de “verdad” no suelen realizar grandes alardes. Son otros los bocazas que se creen ser, vaya usted a saber el motivo, la sal de la tierra.

Decir ser o ser, eh ahí la cuestión

Sketch explicando la crisis de las Sub-prime o hipotecas basura

¿Alguna vez os habéis preguntado cómo puede haber pasado todo esto de las subprime o hipotecas basura? ¿Cómo es posible que se genere una crisis entorno a algo que se califica como “basura”. La explicación, magistral en este sketch. No os lo perdáis hasta el final.

¿Habéis tenido como yo algún tipo de deja-vú?

Sketch explicando la crisis de las Sub-prime o hipotecas basura