La Ley 257/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, obliga a los proveedores de servicios de acceso a Internet a retener los datos de tráfico y facturación durante un periodo máximo de doce meses con el fin de interés general de combatir el crimen y la delincuencia informática. Con respecto al acceso a Internet, entre esos datos retenidos figura (artículo 3.2.i) “la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado”.
La Agencia Española de Protección de Datos (AEPD) ha dictaminado en sucesivos informes y declaraciones que las direcciones IP (la secuencia numérica que identifica la interface de un dispositivo conectado a la Red; por ejemplo, un ordenador) son datos de carácter personal y, por tanto, objeto de la normativa en materia de protección de datos de personas físicas. Así lo expresan, entre otras resoluciones emitidas por la AEPD, el Informe 327/2003, y la Declaración sobre buscadores de Internet de 1 de diciembre de 2007.
Esta consideración de la AEPD se refiere a las direcciones IP fijas, pero también a las dinámicas, ya que en no pocos casos permiten identificar al usuario; todo ello frente a la común interpretación que considera que las direcciones IP en sí mismas no constituyen un dato de carácter personal hasta su asociación efectiva a una persona física: el propietario del dispositivo o el usuario de éste en el momento de la conexión y/o acceso a datos de la Red; a esta interpretación contribuye, por ejemplo, que el hecho de que las redes internas empresariales suelen tener una única dirección IP para todos los usuarios puede dificultar demasiado la identificación del usuario que realizó un acceso o acción concreta. Sin embargo ello no debe constituir un inconveniente a la hora de realizar este tipo de identificación, ya que la propia empresa puede implantar medidas oportunas y sencillas para controlar el uso de la Intranet de la entidad y de los accesos a Internet por parte de los empleados, previamente informados de estas circunstancias.
Por último, y en cuanto a aplicación de las medidas de seguridad oportunas sobre los ficheros que contengan direcciones IP, debemos tener en cuenta que según el artículo 81.4 del Reglamento de desarrollo de la LOPD, “los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103” del propio Reglamento, relativo a registro de accesos, que requiere, entre otras exigencias, que el período mínimo de conservación de los datos registrados sea de dos años.
María Teresa Nevado.
Áudea, Seguridad de la Información.