A mediados de 2007 envié esta consulta a la AGPD con relación al uso de la IP para fines estadísticos en mi banco: “La página web de mi banco ha instalando un programa estadístico que recoge y almacena en unos servidores en USA mi dirección IP, como he podido leer en su política de privacidad y condiciones de uso. Quisiera saber si esto infringe alguna norma de protección de datos de caracter personal.”
A continuación copio la respuesta de la AGPD:
Aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia Española de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.
Consideradas la direcciones IP como dato de carácter personal, de cara a la adopción de las medidas de seguridad que recoge el Real Decreto 994/1999, su artículo 4 señala que:
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.
En este sentido un fichero que contuviera únicamente las direcciones IP, en principio resultaría de aplicación las medidas de seguridad nivel básico. Por el contrario un fichero que contuviera la dirección IP asociada, por ejemplo, a los sitios web solicitados con la finalidad de elaborar un determinado perfil del usuario, si el mismo permite obtener una evaluación de la personalidad del individuo, se deberán adoptar las medidas de seguridad nivel medio. Con ello queremos decir que, deberán implementarse sobre fichero los dispositivos técnicos que garanticen los niveles de seguridad que especifica el 4 del Reglamento, atendiendo a la naturaleza de la información tratada, y en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.
En cuanto a la consideración de los “log-in” de acceso a Internet o a páginas personales como datos de carácter personal, resultarán de aplicación las consideraciones que se realizan en párrafos anteriores. Si identifica de forma directa al usuario, no hay duda de que estaremos ante un dato de carácter personal, por el contrario si este es anónimo, en principio no sería un dato de carácter personal, pero si, por ejemplo, el proveedor de servicios de Internet a través de ese “log in”, puede identificar al usuario con el que tiene un contrato de acceso a Internet, sí será considerado como un dato de carácter personal.
El nivel de seguridad de los países a efectos de protección de datos equiparable al español abarca: Los países de la Unión Europea (Incluidos los nuevos Estados adheridos con posterioridad al 1 de mayo de 2004), los del Espacio Económico Europeo y Suiza. Recientemente, se han aprobado con nivel de protección equiparable las transferencias realizadas a Argentina.
Las Transferencias Internacionales a otros países distintos de los mencionados (por ejemplo EE.UU o Canadá) requieren la previa autorización del Director de la Agencia Española de Protección de Datos, que es quien valorará los aspectos relativos al nivel de seguridad del país, salvo que se tenga el consentimiento inequívoco de los interesado o que las empresas a las que se transmitan los datos estén acogidas a los principios de puerto seguro o “safe harbour”.
Le saluda atentamente
Madrid, 6 de noviembre de 2007. EL JEFE DE AREA DE ATENCION AL CIUDADANO. Carlos Garrido Falla.
[...] en http://www.analiticaweb.es encuentro un enlace a un post que es muy interesante y hace referencia a una consulta realizada a Agencia Española de [...]
[...] Es decir… si debo ceder dichos registros a google, pese a su cláusula de condiciones de uso y de tratamiento de datos, no puedo asegurarme que no los usen adecuadamente o de que ese uso cumpla la normativa vigente actual. Aquí tenéis una información que personalmente agradezco un montón (pues tengo que llamar en relación a otro proyecto) ya me parece fundamental a la hora de conocer qué son realmente los “datos personales“, o en todo caso, qué dice la ley de ellos. Una carta recibida por clotet en wordpress.com de la AEPD en este sentido. [...]
[...] Es decir… si debo ceder dichos registros a google, pese a su cláusula de condiciones de uso y de tratamiento de datos, no puedo asegurarme que no los usen adecuadamente o de que ese uso cumpla la normativa vigente actual. Aquí tenéis una información que personalmente agradezco un montón (pues tengo que llamar en relación a otro proyecto) ya me parece fundamental a la hora de conocer qué son realmente los “datos personales“, o en todo caso, qué dice la ley de ellos. Una carta recibida por clotet en wordpress.com de la AEPD en este sentido. [...]