¿Esfuerzo desproporcionado? Impossible is nothing

Esta, entre otras, es una eterna cuestión que rodea a los datos personales y que nos da más de un dolor de cabeza: ¿es la IP un dato de carácter personal? Pues bien, todo parece apuntar, según lo que les mostraré en esta entrada, que sí. Yo, si les digo la verdad, siempre he sido un poco reacio a considerarla como tal, al menos en algunos ámbitos. Veamos un par de definiciones del Reglamento de Desarrollo de la LOPD:

[RDLOPD] Artículo 5. Definiciones.

[…]

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

[…]

o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

A la vista de esto, sean las siguientes situaciones:

a) Una empresa A dispone de un servidor web meramente informativo donde tiene configurado, para la obtención de estadísticas de acceso, el registro de accesos del servidor, en el que almacena la fecha y hora de acceso, la IP con la que se ha accedido, y las características técnicas del navegador. Asumamos, para no complicar las cosas, que no existe en la web ningún formulario de contacto ni entrada de datos con los que la empresa propietaria de la web pueda relacionar a la IP con un nombre, o cualquier otro identificador. Esto, por ejemplo, sí es posible en un blog, en el que es posible asociar una IP a un identificador, en el mismo momento en el que éste realiza un comentario (claro que dicho comentario y el identificador no siempre identifican a una persona).

b) La empresa Telefónica dispone de un servicio al que sus usuarios acceden, y para cuyo acceso son identificados automáticamente mediante la IP, que es parte del pool de IPs que esta teleco tiene asignada.

Supongamos que la empresa A quiere obtener los datos de la persona ubicada detrás de la IP 259.1.1.259 (sí, ya sé que dicha IP no es posible). Las posibilidades son que haciendo uso de nslookup y whois se encuentre que dicha IP corresponde a una dirección de telefónica, jazztel, ONO o cualquier otro proveedor de Internet, o que detrás haya una empresa. Para obtener más información en el primer caso puede optar por analizar anteriores visitas y hacer algo de investigación sobre la posición geográfica de la IP, pero será difícil que sin una orden judicial pueda obtener mucho más que eso. En el segundo caso, deberá hablar con el administrador de red de la empresa a la que pertenece la IP, y que éste acceda de buena gana a darle más información basándose en sus registros DHCP y de navegacion web, si es que los tiene. Pueden probar, a ver qué tal les va.

Supongamos ahora que Telefónica quiere conocer los datos de la persona que ha accedido al servicio y que se encuentra detrás de la IP 259.1.1.259. Únicamente necesita ver los datos del usuario, tan simple como ello. Adivinen ahora en qué caso estamos hablando de «actividades desproporcionadas» y en qué caso no. Yo diría que recurrir a una orden judicial para obtener unos datos de un internauta no requiere sólo actividades desproporcionadas, sino que viendo cómo va la justicia en este país, el plazo es también desproporcionado.

Veamos ahora el siguiente fragmento del Dictamen 4/2007 sobre el concepto de datos personales del Grupo de Trabajo del Artículo 29, que les anticipo que aclarar, no aclara demasiado (pág. 18):

Ejemplo nº 15: Direcciones IP dinámicas

El Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable. En ese sentido ha declarado que «los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente en un fichero la fecha, la hora, la duración y la dirección IP
dinámica asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de servicios de Internet que mantienen un fichero registro en el servidor HTTP. En estos casos, no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 2 de la Directiva
».

Especialmente en aquellos casos en los que el tratamiento de direcciones IP se lleva a cabo con objeto de identificar a los usuarios de un ordenador (por ejemplo, el realizado por los titulares de los derechos de autor para demandar a los usuarios por violación de los derechos de propiedad intelectual), el responsable del tratamiento prevé que los «medios que pueden ser razonablemente utilizados» para identificar a las personas pueden obtenerse, por ejemplo, a través de los tribunales competentes (de otro modo la recopilación de información no tiene ningún sentido), y por lo tanto la información debe considerarse como datos personales. Un caso particular sería el de algunos tipos de direcciones IP que en determinadas circunstancias y por diversas razones técnicas y organizativas no permiten realmente la identificación del usuario. […] Sin embargo cabe señalar que, muy probablemente, los prestatarios de servicios de Internet no sabrán si la dirección IP en cuestión permite la identificación o no, y tratarán los datos asociados a ese IP de la misma manera que tratarían la información asociada a las direcciones IP de los usuarios debidamente registrados e identificables. Así pues, a menos que el prestatario de servicios de Internet sepa con absoluta certeza que los datos corresponden a usuarios que no pueden ser identificados, tendrá que tratar toda información IP como datos personales, para guardarse las espaldas.

Es decir, ni blanco ni negro. Si el tratamiento de la dirección IP se lleva a cabo para identificar al usuario de un ordenador, es un dato de carácter personal dado que existe una intencionalidad en la que el propio captador de los datos asume como razonable el procedimiento que deberá aplicar para identificar a los usuarios de cada una de las direcciones IP; parece bastante lógico. Si yo capto matrículas para multar a los propietarios de los vehículos, es que asumo que el procedimiento de identificación es razonable (incluso aunque entremos en aspectos de valoraciones coste-beneficio), de lo contrario estaría haciendo el tonto. Pero si no es este caso, aunque usted crea que no podría identificar a los visitantes de su página web… pues bueno, en ese caso nos lavamos las manos y mejor que decida usted, que a nosotros nos supera.

Debe tenerse en cuenta que la letra a) de la mencionada Directiva dice lo siguiente:

a) «datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

Es decir, según esto prácticamente cualquier cosa es un dato de carácter personal, porque incluso en grados muy avanzados de «indirección» es posible relacionar un dato con su propietario. Por ejemplo, el justificante que la Administración Tributaria me facilitó para acceder a mi borrador es un dato de carácter personal. Veamos otro ejemplo. Mi perra se llama Samy y tiene un miedo atroz a básicamente todo. vivo en Valencia, tengo un Renault Megane tres puertas de color verde y el nombre de mi pareja es Laura. Combinen todos esos datos y seguro que aplicando algún procedimiento (e ignorando el hecho de que esta entrada está firmada con mi nombre y apellidos), por muy indirecto que sea, les llevará ante mi. ¿Significa eso que el nombre de mi perra es un dato personal? Pues no sé, pero si ven que me tuerzo me avisan.

No obstante, antes de seguir no hemos de olvidar que en este caso estamos hablando de la aplicación de la dichosa Directiva 95/46/CE, y no de nuestra querida LOPD y su Reglamento de Desarrollo. Veamos lo que dice la Agencia Española de Protección de Datos al respecto, en el informe Carácter de dato personal de la dirección IP. Informe 327/2003:

El TCP/IP se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección IP numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección IP del emisor y del destinatario. Por otro lado, el DNS (sistema de nombre de dominio) es un mecanismo de asignación de nombres a ordenadores identificados con una dirección IP. Ciertas herramientas existentes en la red permiten encontrar el enlace entre el nombre de dominio y la empresa o el particular.

A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP. Un proveedor de acceso a Internet que tiene un contrato con un abonado a Internet, normalmente mantiene un fichero histórico con la dirección IP (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección. Es mas, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación. En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.

Por si no recuerdan, la letra a) del artículo 3 de la LOPD dice que datos de carácter personal son cualquier información concerniente a personas físicas identificadas o identificables. Correcto. Si es usted Telefónica, dispone de procedimientos razonables para acceder a las asignaciones de sus propios usuarios, y si usted es el administrador o dueño de una red local, muy probablemente disponga de herramientas para poder determinar la lista de leasings DHCP. Continuemos:

En otros casos, un tercero puede llegar a averiguar la dirección IP dinámica de un usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo. Obviamente, resulta más sencillo identificar a los usuarios de Internet que utilizan direcciones estáticas. Sin embargo, en muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación.

Si bien es cierto que muchas webs utilizan cookies, en realidad esto no hace al usuario más identificable ya que el procedimiento continúa siendo el mismo: tirar de los datos de la operadora a través de un procedimiento judicial. Incluso en aquellos casos en los que las cookies permiten identificar de manera unívoca al usuario, obtener el número de visitas, la frecuencia, la actividad e interactividad con la página, y sus características técnicas, por lo general seguimos sin tener a una persona identificada o identificable.

Claro que no es así siempre: Google sabe sin duda quiénes somos, qué hacemos y dónde estamos (entre otras muchas cosas) y de hecho casi no le hace falta ni la IP. Pero estarán de acuerdo en que no es el caso común. En ese caso, con las cookies lo único que probablemente tenemos sea un usuario de Internet que accede a nuestra página cada X días y navega por X enlaces antes de irse a otro lado.

¿Se acuerdan del ejemplo de mi perra? Quedamos en que ninguno de los datos proporcionados era suficiente para identificarme. Imaginen que para facilitar las cosas, añado el lugar donde veraneo, que tengo una bicicleta con la que vengo al trabajo siempre que no llueve, el nombre de la empresa que me realizó la instalación del gas en casa y la fecha cuando lo hizo. Para mí, ninguno de esos datos por separado hacen de mi una persona identificada o identificable, pero sí todos ellos en combinación, si tienen ustedes ganas. Ese parece ser el argumento expuesto: si bien la IP no es probablemente suficiente para identificar a una persona, si la combinamos con las cookies, entonces sí (que en la mayoría de los casos aún así, no, pero bueno).

Repito: les ruego que me corrijan si ven que me voy de lado. Más cosas:

Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.

Es agradable ver que al menos existe coherencia entre la AEPD y el Grupo de Trabajo del Artículo 29. Es decir, no sabemos si usted será capaz de identificar a alguien, pero por si acaso, si le parece bien suponga que sí que lo es.

De todas formas, si les sirve de consuelo, como bien indica Miguel Ángel Mata, no es la primera vez que la AEPD asume procedimientos no razonables como razonables. Aunque a ustedes y a mí nos parezca difícil identificar a la persona que hay tras la dirección p10292@hotmail.com (si es que hay una persona), la Agencia discrepa, y considera que «podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación«. Si eso no es desproporcionado, entonces no hay nada desproporcionado; quiero pensar que la Agencia lo único que hace es dejarse llevar por ese eslógan de Adidas que decía aquello de Impossible is nothing.

Temo hasta el momento no haberles aclarado demasiado, más que la precaución de considerar como datos de carácter personal cualquier cosa que puedan imaginar. A fin de cuentas, a mi no me miren que la Agencia tampoco acostumbra a aclarar demasiado, y para ejemplo, esta resolución [Expediente Nº: E/00561/2004] en la que afirma que Atendiendo a lo que se acaba de indicar, aunque en principio es criterio de esta Agencia Española de Protección de Datos que el número del DNI, por si solo, no constituye un dato de carácter personal, si lo será en cuanto resulte adscrito al concreto titular del mismo., y este informe jurídico [Informe 0334/2008] cuatro años después dice que sí lo es.

Volviendo al conjunto de datos de carácter personal sobre mi persona, me llama especialmente la atención este fragmento, sacado del último informe (el del DNI, va a ser que sí) que les indico:

[…] según la Ley Orgánica 15/1999 el concepto de dato personal, comprende según el artículo 3 a) “cualquier información concerniente a persona física identificada o identificable”, entendemos que se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

Reflexionen sobre eso; a mi me da que esa frase tiene algo de maldad intencionada.

Estoy acabando, no se preocupen. En mi opinión, el problema que radica en todo esto es que, manteniendo cierta ambigüedad muy perjudicial, la LOPD:

i) No tiene en cuenta la relación del responsable del tratamiento que va a tratar los datos con el propietario del dato, lo que puede resultar determinante para saber si hablamos de un dato de carácter personal o no. Creo que es cristalino como el agua que la dirección IP dinámica de mi casa es un dato de carácter personal para mi proveedor de telecomunicaciones, dado que pueden acceder a mi DNI, nombre, apellidos, facturación y muchas otras cosas, pero no lo es para casi nadie más. Las cinco últimas cifras de mi móvil podría ser un dato de carácter personal para las personas que me conocen, incluida mi empresa, pero para nadie más.

ii) No tiene en cuenta las características y finalidad del tratamiento para determinar qué es una «identificación que requiere plazos o actividades desproporcionado», sentencia cuya concreción es francamente difícil de empeorar. El identificador (único) que la AEAT me envió para la confirmación del borrador de la declaración de la renta por Internet es un dato de carácter personal para Hacienda, pero para nadie más. ¿Significa que esta página, que consta de una lista NIFs, es un listado de datos de carácter personal? Como dice Manuel Parra, si ahora escribo el DNI 01891015R, ¿estoy llevando a cabo un tratamiento de datos de carácter personal? ¿Sí, no, a veces, y a mi que me cuenta?

Bueno. En cualquier caso, seamos sinceros, ¿y la de cosas que escribimos gracias a la Agencia, la LOPD, la Directiva y todo esto de los datos personales? ¿Y lo que nos reímos?

Comments

  1. Y como estábamos comentando, Manolo: si se considera dato de carácter personal, además de crear el preceptivo fichero, habrá que dar el derecho de información, posibilitar el ejercicio de los derechos ARCO («por favor, quiero que cancelen los datos que figuren sobre mis accesos a su página web»), etc, etc, etc. Incluso estoy pensando que si por ejemplo se trata de las IPs de personas que han accedido a un sitio web de contenido homosexual estaremos ante datos especialmente protegidos, pues denotan la presunta tendencia sexual del visitante…tendré que pedirle consentimiento firmado y por escrito para tratar sus datos, ¿no? Realmente kafkiano, por no utilizar otro adjetivo.

  2. Espera, que la diversión no acaba ahí. Imagínate que quiere que borres *todos* sus accesos, independientemente de la IP dinámica con la que ha accedido. ¿Qué le pides para el ejercicio de sus derechos y demuestre que él es el usuario detrás de esas IPs? ¿Que te mande el DNI? ¿Un listado de IPs firmado por la operadora ante notario?

  3. Si somos puristas, el listado de IPs firmado por la operadora ante notario no será necesario. Si mi IP dinámica es un dato personal porque corresponde a una persona identificable, la inversa también funciona: yo adjunto fotocopia de mi DNI para ejercer mi derecho de cancelación y que se busquen la vida para identificar las IPs dinámicas con las que he accedido. ¿No hemos quedado que no era un esfuerzo desproporcionado?

  4. Y que se atrevan a decir que no tienen datos tuyos… ¡ja!

  5. El hombre que rie says

    Las leyes es lo que tiene que dan mucho juego, esa vagueza y esa ambiguedad son adorables…

    Ni que decir de la AEPD, ahi que tiempos cuando llamaba para consultar. Me encantaba llamar varias veces para que me dieran contestacionse totalmente opuesta al mismo problema. Claro porque te tocaba llamar, porque si mandabas un correo haciendo la consulta para tener algo a lo que agarrarte te contestaban al cabo de los meses.

    Pero esto es como el titulo de una pelicula de Woody Allen: si la cosa funciona…

  6. para eso esta la 25/2007 .. asi lo ligamos todo…

  7. Como ustedes comprenderan, los abogados no lo van a poner todo demasiado claro. Su negocio se vendria abajo.

    @el hombre que rie: las personas que atienden las consultas telefonicas en la AEAT son auxiliares administrativos ¿que esperabas?¿que atendiesen los abogados del Estado? Se ha pretendido montar un servicio a bajo costo, y esto es lo que ha salido.

    Por otra parte, muchos abogados que venden asesoria LOPD no es que se estudien la ley, las resoluciones, las sentencias de la AN. Van y preguntan en Atención al ciudadano y respoden con lo que les digan ¡y cobran por ello!

  8. Damià Soler says

    En el caso que comentais de la visita a una pagina con un contenido de nivel 3 determinado, la cosa es mas interesante, con toda probabilidad el proveedor de internet tendra registro de las Ips asociadas a una persona (o linea telefonica), pero no todas la paginas por las que navega, por otro lado el servidor web si que almacena la ips que visitan su pagina, por lo que si no se ponen de acuerdo ninguno de los dos tiene la información (de nivel alto).
    ¿Tiene alguno de los dos que declarar el fichero como de nivel alto? Uno tiene las ips pero no almacena por donde navegan, otro tiene las ips que navegan por el pero no saben quien son.

  9. El hombre que rie says

    @Inspector de datos: tal vez con lo que recaudan podrían plantearse dar un servicio de atención al ciudadano digno, a se me olvidaba que eran funcionarios, eso lo explica casi todo…

    @Damià: Si suponemos que la IP es un dato que permita «identificar a la persona» en lo que mantengo la misma opinión que Manuel, entiendo que la responsabilidad de inscribir el fichero sería la empreas encargada de ofrecer el servicio de web, no el ISP, eso si podria incluirse este tratamiento en un fichero visitas web. Aunque pienso que es un sin sentido.

    Hay que cortar por algun sitio, porque si no acabaremos inscribiendo para una floristeria fichero control de acceso, fichero de hoja de reclamaciones, fichero visitas web, fichero de clientes, fichero de proveedores, fichero sugerencias, fichero de personas que reciben las flores….

  10. Damià Soler says

    @El hombre que rie: Pero la pagina web si no registra usuarios no tiene datos de caracter personal, ya que el esfuerzo para obtenerlos no es proporcionado, por lo que yo creo que no tendria el porque declararlo.

  11. Damià, la idea es que la Agencia dice que el esfuerzo para obtener a la persona a partir de la IP no es desproporcionado, por lo que la IP debe considerarse dato de carácter personal y por tanto es necesario declarar el fichero.

  12. Inspector de Datos says

    @El hombre que rie: quien decide como se cubre un servicio no es un funcionario, es un politico. Y el destino que se da al dinero que recauda la Agencia no lo decide la Agencia libremente, sino Hacienda, y dentro de ella un político, que niega o aprueba los presupuestos. Recuerda siempre que a los funcionarios les mandan los políticos.

    Funcionarios como el que escribe esto, hace jornadas de mas de 12 horas, y mas, para ir a hacer una inspección a la esquina más alejada de España. Que hay inspecciones que, iniciadas a las 10 de la mañana, no se han terminado hasta las 10 de la noche, teniendo previemente que ir, y posteriormente volver. Y no todas las inspecciones son en Madrid.

    Veo que no valoras el trabajo de esos abogados que despachan a sus clientes con lo que les ha dicho un auxiliar de la Agencia, facturandoles con generosidad.

    Por último, plantillas como la que has usado es muy útil para quien no quiere o puede pensar. Tu sabras en que grupo te metes.

  13. El hombre que rie says

    @Inspector de Datos: ¿plantillas?, las he buscado en el word pero mira tu por donde no las encuentro.

    Respecto al asunto de los funcionarios soy de los que piensa de que por 1 trabaja 10 estan a la bartola, puede ser que no sea justo, pero si cojo una muestra representativa creo que existe un 90% de posibilidades que me toque uno a la bartola.

    Disculpa si no es tu caso.

    En cuanto a los abogados que cobran tales tributos, estoy totalmente de acuerdo contigo.

  14. Por favor, dejemos las opiniones sobre el trabajo del funcionariado para otros foros, ya sea de la Agencia o de otros organismos, ya que no es intención del post ni del blog entrar a valorar dichos aspectos, y centrémonos en la LOPD y sus interpretaciones.

    En cualquier caso, gracias a los dos por vuestras opiniones.

  15. Querido Manolo,

    Los que deben decidirlo, hace años que lo hicieron, y al resto de los mortales solo nos queda aguantarnos. Al informe 327/2003 de la agpd me remito

  16. Es cierto Logan, y de hecho el informe que comentas está referenciado en la entrada. Simplemente quería poner de manifiesto esas «pequeñas» lagunas e imprecisiones de la LOPD y su reglamento, en este caso en lo que se refiere a «esfuerzo desproporcionado».

    Un saludo

  17. Estudiante de la LOPD says

    He leído con detenimiento el artículo completo (Mi enhorabuena por la concreción y claridad con que se ha expuesto) y las opiniones expresadas a continuación.

    En mi modesta opinión, entiendo que tanto la normativa europea, como la LOPD tienen como finalidad última, la protección del derecho fundamental que es la intimidad (la esfera privada del individuo en su más amplio sentido); hasta aquí creo que no he dicho nada nuevo para todos nosotros. El caso es que cuando planteamos si la IP debe ser considerado como DCP, y las consecuencias que este hecho acarrearía para los servidores WEB… Se está comentando que supondría un esfuerzo desproporcionado y yo pregunto ¿por qué?

    Intentaré explicarme. Para un servidor WEB, es relativamente fácil tener una página de inicio que indique la existencia del fichero, de los datos que continen y de su finalidad. A efectos del ejercicio de los derechos ARCO, tampoco me parece mal que estén obligados a indicar una dirección a la que poder dirigirse para ejercitar nuestros derechos, aunque es poco probable que alguién lo vaya a hacer. Me parece fantástico que se pueda perseguir al infractor que facilite o ceda nuestros DCP a otras empresas sin el consentimiento del interesado.

    En definitiva, mi opinión al respecto es que toda garantía es poca; el legislador tiene que aprender con la casuística que va encontrando. A veces se contradice, pero es por falta de experiencia… y ya lo dice el refrán: «rectificar es de sabios» así que no debemos dejarnos «asustar» por situaciones aparentemente ilógicas y mantener siempre el objetivo que inicialmente comenté… La intimidad debe ser inviolable.

    Un saludo.

  18. @Estudiante de la LOPD

    Implantar las medidas no es lo que constituye el esfuerzo desproporcionado. El Artículo indica que «f) Datos de carácter personal: Cualquier información […] concerniente a personas físicas […] identificables.», y «Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados». La idea que el artículo quiere transmitir es que en muchos entornos conseguir identificar a una persona a partir de su IP requiere un esfuerzo desproporcionado (orden judicial, por ejemplo) y por tanto en dichos entornos no debería ser considerado un dato de carácter personal.

    De cualquier modo, supongamos que sí efectivamente es considerada un dato de carácter personal. ¿Cómo garantizamos los derechos de una persona si no tenemos cómo saber si está o no detrás de una IP? Dicho de otra forma, imaginemos que con la ADSL de mi casa accedo durante seis meses a la página web de la Agencia, y un buen día decido ejercer mi derecho de acceso. En teoría, la AEPD debería proporcionarme (dado que son datos de carácter personal) un listado de todas las IPs con las que he accedido. Pero en realidad, ellos no tienen esa información, porque no pueden relacionar mi nombre y apellidos con las IPs que mi router ha tenido durante esos seis meses. Para ello tendrían que solicitarla a mi operador de telefonía, que les exigiría una orden judicial para ello. ¿Es eso un esfuerzo desproporcionado?

Trackbacks

  1. […] ¿Esfuerzo desproporcionado? Impossible is nothing, en Security Art Work […]