El Informe 327/2003 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si las direcciones IP deben considerarse datos de carácter personal según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Este informe es relevante para determinar las medidas de seguridad que deben adoptarse en el tratamiento de direcciones IP.
El informe comienza planteando si las direcciones IP pueden ser consideradas datos de carácter personal. Para responder a esta pregunta, se analiza la definición de dato de carácter personal según el artículo 3.a) de la Ley 15/1999, que define estos datos como cualquier información concerniente a personas físicas identificadas o identificables. Se explica que el protocolo TCP/IP asigna una dirección IP única a cada ordenador, y que el sistema DNS permite relacionar estas direcciones con nombres de dominio y, en muchos casos, con personas físicas.
Los proveedores de acceso a Internet y los administradores de redes locales pueden identificar a los usuarios mediante sus direcciones IP, ya que mantienen registros históricos que incluyen la dirección IP asignada, el número de identificación del suscriptor, la fecha, la hora y la duración de la conexión. Además, las compañías telefónicas registran información similar para la facturación. Esto demuestra que, con la asistencia de terceras partes, es posible identificar a un usuario de Internet a partir de su dirección IP, lo que la convierte en un dato de carácter personal.
El informe también considera que, aunque no siempre sea posible identificar a un usuario a partir de su dirección IP, existen herramientas y métodos que permiten relacionar la dirección IP con otros datos de carácter personal, especialmente cuando se utilizan cookies o sistemas de minería de datos. Por lo tanto, la AEPD concluye que las direcciones IP, tanto fijas como dinámicas, deben considerarse datos de carácter personal, independientemente del tipo de acceso.
En cuanto a las medidas de seguridad, el artículo 4 del Real Decreto 994/1999 establece que todos los ficheros que contengan datos de carácter personal deben adoptar medidas de seguridad de nivel básico. Sin embargo, si un fichero contiene datos que permiten obtener una evaluación de la personalidad del individuo, se deben adoptar medidas de seguridad de nivel medio. Esto implica que un fichero que contenga únicamente direcciones IP debería adoptar medidas de seguridad de nivel básico, mientras que un fichero que asocie direcciones IP con información que permita evaluar la personalidad del usuario debería adoptar medidas de nivel medio.
Finalmente, el informe también aborda la consideración de los «log-in» de acceso a Internet o a páginas personales como datos de carácter personal. Si estos «log-in» identifican directamente al usuario, se consideran datos de carácter personal. Si son anónimos, no se consideran datos de carácter personal, a menos que el proveedor de servicios de Internet pueda identificar al usuario a través de ellos.
En resumen, el Informe 327/2003 de la AEPD establece que las direcciones IP deben considerarse datos de carácter personal y, por lo tanto, están sujetas a las medidas de seguridad establecidas en la normativa de protección de datos. Esto implica que cualquier tratamiento de direcciones IP debe garantizar la confidencialidad e integridad de la información, adoptando las medidas de seguridad adecuadas según la naturaleza de los datos tratados.