El informe jurídico 213/2004 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una entidad puede comunicar a las Fuerzas y Cuerpos de Seguridad del Estado datos de dirección IP, fecha y hora de conexión de un usuario, previo consentimiento o mandamiento judicial, cuando la propia entidad presenta una denuncia.
El informe se centra en la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y sus disposiciones de desarrollo, sin entrar a valorar otros derechos de los usuarios. La primera cuestión analizada es si la dirección IP de un usuario de Internet constituye un dato de carácter personal. La AEPD concluye que, en muchos casos, las direcciones IP pueden ser consideradas datos de carácter personal, ya que es posible identificar a un usuario a través de ellas con la asistencia de terceras partes responsables de la asignación.
En el contexto de una denuncia, la comunicación de la dirección IP se realiza para identificar al autor de los hechos denunciados. Por lo tanto, estos datos están sujetos a la Ley Orgánica 15/1999. La transmisión de estos datos a las Fuerzas y Cuerpos de Seguridad constituye una cesión de datos de carácter personal, definida como la revelación de datos a una persona distinta del interesado.
Según el artículo 11.1 de la Ley Orgánica 15/1999, los datos solo pueden ser comunicados a un tercero con el consentimiento del interesado, salvo en casos específicos. El artículo 11.2 a) permite la cesión de datos sin consentimiento cuando está habilitada por una norma con rango de Ley. En este caso, la presentación de una denuncia ante las Fuerzas y Cuerpos de Seguridad está regulada por la Ley de Enjuiciamiento Criminal, que obliga a denunciar ciertos delitos.
Además, la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico establece que los operadores de redes y servicios de comunicaciones electrónicas deben retener ciertos datos de conexión y tráfico por un período máximo de doce meses, para su uso en investigaciones criminales o para la seguridad pública. Estos datos deben ser puestos a disposición de los jueces, tribunales o el Ministerio Fiscal que los requieran, y su comunicación a las Fuerzas y Cuerpos de Seguridad debe sujetarse a la normativa sobre protección de datos personales.
La AEPD concluye que la cesión de los datos de dirección IP y conexión se encuentra amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999, en conexión con las normas de la Ley de Enjuiciamiento Criminal y el artículo 22.2 de la Ley Orgánica 15/1999 en relación con el artículo 12.3 de la Ley 34/2002. Por lo tanto, siempre que existan indicios razonables de que se ha producido una infracción penal, el tratamiento de los datos cedidos por las Fuerzas y Cuerpos de Seguridad será conforme a la Ley Orgánica 15/1999, y la cesión de los datos por parte de la entidad consultante será lícita.