El Informe 0005/2016 de la Agencia Española de Protección de Datos (AEPD) aborda la relación entre la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y la Disposición Adicional Novena de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Este informe se centra en tres cuestiones principales: la consideración de las direcciones IP como datos personales, la legitimación de la cesión de estos datos y la posibilidad de obtener el consentimiento de los usuarios para dicha cesión.
### Consideración de las Direcciones IP como Datos Personales
La AEPD reitera que las direcciones IP son consideradas datos personales, ya que pueden ser utilizadas para identificar a los usuarios de Internet. Esta consideración se basa en la Directiva 2002/58/CE y en la jurisprudencia del Grupo de Trabajo del Artículo 29, que ha establecido que las direcciones IP pueden ser vinculadas a información personal, permitiendo la identificación de los usuarios.
### Legitimación de la Cesión de Direcciones IP
La Disposición Adicional Novena de la LSSI establece la obligación de los prestadores de servicios de la sociedad de la información de colaborar con los equipos de respuesta a incidentes de seguridad (CERT) y las autoridades competentes en la gestión de incidentes de ciberseguridad. Sin embargo, la AEPD concluye que esta disposición no proporciona una habilitación legal suficiente para la cesión de direcciones IP, ya que no define claramente quiénes serán los cesionarios de los datos. La norma remite al desarrollo reglamentario para esta determinación, lo cual no ha ocurrido aún.
### Consentimiento de los Usuarios
Dado que la Disposición Adicional Novena no proporciona una habilitación legal completa, la AEPD considera que la cesión de direcciones IP podría legitimarse mediante el consentimiento de los usuarios. Este consentimiento debe ser informado y específico, conforme al artículo 11.1 de la LOPD. Además, la AEPD analiza la posibilidad de amparar la cesión en el interés legítimo del artículo 7.f) de la Directiva 1995/46/CE, que permite el tratamiento de datos personales cuando es necesario para la satisfacción de un interés legítimo, siempre que no prevalezcan los derechos y libertades fundamentales del interesado.
### Ponderación de Intereses
La AEPD realiza una ponderación de intereses, concluyendo que la cesión de direcciones IP puede estar justificada por el interés legítimo en la gestión y prevención de incidentes de ciberseguridad. Este interés afecta tanto a los prestadores de servicios como a los usuarios y a la sociedad en general, ya que la seguridad de las redes y la información es un objetivo común. La normativa comunitaria y estatal subraya la importancia de adoptar medidas técnicas y organizativas para garantizar esta seguridad, lo que incluye la cesión de datos personales cuando sea estrictamente necesario.
### Conclusión
En resumen, el informe de la AEPD establece que las direcciones IP son datos personales y que su cesión debe estar amparada en una base legal clara. La Disposición Adicional Novena de la LSSI no proporciona esta base legal completa, por lo que la cesión podría legitimarse mediante el consentimiento informado de los usuarios o, en su defecto, por el interés legítimo en la gestión de la ciberseguridad. La AEPD subraya la necesidad de garantías adicionales para proteger los derechos de los usuarios y asegurar que la cesión de datos se realice de manera proporcional y necesaria.