Resumen: Algunos datos alfanuméricos, ¿pueden
considerarse datos identificativos personales por si solos (disociados del
nombre), o bien necesitan estar acompañados del nombre y apellidos de la
persona física, para que se consideren datos personales según la LOPD?
Autor del artículo
|
Colaboración
|
|
JOSE
LUIS COLOM PLANAS
|
||
Actualizado
|
17 de enero de 2015
|
|
ÍNDICE.
1.
INTRODUCCIÓN
2.
JUSTIFICACIÓN DE LA CONTROVERSIA3. ANALICEMOS LOS DIFERENTES DATOS ALFANUMÉRICOS
3.1. El DNI o NIF
3.2. El correo electrónico (e-mail)
3.3. Un número de teléfono
3.4. Una dirección IP (de Internet)
3.5. La matrícula de un vehículo
4. CONTACTOS DE LA AGENDA
1. INTRODUCCIÓN
En
este estudio me propongo analizar si los datos alfanuméricos, entre los que
podemos encontrar:
- La dirección de correo electrónico
- Un número de teléfono
- Una dirección IP (de Internet)
- La matrícula de un vehículo
- La dirección de un domicilio particular
¿Pueden
considerarse datos identificativos personales por si solos (disociados del nombre), o bien
necesitan estar acompañados del nombre y apellidos de la persona física, para que
se consideren datos personales según la LOPD?
Éste
debate no es simple y puede presentar controversia, ya que la propia AEPD a lo largo del tiempo ha rectificado el criterio.
La
definición de datos personales contenida en la Directiva 95/46/CE dice así:
"datos
personales": toda información sobre una persona física identificada o
identificable (el "interesado"); se considerará identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación
o uno o varios elementos específicos, característicos de su identidad
física, fisiológica, psíquica, económica, cultural o social.
El hecho de que el interesado no aparezca
identificado en un fichero por su nombre y apellidos no supone que dicho
fichero no contenga datos de carácter personal cuando dicha identificación
puede o podría tener lugar con posterioridad a la recogida de tales datos.
En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29, en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007:
En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29, en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007:
..La
identificación se logra normalmente a través de datos concretos que podemos
llamar «identificadores», que tienen una relación privilegiada y muy cercana
con una determinada persona. (…) La Directiva menciona esos «identificadores»
en la definición de «datos personales» del artículo 2 cuando establece que «se
declarará identificable toda persona cuya identidad pueda determinarse, directa
o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos,
característicos de su identidad física, fisiológica, psíquica, económica,
cultural o social».
«Directa» o «indirectamente» identificable.
Esta
idea se aclara aún más en los comentarios a los artículos de la propuesta modificada
de la Comisión, en donde se afirma que «una
persona puede ser identificada directamente por su nombre y apellidos o indirectamente
por un número de teléfono, la matrícula de un coche, un número de seguridad
social, un número de pasaporte o por una combinación de criterios
significativos (edad, empleo, domicilio, etc.), que haga posible su identificación al estrecharse el grupo al que
pertenece.» Los términos de esta declaración indican claramente que el que
determinados identificadores se consideren suficientes para lograr la
identificación es algo que depende del contexto de la situación de que se
trate. Un apellido muy común no bastará para identificar a una persona - es
decir, para aislarla – dentro del conjunto de la población de un país, mientras
que es probable que permita la identificación de un alumno dentro de una clase.
Incluso una información auxiliar, como, por ejemplo, «el hombre que lleva un
traje negro», puede identificar a alguno de los transeúntes que esperan en un
semáforo. Así pues, el que se identifique o no a la persona a la que se refiere
una información depende de las circunstancias concretas del caso”.
Puede
consultarse el texto del Dictamen 4/2007, de 20 de Junio por el Grupo del
Artículo 29 en:
Dictamen
4/2007 Grupo Artículo 29
“para
que exista un dato de carácter personal (en contraposición con dato disociado)
no es imprescindible una plena coincidencia entre el dato y una persona
concreta, sino que es suficiente con que tal identificación pueda efectuarse
sin esfuerzos desproporcionados” (…) “para determinar si una persona es
identificable, hay que considerar el conjunto de los medios que puedan ser
razonablemente utilizados por el responsable del tratamiento o por cualquier
otra persona, para identificar a dicha persona”.
Debe recordarse que la Ley Orgánica 15/1999 tiene por objeto la protección de un derecho fundamental: el derecho a la protección de datos de carácter personal, considerado como tal por la jurisprudencia de nuestro Tribunal Constitucional, entre otras, en su Sentencia 292/2000, de 30 de noviembre. Por este motivo, las excepciones a la aplicación de dicha normativa deberán ser objeto de interpretación restrictiva, debiendo prevalecer la interpretación proclive a la protección del derecho fundamental, conforme establece reiterada jurisprudencia del Tribunal Constitucional.
2. JUSTIFICACIÓN DE LA
CONTROVERSIA.
En
un primer momento la AEPD, determinó en la resolución con nº E/00561/2004 de
fecha 20 de abril de 2005:
“…aunque en principio es criterio de esta
Agencia Española de Protección de Datos que el número del DNI, por sí solo, no
constituye un dato de carácter personal, si lo será en cuanto resulte adscrito
al concreto titular del mismo.”
Puede
consultarse el texto completo de la resolución de entonces en:
Resolución AEPD nº E/00561/2004Vemos en ella, que la AEPD estimó archivar una denuncia presentada por un alumno de la UNED el año 2004. Ésta se fundamentaba en la publicación de las calificaciones obtenidas por los alumnos en los exámenes de esta Universidad.
El
alumno denunciante entendió que publicar las notas de los exámenes sin el
consentimiento oportuno era una infracción del artículo 11 de la LOPD (cesión
de datos sin consentimiento).
Como
fuere que sólo aparecía el DNI junto a las calificaciones y no llevaba
asociados el nombre y apellidos del alumno, la AEPD no sancionó a la Universidad alegando que el DNI no es un dato
personal y por tanto no está amparado por la LOPD.
Posteriormente
en su informe nº E/0334/2008, la propia Agencia determina que:
La consulta plantea si la creación de un
fichero en el que sólo se contiene el número de DNI, o el NIE queda sometido a
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter
Personal. . .
. . .Por todo ello, podemos concluir que la
actuación descrita en la consulta constituye un tratamiento de datos de
carácter personal y por tanto queda sometido a la Ley Orgánica 15/1999, pues
así lo establece el artículo 2.1 de la misma, al indicar que “.La presente Ley
Orgánica será de aplicación a los datos de carácter personal registrados en
soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de
uso posterior de estos datos por los sectores público y privado”.
Puede consultarse el texto completo del Informe de la AEPD en:
Informe AEPD nº E/0334/2008
La misma Agencia es la que se corrige y ahora sí determina, que el DNI es un dato de carácter personal y por lo tanto cualquier archivo que contenga al menos el número de DNI en uno de sus campos, constituye un fichero de datos personales sometido al cumplimiento de la LOPD.
En
consecuencia y para no crear indefensión en la operativa de comunicación de las
calificaciones a los alumnos en las universidades, es que se promulga la Ley
Orgánica 4/2007, de 12 de abril, por la que se modifica la Ley Orgánica 6/2001,
de 21 de diciembre, de Universidades. De esta Ley Orgánica hay que destacar la
disposición adicional vigésimo primera que nos indica:
Disposición
adicional vigésimo primera. Protección de datos de carácter personal.
3. No
será preciso el consentimiento de los estudiantes para la publicación de los
resultados de las pruebas relacionadas con la evaluación de sus conocimientos y
competencias ni de los actos que resulten necesarios para la adecuada
realización y seguimiento de dicha evaluación.
4.
Igualmente no será preciso el consentimiento del personal de las universidades
para la publicación de los resultados de los procesos de evaluación de su
actividad docente, investigadora y de gestión realizados por la universidad o
por las agencias o instituciones públicas de evaluación.
Puede
consultarse el texto completo de la Ley en:
Ley Orgánica
4/2007, de 12 de Abril
Esto quiere decir que a efectos prácticos pasa a
contemplarse como un supuesto de excepción del artículo 11 de la LOPD, puesto que
ya no se va a requerir el consentimiento del alumno universitario para que se
publiquen sus notas en los tablones de las facultades, pese a ser considerado
el DNI como dato de carácter personal.
3. ANALICEMOS LOS
DIFERENTES DATOS.
Posible
Dato Personal
|
¿Es
Dato Identificativo Personal?
|
Referencia
a Opinión GT29; Informe o Resolución de la AEPD; Sentencia de referencia
|
Resultado
y considerandos de la evaluación
|
D.N.I.
 |
SI
|
- Informe AEPD E/0334/2008
|
El DNI es un dato identificativo personal en cuánto que cualquier
archivo que incluya al menos un DNI en uno de sus campos, constituye un
fichero sometido a la LOPD.
|
Dirección de correo
electrónico
(e-mail)
 |
SI (con matices)
|
- Resolución AEPD R/00682/2004
|
Siempre que pueda ser vinculada unívocamente a una persona física,
por el nombre de la cuenta o mediante los datos de la cuenta asociada.
No lo serán las cuentas corporativas cuyo nombre de cuenta (parte
izquierda de la @) no identifique a un empleado y exista una política de uso
de los medios puestos por la empresa a disposición del trabajador que excluya
específicamente un uso particular de la misma.
|
Número de teléfono
 |
SI (a partir del
9/11/2009, fecha en que se exige identificación para tarjetas de móvil
prepago)
|
- Ley 25/2007, de 18 de octubre
- Dictamen 4/2007 del GT29, de 20 de junio
- Resolución AEPD R/00781/2008
|
Antiguamente los móviles de pre-pago no requerían de identificación
del titular, hasta publicarse la Ley
25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones.
|
Dirección IP
 |
SI
|
- Informe AEPD 0427/2010
- Dictamen 4/2007 del GT29, de 20 de junio
- Resolución AEPD del expediente E/00989/2008
- STS de 3 de octubre de 2014
|
A partir de la dirección IP puede identificarse directa o
indirectamente la identidad del interesado, ya que los proveedores de acceso
a internet tienen constancia de los nombres, teléfono y otros datos
identificativos de los usuarios a los que han asignado las particulares
direcciones IP.
|
Matricula de un vehículo
 |
SI, aunque debería
evaluarse cada caso concreto hasta que se disponga de jurisprudencia clara al
respecto. En su ausencia soy partidarios de adoptar un criterio proclive a la
mayor protección de los datos personales.
|
- Informe AEPD 0425/2006
- Informe AEPD 0427/2010
- SAN 5832/2013
- Real Decreto 2822/1998, de 23 de diciembre
|
La posición de la agencia es que el número de matrícula de un
vehículo es un dato identificativo personal ya que a partir del RD 2822/1998
se puede identificar al titular a partir del mismo.
No obstante, la SAN 5832/2013 considera que identifica a un vehículo
y no a su titular.
|
Dirección de un domicilio
particular
 |
SI
|
- Informe AEPD 182/2008
|
la dirección completa de
un domicilio particular (Población, calle, número), es considerada en sí
misma un dato personal por la AEPD.
|
Contactos de la agenda de una
PJ
 |
NO
|
- Art. 2.2 del RD 1720/2007, de 21 de diciembre
|
“Este reglamento no será aplicable a los tratamientos de datos
referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar
los datos de las personas físicas que presten sus servicios en aquéllas,
consistentes únicamente en su
nombre y apellidos, las funciones o puestos desempeñados, así como la
dirección postal o electrónica, teléfono y número de fax profesionales”
|
Pasemos a analizar los datos alfanuméricos más frecuentes, justificando su consideración por parte de la AEPD como dato de carácter personal:
3.1. El DNI.
SI LO ES. Ya ha sido analizado con detalle en el apartado
anterior.
El DNI es un dato de carácter personal y por lo tanto cualquier archivo que contenga al menos el número de DNI en uno de sus campos, constituye un fichero de datos personales sometido al cumplimiento de la LOPD.
El DNI es un dato de carácter personal y por lo tanto cualquier archivo que contenga al menos el número de DNI en uno de sus campos, constituye un fichero de datos personales sometido al cumplimiento de la LOPD.
3.2. La dirección de
correo electrónico (e-mail).
SI LO ES (Con matices). Existen miles de programas Servidores o Clientes de
correo electrónico distintos lo que hace difícil sacar conclusiones generales
de comportamiento, al no disponerse de datos fiables sobre su utilización. Podemos
distinguir al menos dos tipos de cuentas, las domésticas basadas en web y las
corporativas.
3.2.1. Cuentas domésticas basadas en web.
Los
servicios de correo electrónico tipo “Hotmail” basados en web son generalmente
gratuitos y están pensados para dar servicio a particulares. Cualquier usuario
puede darse de alta desde la propia web, cumplimentando una serie de datos, los
cuales normalmente no son contrastados. Solo en algunos casos como “Gmail”,
puede llegar a asociarse a un número de teléfono móvil, donde en caso de
cambios de configuración de la cuenta, se enviará un SMS que incorpora un
código de autentificación.
No
es significativo el texto que aparece delante de la “@”, al poder cualquiera
suscribir una cuenta de correo de éste tipo, sin exigírsele ninguna
comprobación para definir los caracteres constituyentes de la dirección de la cuenta
de correo. Éstos se eligen en el momento de la contratación desde una página
web. Únicamente se verifica que dicho nombre o conjunto de caracteres no haya
sido dado de alta con anterioridad por otro usuario del servicio.
No
existe ninguna obligación técnica de que sea el verdadero nombre del destinatario;
puede consistir en un seudónimo escogido por el titular o un código arbitrario
asignado o propuesto por el servidor de correo en el proceso de registro.
En consecuencia no es lo que dice o sugiere el texto de la dirección de correo,
sino los datos identificativos del destinatario, caso de existir, asociados a
su dirección o cuenta.
3.2.2. Cuentas de correo
corporativo.
En
éste caso, no es el usuario quién se da de alta en el servidor de correo, sino que
es el administrador del sistema quien crea y le asigna una cuenta al trabajador.
Se
supone que existe una política de seguridad demostrable, que imposibilita
cualquier alteración por parte de ningún otro usuario en la red.
Normalmente
en dicha cuenta de correo, la parte izquierda de la “@” corresponde a la inicial
del nombre mas el primer apellido, o cualquier otra convención basada en el
nombre real que se utilice, pudiendo coincidir con el ID de usuario de acceso a
los servicios de red que le han sido asignados en la empresa. La parte derecha
representa el “dominio”, que identifica a la propia organización.
En
el caso de envío de correo, el dominio en que el destinatario tiene la cuenta
se trata en realidad de un nombre DNS referido a la dirección IP del servidor
de correo corporativo.
Queda
claro que existe una asociación unívoca entre la dirección de correo
electrónico y sus datos asociados, con el usuario o trabajador de la empresa a
cualquier nivel. Recordemos que el registro de dominio de Internet es
universal, lo que implica la identificación de dicho empleado en dicha
organización en cualquier parte del mundo.
Siempre
circunscrito a un ámbito temporal, mientras exista una relación contractual que
vincule al trabajador con la empresa.
3.2.3. Resoluciones al
respecto.
En
la resolución R/00682/2004 de la AEPD, se establece que una dirección de correo
electrónico se refiere a una persona identificada al disponerse de los datos
identificativos del titular asociados a ella.
Matizaré
como opinión particular, que en el caso en que la dirección de correo no esté
asociada a unos datos identificativos de su titular, y de la misma no puedan
desprenderse dichos datos, podría discutirse que en dicho supuesto resultara de
aplicación la LOPD.
A
modo de ejemplo, existe una resolución de la AEPD R/00682/2004 correspondiente
al procedimiento sancionador PS/ 00054/2004 que dice textualmente:
“PRIMERO
: En fecha 17 de julio de 2003, D. S.R.S. recibió en su buzón de correo
electrónico (...........@hotmail.com) un mensaje informativo sobre un Master en
Relaciones Internacionales remitido por el INSTITUTO DE ESTUDIOS EUROPEOS
(entidad perteneciente a la Fundación Universitaria San Pablo-CEU). El
remitente que consta en el correo electrónico es (......@ceu.es.) El afectado manifiesta que no ha otorgado
consentimiento previo para el tratamiento de sus datos personales por dicha
entidad.
El
afectado manifiesta que los datos personales utilizados para el envío del
correo electrónico pudieron tener su origen en la Escuela Diplomática, toda vez
que los facilitó para la realización de un curso de Estudios Internacionales…
… En la
inspección realizada en el INSTITUTO DE ESTUDIOS EUROPEOS se constató que la
dirección del remitente del correo electrónico enviado al afectado, (......@ceu.es), se corresponde con la
utilizada habitualmente por la persona encargada de la emisión de los mensajes
informativos del citado Instituto…
…
HECHOS PROBADOS …
…
4.- El IDEE envió, en el mes de julio de 2003, un correo
electrónico a la dirección (..........@hotmail.com) que corresponde a la del
denunciante conteniendo información sobre el Master de Relaciones
Internacionales organizado por el IDEE. Dicho correo electrónico se remitió
desde la dirección (......@ceu.es.) Esta dirección de correo pertenece al
personal del IDEE que habitualmente envía los mensajes informativos.
5.-
No se ha acreditado que el IDEE disponga del consentimiento del afectado para
el tratamiento de sus datos personales, incluida la dirección de correo
electrónico (..........@hotmail.com).
6.-
Los datos personales del denunciante relativos al correo electrónico no constan
en fuentes de acceso público. En los documentos aportados por el IDEE
procedentes de Boletines Oficiales – fuente considerada de acceso público según
el citado artículo 3 - no consta la dirección electrónica del denunciante”.
Puede
consultarse abiertamente el texto de la resolución de la AEPD en su página web,
apartado resoluciones:
Resolución R/00628/2004 AEPD
3.2.4. Legislación y
recomendaciones.
El
documento del Grupo del Artículo 29 de la Directiva 95/46/CE, sobre “Privacidad
en Internet – Enfoque comentario integrado de la protección de datos en línea”,
adoptado el 21 de noviembre de 2000, describe el correo electrónico como un
servicio que permite al usuario enviar un mensaje electrónico a otra persona,
señalando que, “en general, el mensaje se almacena electrónicamente en
un servidor hasta que el destinatario comprueba su buzón”.
Puede
consultarse el texto del documento en:
Grupo de trabajo sobre protección de datos del Artículo
29
El
texto de la propia directiva 95/46/CE, habla del correo electrónico:
Directiva 95/46/CE del parlamento europeo y
del consejo de 24 de octubre de 1995 relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
…(47)Considerando
que cuando un mensaje con datos personales sea transmitido a través de un
servicio de telecomunicaciones o de correo
electrónico cuyo único objetivo sea transmitir mensajes de ese tipo, será considerada normalmente responsable
del tratamiento de los datos personales presentes en el mensaje aquella persona
de quien proceda el mensaje y no la que ofrezca el servicio de transmisión;
que, no obstante, las personas que ofrezcan estos servicios normalmente serán
consideradas responsables del tratamiento de los datos personales
complementarios y necesarios para el funcionamiento del servicio;
NOTA DEL EDITOR: Si la dirección de correo
electrónico corresponde a un fichero de contactos de empresa, según el artículo
2.2 del RLOPD (ámbito objetivo de aplicación) no se verá afectado por la LOPD
siempre que se destine al fin último de mantener el contacto entre trabajadores
de empresas.
3.3. Un número de teléfono.
SI LO ES (a partir del 9/11/2009). En la actualidad es necesaria la identificación y presentación del NIF, para poder contratar cualquier tipo de teléfono (Fijo, móvil de cuota o móvil de pre-pago).
Antiguamente
los de pre-pago no requerían de tal identificación, hasta publicarse la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a
las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Puede
consultarse el texto de la ley en el BOE:
Por
eso y refiriéndose a teléfonos móviles, en su informe 0575/2008 la AEPD,
siguiendo el criterio establecido por la Audiencia Nacional en su sentencia de
8 de marzo de 2002, concluye lo siguiente:
"el
número de teléfono móvil por sí mismo, esto es, sin el concurso de otros datos
que contribuyan a identificar a su propietario, no tiene el carácter de dato
personal, en consecuencia, la aplicación de las prescripciones contenidas en la
LOPD vendrá determinada por la asociación de dicho número con otros datos que permitan
establecer la identidad de su titular."
Queda
claro que en la fecha del informe, había muchos móviles de pre-pago no
identificados.
Al
publicarse la Ley 25/2007, de 18 de octubre, cambia el planteamiento. Ésta Ley
tiene como principal objetivo la transposición a nuestro ordenamiento jurídico,
de la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de
marzo, sobre la conservación de datos generados o tratados en relación con la
prestación de servicios de comunicaciones electrónicas de acceso público o de
redes públicas de comunicaciones, y por la que se modifica la Directiva
2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio.
Su
regulación tiene como objeto la obligación de los operadores de conservar los
datos generados o tratados en el marco de la prestación de servicios de
comunicaciones electrónicas o de redes públicas de comunicación, así como el
deber de cesión de dichos datos a los agentes facultados siempre que les sean
requeridos a través de la correspondiente autorización judicial con fines de
detección, investigación y enjuiciamiento de delitos graves contemplados en el
Código Penal o en las leyes penales especiales.
En
la Disposición Adicional Única –in fine- de esta ley se prevé que los usuarios
de tarjetas de prepago compradas antes del mes de noviembre de 2007 y que no se hayan identificado ante su operadora
se quedarán sin línea el 9 de noviembre de 2009, dos años después de la
entrada en vigor de la citada ley.
El
Dictamen 4/2007, de 20 de Junio del Grupo del Artículo 29, cita, refiriéndose
al teléfono fijo:
“Ejemplo nº 7: Registro de llamadas de un
teléfono.
El
registro de llamadas de un teléfono de una empresa proporciona información
sobre las llamadas realizadas desde ese teléfono conectado a una determinada
línea telefónica. Esa información puede ponerse en relación con otras
informaciones. Por una parte, la línea se ha puesto a disposición de la
empresa, la cual está obligada contractualmente a abonar las llamadas. Durante
la jornada laboral, el terminal telefónico está bajo el control de un
determinado trabajador de la empresa y se supone que es él quien realiza las
llamadas. El registro de llamadas también puede proporcionar información sobre
las personas a las que se ha llamado. Además, el teléfono puede ser utilizado
por cualquier persona que tenga acceso a los locales en ausencia del trabajador
responsable (por ejemplo por el personal de limpieza). Por motivos diferentes,
la información sobre el uso de ese teléfono puede relacionarse con la empresa,
el trabajador, o el personal de limpieza (por ejemplo, para comprobar la hora
en que el personal de limpieza dejó el lugar de trabajo, puesto que en
principio deben confirmar a través de una llamada telefónica la hora a la que
salen antes de cerrar los locales de la empresa). Hay que mencionar que el concepto de datos personales abarca aquí
tanto las llamadas salientes como las entrantes en la medida en que todas ellas
contienen información sobre la vida privada, las relaciones sociales o las
comunicaciones de las personas”.
Es interesante el procedimiento sancionador PS/00498/2007 de la AEPD con resolución R/00781/2008 que cita:
“…Partiendo
de estos conceptos, queda acreditado que
la publicación del número de teléfono de la denunciante, debe considerarse
tratamiento de datos de carácter personal, pues como señala la Sentencia de
fecha 11/04/2002 <<los datos personales
cuyo inadecuado tratamiento se denunció en su día no guardan relación con la actividad
empresarial o profesional del Sr. (...) y no hay razón para considerarlos excluidos
del ámbito de la legislación sobre protección de datos personales tal y como aparece
delimitado en el artículo 2 de la Ley Orgánica 5/1992, de 29 de octubre>>.
Por lo que el número de teléfono móvil de la denunciante no puede ser
considerado como datos asociados a la actividad profesional de la misma sino
como un dato relativo a su vida privada”.
Podemos
consultar el texto completo de la resolución en:
Resolución
R/00781/2008
NOTA DEL EDITOR: Si el número de teléfono corresponde a un fichero de contactos de empresa, según el artículo
2.2 del RLOPD (ámbito objetivo de aplicación) no se verá afectado por la LOPD
siempre que se destine al fin último de mantener el contacto entre trabajadores
de empresas.
En consecuencia podemos concluir que un
número de teléfono por sí mismo, se considera dato de carácter personal sin
lugar a dudas, a partir del 9 de Noviembre de 2009.
3.4. Una dirección IP (de Internet).
En
muchos casos existe la posibilidad de relacionar la dirección IP del usuario
con otros datos de carácter personal, de acceso público o no, que permitan
identificarlo, especialmente si se utilizan medios invisibles de tratamiento
para recoger información adicional sobre el usuario, tales como cookies con un
identificador único o sistemas modernos de minería de datos unidos a bases de
datos con información sobre usuarios de Internet que permite su identificación.
"Así
pues, aunque no siempre sea posible para todos los agentes de Internet
identificar a un usuario a partir de datos tratados en la Red, desde esta
Agencia de Protección de Datos se parte de la idea de que la posibilidad de
identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como
dinámicas, con independencia del tipo de acceso, se consideran datos de
carácter personal resultando de aplicación la normativa sobre protección de
datos."
Podemos
consultar el texto completo del informe de la AEPD en:
Informe 0427/2100 de la AEPD
Informe 0427/2100 de la AEPD
El
Dictamen 4/2007, de 20 de Junio del Grupo del Artículo 29, cita:
“Ejemplo nº 15: Direcciones IP dinámicas
El
Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable.
En ese sentido ha declarado que «los proveedores de acceso a Internet y los
administradores de redes locales pueden identificar por medios razonables a los
usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente
en un fichero la fecha, la hora, la duración y la dirección IP dinámica
asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de
servicios de Internet que mantienen un fichero registro en el servidor HTTP. En
estos casos, no cabe duda de que se puede hablar de datos de carácter personal
en el sentido de la letra a) del artículo 2 de la Directiva»12.
Especialmente
en aquellos casos en los que el tratamiento de direcciones IP se lleva a cabo
con objeto de identificar a los usuarios de un ordenador (por ejemplo, el
realizado por los titulares de los derechos de autor para demandar a los
usuarios por violación de los derechos de propiedad intelectual), el
responsable del tratamiento prevé que los «medios que pueden ser razonablemente
utilizados» para identificar a las personas pueden obtenerse, por ejemplo, a
través de los tribunales competentes (de otro modo la recopilación de
información no tiene ningún sentido), y por lo tanto la información debe
considerarse como datos personales.
Un
caso particular sería el de algunos tipos de direcciones IP que en determinadas
circunstancias y por diversas razones técnicas y organizativas no permiten
realmente la identificación del usuario. Así sucede, por ejemplo, con las
direcciones IP atribuidas a un ordenador instalado en un cibercafé, en el que
no se pide identificación alguna a los clientes. En este caso, puede argüirse
que los datos recogidos sobre el uso de un determinado ordenador «X» durante
una determinada franja horaria no permiten la identificación del usuario con
medios razonables y, por lo tanto, no son datos personales. Sin embargo cabe
señalar que, muy probablemente, los prestatarios de servicios de Internet no
sabrán si la dirección IP en cuestión permite la identificación o no, y
tratarán los datos asociados a ese IP de la misma manera que tratarían la información
asociada a las direcciones IP de los usuarios debidamente registrados e identificables.
Así pues, a menos que el prestatario de
servicios de Internet sepa con absoluta certeza que los datos corresponden a
usuarios que no pueden ser identificados, tendrá que tratar toda información IP
como datos personales, para guardarse las espaldas”.
Puede
consultarse el texto del Dictamen 4/2007, de 20 de Junio por el Grupo del
Artículo 29 en:
En
este caso se denuncia la publicación en
Internet por parte del responsable del sitio web http://www.....X.... de las direcciones IP desde las que se
introdujeron comentarios en el citado sitio web.
Sobre
este particular, ha de tenerse en cuenta que el artículo 3.a) de la LOPD define
“dato de carácter personal” como “cualquier información concerniente a personas
físicas identificadas o identificables” (…) De lo expuesto resulta que el
concepto de dato personal se define en términos amplios y que una de las
condiciones básicas de su definición es la posibilidad de vincular la
información personal a una persona de forma que ésta pueda resultar, al menos,
identificable.
Así
las cosas, en el caso que nos ocupa, debe afirmarse que el responsable del sitio web
http://www.....X.... tiene deber
de secreto respecto de las direcciones IP que conoce con motivo del servicio
que presta.
Puede
consultarse el texto completo de la resolución de la AEPD en:
Podemos
aceptar que en efecto, la IP puede identificar a una persona física a través
del registro de contratación con la empresa proveedora de servicios en
Internet. Físicamente se vincula a un enrutador y/o ordenador conectado mediante
esa IP a Internet, pero no a quién la está
utilizándo en determinado momento (intervalo de temporalidad). Dicha situación a efectos de LOPD nos trae
sin cuidado, ya que el objetivo último es el “poder o no” identificar a una
persona física a partir de dicha IP.
En consecuencia, la sala estima que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
STS 3/10/2014
Esta tesis se corrobora en la STS de la Sala de lo
Contencioso, sección 6, de fecha 3 de Octubre de 2014, en el Recurso de Casación
núm. 6153 / 2011, caso PROMUSICAE, se considera en el fundamento de derecho
cuarto: “Esta Sala estima que las
direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que
contienen información concerniente a personas físicas "identificadas o
identificables". El hecho a que alude la parte recurrente, de no tener al
alcance de su mano la identificación del titular de los datos por medios y
plazos razonables, no es obstáculo para la conclusión que mantenemos de que se
trata de datos personales, pues de conformidad con la definición de datos
personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, por dato personal habrá de entenderse, al igual que
señala el artículo 3.a) LOPD antes citado, toda información sobre una persona
física identificada o identificable, añadiendo el artículo 2.a) de la Directiva
95/46 que "se considerará identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un número de
identificación...".
No cabe duda que, a partir
de la dirección IP puede identificarse directa o indirectamente la identidad
del interesado, ya que los proveedores de acceso a internet tienen constancia
de los nombres, teléfono y otros datos identificativos de los usuarios a los
que han asignado las particulares direcciones IP.
La sentencia recurrida
cita, en apoyo de su tesis de que las direcciones IP son datos personales, la
sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de
2008 (asunto C-275/06), recaída en una petición de decisión prejudicial
planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento
promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de
acceso a internet (Telefónica de España, SAU), para que le comunicase los
nombres y direcciones de determinados usuarios de internet. En relación con
dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la
condición de datos personales de los que eran objeto de la pretensión de la
parte recurrente en el litigio principal, es decir, los nombres y direcciones
de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se
pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse
también que, en el mismo asunto, la Abogado General en sus conclusiones si
mantiene (apartado 61), que el dato del usuario al que se han atribuido
determinadas direcciones IP es un dato personal, en el sentido del artículo
2.a) de la Directiva 95/46, es decir, información sobre una persona física
identificada o identificable, pues "con ayuda de este dato se relacionan
las actividades realizadas mediante el uso de la correspondiente dirección IP
con el titular del punto de conexión" .
En consecuencia, la sala estima que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
STS 3/10/2014
NOTA DEL EDITOR: En un proceso penal ante
la comisión de un delito la IP no va a permitir corroborar la autoría si no se
puede demostrar, para un intervalo de tiempo determinado, quién operaba desde
la misma y por tanto no tiene efectos probatorios. En otras palabras, es muy difícil
demostrar la persona física que estaba interactuando desde cierto dispositivo
con esa dirección IP asignada. Podría decirse que la IP es titularidad de una
persona física, pero está asociada al dispositivo que la tiene asignada, más
que a la persona que lo utiliza. Por tanto, habrá que demostrar que el usuario
titular de la IP y por ende del dispositivo, lo estaba utilizando en el momento
de producirse los hechos ilícitos que se le imputan.
En un futuro, con la
consolidación de las direcciones IPv6 en vez de las actuales IPv4, podría
llegarse incluso a asignar un gran número de direcciones IP para toda la vida a
cada ciudadano del mundo, sin temor a que se agoten. Pero eso todavía está por
venir.
En consecuencia podemos concluir que la
dirección IP por sí misma, se considera dato de carácter personal por la AEPD.
3.5. La matrícula de un
vehículo.
SI LO ES (Sujeto a interpretación según el caso particular). Por una parte, el Gabinete Jurídico de la AEPD, en su informe 0427/2010
concluye lo siguiente:
A
través de la aprobación del Reglamento General de Vehículos, en virtud de Real
Decreto 2822/1998, de 23 de diciembre, cuyo artículo segundo establece en su
párrafo primero que:
“la
Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados,
que adoptará para su funcionamiento medios informáticos y en el que figurarán,
al menos, los datos que deben ser consignados obligatoriamente en el permiso o
licencia de circulación, así como cuantas vicisitudes sufran posteriormente
aquéllos o su titularidad”.
En
cuanto a su finalidad, el párrafo segundo del precepto previene que:
“estará encaminado preferentemente a la
identificación del titular del vehículo, al conocimiento de las
características técnicas del mismo y de su aptitud para circular, a la
comprobación de las inspecciones realizadas, de tener concertado el seguro
obligatorio de automóviles y del cumplimiento de otras obligaciones legales, a
la constatación del
Parque
de Vehículos y su distribución, y a otros fines estadísticos”.
Por
último, y en lo atinente a la publicidad de sus datos, el párrafo tercero del
citado artículo 2 añade que:
“el Registro de Vehículos (...) será público para los interesados y
terceros que tengan interés legítimo y directo, mediante simples notas
informativas o certificaciones”.
En
consecuencia, se establece el carácter público del Registro, bastando para la
consulta de sus datos la alegación de la existencia de un interés legítimo y
directo en la consulta.
De
lo que se ha venido indicando cabe desprender que la identificación del titular
de los vehículos cuya matrícula sea conocida únicamente exigirá la consulta del
Registro de Vehículos, cuya finalidad esencial es la identificación del
titular, para lo cual únicamente será necesaria la invocación del interés
legítimo del solicitante.
Podemos consultar el texto completo del informe de la AEPD en:
Informe 0427/2010 de la AEPD
Otro informe de la AEPD, que se pronuncia en el mismo
sentido, es el Informe 425/2006, sobre matrículas de
vehículos y concepto de dato de carácter personal:
Informe 425/2006 de la AEPD
Podemos consultar el texto completo del informe de la AEPD en:
Informe 0427/2010 de la AEPD
Informe 425/2006 de la AEPD
No obstante, la
SAN 5832/2013 de la Sección 1ª de la
Sala de lo Contencioso, en relación al recurso 89/2012 y pronunciada el 26 de
diciembre de 2013, viene a contradecir el criterio aplicado hasta ahora por la AEPD
en relación a la consideración del número de matrícula de un vehículo, por sí
solo, como un dato identificativo
personal.
Según
la Audiencia Nacional:
“(…). De un lado ha de ponerse de manifiesto que si bien esta
Sala ha declarado con reiteración (SSAN 10-2-2011, Rec. 95/2010, entre otras muchas)
que las imágenes captadas por las cámaras son datos de carácter personal, de conformidad
con los artículos 3.a) de la LOPD y 5.1. f) del Real Decreto 1720/2007, y también
que tales imágenes constituyen, en sí mismas consideradas, un tratamiento de datos
con sometimiento, por ende, a las previsiones de la LOPD, ello ha de entenderse
referido siempre a imágenes de personas, y no a imágenes de placas o números de
matrícula cuya caracterización como dato de carácter personal, a pesar de lo
argumentado en la resolución, no se comparte por esta Sala, pues en definitiva un
número o placa de matrícula, si bien identifica un vehículo, en ningún caso identifica
una persona, ya que el conductor del vehículo ni siquiera tiene porqué ser el titular
del mismo, es decir, aquel a cuyo nombre figura dicho vehículo en la
Dirección General de Tráfico. (…)”.
NOTA DEL EDITOR: Esta sentencia de la Audiencia Nacional introducía, como doctrina, la posibilidad por analogía que una dirección IP tampoco sea considerada un dato identificativo personal. Basándonos en el principio “ubi eadem ratio ibique eadem legis dispositio”, que es un principio del Derecho cuyo significado es que donde hay la misma razón, debe ser la misma la disposición del Derecho. Es la expresión del método de aplicación analógica, fundado en que los casos iguales deben ser tratados igualmente. Por analogía podríamos inferir que una dirección IP identifica al equipo informático (El router y su contratación, un terminal de usuario, etc.) pero no a la persona que en determinado momento lo utiliza. No obstante, la STS de 3 de octubre de 2014 aleja esa posibilidad.
NOTA DEL EDITOR: Esta sentencia de la Audiencia Nacional introducía, como doctrina, la posibilidad por analogía que una dirección IP tampoco sea considerada un dato identificativo personal. Basándonos en el principio “ubi eadem ratio ibique eadem legis dispositio”, que es un principio del Derecho cuyo significado es que donde hay la misma razón, debe ser la misma la disposición del Derecho. Es la expresión del método de aplicación analógica, fundado en que los casos iguales deben ser tratados igualmente. Por analogía podríamos inferir que una dirección IP identifica al equipo informático (El router y su contratación, un terminal de usuario, etc.) pero no a la persona que en determinado momento lo utiliza. No obstante, la STS de 3 de octubre de 2014 aleja esa posibilidad.
En
consecuencia podemos concluir que la matrícula identifica al vehículo, pero no al conductor del mismo. La AN
concluye que el tratamiento del dato de
la matrícula no puede considerarse el tratamiento de un dato de carácter
personal. No obstante, y por analogía de lo entendido para las direcciones IP, la AEPD considera que la dirección IP por sí misma, se considera dato de carácter personal al permitir sin esfuerzos desproporcionados llegar a identificar a la persona titular del vehículo. Así las cosas, mi consejo es que, en caso de duda, se opte por la medida mas proteccionista para con los derechos fundamentales de las personas.
3.6. La dirección de un domicilio
particular.
SI LO ES. La dirección completa de un domicilio particular (Población,
calle, número), incluso me atrevería a considerarlo sin el piso/puerta ya que
puede averiguarse la persona física a través de las placas en los buzones, se
considera dato de carácter personal.
El
Gabinete Jurídico de la AEPD, en su informe 182/2008, cita textualmente:
“La
consulta plantea, si la comunicación de los datos relativos a domicilios son
datos de carácter personal y pueden resultar afectados por la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” (…) “En conclusión resulta claro que los datos
recabados por el consultante son datos de carácter personal, dado que
permiten la identificación de los titulares de la vivienda sin esfuerzos ni
actividades desproporcionados”.
En consecuencia podemos concluir que la
dirección completa de un domicilio particular, es considerada en sí misma un
dato personal por la AEPD.
4. CONTACTOS DE LA AGENDA.
El
artículo 2.2 del RLOPD (Reglamento de desarrollo de la LOPD, aprobado por el
Real Decreto 1720/2007, de 21 de diciembre), establece que:
“Este
reglamento no será aplicable a los tratamientos de datos referidos a personas
jurídicas, ni a los ficheros que se limiten a incorporar los datos de las
personas físicas que presten sus servicios en aquéllas, consistentes únicamente
en su nombre y apellidos, las funciones
o puestos desempeñados, así como la dirección postal o electrónica, teléfono y
número de fax profesionales”.
Así,
cualquier fichero que contenga datos adicionales a los citados, como pudiera
ser el número de DNI, la dirección IP o la matrícula de su vehículo,
se encontrará sometido a la LOPD por exceder de lo meramente imprescindible
para identificar al sujeto como contacto de otra empresa.
Junto con ello, se ha de cumplir con el requisito de que el tratamiento de los datos de la persona de contacto sea meramente accesorio respecto de la verdadera finalidad perseguida por el fichero, que no será otra que el mantener contacto con su empresa.
Junto con ello, se ha de cumplir con el requisito de que el tratamiento de los datos de la persona de contacto sea meramente accesorio respecto de la verdadera finalidad perseguida por el fichero, que no será otra que el mantener contacto con su empresa.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee
un doble perfil, jurídico y técnico, que le facilita el desempeño profesional
en el ámbito de los diferentes marcos normativos, especialmente del Derecho de
las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en GOVERTIS Advisory Services
cómo Compliance, Management & IT Advisor, incidiendo en Compliance
Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad
y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas
ISO, individuales o integrados, y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado.
También colabora con BSI como
auditor jefe de certificación e impartiendo formación para la obtención de la
certificación de lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.