Hace ya tiempo que creó bastante revuelta el Informe 2003-0327 "Carácter de dato personal de la dirección IP" de la AGPD, tema que se va a poner de moda de nuevo en los próximos meses, si bien hay que decir que aquél informe no fue la primera manifestación en este sentido, pues sobre ello ya trataba por primera vez en el año 2000 el Documento de Trabajo 37 del Grupo del Artículo 29 "Privacidad en Internet: Enfoque comunitario integrado de la protección de datos en línea" (ver todo el documento, pero en especial su página 23).
En mi opinión, el carácter personal de la dirección IP dependerá de las posibilidades de identificación del usuario del servicio de acceso a Internet que se encuentra o encontraba detrás de la dirección IP en un momento determinado, debiéndose tener en cuenta para ello factores como la disponibilidad de redes wi-fi abiertas, la utilización de proxies de navegación, la existencia de cibercafés donde no es necesario que los usuarios se identifiquen previamente y donde no se lleva un registro histórico de los usuarios, el uso compartido de ordenadores tanto en domicilios como en lugares públicos,....
Todo depende de los datos con que adicionalmente cuente el responsable del fichero, pero no por el hecho de que sea posible en determinados casos identificar al usuario de una dirección IP ésta va a ser un dato personal. Por otra parte, no todo el mundo tiene acceso a soluciones basadas en el uso de "cookies", "data mining ",... y no creo que pueda accederse fácilmente a los datos personales que obran en poder de terceros como las entidades responsables de la asignación de las direcciones IP, los proveedores de acceso a Internet, los administradores de una red local,... ya que para ello estos debieran infringir el principio de cesión de datos, esté el responsable del fichero ubicado en territorio europeo u operando en éste. Otro cosa sería que estos datos se recibieran de forma ilegal de estos terceros o se recabaron aprovechando por ejemplo vulnerabilidades de software, protocolos,..., pero piendo que estas alternativas no debieran considerarse como disponibles a la hora de valorar si un determinado dato permite o no identificar a una persona.
Google y especialmente su responsable de seguridad para Europa, Peter Fleischer, lleva algún tiempo haciendo cierto "lobby" para tratar de promover la estandarización a nivel internacional de la legislación en materia de protección de datos, a lo que se ha sumado nuestra AGPD. Y el asunto sobre la consideración de los datos de carácer personal es uno de los temas en los que están centrando actualmente sus esfuerzos aunque me temo que en el caso de Google las direcciones IP sí que han de ser consideradas datos de carácter personal. De hecho, me pregunto por qué entonces lo de la anonimización de las direcciones IP de los logs de las búsquedas.Estoy de acuerdo con las afirmaciones de nuestra AGPD en cuanto a que las políticas de protección de datos de los buscadores de Internet puedan ser consideradas "virtuales o ficticias", no ya tanto porque "los prestadores de servicios de búsqueda no destacan suficientemente en sus páginas de inicio, sus propias políticas de privacidad" o porque la información de las políticas de privacidad sea "compleja e ininteligible", sino más bien porque "los usuarios de los servicios de búsqueda no disponen de una forma clara y accesible de las consecuencias que su utilización tendrá respecto de sus datos personales" como por ejemplo "en lo que respecta a la finalidad para la que se utilizará la información, al uso de dispositivos instalados en sus ordenadores y a la posible elaboración de perfiles sobre sus hábitos a partir de las consultas que realizan".
Eso sí, aún mejorables, es justo reconocer que las políticas de privacidad de Google quizás sean las que mayor transparencia proveen en esta materia, y no sería justo obviar la protección de la privacidad de sus usuarios ante desmanes de las autoridades públicas. Y ello aunque en la otra cara de la moneda esté el hecho de que pretendan arrimar el ascua a su sardina tratando de traspasar la carga de la protección de datos personales en sus titulares (y no como han hecho otros), lo que han llamado el principio de elección o "choice" para lo que toma por referencia al APEC Privacy Framework, ya que entienden que este marco es mejor puesto que encuentra el equilibrio entre la privacidad, las necesidades de negocio y los intereses comerciales y porque ha sido desarrollada en la Era Internet a diferencia de lo que sucede con las Guías de Protección de la Privacidad de la OECD y la Directiva 95/46/CE. En la crítica que se puede hacer a las políticas de privacidad de Google esté también el hecho de que puedan ser discutibles por la excesiva o no del todo legalmente conforme intromisión en los derechos a la intimidad, el secreto de las comunicaciones o el derecho a la privacidad como consecuencia del uso de sus servicios, la adición de publicidad contextual (sea como peaje obligatorio -GMail- o no en algunos de sus servicios), o el acopio de "logs" de búsquedas por excesivo tiempo, la longevidad de las "cookies", la adquisición de DoubleClick (o de los perfiles creados por ésta desde hace años más bien), la creación de una plataforma para la promoción de desarrollo para facilitar el intercambio de nuestros datos personales entre diferentes sitios web y paquetes de software para poder reutilizarlos ,...
Entiendo las quejas de Peter Fleischer con respecto a la excesiva burocracia a la que han de enfrentarse en Europa las empresas multinacionales del sector de Servicios de la Sociedad de la Información y el comercio electrónico, la indeterminación en cuanto a la verificación de conformidad legal de las empresas amercianas que se adhieren al Safe Harbour Agreement y la complejidad de dar satisfacción a tantas legislaciones distintas al mismo tiempo, por mucho que sean parecidas. Es precisamente por todo ello por lo que se puede estar de acuerdo en que es necesario un proceso de estandarización y armonización internacional en la legislación para la protección de la privacidad, pero desde luego cuando una dirección IP puede ponerse en relación con tanta diversidad de datos como puede hacer Google o cualquier otro de los buscadores de Internet, contando con los medios que cuentan, mucho me temo que en el caso de estas empresas las direcciones IP sí que son datos personales por mucho que todavía nos queden las excepciones antes apuntadas. Y tenemos algunas pruebas de ello, aquí y otra aquí, pero además otra en la que hasta Google parecía estar de acuerdo en que son datos de carácter personal las direcciones IP junto con los números identificativos y las "queries", vamos lo principal de sus "logs" de búsquedas.
Álvaro Del Hoyo
Departamento de Consultoría
