miércoles, 12 de septiembre de 2012

¿LOS DATOS ALFANUMÉRICOS PUEDEN CONSIDERARSE DE FORMA AISLADA DATOS PERSONALES?



Resumen: Algunos datos alfanuméricos, ¿pueden considerarse datos identificativos personales por si solos (disociados del nombre), o bien necesitan estar acompañados del nombre y apellidos de la persona física, para que se consideren datos personales según la LOPD?


Autor del artículo
Colaboración
JOSE LUIS COLOM PLANAS
Actualizado
  
17 de enero de 2015


ÍNDICE.

1. INTRODUCCIÓN
2. JUSTIFICACIÓN DE LA CONTROVERSIA
3. ANALICEMOS LOS DIFERENTES DATOS ALFANUMÉRICOS
          3.1. El DNI o NIF
          3.2. El correo electrónico (e-mail)
          3.3. Un número de teléfono
          3.4. Una dirección IP (de Internet)
          3.5. La matrícula de un vehículo
          3.6. La dirección de un domicilio particular
4. CONTACTOS DE LA AGENDA

  





1. INTRODUCCIÓN

En este estudio me propongo analizar si los datos alfanuméricos, entre los que podemos encontrar:

- El DNI o NIF
- La dirección de correo electrónico
- Un número de teléfono
- Una dirección IP (de Internet)
- La matrícula de un vehículo
- La dirección de un domicilio particular

¿Pueden considerarse datos identificativos personales por si solos (disociados del nombre), o bien necesitan estar acompañados del nombre y apellidos de la persona física, para que se consideren datos  personales según la LOPD?


Éste debate no es simple y puede presentar controversia, ya que la propia AEPD a lo largo del tiempo ha rectificado el criterio.


La definición de datos personales contenida en la Directiva 95/46/CE dice así:

"datos personales": toda información sobre una persona física identificada o identificable (el "interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.


El hecho de que el interesado no aparezca identificado en un fichero por su nombre y apellidos no supone que dicho fichero no contenga datos de carácter personal cuando dicha identificación puede o podría tener lugar con posterioridad a la recogida de tales datos.
En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29, en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007:


“La Directiva requiere que la información se refiera a una persona física «identificada o identificable». Ello suscita las siguientes consideraciones. De modo general, se puede considerar «identificada» a una persona física cuando, dentro de un grupo de personas, se la «distingue» de todos los demás miembros del grupo. Por consiguiente, la persona física es «identificable» cuando, aunque no se la haya identificado todavía, sea posible hacerlo (que es el significado del sufijo «ble» en identificable)…

..La identificación se logra normalmente a través de datos concretos que podemos llamar «identificadores», que tienen una relación privilegiada y muy cercana con una determinada persona. (…) La Directiva menciona esos «identificadores» en la definición de «datos personales» del artículo 2 cuando establece que «se declarará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social».

«Directa» o «indirectamente» identificable.

Esta idea se aclara aún más en los comentarios a los artículos de la propuesta modificada de la Comisión, en donde se afirma que «una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.), que haga posible su identificación al estrecharse el grupo al que pertenece.» Los términos de esta declaración indican claramente que el que determinados identificadores se consideren suficientes para lograr la identificación es algo que depende del contexto de la situación de que se trate. Un apellido muy común no bastará para identificar a una persona - es decir, para aislarla – dentro del conjunto de la población de un país, mientras que es probable que permita la identificación de un alumno dentro de una clase. Incluso una información auxiliar, como, por ejemplo, «el hombre que lleva un traje negro», puede identificar a alguno de los transeúntes que esperan en un semáforo. Así pues, el que se identifique o no a la persona a la que se refiere una información depende de las circunstancias concretas del caso”.


Puede consultarse el texto del Dictamen 4/2007, de 20 de Junio por el Grupo del Artículo 29 en:
Dictamen 4/2007 Grupo Artículo 29



El criterio para poder discernirlo, ha sido ratificado por la Audiencia Nacional en sentencia de 8 de marzo de 2002. La misma cita textualmente:


“para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” (…) “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”.




Debe recordarse que la Ley Orgánica 15/1999 tiene por objeto la protección de un derecho fundamental: el derecho a la protección de datos de carácter personal, considerado como tal por la jurisprudencia de nuestro Tribunal Constitucional, entre otras, en su Sentencia 292/2000, de 30 de noviembre. Por este motivo, las excepciones a la aplicación de dicha normativa deberán ser objeto de interpretación restrictiva, debiendo prevalecer la interpretación proclive a la protección del derecho fundamental, conforme establece reiterada jurisprudencia del Tribunal Constitucional.




2. JUSTIFICACIÓN DE LA CONTROVERSIA.

En un primer momento la AEPD, determinó en la resolución con nº E/00561/2004 de fecha 20 de abril de 2005:

“…aunque en principio es criterio de esta Agencia Española de Protección de Datos que el número del DNI, por sí solo, no constituye un dato de carácter personal, si lo será en cuanto resulte adscrito al concreto titular del mismo.”


Puede consultarse el texto completo de la resolución de entonces en:
Resolución AEPD nº E/00561/2004


Vemos en ella, que la AEPD estimó archivar una denuncia presentada por un alumno de la UNED el año 2004. Ésta se fundamentaba en la publicación de las calificaciones obtenidas por los alumnos en los exámenes de esta Universidad.

El alumno denunciante entendió que publicar las notas de los exámenes sin el consentimiento oportuno era una infracción del artículo 11 de la LOPD (cesión de datos sin consentimiento).

Como fuere que sólo aparecía el DNI junto a las calificaciones y no llevaba asociados el nombre y apellidos del alumno, la AEPD no sancionó a la Universidad alegando que el DNI no es un dato personal y por tanto no está amparado por la LOPD.


Posteriormente en su informe nº E/0334/2008, la propia Agencia determina que:


La consulta plantea si la creación de un fichero en el que sólo se contiene el número de DNI, o el NIE queda sometido a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. . .

. . .Por todo ello, podemos concluir que la actuación descrita en la consulta constituye un tratamiento de datos de carácter personal y por tanto queda sometido a la Ley Orgánica 15/1999, pues así lo establece el artículo 2.1 de la misma, al indicar que “.La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.

Puede consultarse el texto completo del Informe de la AEPD en:
Informe AEPD nº E/0334/2008
 

La misma Agencia es la que se corrige y ahora sí determina, que el DNI es un dato de carácter personal y por lo tanto cualquier archivo que contenga al menos el número de DNI en uno de sus campos, constituye un fichero de datos personales sometido al cumplimiento de la LOPD.


En consecuencia y para no crear indefensión en la operativa de comunicación de las calificaciones a los alumnos en las universidades, es que se promulga la Ley Orgánica 4/2007, de 12 de abril, por la que se modifica la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. De esta Ley Orgánica hay que destacar la disposición adicional vigésimo primera que nos indica:


Disposición adicional vigésimo primera. Protección de datos de carácter personal.

3. No será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación.

4. Igualmente no será preciso el consentimiento del personal de las universidades para la publicación de los resultados de los procesos de evaluación de su actividad docente, investigadora y de gestión realizados por la universidad o por las agencias o instituciones públicas de evaluación.


Puede consultarse el texto completo de la Ley en:
Ley Orgánica 4/2007, de 12 de Abril


Esto quiere decir que a efectos prácticos pasa a contemplarse como un supuesto de excepción del artículo 11 de la LOPD, puesto que ya no se va a requerir el consentimiento del alumno universitario para que se publiquen sus notas en los tablones de las facultades, pese a ser considerado el DNI como dato de carácter personal.



3. ANALICEMOS LOS DIFERENTES DATOS.


Posible Dato Personal
¿Es Dato Identificativo Personal?
Referencia a Opinión GT29; Informe o Resolución de la AEPD; Sentencia de referencia
Resultado y considerandos de la evaluación
D.N.I.


SI
- Informe AEPD E/0334/2008
El DNI es un dato identificativo personal en cuánto que cualquier archivo que incluya al menos un DNI en uno de sus campos, constituye un fichero sometido a la LOPD.
Dirección de correo electrónico
(e-mail)


SI (con matices)
- Resolución AEPD R/00682/2004
Siempre que pueda ser vinculada unívocamente a una persona física, por el nombre de la cuenta o mediante los datos de la cuenta asociada.
No lo serán las cuentas corporativas cuyo nombre de cuenta (parte izquierda de la @) no identifique a un empleado y exista una política de uso de los medios puestos por la empresa a disposición del trabajador que excluya específicamente un uso particular de la misma.
Número de teléfono


SI (a partir del 9/11/2009, fecha en que se exige identificación para tarjetas de móvil prepago)
- Ley 25/2007, de 18 de octubre
- Dictamen 4/2007 del GT29, de 20 de junio
- Resolución AEPD R/00781/2008
Antiguamente los móviles de pre-pago no requerían de identificación del titular,  hasta publicarse la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Dirección IP


SI
- Informe AEPD 0427/2010
- Dictamen 4/2007 del GT29, de 20 de junio
- Resolución AEPD del expediente E/00989/2008
- STS de 3 de octubre de 2014
A partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
Matricula de un vehículo


SI, aunque debería evaluarse cada caso concreto hasta que se disponga de jurisprudencia clara al respecto. En su ausencia soy partidarios de adoptar un criterio proclive a la mayor protección de los datos personales.
- Informe AEPD 0425/2006
- Informe AEPD 0427/2010
- SAN 5832/2013
- Real Decreto 2822/1998, de 23 de diciembre
La posición de la agencia es que el número de matrícula de un vehículo es un dato identificativo personal ya que a partir del RD 2822/1998 se puede identificar al titular a partir del mismo.
No obstante, la SAN 5832/2013 considera que identifica a un vehículo y no a su titular.
Dirección de un domicilio particular


SI
- Informe AEPD 182/2008
la dirección completa de un domicilio particular (Población, calle, número), es considerada en sí misma un dato personal por la AEPD.
Contactos de la agenda de una PJ


NO
- Art. 2.2 del RD 1720/2007, de 21 de diciembre
“Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”


Pasemos a analizar los datos alfanuméricos más frecuentes, justificando su consideración por parte de la AEPD como dato de carácter personal:


3.1. El DNI.
SI LO ES. Ya ha sido analizado con detalle en el apartado anterior.


El DNI es un dato de carácter personal y por lo tanto cualquier archivo que contenga al menos el número de DNI en uno de sus campos, constituye un fichero de datos personales sometido al cumplimiento de la LOPD.

Puede consultarse el texto completo del Informe de la AEPD en:
Informe AEPD nº E/0334/2008
3.2. La dirección de correo electrónico (e-mail).

SI LO ES (Con matices). Existen miles de programas Servidores o Clientes de correo electrónico distintos lo que hace difícil sacar conclusiones generales de comportamiento, al no disponerse de datos fiables sobre su utilización. Podemos distinguir al menos dos tipos de cuentas, las domésticas basadas en web y las corporativas.


3.2.1.  Cuentas domésticas basadas en web.

Los servicios de correo electrónico tipo “Hotmail” basados en web son generalmente gratuitos y están pensados para dar servicio a particulares. Cualquier usuario puede darse de alta desde la propia web, cumplimentando una serie de datos, los cuales normalmente no son contrastados. Solo en algunos casos como “Gmail”, puede llegar a asociarse a un número de teléfono móvil, donde en caso de cambios de configuración de la cuenta, se enviará un SMS que incorpora un código de autentificación.


No es significativo el texto que aparece delante de la “@”, al poder cualquiera suscribir una cuenta de correo de éste tipo, sin exigírsele ninguna comprobación para definir los caracteres constituyentes de la dirección de la cuenta de correo. Éstos se eligen en el momento de la contratación desde una página web. Únicamente se verifica que dicho nombre o conjunto de caracteres no haya sido dado de alta con anterioridad por otro usuario del servicio.

No existe ninguna obligación técnica de que sea el verdadero nombre del destinatario; puede consistir en un seudónimo escogido por el titular o un código arbitrario asignado o propuesto por el servidor de correo en el proceso de registro.

En consecuencia no es lo que dice o sugiere el texto de la dirección de correo, sino los datos identificativos del destinatario, caso de existir, asociados a su dirección o cuenta.


3.2.2. Cuentas de correo corporativo.

En éste caso, no es el usuario quién se da de alta en el servidor de correo, sino que es el administrador del sistema quien crea y le asigna una cuenta al trabajador.

Se supone que existe una política de seguridad demostrable, que imposibilita cualquier alteración por parte de ningún otro usuario en la red.

Normalmente en dicha cuenta de correo, la parte izquierda de la “@” corresponde a la inicial del nombre mas el primer apellido, o cualquier otra convención basada en el nombre real que se utilice, pudiendo coincidir con el ID de usuario de acceso a los servicios de red que le han sido asignados en la empresa. La parte derecha representa el “dominio”, que identifica a la propia organización.

En el caso de envío de correo, el dominio en que el destinatario tiene la cuenta se trata en realidad de un nombre DNS referido a la dirección IP del servidor de correo corporativo.

Queda claro que existe una asociación unívoca entre la dirección de correo electrónico y sus datos asociados, con el usuario o trabajador de la empresa a cualquier nivel. Recordemos que el registro de dominio de Internet es universal, lo que implica la identificación de dicho empleado en dicha organización en cualquier parte del mundo.

Siempre circunscrito a un ámbito temporal, mientras exista una relación contractual que vincule al trabajador con la empresa.


3.2.3. Resoluciones al respecto.


En la resolución R/00682/2004 de la AEPD, se establece que una dirección de correo electrónico se refiere a una persona identificada al disponerse de los datos identificativos del titular asociados a ella.


Matizaré como opinión particular, que en el caso en que la dirección de correo no esté asociada a unos datos identificativos de su titular, y de la misma no puedan desprenderse dichos datos, podría discutirse que en dicho supuesto resultara de aplicación la LOPD.


A modo de ejemplo, existe una resolución de la AEPD R/00682/2004 correspondiente al procedimiento sancionador PS/ 00054/2004 que dice textualmente: 

“PRIMERO : En fecha 17 de julio de 2003, D. S.R.S. recibió en su buzón de correo electrónico (...........@hotmail.com) un mensaje informativo sobre un Master en Relaciones Internacionales remitido por el INSTITUTO DE ESTUDIOS EUROPEOS (entidad perteneciente a la Fundación Universitaria San Pablo-CEU). El remitente que consta en el correo electrónico es (......@ceu.es.) El afectado manifiesta que no ha otorgado consentimiento previo para el tratamiento de sus datos personales por dicha entidad.

El afectado manifiesta que los datos personales utilizados para el envío del correo electrónico pudieron tener su origen en la Escuela Diplomática, toda vez que los facilitó para la realización de un curso de Estudios Internacionales…

En la inspección realizada en el INSTITUTO DE ESTUDIOS EUROPEOS se constató que la dirección del remitente del correo electrónico enviado al afectado, (......@ceu.es), se corresponde con la utilizada habitualmente por la persona encargada de la emisión de los mensajes informativos del citado Instituto…

… HECHOS PROBADOS …

4.- El IDEE envió, en el mes de julio de 2003, un correo electrónico a la dirección (..........@hotmail.com) que corresponde a la del denunciante conteniendo información sobre el Master de Relaciones Internacionales organizado por el IDEE. Dicho correo electrónico se remitió desde la dirección (......@ceu.es.) Esta dirección de correo pertenece al personal del IDEE que habitualmente envía los mensajes informativos.

5.- No se ha acreditado que el IDEE disponga del consentimiento del afectado para el tratamiento de sus datos personales, incluida la dirección de correo electrónico (..........@hotmail.com).

6.- Los datos personales del denunciante relativos al correo electrónico no constan en fuentes de acceso público. En los documentos aportados por el IDEE procedentes de Boletines Oficiales – fuente considerada de acceso público según el citado artículo 3 - no consta la dirección electrónica del denunciante”.


Puede consultarse abiertamente el texto de la resolución de la AEPD en su página web, apartado resoluciones:
Resolución R/00628/2004 AEPD



3.2.4. Legislación y recomendaciones.

El documento del Grupo del Artículo 29 de la Directiva 95/46/CE, sobre “Privacidad en Internet – Enfoque comentario integrado de la protección de datos en línea”, adoptado el 21 de noviembre de 2000, describe el correo electrónico como un servicio que permite al usuario enviar un mensaje electrónico a otra persona, señalando que, “en general, el mensaje se almacena electrónicamente en un servidor hasta que el destinatario comprueba su buzón”.


Puede consultarse el texto del documento en:
Grupo de trabajo sobre protección de datos del Artículo 29


El texto de la propia directiva 95/46/CE, habla del correo electrónico:

Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

…(47)Considerando que cuando un mensaje con datos personales sea transmitido a través de un servicio de telecomunicaciones o de correo electrónico cuyo único objetivo sea transmitir mensajes de ese tipo, será considerada normalmente responsable del tratamiento de los datos personales presentes en el mensaje aquella persona de quien proceda el mensaje y no la que ofrezca el servicio de transmisión; que, no obstante, las personas que ofrezcan estos servicios normalmente serán consideradas responsables del tratamiento de los datos personales complementarios y necesarios para el funcionamiento del servicio;

Puede consultarse el texto completo de la  directiva en:
Directiva 95/46/CE, de 24 de octubre

En consecuencia podemos concluir que la dirección de correo electrónico se considera dato de carácter personal siempre que pueda ser vinculada unívocamente a una persona física, preferiblemente mediante los datos de la cuenta asociada.


NOTA DEL EDITOR: Si la dirección de correo electrónico corresponde a un fichero de contactos de empresa, según el artículo 2.2 del RLOPD (ámbito objetivo de aplicación) no se verá afectado por la LOPD siempre que se destine al fin último de mantener el contacto entre trabajadores de empresas.


3.3. Un número de teléfono.


SI LO ES (a partir del 9/11/2009). En la actualidad es necesaria la identificación y presentación del NIF, para poder contratar cualquier tipo de teléfono (Fijo, móvil de cuota o móvil de pre-pago).
Antiguamente los de pre-pago no requerían de tal identificación,  hasta publicarse la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Puede consultarse el texto de la ley en el BOE:
Por eso y refiriéndose a teléfonos móviles, en su informe 0575/2008 la AEPD, siguiendo el criterio establecido por la Audiencia Nacional en su sentencia de 8 de marzo de 2002, concluye lo siguiente:
"el número de teléfono móvil por sí mismo, esto es, sin el concurso de otros datos que contribuyan a identificar a su propietario, no tiene el carácter de dato personal, en consecuencia, la aplicación de las prescripciones contenidas en la LOPD vendrá determinada por la asociación de dicho número con otros datos que permitan establecer la identidad de su titular."
Puede consultarse el texto del informe de la AEPD en:
Informe 0575/2008 de la AEPD
Queda claro que en la fecha del informe, había muchos móviles de pre-pago no identificados.
Al publicarse la Ley 25/2007, de 18 de octubre, cambia el planteamiento. Ésta Ley tiene como principal objetivo la transposición a nuestro ordenamiento jurídico, de la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio.
Su regulación tiene como objeto la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
En la Disposición Adicional Única –in fine- de esta ley se prevé que los usuarios de tarjetas de prepago compradas antes del mes de noviembre de 2007 y que no se hayan identificado ante su operadora se quedarán sin línea el 9 de noviembre de 2009, dos años después de la entrada en vigor de la citada ley.
El Dictamen 4/2007, de 20 de Junio del Grupo del Artículo 29, cita, refiriéndose al teléfono fijo:
“Ejemplo nº 7: Registro de llamadas de un teléfono.
El registro de llamadas de un teléfono de una empresa proporciona información sobre las llamadas realizadas desde ese teléfono conectado a una determinada línea telefónica. Esa información puede ponerse en relación con otras informaciones. Por una parte, la línea se ha puesto a disposición de la empresa, la cual está obligada contractualmente a abonar las llamadas. Durante la jornada laboral, el terminal telefónico está bajo el control de un determinado trabajador de la empresa y se supone que es él quien realiza las llamadas. El registro de llamadas también puede proporcionar información sobre las personas a las que se ha llamado. Además, el teléfono puede ser utilizado por cualquier persona que tenga acceso a los locales en ausencia del trabajador responsable (por ejemplo por el personal de limpieza). Por motivos diferentes, la información sobre el uso de ese teléfono puede relacionarse con la empresa, el trabajador, o el personal de limpieza (por ejemplo, para comprobar la hora en que el personal de limpieza dejó el lugar de trabajo, puesto que en principio deben confirmar a través de una llamada telefónica la hora a la que salen antes de cerrar los locales de la empresa). Hay que mencionar que el concepto de datos personales abarca aquí tanto las llamadas salientes como las entrantes en la medida en que todas ellas contienen información sobre la vida privada, las relaciones sociales o las comunicaciones de las personas”.
 



Es interesante el procedimiento sancionador PS/00498/2007 de la AEPD con resolución R/00781/2008 que cita:

“…Partiendo de estos conceptos, queda acreditado que la publicación del número de teléfono de la denunciante, debe considerarse tratamiento de datos de carácter personal, pues como señala la Sentencia de fecha 11/04/2002 <<los datos personales cuyo inadecuado tratamiento se denunció en su día no guardan relación con la actividad empresarial o profesional del Sr. (...) y no hay razón para considerarlos excluidos del ámbito de la legislación sobre protección de datos personales tal y como aparece delimitado en el artículo 2 de la Ley Orgánica 5/1992, de 29 de octubre>>. Por lo que el número de teléfono móvil de la denunciante no puede ser considerado como datos asociados a la actividad profesional de la misma sino como un dato relativo a su vida privada”.


Podemos consultar el texto completo de la resolución en:
Resolución R/00781/2008




NOTA DEL EDITOR: Si el número de teléfono corresponde a un fichero de contactos de empresa, según el artículo 2.2 del RLOPD (ámbito objetivo de aplicación) no se verá afectado por la LOPD siempre que se destine al fin último de mantener el contacto entre trabajadores de empresas.
En consecuencia podemos concluir que un número de teléfono por sí mismo, se considera dato de carácter personal sin lugar a dudas, a partir del 9 de Noviembre de 2009.

3.4. Una dirección IP (de Internet).

SI LO ES. El Gabinete Jurídico de la AEPD, en su informe 0427/2010 concluye lo siguiente:

En muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación.


"Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos."


Podemos consultar el texto completo del informe de la AEPD en:
Informe 0427/2100 de la AEPD
 
 
El Dictamen 4/2007, de 20 de Junio del Grupo del Artículo 29, cita:

Ejemplo nº 15: Direcciones IP dinámicas

El Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable. En ese sentido ha declarado que «los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente en un fichero la fecha, la hora, la duración y la dirección IP dinámica asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de servicios de Internet que mantienen un fichero registro en el servidor HTTP. En estos casos, no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 2 de la Directiva»12.

Especialmente en aquellos casos en los que el tratamiento de direcciones IP se lleva a cabo con objeto de identificar a los usuarios de un ordenador (por ejemplo, el realizado por los titulares de los derechos de autor para demandar a los usuarios por violación de los derechos de propiedad intelectual), el responsable del tratamiento prevé que los «medios que pueden ser razonablemente utilizados» para identificar a las personas pueden obtenerse, por ejemplo, a través de los tribunales competentes (de otro modo la recopilación de información no tiene ningún sentido), y por lo tanto la información debe considerarse como datos personales.

Un caso particular sería el de algunos tipos de direcciones IP que en determinadas circunstancias y por diversas razones técnicas y organizativas no permiten realmente la identificación del usuario. Así sucede, por ejemplo, con las direcciones IP atribuidas a un ordenador instalado en un cibercafé, en el que no se pide identificación alguna a los clientes. En este caso, puede argüirse que los datos recogidos sobre el uso de un determinado ordenador «X» durante una determinada franja horaria no permiten la identificación del usuario con medios razonables y, por lo tanto, no son datos personales. Sin embargo cabe señalar que, muy probablemente, los prestatarios de servicios de Internet no sabrán si la dirección IP en cuestión permite la identificación o no, y tratarán los datos asociados a ese IP de la misma manera que tratarían la información asociada a las direcciones IP de los usuarios debidamente registrados e identificables. Así pues, a menos que el prestatario de servicios de Internet sepa con absoluta certeza que los datos corresponden a usuarios que no pueden ser identificados, tendrá que tratar toda información IP como datos personales, para guardarse las espaldas”.


Puede consultarse el texto del Dictamen 4/2007, de 20 de Junio por el Grupo del Artículo 29 en:


 La Resolución del expediente E/00989/2008, que fue publicada el 5 de Marzo de 2009, cita:

En este caso se denuncia la publicación en Internet por parte del responsable del sitio web http://www.....X.... de las direcciones IP desde las que se introdujeron comentarios en el citado sitio web.

Sobre este particular, ha de tenerse en cuenta que el artículo 3.a) de la LOPD define “dato de carácter personal” como “cualquier información concerniente a personas físicas identificadas o identificables” (…) De lo expuesto resulta que el concepto de dato personal se define en términos amplios y que una de las condiciones básicas de su definición es la posibilidad de vincular la información personal a una persona de forma que ésta pueda resultar, al menos, identificable.

Así las cosas, en el caso que nos ocupa, debe afirmarse que el responsable del sitio web http://www.....X.... tiene deber de secreto respecto de las direcciones IP que conoce con motivo del servicio que presta.


Puede consultarse el texto completo de la resolución de la AEPD en:


Podemos aceptar que en efecto, la IP puede identificar a una persona física a través del registro de contratación con la empresa proveedora de servicios en Internet. Físicamente se vincula a un enrutador y/o ordenador conectado mediante esa IP a Internet,  pero no a quién la está utilizándo en determinado momento (intervalo de temporalidad). Dicha situación a efectos de LOPD nos trae sin cuidado, ya que el objetivo último es el “poder o no” identificar a una persona física a partir de dicha IP.


Esta tesis se corrobora en la STS de la Sala de lo Contencioso, sección 6, de fecha 3 de Octubre de 2014, en el Recurso de Casación núm. 6153 / 2011, caso PROMUSICAE, se considera en el fundamento de derecho cuarto: “Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas "identificadas o identificables". El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que "se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación...".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.

La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46, es decir, información sobre una persona física identificada o identificable, pues "con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión" .

En consecuencia, la sala estima que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.

STS 3/10/2014


NOTA DEL EDITOR: En un proceso penal ante la comisión de un delito la IP no va a permitir corroborar la autoría si no se puede demostrar, para un intervalo de tiempo determinado, quién operaba desde la misma y por tanto no tiene efectos probatorios. En otras palabras, es muy difícil demostrar la persona física que estaba interactuando desde cierto dispositivo con esa dirección IP asignada. Podría decirse que la IP es titularidad de una persona física, pero está asociada al dispositivo que la tiene asignada, más que a la persona que lo utiliza. Por tanto, habrá que demostrar que el usuario titular de la IP y por ende del dispositivo, lo estaba utilizando en el momento de producirse los hechos ilícitos que se le imputan.
En un futuro, con la consolidación de las direcciones IPv6 en vez de las actuales IPv4, podría llegarse incluso a asignar un gran número de direcciones IP para toda la vida a cada ciudadano del mundo, sin temor a que se agoten. Pero eso todavía está por venir.
En consecuencia podemos concluir que la dirección IP por sí misma, se considera dato de carácter personal por la AEPD.



3.5. La matrícula de un vehículo.

SI LO ES (Sujeto a interpretación según el caso particular). Por una parte, el Gabinete Jurídico de la AEPD, en su informe 0427/2010 concluye lo siguiente:


A través de la aprobación del Reglamento General de Vehículos, en virtud de Real Decreto 2822/1998, de 23 de diciembre, cuyo artículo segundo establece en su párrafo primero que:

“la Jefatura Central de Tráfico llevará un Registro de todos los vehículos matriculados, que adoptará para su funcionamiento medios informáticos y en el que figurarán, al menos, los datos que deben ser consignados obligatoriamente en el permiso o licencia de circulación, así como cuantas vicisitudes sufran posteriormente aquéllos o su titularidad”.


En cuanto a su finalidad, el párrafo segundo del precepto previene que:

estará encaminado preferentemente a la identificación del titular del vehículo, al conocimiento de las características técnicas del mismo y de su aptitud para circular, a la comprobación de las inspecciones realizadas, de tener concertado el seguro obligatorio de automóviles y del cumplimiento de otras obligaciones legales, a la constatación del

Parque de Vehículos y su distribución, y a otros fines estadísticos”.


Por último, y en lo atinente a la publicidad de sus datos, el párrafo tercero del citado artículo 2 añade que:

el Registro de Vehículos (...) será público para los interesados y terceros que tengan interés legítimo y directo, mediante simples notas informativas o certificaciones”.


En consecuencia, se establece el carácter público del Registro, bastando para la consulta de sus datos la alegación de la existencia de un interés legítimo y directo en la consulta.

De lo que se ha venido indicando cabe desprender que la identificación del titular de los vehículos cuya matrícula sea conocida únicamente exigirá la consulta del Registro de Vehículos, cuya finalidad esencial es la identificación del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante.

Podemos consultar el texto completo del informe de la AEPD en:
Informe 0427/2010 de la AEPD
 
 
Otro informe de la AEPD, que se pronuncia en el mismo sentido, es el Informe 425/2006, sobre matrículas de vehículos y concepto de dato de carácter personal:
Informe 425/2006 de la AEPD



No obstante, la SAN 5832/2013 de la Sección 1ª de la Sala de lo Contencioso, en relación al recurso 89/2012 y pronunciada el 26 de diciembre de 2013, viene a contradecir el criterio aplicado hasta ahora por la AEPD en relación a la consideración del número de matrícula de un vehículo, por sí solo,  como un dato identificativo personal.

Según la Audiencia Nacional:
“(…). De un lado ha de ponerse de manifiesto que si bien esta Sala ha declarado con reiteración (SSAN 10-2-2011, Rec. 95/2010, entre otras muchas) que las imágenes captadas por las cámaras son datos de carácter personal, de conformidad con los artículos 3.a) de la LOPD y 5.1. f) del Real Decreto 1720/2007, y también que tales imágenes constituyen, en sí mismas consideradas, un tratamiento de datos con sometimiento, por ende, a las previsiones de la LOPD, ello ha de entenderse referido siempre a imágenes de personas, y no a imágenes de placas o números de matrícula cuya caracterización como dato de carácter personal, a pesar de lo argumentado en la resolución, no se comparte por esta Sala, pues en definitiva un número o placa de matrícula, si bien identifica un vehículo, en ningún caso identifica una persona, ya que el conductor del vehículo ni siquiera tiene porqué ser el titular del mismo, es decir, aquel a cuyo nombre figura dicho vehículo en la Dirección General de Tráfico. (…)”.


NOTA DEL EDITOR: Esta sentencia de la Audiencia Nacional introducía, como doctrina, la posibilidad por analogía que una dirección IP tampoco sea considerada un dato identificativo personal. Basándonos en el principio “ubi eadem ratio ibique eadem legis dispositio”, que es un principio del Derecho cuyo significado es que donde hay la misma razón, debe ser la misma la disposición del Derecho. Es la expresión del método de aplicación analógica, fundado en que los casos iguales deben ser tratados igualmente. Por analogía podríamos inferir que una dirección IP identifica al equipo informático (El router y su contratación, un terminal de usuario, etc.) pero no a la persona que en determinado momento lo utiliza. No obstante, la STS de 3 de octubre de 2014 aleja esa posibilidad.

En consecuencia podemos concluir que la matrícula identifica al vehículo, pero no al conductor del mismo. La AN concluye que el tratamiento del dato de la matrícula no puede considerarse el tratamiento de un dato de carácter personal. No obstante, y por analogía de lo entendido para las direcciones IP, la AEPD considera que la dirección IP por sí misma, se considera dato de carácter personal al permitir sin esfuerzos desproporcionados llegar a identificar a la persona titular del vehículo. Así las cosas, mi consejo es que, en caso de duda, se opte por la medida mas proteccionista para con los derechos fundamentales de las personas.

3.6. La dirección de un domicilio particular.

SI LO ES. La dirección completa de un domicilio particular (Población, calle, número), incluso me atrevería a considerarlo sin el piso/puerta ya que puede averiguarse la persona física a través de las placas en los buzones, se considera dato de carácter personal.

El Gabinete Jurídico de la AEPD, en su informe 182/2008, cita textualmente:


“La consulta plantea, si la comunicación de los datos relativos a domicilios son datos de carácter personal y pueden resultar afectados por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” (…) “En conclusión resulta claro que los datos recabados por el consultante son datos de carácter personal, dado que permiten la identificación de los titulares de la vivienda sin esfuerzos ni actividades desproporcionados”.


Puede consultarse el texto del informe 182/2008 de la AEPD en:
Informe 182/2008 AEPD


En consecuencia podemos concluir que la dirección completa de un domicilio particular, es considerada en sí misma un dato personal por la AEPD.


4. CONTACTOS DE LA AGENDA.

El artículo 2.2 del RLOPD (Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre), establece que:


“Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”.


Así, cualquier fichero que contenga datos adicionales a los citados, como pudiera ser el número de DNI, la dirección IP o la matrícula de su vehículo, se encontrará sometido a la LOPD por exceder de lo meramente imprescindible para identificar al sujeto como contacto de otra empresa.
Junto con ello, se ha de cumplir con el requisito de que el tratamiento de los datos de la persona de contacto sea meramente accesorio respecto de la verdadera finalidad perseguida por el fichero, que no será otra que el mantener contacto con su empresa.

 
5. DERECHOS DE AUTOR.

Todas las imagines bajo licencia 123RF Internacional o extraídas de los documentos referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.




No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.