Desde el a帽o 1999 la IP se considera dato personal; en s铆ntesis esto quiere decir que la IP de un ordenador identifica o hace identificable a alguien, y ese alguien se presume que es el que est谩 detr谩s de esa IP, de ese ordenador.
Por tanto, si alguien cometiera alguna infracci贸n en Internet y tuvi茅ramos su IP podr铆amos identificar al autor directamente, ya que como hemos dicho, la IP es un dato de car谩cter personal y si a alguien tiene que identificar es al que est茅 haciendo uso de esa IP.
Mucho se ha hablado sobre este tema, pero hasta ahora pocos han sido los que han abordado el asunto con cierta perspectiva pr谩ctica. As铆, 驴que suceder铆a si alguien presenta la IP de un ordenador como prueba en un proceso para imputar una infracci贸n a una determinada persona?.
En el caso real que vamos a examinar, al denunciado se le imputa una infracci贸n del art铆culo 10 de la Ley Org谩nica de Protecci贸n de Datos (deber de secreto) por publicar en un foro de Internet documentaci贸n confidencial del departamento de recursos humanos de una conocida empresa inform谩tica; el denunciado ten铆a acceso a esa informaci贸n porque trabajaba en ese departamento, aunque en el momento de la denuncia ya era un ex-empleado. Como principal prueba, el denunciante presentar谩 la direcci贸n IP. Para seguir leyendo haz clic en
Veamos en primer lugar el contexto de la denuncia y los hechos que la motivaron:
D. X.X.X. trabajaba en el departamento de recursos humanos de una entidad la ahora denunciante. Con motivo de su trabajo ten铆a acceso a ciertos datos de car谩cter personal, como la identificaci贸n completa de compa帽eros de trabajo, directivos, etc.
Para desempe帽ar sus funciones, a D. X.X.X. se le asign贸 un ordenador en esta empresa, con una聽 direcci贸n IP propia; este ordenador era de uso exclusivo de D. X.X.X.
Aparecen publicados en unos foros de Internet documentaci贸n confidencial de la empresa; documentaci贸n toda ella a la que ten铆a acceso D. X.X.X. por sus condiciones de trabajo.
Se realizan las correspondientes pruebas periciales y se determina que el mensaje fue insertado en esos foros por un usuario cuya direcci贸n IP se corresponde con la direcci贸n IP del puesto de D. X.X.X. en la empresa.
Al trabajador terminan despidi茅ndolo por este motivo, sin embargo 茅l entendi贸 que el despido era improcedente y denunci贸 a su empresa y en una primera instancia,聽el juzgado de lo Social afirma que el despido es procedente por cuanto queda probada la autor铆a de los hechos por parte de D. X.X.X.; la principal prueba de cargo presentada聽ante este juzgado fue la IP de su puesto de trabajo.
La empresa denuncia ahora ante la Agencia Espa帽ola de Protecci贸n de Datos a D. X.X.X. por publicar esa informaci贸n y por tanto vulnerar el art铆culo 10 LOPD.
Hasta aqu铆 uno podr铆a pensar “blanco y en botella”; sin embargo veamos las alegaciones de D. X.X.X.:
Iniciado el procedimiento sancionador el denunciado alega en primer lugar, y en s铆ntesis, NO ser el responsable de la infracci贸n imputada, argumentando que las direcciones IP desde donde se enviaron los mensajes publicados en el foro, si bien pertenec铆an a su ordenador personal, las mismas son manipulables, y por ello, dicha circunstancia no constituye prueba de cargo suficiente para determinar la comisi贸n de la infracci贸n.
Asimismo, aporta como prueba diversos documentos, entre los que se aprecia un Recurso de Suplicaci贸n frente a la Sentencia del Juzgado de lo Social que declaraba procedente su despido (y que ahora se declara improcedente !) en el que se recoge el argumentario utilizado en el citado recurso con objeto de demostrar la posibilidad de la modificaci贸n de un n煤mero de IP asignado a un determinado ordenador, circunstancia que determinar铆a la insuficiencia de la principal prueba de cargo en virtud de la cual se han denunciado los hechos.
En concreto, y esta es la clave, en dicho Recurso de lo Social, se afirma, por parte del juez, que “… tal y como se desprende de los citados documentos, y tal y como es sabido por cualquier usuario de internet, las 煤ltimas cifras de las direcciones IP se asignan por el usuario pueden ser modificadas en cualquier momento, sustituyendo la de un equipo por la de otro o variando cualquiera de ellas, por lo que se admite el motivo …”
Y a帽ade: “…sin que, por el contrario, conste acreditado que el usuario 鈥………鈥 fuera el actor (D. X.X.X), por cuanto, tal y como pone de manifiesto, las 煤ltimas cifras de la direcci贸n IP son f谩cilmente modificables por cualquier usuario desde cualquiera de los ordenadores que est茅n conectados a la misma l铆nea de internet, pudi茅ndose utilizar durante el tiempo que se quiera y volver a variarlos, de manera que no queda identificado el actor porque la persona que utiliz贸 tal nick lo hiciera desde la direcci贸n IP que ten铆a asignada en la empresa, ….., por lo que es equivocada la afirmaci贸n de la juzgadora a quo, sobre la cual se fundamenta la procedencia del despido de que 鈥榙esde su ordenador 鈥揹e uso exclusivo-, se insertaron en la p谩gina web citada, dichos archivos en horas y d铆as en los que el actor se encontraba en su puesto de trabajo.
Es decir, recopilando, tenemos, por orden cronol贸gico:
- 1潞: Aparecen publicado en un foro de Internet informaci贸n confidencial de una empresa; la IP del mensaje corresponde al ordenador de uso exclusivo de X.X.X. en la empresa.
- 2潞: Despido de X.X.X. por publicar esa informaci贸n confidencial en Internet.
- 3潞: Una primera Sentencia afirmando que el despido era procedente por cuanto queda probado que fue X.X.X quien public贸 esa informaci贸n dado que la IP del mensaje en el foro era la de su ordenador del trabajo.
- 4潞: D. X.X.X. recurre esa Sentencia alegando que la IP no puede identificarlo, y en efecto, gana el recurso y se considera improcedente el despido por no quedar suficientemente probado la relaci贸n de la IP con X.X.X.
- 5潞: La empresa denuncia a X.X.X. ante la Agencia Espa帽ola de Protecci贸n de Datos por vulnerar el deber se secreto (art铆culo 10 LOPD).
- 6潞: X.X.X. aporta como prueba el recurso ganado y alega que la IP es un dato manipulable y no puede identificarlo.
Finalmente la AEPD archiva el caso porque en efecto, afirma, apoy谩ndose en el recurso ante lo Social presentado por X.X.X. que no puede estimarse probado que fuera D. X.X.X. el autor de la publicaci贸n en la web de los datos personales de distintos trabajadores, por lo que al estimar 茅sta 煤ltima Sentencia 鈥渜ue no queda identificado el actor que public贸 los referidos datos personales, no puede ser imputada la comisi贸n de la infracci贸n en el presente procedimiento sancionador, estim谩ndose, por tanto, adecuado el archivo del mismo.
En conclusi贸n, en este caso concreto, que parec铆a obvio la relaci贸n entre un puesto de trabajo - IP - trabajador de ese puesto, parece que no es suficiente.
Y es que en efecto, la IP puede identificar a un ordenador conectado a Internet en un momento del tiempo determinado, pero en absoluto puede identificar al se帽or que est谩 sentado y escribiendo desde 茅l.
Finalmente recordar, que en la actualidad, tanto por parte de la AEPD como del marco europeo, la IP se considera un dato personal, aunque como acabamos de comprobar, llegados el caso, la IP no va a ser capaz de identificar a nadie en concreto cuando haya que utilizarla.
Hola Samuel,
Como siempre una entrada genial.
La verdad que siempre he sido un fiel defensor (incluso p煤blicamente en jornadas y eventos p煤blicos) de que la IP no puede ser considerada siempre por siempre un dato de car谩cter personal.
El argumento de por qu茅, est谩 claro y muy bien lo expones. No tiene sentido alguno decir que algo que identifique a un equipo inform谩tico, desgine a una persona concreta o es que el inspector de la AEPD se va a poner a investigar en mi casa (en la que hay 5 ordenadores y no es co帽a) y todos los usuarios de la casa usamos internet y los ordenadores…
Si en un proceso penal ni siquiera es un dato identificativo del autor, sino un mero dato indiciario que con la posterior investigaci贸n policial (bastante 谩mplia por cierto) logra, en ocasiones, sus frutos….
En f铆n…Un saludo Samuel y a seguir as铆 de bien…
Ciao.
Un saludo y gracias.
Hola Alonso.
Gracias por tus agradables palabras; comparto, como imaginas bien, tu opini贸n respecto al tema de la IP :)
Hola Samuel,
Genial an谩lisis, como siempre.
La verdad que es muy curioso como en un procedimiento judicial se entiende que la IP no identifica a una persona, mientras que nuestra AEPD (bueno y las instancias europeas), lo consideran un dato personal.
Un saludo.
Yo tambi茅n estoy de acuerdo en que la IP no supone una identificaci贸n inequ铆voca, aunque hay otros m茅todos para impedir el cambio de la IP, que entienden como muy sencilla de hacer en todo caso. Todo depende del punto de vista y los planes de seguridad que la empresa haya implantado. Pese a que incluso el MAC puede llegar a ser cambiado en determinadas circunstancias (por si simplemente se establece que se permita el paso 煤nicamente a una combinaci贸n de MAC e IP en la red local), la posibilidad d ehacerlo puede ser muy limitada, pero como todo, depende de la pericia del trabajador.
Un saludo
Bastante cierto, no obstante, creo, bajo mis excasos conocimientos inform谩ticos, que se deber铆a destacar entre lo que es una IP en una red interna y una externa.
Una red interna, la IP se puede asignar manualmente, como mucho, nos encontrar铆amos con un conflicto de IP si hubiesen dos iguales. Peretenecier铆a a una red t铆pica de oficina, p.e.
Otra cosa ser铆a una IP externa, la que da el operador telef贸nico (ver whatismyip.com). Esa IP s贸lo la puede tener una linea y, aunque suele ser din谩mica para la mayor铆a de usuarios salvo que mantenga un portal web, est谩 “cotejada” por el operador telef贸nico.
Conozco un caso muy cercano de un “presunto” delito telem谩tico que fue localizado por la IP externa, pero tambien, no hace muchos a帽os, una cantidad bastante significante de pederastas no pudieron ser localizados porque Telefonica no pudo facilitar su IP.
No obstante, existen una gran variedad de programas para varias y ocultar la IP externa
Y si se trata de una IP din谩mica, las cosas se complican aun mas para identificar a la persona.
Considero que la IP por si sola no es un dato de car谩cter personal. En determinadas circulstancias, si existiere un medio de identificaci貌n fehaciente, podr铆a serlo, pero de modo general parece absurdo.
Mantengo pues, opini贸n contraria a la AEPD tal y como comento en un post que he publicado en mi blog http://hispadata.blogspot.com/2008/01/la-direccin-ip-es-un-dato-de-carcter.html
Hola, en relaci贸n a la IP.
Por ejemplo, si uno se conecta a una p谩gina de tipo enviar amigo o la misma de enviar comentario, y con un programa accede indefinidamente a esa p谩gina, la IPquedar铆a guardada y se podr铆a identificar a esa persona que se conecta.
Pero la cuesti贸n es si esa situaci贸n es legal o no? Es decir, conectarse a una p谩gina indefinidamente, mediante programa autom谩tico, y enviar a un amigo o escribir comentarios.
Muchas gracias y saludos.