La IP como dato personal, insuficiente para identificar al infractor

Desde el año 1999 la IP se considera dato personal; en síntesis esto quiere decir que la IP de un ordenador identifica o hace identificable a alguien, y ese alguien se presume que es el que está detrás de esa IP, de ese ordenador.

Por tanto, si alguien cometiera alguna infracción en Internet y tuviéramos su IP podríamos identificar al autor directamente, ya que como hemos dicho, la IP es un dato de carácter personal y si a alguien tiene que identificar es al que esté haciendo uso de esa IP.

Mucho se ha hablado sobre este tema, pero hasta ahora pocos han sido los que han abordado el asunto con cierta perspectiva práctica. Así, ¿que sucedería si alguien presenta la IP de un ordenador como prueba en un proceso para imputar una infracción a una determinada persona?.

En el caso real que vamos a examinar, al denunciado se le imputa una infracción del artículo 10 de la Ley Orgánica de Protección de Datos (deber de secreto) por publicar en un foro de Internet documentación confidencial del departamento de recursos humanos de una conocida empresa informática; el denunciado tenía acceso a esa información porque trabajaba en ese departamento, aunque en el momento de la denuncia ya era un ex-empleado. Como principal prueba, el denunciante presentará la dirección IP.

Veamos en primer lugar el contexto de la denuncia y los hechos que la motivaron:

D. X.X.X. trabajaba en el departamento de recursos humanos de una entidad la ahora denunciante. Con motivo de su trabajo tenía acceso a ciertos datos de carácter personal, como la identificación completa de compañeros de trabajo, directivos, etc.

Para desempeñar sus funciones, a D. X.X.X. se le asignó un ordenador en esta empresa, con una dirección IP propia; este ordenador era de uso exclusivo de D. X.X.X.

Aparecen publicados en unos foros de Internet documentación confidencial de la empresa; documentación toda ella a la que tenía acceso D. X.X.X. por sus condiciones de trabajo.

Se realizan las correspondientes pruebas periciales y se determina que el mensaje fue insertado en esos foros por un usuario cuya dirección IP se corresponde con la dirección IP del puesto de D. X.X.X. en la empresa.

Al trabajador terminan despidiéndolo por este motivo, sin embargo él entendió que el despido era improcedente y denunció a su empresa y en una primera instancia, el juzgado de lo Social afirma que el despido es procedente por cuanto queda probada la autoría de los hechos por parte de D. X.X.X.; la principal prueba de cargo presentada ante este juzgado fue la IP de su puesto de trabajo.

La empresa denuncia ahora ante la Agencia Española de Protección de Datos a D. X.X.X. por publicar esa información y por tanto vulnerar el artículo 10 LOPD.
Hasta aquí uno podría pensar «blanco y en botella»; sin embargo veamos las alegaciones de D. X.X.X.:

Iniciado el procedimiento sancionador el denunciado alega en primer lugar, y en síntesis, NO ser el responsable de la infracción imputada, argumentando que las direcciones IP desde donde se enviaron los mensajes publicados en el foro, si bien pertenecían a su ordenador personal, las mismas son manipulables, y por ello, dicha circunstancia no constituye prueba de cargo suficiente para determinar la comisión de la infracción.

Asimismo, aporta como prueba diversos documentos, entre los que se aprecia un Recurso de Suplicación frente a la Sentencia del Juzgado de lo Social que declaraba procedente su despido (y que ahora se declara improcedente !) en el que se recoge el argumentario utilizado en el citado recurso con objeto de demostrar la posibilidad de la modificación de un número de IP asignado a un determinado ordenador, circunstancia que determinaría la insuficiencia de la principal prueba de cargo en virtud de la cual se han denunciado los hechos.

En concreto, y esta es la clave, en dicho Recurso de lo Social, se afirma, por parte del juez, que «… tal y como se desprende de los citados documentos, y tal y como es sabido por cualquier usuario de internet, las últimas cifras de las direcciones IP se asignan por el usuario pueden ser modificadas en cualquier momento, sustituyendo la de un equipo por la de otro o variando cualquiera de ellas, por lo que se admite el motivo …»

Y añade: «…sin que, por el contrario, conste acreditado que el usuario ‘………’ fuera el actor (D. X.X.X), por cuanto, tal y como pone de manifiesto, las últimas cifras de la dirección IP son fácilmente modificables por cualquier usuario desde cualquiera de los ordenadores que estén conectados a la misma línea de internet, pudiéndose utilizar durante el tiempo que se quiera y volver a variarlos, de manera que no queda identificado el actor porque la persona que utilizó tal nick lo hiciera desde la dirección IP que tenía asignada en la empresa, ….., por lo que es equivocada la afirmación de la juzgadora a quo, sobre la cual se fundamenta la procedencia del despido de que ‘desde su ordenador –de uso exclusivo-, se insertaron en la página web citada, dichos archivos en horas y días en los que el actor se encontraba en su puesto de trabajo.

Es decir, recopilando, tenemos, por orden cronológico:

  • 1º: Aparecen publicado en un foro de Internet información confidencial de una empresa; la IP del mensaje corresponde al ordenador de uso exclusivo de X.X.X. en la empresa.
  • 2º: Despido de X.X.X. por publicar esa información confidencial en Internet.
  • 3º: Una primera Sentencia afirmando que el despido era procedente por cuanto queda probado que fue X.X.X quien publicó esa información dado que la IP del mensaje en el foro era la de su ordenador del trabajo.
  • 4º: D. X.X.X. recurre esa Sentencia alegando que la IP no puede identificarlo, y en efecto, gana el recurso y se considera improcedente el despido por no quedar suficientemente probado la relación de la IP con X.X.X.
  • 5º: La empresa denuncia a X.X.X. ante la Agencia Española de Protección de Datos por vulnerar el deber se secreto (artículo 10 LOPD).
  • 6º: X.X.X. aporta como prueba el recurso ganado y alega que la IP es un dato manipulable y no puede identificarlo.

Finalmente la AEPD archiva el caso porque en efecto, afirma, apoyándose en el recurso ante lo Social presentado por X.X.X. que no puede estimarse probado que fuera D. X.X.X. el autor de la publicación en la web de los datos personales de distintos trabajadores, por lo que al estimar ésta última Sentencia “que no queda identificado el actor que publicó los referidos datos personales, no puede ser imputada la comisión de la infracción en el presente procedimiento sancionador, estimándose, por tanto, adecuado el archivo del mismo.

En conclusión, en este caso concreto, que parecía obvio la relación entre un puesto de trabajo – IP – trabajador de ese puesto, parece que no es suficiente.

Y es que en efecto, la IP puede identificar a un ordenador conectado a Internet en un momento del tiempo determinado, pero en absoluto puede identificar al señor que está sentado y escribiendo desde él.

Finalmente recordar, que en la actualidad, tanto por parte de la AEPD como del marco europeo, la IP se considera un dato personal, aunque como acabamos de comprobar, llegados el caso, la IP no va a ser capaz de identificar a nadie en concreto cuando haya que utilizarla.

Descargar resolución de la AEPD

Comments
  • Alonso Hurtado Bueno
    Posted 24 febrero 2008 23:56 0Likes

    Hola Samuel,

    Como siempre una entrada genial.
    La verdad que siempre he sido un fiel defensor (incluso públicamente en jornadas y eventos públicos) de que la IP no puede ser considerada siempre por siempre un dato de carácter personal.

    El argumento de por qué, está claro y muy bien lo expones. No tiene sentido alguno decir que algo que identifique a un equipo informático, desgine a una persona concreta o es que el inspector de la AEPD se va a poner a investigar en mi casa (en la que hay 5 ordenadores y no es coña) y todos los usuarios de la casa usamos internet y los ordenadores…

    Si en un proceso penal ni siquiera es un dato identificativo del autor, sino un mero dato indiciario que con la posterior investigación policial (bastante ámplia por cierto) logra, en ocasiones, sus frutos….

    En fín…Un saludo Samuel y a seguir así de bien…

    Ciao.

    Un saludo y gracias.

  • Samuel
    Posted 25 febrero 2008 01:13 0Likes

    Hola Alonso.

    Gracias por tus agradables palabras; comparto, como imaginas bien, tu opinión respecto al tema de la IP 🙂

  • Ventur
    Posted 25 febrero 2008 09:33 0Likes

    Hola Samuel,

    Genial análisis, como siempre.

    La verdad que es muy curioso como en un procedimiento judicial se entiende que la IP no identifica a una persona, mientras que nuestra AEPD (bueno y las instancias europeas), lo consideran un dato personal.
    Un saludo.

  • Sergio Carrasco
    Posted 25 febrero 2008 11:25 0Likes

    Yo también estoy de acuerdo en que la IP no supone una identificación inequívoca, aunque hay otros métodos para impedir el cambio de la IP, que entienden como muy sencilla de hacer en todo caso. Todo depende del punto de vista y los planes de seguridad que la empresa haya implantado. Pese a que incluso el MAC puede llegar a ser cambiado en determinadas circunstancias (por si simplemente se establece que se permita el paso únicamente a una combinación de MAC e IP en la red local), la posibilidad d ehacerlo puede ser muy limitada, pero como todo, depende de la pericia del trabajador.

    Un saludo

  • Montfern
    Posted 27 febrero 2008 01:59 0Likes

    Bastante cierto, no obstante, creo, bajo mis excasos conocimientos informáticos, que se debería destacar entre lo que es una IP en una red interna y una externa.
    Una red interna, la IP se puede asignar manualmente, como mucho, nos encontraríamos con un conflicto de IP si hubiesen dos iguales. Pereteneciería a una red típica de oficina, p.e.
    Otra cosa sería una IP externa, la que da el operador telefónico (ver whatismyip.com). Esa IP sólo la puede tener una linea y, aunque suele ser dinámica para la mayoría de usuarios salvo que mantenga un portal web, está «cotejada» por el operador telefónico.
    Conozco un caso muy cercano de un «presunto» delito telemático que fue localizado por la IP externa, pero tambien, no hace muchos años, una cantidad bastante significante de pederastas no pudieron ser localizados porque Telefonica no pudo facilitar su IP.
    No obstante, existen una gran variedad de programas para varias y ocultar la IP externa

  • Guillermo Díaz
    Posted 2 marzo 2008 19:58 0Likes

    Y si se trata de una IP dinámica, las cosas se complican aun mas para identificar a la persona.

    Considero que la IP por si sola no es un dato de carácter personal. En determinadas circulstancias, si existiere un medio de identificaciòn fehaciente, podría serlo, pero de modo general parece absurdo.

    Mantengo pues, opinión contraria a la AEPD tal y como comento en un post que he publicado en mi blog http://hispadata.blogspot.com/2008/01/la-direccin-ip-es-un-dato-de-carcter.html

  • Carlos
    Posted 16 mayo 2008 15:45 0Likes

    Hola, en relación a la IP.
    Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.

    Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios.

    Muchas gracias y saludos.

  • Miriam
    Posted 27 junio 2008 18:31 0Likes

    Hola señores,

    para un juez, la dirección IP sirve para identificar a una persona ?? o depende de cada juez ??

    Muchas gracias

  • dunkerke
    Posted 7 enero 2009 14:18 0Likes

    Buenos Dias,

    Me parece sorprenderte que la IP haya podido ser considerado alguna vez un dato de caracter personal. Como mucho podria ser considerado, y dependiendo de la configuracion del ordenador en la red que se encuentre, un dato de carcater identificativo del equipo en cuestion.

    Ha habido comentarios al respecto, pero un ordenador personal que es usado por varios miembros de una familia, amigos, asociacion,ect……pueden acotar el numero de sospechosos, pero no ponerle nombre y apellidos.

    ¿Que ocurre con las redes inhalambricas abiertas y no securizadas que son usadas por cientos de vecinos?

    En fin, es un dislate pensar que la IP de un Terminal puede ser considerado un dato de caracter personal y el numero de DNI no.

    Te felicito por el blog tan pedagogico que mantienes.

    Un Saludo.

    Dunkerke

  • Samuel Parra
    Posted 8 enero 2009 13:26 0Likes

    Saludos Dunkerke. La IP no es que haya sido considerada alguna vez dato personal, sino que lo es actualmente. El DNI sí es considerado un dato personal.

    En cualquier caso comparto contigo la teoría de que una IP no puede ser considerada dato personal y mucho menos identificar a alguien más que al titular de la linea de teléfono que utilice esa IP en ese momento.

  • Dunkerke
    Posted 11 enero 2009 10:50 0Likes

    Buenos Dias.
    La IP da mucho juego. Una de las medidas que se han planteado implantar alguno de los mayores proveedores de servicios de nuestro pais es la figura del «responsable de IP», es decir, aquel que contrata la linea responde por el uso que se haga de la IP asociada a dicha linea.
    Esto genera debate ya que la primera premisa que deberia cumplirse para que se pudiese llevar a cabo esta medida es disponer de un entorno de operacion con un elevado grado de securizacion, que hoy por hoy es imposible, tanto por las raquiticas medidas de seguridad de los proveedores de servicios proporcionan (si no pagas) como por la pericia y mejora continua de los hackers y tecnicas de hacking y sobre todo por la falta de concienciacion y buenas practicas en el uso de la red por parte de los usuarios finales. El binomio IP-LOPD nos dara muchas tardes de debate en este y otros foros.

  • esalconsultores.net
    Posted 12 enero 2009 11:41 0Likes

    Supongo que la IP podria ser prefectamente comparable a la matricula de un coche de manera que identifica al titular pero no al usuario. De todos modos y aun a riesgo de equivocarme al no haber podido ver la denuncia ni la resolucion de archivo de actuaciones me sorprende muchisimo que la empresa denuncie a D. X.X.X. y que la denuncia prospere pq la propia LOPD define que solo pueden ser sancionados los responsables del fichero y los encargados del tratamiento. Es D. XXX responsable del fichero? No, el responsable es la empresa. Es D. XXX encargado de tratamiento? No, pq trabajaba en la empresa responsable del fichero. Un trabajador NO puede ser denunciado por la LOPD ni siquiera en el caso de infraccion del deber de secreto. Un trabajador con el «colmillo retorcido» puede crear un problema en su empresa, pasar esa informacion a un amigo o familiar para que denuncie y meter en un follon importante al responsable del fichero por la LOPD. Otra cosa es lo que la empresa pueda hacer en otros ambitos (laboral, civil e incluso penal) pero respecto a LOPD NO HAY CASO. Por cierto, este post no es para dar ideas, eh? 😉

  • Samuel Parra
    Posted 12 enero 2009 23:41 0Likes

    El régimen sancionador se aplica no solo a los responsables de ficheros y a los encargados del tratamiento, sino también a los responsables del tratamiento (que no tiene por qué ser el mismo que el responsable del fichero). Quizá en este caso la AEPD entendiera que D. X.X.X. actuó como responsable del tratamiento, ya que fue él quien publicó los datos, decidió qué datos publicar, dónde, etc, en definitiva hizo un tratamiento de datos personales con posible vulneración del artículo 10.

  • esalconsultores.net
    Posted 13 enero 2009 00:35 0Likes

    Samuel, siento discrepar pero te recuerdo lo que dice la LOPD, TÃ?TULO VII
    Infracciones y sanciones
    Artículo 43. Responsables.
    1. Los responsables de los ficheros y los encargados
    de los tratamientos estarán sujetos al régimen sancionador
    establecido en la presente Ley.
    La LOPD no dice nada de responsables de tratamiento respecto al regimen sancionador por lo que sigo sin entender pq se acepta la denuncia planteada…

  • Samuel Parra
    Posted 13 enero 2009 01:55 0Likes

    Ya, si vamos a lo que dice la ley literalmente parece que el régimen sancionador sólo se aplica a esas dos figuras que mencionas. Pero no todo está en la ley, en ocasiones, los Tribunales hace funciones interpretativas que se acercan casi a funciones legislativas, y es el Tribunal Supremo el que ha diferenciado entre responsable del fichero y del tratamiento, aplicándole a ambos el régimen sancionador pues ciertamente es lo lógico. Responsable del fichero es quien decide la creación del fichero, su aplicación, su finalidad, contenido y uso. Responsable del tratamiento es quien adopta decisiones sobre las concretas actividades de un determinado tratamiento de datos. STS por ejemplo de 26 de abril de 2005. También hay unas cuantas Resoluciones de la AEPD donse se sanciona por un lado al responsable del fichero y por otro al responsable del tratamiento.

  • Lorenzo Picamuel
    Posted 25 septiembre 2009 13:15 0Likes

    Lo que me admira de todo lo que se está escribiendo es la inocencia de la persona que comete una infracción y lo hace desde su ordenador o desde la linea que él mismo contrató, ¿que le impide hacerlo desde un ordenador público? ; digamos desde una biblioteca o desde un ciber donde ni tan siquiera necesita un carne. Supongamos que voy a un ciber, creo una dirección de correo, por ejemplo en gmail, entro en su blogger creo un blog y publico la relación de datos confidenciales. En este caso ni IP ni linea ni nada. Que me busquen cuando quieran.
    Saludos L.Picamuel

  • Juan Manuel Dato
    Posted 22 junio 2010 10:01 0Likes

    La verdad es que me he quedado más o menos igual: si tu coche comete una infracción la multa acaba en manos de su titular, aunque lo condujera su hijo (tengo entendido).

    Si una IP de una empresa se publica, es como publicar un número de contacto (independientemente de que se tuviera derecho a hacerlo o no); por lo que la LOPD no es aplicable.

    Por otro lado, si alguna IP tuviera puertos de sistema abiertos (y conociendo la naturaleza de los 80/86) puede ser víctima de (como mínimo) un DoS, esto es: si nos molesta recibir correo no solicitado, imaginen recibir paquetes que nos bloqueen el equipo IRREMEDIABLEMENTE.

    Por eso comunicar la IP puede vulnerar, a mi juicio, la LSSI. En cuanto a que deja al descubierto a la empresa para que le practiquen técnicas de mala fe de una manera relativamente sencilla para aquellos que sepan la suficiente informática.

  • maria
    Posted 3 octubre 2010 13:19 0Likes

    Por la I.P solo no puedes identificar a una persona, por que puede ser ilambrica y a ver varios enchufados a la misma, pirateador como ONO que usa tu I.P para funcionar.Otra cosa seria si fuese tarjero con un D.N.I electronico para apceder a la red.

  • Ezequiel
    Posted 12 noviembre 2010 15:13 0Likes

    Me parece que la investigación realizada es poco seria o la info de este caso está incompleta. Un alegato en donde el ip es manipulable carece de peso como para tirar abajo «toda» la investigación, ¿se hicieron pericias forences? (analizar la pc en cuestión). Este caso es como decir «me filmaron pero no soy yo, es alguien dizfrazado de mi». El hecho de que haya expertos en disfraces y que puedan a uno suplantarlo no puede tirar abajo una investigación de si yo robé o no un banco a cara descubierta, a lo sumo se deberá investigar el contexto para demostrar mi inocencia. Mal, muy mal por quienes aplican las leyes.

  • viviana
    Posted 13 mayo 2012 02:41 0Likes

    les ruegoo me puedan enviar info a mi mail sobre este tema, lo quiero desarrollar como tesis en chile..

Leave A Comment

Your email address will not be published. Required fields are marked *