Sobre el autor

Samuel Parra

Jurista. Experto en privacidad y protección de datos de carácter personal. 14 años de experiencia en el sector.

16 comentarios

  1. 1

    Julia Durán

    Buenos días
    En el caso de que el propietario de un dominio sea una personal física pero que está constituido como empresa (ej. autónomo), se consideraría dato de carácter personal?

    Responder
    1. 1.1

      Samuel Parra

      Hola Julia. Yo pienso que solo teniendo el nombre (sin consultar otra base de datos) es difícil saber si una persona actúa como persona física o como autónomo, así que yo también lo consideraría dato de carácter personal.

      Responder
      1. 1.1.1

        Enrique Gutiérrez

        Samuel ¿No crees que en ese caso estaríamos en el mismo que las Cámaras de Vigilancia de Vivienda que se usa cómo vivienda habitual y una zona cómo lugar de trabajo de un autónomo freelance? Hubo una resolución al respecto, creo que de la AGPD indicando que si estaban sujetas las cámaras de video vigilancia.
        Por otra parte ¿Los blogs son publicaciones hechas cómo particulares o con prospección comercial y por lo tanto a todos los efectos de un empresario no particular? En concreto me refiero a los que son pedrolopez.wordpress por ejemplo. Gracias.

        Responder
        1. 1.1.1.1

          Enrique Gutiérrez

          Por ejemplo, por Linkedin tenemos un funcionario público de la Agencia Tributaria de Sevilla, que publica sus blogs, con su nombre cómo dominio y con fin informativo. no comercial
          También tenemos todos los blogs con dominio personal, por ejemplo de personas que hacen la actividad Coaching por ejemplo.
          Entiendo que no se puede generalizar y según el caso es ó no es un dato personal sujeto o no sujeto a la lopd. ¿Cómo lo veis? Gracias

          Responder
  2. 2

    Luis

    Estoy flipando por colores 😉
    Vamos si hasta tendremos que registrar la agenda de teléfonos del móvil porque permite identificar personas.
    No entiendo porque los números de teléfono no son dato personal porque se puede obtener el nombre del titular con una búsqueda inversa, teniendo la base de datos … pero se pueden comprar.
    Creo que lo mejor es aplicar la técnica de TODO DATO ES LIBRE y ya está. El ocultamiento es malo.
    Si todos sabemos todo de todos no hay problemas, si ocultamos cosas empiezan los problemas.

    Responder
    1. 2.1

      kilouiski

      A ver qué nos dice Samuel sobre el número de teléfono.
      Me ha extrañado que no pusiera ninguna objeción en el párrafo en que se citó…

      Responder
      1. 2.1.1

        Samuel Parra

        No quería que se extendiera más el post que iba demasiado largo. Sobre el número de teléfono móvil publiqué esto: https://www.samuelparra.com/2008/11/05/el-numero-de-telefono-movil-no-es-un-dato-personal/ no sé si es a eso a lo que te refieres 🙂

        Responder
  3. 3

    Ángel

    Puedo entender que igualen dar el nombre del dominio con dar el titular del dominio, ya que la bbdd de whois de los dominios .es se puede consultar públicamente.

    Ahora, I.4.a.c dice claramente «utilizando medios razonables, se puede identificar a los titulares de las direcciones IP», lo cual es FALSO. El medio para saber quién es la persona titular de una IP en un momento dado pasa por obtener una orden judicial para que te lo de el ISP. Completamente equivalente por tanto al dato del número de teléfono (a no ser que seas el ISP, lo mismo que si para el teléfono fueses la operadora…). Por lo tanto, considero -como tantos otros- que no puede considerarse que una dirección IP sea un dato de carácter personal.
    Lo curioso es que a continuación equipara los dominios con dirección IP y números de teléfono, cuando uno se considera dato de carácter personal y otro no.

    Y todo esto, para acabar llegando al titular de la línea. Que dista de equipararse a la persona que estaba realizando la acción X. En ocasiones quizá se pueda determinar, pero en muchos casos no, y hay sentencias sobre acciones ilegales donde se ha terminado archivando la causa precisamente por no poderse determinar cuál de los residentes en la vivienda realizó la acción delictiva (no digamos ya si se trata de una wifi abierta, el vecino adivinó la clave del wifi, o hay un equipo infectado que pudiera estar haciendo de proxy…).
    Por no hablar, que se está equiparando dirección IP con persona, cuando no es así. En un momento dado, en un hogar común de España es muy probable que haya simultáneamente media docena de dispositivos pertenecientes a 3-4 personas conectados a internet, y saliendo todos ellos por la misma IP del domicilio (no digamos ya una empresa a media mañana),

    Curiosamente, a la hora de hablar de las IPs menciona que se puede relacionar con el usuario, «especialmente si se utilizan medios invisibles de tratamiento para obtener información adicional sobre el usuario, tales como cookies con un identificador único». Pero nos encontraríamos en el mismo caso que lo argumentado para los teléfonos. La IP, por sí sola, no es dato de carácter personal, pero si la combinamos con una cookie que identifique que es el usuario Pepito, entonces sí (en realidad, yo ahí considero que el dato personal es la cookie con el identificador, cuando se guardan en la sesión datos de caracter personal).

    El punto II.4 se basa en que un dominio resuelve a una IP. Pero esto no se sostiene con un análisis detallado, puesto que el titular de un dominio puede que hacer que apunte a cualquier IP (incluso a varias simultáneamente), sin necesidad de tener ninguna relación con el propietario de la IP ni, mucho menos, de su consentimiento.
    Y los servidores, no usan precisamente direcciones IP dinámicas de usuario, sino que las webs estarán alojadas en servidores (en ocasiones con cientos de páginas web alojadas en la misma IP).

    «A través de la base de datos Whois -residente en Denver, Colorado, EEUU-» No se han enterado de qué es el whois. La base de datos de whois de los dominios .es la tiene exclusivamente red.es, no está en EEUU para nada.

    Finalmente, cuando concluye que «los nombres de dominio contienen información tanto de personas físicas identificadas o identificables como de personas jurídicas. Se concluye por tanto que en relación con las primeras la información (…) tiene consideración de dato de carácter personal», podría (debería) permitir la publicación cuando
    a) se trata de un dominio vinculado exclusivamente a una empresa
    b) el dominio se encuentra registrado con datos falsos (que abundan)

    Otra cuestión que es relevante y debería tenerse en cuenta, aunque no se aplica realmente en el contexto de este informe sobre dominios.es es el de dominios registrados con whois privado, donde precisamente el propietario ha usado un servicio para que no se publiquen sus datos en el registro whois.

    Ahora, pongámonos a temblar de las consecuencias de considerar que en cualquier contexto “un dominio es un dato personal”.

    Responder
  4. 4

    Rosa

    Todo este asunto es muy interesante, y se me plantea una duda: si como empleado de una empresa me conecto a una web que trata los datos de las direcciones IP, ¿la dirección IP (que es un dato personal) se puede entender que se incluye dentro de las exclusiones del art. 2 .2 del Reglamento de Protección de Datos (1720/2007) al poder asimilarlo a dirección electrónica? ¿o al ser un numerus clausus no podría asimilarse?
    Rizando mas el rizo, ¿si hago lo mismo desde el ordenador de mi casa, pero en un ámbito meramente profesional?
    ¿Cómo lo veis?

    Responder
    1. 4.1

      Alfonso

      Rosa, creo que esa excepción no aplica en los términos que planteas.

      Lo que dice el reglamento es que no aplica a “los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”. Es decir, no aplica la lista de empleados en las que aparezca únicamente su función en la empresa, su teléfono y su dirección de contacto (postal y/o electrónica) en la misma. El directorio de una empresa, en el que aparezcan sus empleados con su número de telefono de empresa, por ejemplo, no se considera un fichero de dcp…

      Responder
      1. 4.1.1

        Rosa

        Gracias, Alfonso, me parecia estirar mucho el chicle, la verdad.

        Responder
  5. 5

    Nacho

    Buenos días Samuel,

    Enhorabuena por tu blog. La AEPD se ha pronunciado ya sobre si el nombre de dominio es un dato de carácter personal?

    Gracias de antemano. Un saludo.

    Responder
    1. 5.1

      Samuel Parra

      Hola Nacho. No, que yo sepa no hay pronunciamiento al respeto.
      Un saludo.

      Responder
      1. 5.1.1

        Nacho

        Muchas gracias Samuel.

        Entiendo que dicha resolución es completamente discutible, en la medida en que la AEPD no se haya pronunciado.

        Un saludo

        Responder
        1. 5.1.1.1

          Samuel Parra

          La AEPD no se ha pronunciado, pero tampoco es necesaria jurídicamente su valoración. Pero claro, si se plantea la cuestión en sede de la AEPD y la AEPD determina que el nombre de dominio no es un dato personal, se podría volver a preguntar a RED.ES para que facilite la información, no pudiendo escudarse en que son datos personales porque la AEPD tendría declarados que no lo son.

          Responder
  6. 6

    Enrique Gutiérrez

    Una IP, por mucho que se haya reconocido, no lo veo. Identifica al titular de una línea de datos, pero no significa que las conexiones que se hagan por la misma sean asignadas exclusivamente al titular. Ejemplo una línea de datos titular un cónyuge y que use el mismo equipo el otro cónyuge y respectivos hijos. No podemos identificar las conexiones de los hijos al Padre/Madre y por lo tanto significa que perdemos el requisito de dato personalísimo, a mi humilde entender. ¿Qué opinan? Gracias.

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *