El nombre de dominio considerado dato personal

Datos personalesEl concepto de dato de carácter personal puede parecer tener bien definidos sus límites, pero en ocasiones podemos encontrarnos con interpretaciones que extienden este concepto a información que en principio no podríamos etiquetar como dato personal: la matrícula de un vehículo, el número de finca registral, o la dirección IP. Recientemente dos organismos públicos se han pronunciado respecto a otro dato para calificarlo como personal, por lo que la normativa de protección de datos desplegará su manto protector sobre él, me refiero al nombre de dominio en Internet.

Nuestra normativa de protección de datos, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), define dato de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables. Este concepto se amplia en el reglamento que desarrolla esta LOPD que lo define como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

La cuestión de si una “información” puede o no encajar en esta definición es de vital transcendida, ya que la normativa de protección de datos de carácter personal, como es evidente, solo podrá entrar en juego cuando nos encontremos ante datos de carácter personal, de suerte que si un dato no es etiquetado como “de carácter personal” la normativa no lo protege, y los derechos y garantías que establece no serán de aplicación. Así por ejemplo, con carácter general, sabemos que es necesario el consentimiento del titular del dato personal para que un tercero pueda tratarlo/utilizarlo, pero si el dato no es de esta naturaleza, la obligación del consentimiento desaparece.

Esta cuestión es tan relevante, que profesionales como Jorge Campanillas mantiene desde hace años un post en el que va recogiendo qué datos se van considerando personales y cuáles no.

Desde el año 1999 se han venido sucediendo diversas interpretaciones, casi todas ellas realizadas por la AEPD, para aclarar si un dato es o no personal.

Por ejemplo, en el año 1999 se emitió un informe de la AEPD que daba respuesta a si una dirección de correo electrónico es o no un dato de carácter personal. La AEPD entendió que tanto si la dirección es de tipo nombre.apellido@empresa.es como si es de tipo elfo123@hotmail.com nos encontramos en ambos casos ante un dato de carácter personal, pues si bien en el primer caso la persona queda identificada directamente, en el otro supuesto, sería posible acudir a Hotmail (Microsoft) para solicitar los datos del titular de esa cuenta por lo que al final podremos identificar a la persona.
Por tanto, las direcciones de correo electrónico quedan protegidas por la LOPD.

La dirección IP (tanto fija como dinámica) también ha sido objeto de interpretación, concluyendo la AEPD que aunque los bloques de números que conforman una IP no permiten, de forma directa, identificar a nadie, sí es posible acudir al operador que asignó esa concreta IP para identificar al titular de la línea, así que también es una información de carácter personal y protegida por la LOPD. Esta interpretación se hizo en un informe del año 2003.

Y así se han ido sucediendo diversas interpretaciones algunas con mucha coherencia. Por ejemplo, si la dirección IP es un dato personal ¿será también un dato de carácter personal el número de teléfono móvil? Pues no. El número de teléfono móvil no es un dato personal.

¿Y el número de finca registral? En este caso sí, el número de una finca inscrita en el Registro de la Propiedad sí es un dato personal.

¿Y la matrícula del coche? También es un dato personal, porque es posible consultar, previo pago de una tasa, el registro de vehículos y obtener el titular.

Y llegamos a una nueva interpretación, la realizada por la Entidad Pública Empresarial RED.ES entidad encargada de la gestión de los dominios .ES, así como la realizada por el Consejo de Transparencia y Buen Gobierno.

Fruto de ejercer el derecho de acceso a la información pública frente a RED.ES (aquí la historia) llegó un punto en el que RED.ES se negaba a facilitar ciertos documentos sin omitir el nombre del dominio .ES afectado por considerarlo que eso -el nombre de dominio afectado- es un dato de carácter personal y que por tanto la LOPD lo protege y no puede ser divulgado en ese contexto de la solicitud de acceso.
RED.ES argumentaba lo mismo que en el informe jurídico respecto a la dirección IP que he comentado antes: puesto que es posible averiguar el nombre del titular de un dominio, eso convierte al nombre de dominio, por sí solo, en un dato de carácter personal.

No estando de acuerdo con esta interpretación, planteé reclamación ante el Consejo de Transparencia y Buen Gobierno (CTGB), para que fuese éste, y si tenías dudas, la AEPD, las que catalogaran el nombre del dominio como un dato personal.

El 1 de marzo de 2016 el CTGB emitió una resolución por la que confirma la interpretación realizada por RED.ES respecto a considerar dato personal el nombre del dominio, en concreto, afirma:

Asimismo, hay que tener en cuenta que al registrar o dar de alta un nombre de dominio, los datos del mismo se harán accesibles a todo el mundo interesado a través de la base de datos Whois -residente en Denver, Colorado, EEUU- que es una herramienta de acceso público a través de Internet que permite a las personas acceder a la información sobre un nombre de dominio particular, para verificar la disponibilidad/titularidad del nombre de dominio en cuestión y, por ello, constituye la principal fuente de información sobre dominios en la Red. Al hacer una búsqueda en Whois sobre un dominio, se obtendrán generalmente los siguientes datos: propietario del dominio, titular (ya sea persona física y/o jurídica), contacto administrativo, principal responsable de su gestión, contacto de facturación, quien gestionará en primer término la renovación del dominio una vez llegado a término su plazo de vigencia, el responsble de la gestión de las DNS asociadas al dominio y los DNS o servidores de nombre. En consecuencia, los nombres de domino contienen información tanto de personas físicas identificadas o identificables como de personas jurídicas. Se concluye, por lo tanto, que en relación a las primeras, la información por la que se interesa el reclamante tiene la consideración de dato de carácter personal…“.

Al tener la información (el nombre del dominio) naturaleza de dato de carácter personal, se terminó denegando el acceso por parte del CTGB, ante un nuevo caso de colisión del derecho a la protección de datos y el derecho de acceso a la información pública.

Ciertamente no es discutible que en ocasiones el nombre de dominio sea un dato de carácter personal por sí solo, por ejemplo, en el caso de este blog, al ser el nombre del dominio mi nombre y primer apellido, nadie puede dudar que me identifica.
Pero extender a dato personal cualquier nombre de dominio siempre que el titular sea una persona física lo considero excesivo, igual de excesivo que la consideración de la IP o la dirección de correo electrónico.
Y lo considero excesivo porque si nos ponemos rigurosos en aplicación de la LOPD, el considerar el nombre de dominio un dato personal cuando el titular es una persona física tiene varias consecuencias, algunos ejemplos:

a) Para empezar, cualquier web que ofrezca información sobre si un dominio está libre o no (sin llegar a dar datos del titular) estaría realizando un tratamiento de datos personales sin consentimiento, pues el registro Whois no es una fuente accesible al público según la LOPD, de forma que para tratar simplemente el nombre del domino, ya va a requerir, con carácter general, el consentimiento del afectado y en todo caso deberá ser informado de que sus datos personales (el nombre del dominio) han sido incluidos en un fichero de esta empresa que ofrece un servicio de ocupación de dominios.

b) Un enlace web se convierte automáticamente en un dato personal pues va a contener necesariamente el nombre del dominio. Esto implica una serie de obligaciones para quien trate un enlace web, las mismas obligaciones que si trata un nombre y apellidos. Y en el otro lado, al titular del dominio le surgen nuevos derechos sobre su domino y sobre sus enlaces, todos los emanados de la normativa de protección de datos.

En cualquier caso, esta nueva interpretación confirma el mecanismo para considerar una información como dato personal: si podemos consultar un registro público y obtener información que pueda vincular una información con una persona física, entonces nos encontramos ante un dato personal.

Y me aventuro a etiquetar un nuevo dato personal: la marca.

Hace unos días tenía el siguiente diálogo con @Ahurtadobueno (Alonso Hurtado) en Twitter:

captura-twitter

Si un dominio y una IP son datos personales porque es posible conocer su titular ¿por qué no también una marca cuando la tiene registrada una persona física? Existe un registro público donde, poniendo la marca, te dice el titular (igual que con un dominio); si el titular es una persona física, debemos considerar esa marca como un dato de carácter personal, pues es una información concerniente a una persona física identificable.

Por ejemplo, la marca “Iurismatica” está registrada a nombre de una persona física; si un tercero, como en la conversación que tenía con Alonso Hurtado, empieza a utilizar esta marca como keyword para activar la publicación de anuncios, estaría haciendo un tratamiento de datos personales sin consentimiento del titular del dato. Esto es, el titular de la marca no tendría solo a su disposición los derechos marcarios propios de la marca, sino que al ser un dato personal, también tiene los derechos específicos de la normativa de protección de datos, entre los cuales está el de oponerte al tratamiento de los datos personales cuando no exista una ley que obligue a su tratamiento.
Sería posible por tanto invocar la normativa de protección de datos para exigir, tanto a la plataforma de anuncios como a la persona que utilice la keyword, que cese en el tratamiento inconsentido de sus datos personales (la marca).

Una interpretación que puede sonar disparatada pero que está en línea con lo que he expuesto aquí.

BONUS: Al pesar de que RED.ES considera el nombre del dominio como dato de carácter personal, en la disposición publicada en el BOE el 1 de julio de 2015 por la que crea el fichero “Nombres de Dominios”, no declara, entre los datos personales que dice tratar y recabar, el nombre del dominio (página 14 del PDF).

18 comentarios en “El nombre de dominio considerado dato personal”

  1. Buenos días
    En el caso de que el propietario de un dominio sea una personal física pero que está constituido como empresa (ej. autónomo), se consideraría dato de carácter personal?

    Responder
    • Hola Julia. Yo pienso que solo teniendo el nombre (sin consultar otra base de datos) es difícil saber si una persona actúa como persona física o como autónomo, así que yo también lo consideraría dato de carácter personal.

      Responder
      • Samuel ¿No crees que en ese caso estaríamos en el mismo que las Cámaras de Vigilancia de Vivienda que se usa cómo vivienda habitual y una zona cómo lugar de trabajo de un autónomo freelance? Hubo una resolución al respecto, creo que de la AGPD indicando que si estaban sujetas las cámaras de video vigilancia.
        Por otra parte ¿Los blogs son publicaciones hechas cómo particulares o con prospección comercial y por lo tanto a todos los efectos de un empresario no particular? En concreto me refiero a los que son pedrolopez.wordpress por ejemplo. Gracias.

        Responder
        • Por ejemplo, por Linkedin tenemos un funcionario público de la Agencia Tributaria de Sevilla, que publica sus blogs, con su nombre cómo dominio y con fin informativo. no comercial
          También tenemos todos los blogs con dominio personal, por ejemplo de personas que hacen la actividad Coaching por ejemplo.
          Entiendo que no se puede generalizar y según el caso es ó no es un dato personal sujeto o no sujeto a la lopd. ¿Cómo lo veis? Gracias

          Responder
  2. Estoy flipando por colores 😉
    Vamos si hasta tendremos que registrar la agenda de teléfonos del móvil porque permite identificar personas.
    No entiendo porque los números de teléfono no son dato personal porque se puede obtener el nombre del titular con una búsqueda inversa, teniendo la base de datos … pero se pueden comprar.
    Creo que lo mejor es aplicar la técnica de TODO DATO ES LIBRE y ya está. El ocultamiento es malo.
    Si todos sabemos todo de todos no hay problemas, si ocultamos cosas empiezan los problemas.

    Responder
  3. Puedo entender que igualen dar el nombre del dominio con dar el titular del dominio, ya que la bbdd de whois de los dominios .es se puede consultar públicamente.

    Ahora, I.4.a.c dice claramente «utilizando medios razonables, se puede identificar a los titulares de las direcciones IP», lo cual es FALSO. El medio para saber quién es la persona titular de una IP en un momento dado pasa por obtener una orden judicial para que te lo de el ISP. Completamente equivalente por tanto al dato del número de teléfono (a no ser que seas el ISP, lo mismo que si para el teléfono fueses la operadora…). Por lo tanto, considero -como tantos otros- que no puede considerarse que una dirección IP sea un dato de carácter personal.
    Lo curioso es que a continuación equipara los dominios con dirección IP y números de teléfono, cuando uno se considera dato de carácter personal y otro no.

    Y todo esto, para acabar llegando al titular de la línea. Que dista de equipararse a la persona que estaba realizando la acción X. En ocasiones quizá se pueda determinar, pero en muchos casos no, y hay sentencias sobre acciones ilegales donde se ha terminado archivando la causa precisamente por no poderse determinar cuál de los residentes en la vivienda realizó la acción delictiva (no digamos ya si se trata de una wifi abierta, el vecino adivinó la clave del wifi, o hay un equipo infectado que pudiera estar haciendo de proxy…).
    Por no hablar, que se está equiparando dirección IP con persona, cuando no es así. En un momento dado, en un hogar común de España es muy probable que haya simultáneamente media docena de dispositivos pertenecientes a 3-4 personas conectados a internet, y saliendo todos ellos por la misma IP del domicilio (no digamos ya una empresa a media mañana),

    Curiosamente, a la hora de hablar de las IPs menciona que se puede relacionar con el usuario, «especialmente si se utilizan medios invisibles de tratamiento para obtener información adicional sobre el usuario, tales como cookies con un identificador único». Pero nos encontraríamos en el mismo caso que lo argumentado para los teléfonos. La IP, por sí sola, no es dato de carácter personal, pero si la combinamos con una cookie que identifique que es el usuario Pepito, entonces sí (en realidad, yo ahí considero que el dato personal es la cookie con el identificador, cuando se guardan en la sesión datos de caracter personal).

    El punto II.4 se basa en que un dominio resuelve a una IP. Pero esto no se sostiene con un análisis detallado, puesto que el titular de un dominio puede que hacer que apunte a cualquier IP (incluso a varias simultáneamente), sin necesidad de tener ninguna relación con el propietario de la IP ni, mucho menos, de su consentimiento.
    Y los servidores, no usan precisamente direcciones IP dinámicas de usuario, sino que las webs estarán alojadas en servidores (en ocasiones con cientos de páginas web alojadas en la misma IP).

    «A través de la base de datos Whois -residente en Denver, Colorado, EEUU-» No se han enterado de qué es el whois. La base de datos de whois de los dominios .es la tiene exclusivamente red.es, no está en EEUU para nada.

    Finalmente, cuando concluye que «los nombres de dominio contienen información tanto de personas físicas identificadas o identificables como de personas jurídicas. Se concluye por tanto que en relación con las primeras la información (…) tiene consideración de dato de carácter personal», podría (debería) permitir la publicación cuando
    a) se trata de un dominio vinculado exclusivamente a una empresa
    b) el dominio se encuentra registrado con datos falsos (que abundan)

    Otra cuestión que es relevante y debería tenerse en cuenta, aunque no se aplica realmente en el contexto de este informe sobre dominios.es es el de dominios registrados con whois privado, donde precisamente el propietario ha usado un servicio para que no se publiquen sus datos en el registro whois.

    Ahora, pongámonos a temblar de las consecuencias de considerar que en cualquier contexto “un dominio es un dato personal”.

    Responder
  4. Todo este asunto es muy interesante, y se me plantea una duda: si como empleado de una empresa me conecto a una web que trata los datos de las direcciones IP, ¿la dirección IP (que es un dato personal) se puede entender que se incluye dentro de las exclusiones del art. 2 .2 del Reglamento de Protección de Datos (1720/2007) al poder asimilarlo a dirección electrónica? ¿o al ser un numerus clausus no podría asimilarse?
    Rizando mas el rizo, ¿si hago lo mismo desde el ordenador de mi casa, pero en un ámbito meramente profesional?
    ¿Cómo lo veis?

    Responder
    • Rosa, creo que esa excepción no aplica en los términos que planteas.

      Lo que dice el reglamento es que no aplica a “los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”. Es decir, no aplica la lista de empleados en las que aparezca únicamente su función en la empresa, su teléfono y su dirección de contacto (postal y/o electrónica) en la misma. El directorio de una empresa, en el que aparezcan sus empleados con su número de telefono de empresa, por ejemplo, no se considera un fichero de dcp…

      Responder
  5. Buenos días Samuel,

    Enhorabuena por tu blog. La AEPD se ha pronunciado ya sobre si el nombre de dominio es un dato de carácter personal?

    Gracias de antemano. Un saludo.

    Responder
        • La AEPD no se ha pronunciado, pero tampoco es necesaria jurídicamente su valoración. Pero claro, si se plantea la cuestión en sede de la AEPD y la AEPD determina que el nombre de dominio no es un dato personal, se podría volver a preguntar a RED.ES para que facilite la información, no pudiendo escudarse en que son datos personales porque la AEPD tendría declarados que no lo son.

          Responder
  6. Una IP, por mucho que se haya reconocido, no lo veo. Identifica al titular de una línea de datos, pero no significa que las conexiones que se hagan por la misma sean asignadas exclusivamente al titular. Ejemplo una línea de datos titular un cónyuge y que use el mismo equipo el otro cónyuge y respectivos hijos. No podemos identificar las conexiones de los hijos al Padre/Madre y por lo tanto significa que perdemos el requisito de dato personalísimo, a mi humilde entender. ¿Qué opinan? Gracias.

    Responder
  7. Hola, me gustaría saber si hay más bibliografía sobre las marcas registradas como datos personales, lo que mencionas sobre aventurar que una marca es un dato personal me parece formidable. ¿Hay alguna resolución de tribunales en España o en algún otro sitio? Gracias!

    Responder
  8. SABER LO QUE UNA PERSONA COMPRA SU DIRECCCIÓN DE VIVIENDA, LOS DATOS BANCARIOS, LO QUE COMPRA O NO, ¿QUIIÉN PUEDE NEGAR QUE SON DATOS PROTEGIDOS POR LA LEY?

    Responder

Responder a Anónimo Cancelar la respuesta