Los titulares de las páginas web que almacenen el dato de la IP de quién las consulta o efectúa alguna operación a través de ellas deberán declarar el correspondiente fichero en el registro de Protección de Datos. Así lo ha manifestado la Agencia Española en un informe jurídico que acaba de hacerse público y en el que se considera la dirección IP, por sí sola, constituye un dato de carácter personal. El inclumplimiento del deber de registra el fichero por parte de los titulares de las web que almacenan este dato puede suponer sanciones de más de 300.000 euros, si se considera una infracción grave.

La Ley 34/2002 de los Servicios de la Sociedad de la Información (LSSI) impone, en el artículo 12, la obligación de retener datos de tráfico. Es desde la aprobación de esta norma que se había generado una cierta polémica sobre si la dirección de IP debía considerarse o no como un dato de carácter personal.

El anteriormente mencionado artículo de la LSSI establece la obligación para los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos, de retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información y por un periodo máximo de 12 meses. Además establece dicha Ley que esta información debería almacenarse bajo las medidas de seguridad adecuadas para evitar su alteración, pérdida o acceso de terceros. Sin embargo, no detalla ni los datos concretos que han de almacenarse, ni a qué tipo de medidas de seguridad se refiere, dejándolo para su posterior desarrollo reglamentario.

Por tanto, la LSSI impone la obligación de almacenar los datos de tráfico y conservarlos durante un año con las debidas cautelas, pero no especifica que estos datos, en concreto las direcciones IP, tuvieran el carácter de dato personal a los efectos de la LOPD. Esta situación de incertidumbre se agrava ante la falta de desarrollo reglamentario de las previsiones contenidas en la Ley. Es más, en la propia página creada por la Administración para ayudar al cumplimiento de la normativa se establece la 'suspensión' de esta obligación hasta la publicación del Reglamento de desarrollo de la Ley que, tras dos años desde su aprobación, se encuentra todavía pendiente.

En este contexto, recientemente la Agencia Española de Protección de Datos ha pretendido arrojar un poco de luz en este punto mediante un informe publicado en su página web en el que estudia la situación partiendo de la definición que la LOPD confiera a la expresión 'datos de carácter personal', a saber: 'cualquier información concerniente a personas físicas identificadas o identificables'.

Este informe, que es muy breve y profundiza muy poco en el tema, concluye con que existen distintas maneras de identificar a un usuario de Internet a partir de la dirección IP, ya sea ésta dinámica o estática y que, por tanto, aunque no todos los agentes de Internet tengan la posibilidad de identificar a los usuarios, la mera posibilidad de que la identificación sea posible a partir de una IP hace que la normativa de protección de datos sea aplicable, en opinión de la Agencia.

Es decir, la dirección IP se entiende, por sí sola y a pesar de considerarla aisladamente, como dato de carácter personal porque permite identificar a una persona física, el usuario, o al menos hacerla identificable a través de distintos medios.

Además, establece que las medidas de seguridad que corresponderá adoptar para la debida protección del fichero dependerán de los datos que en el mismo se contengan. Así, si únicamente se contienen direcciones IP, el fichero será de nivel básico y si, por ejemplo, el fichero contiene la dirección IP asociada a los sitios web solicitados con la finalidad de elaborar un perfil del usuario, se deberían adoptar las medias de seguridad de nivel medio.

A pesar de este informe emitido por la Agencia, no hay que olvidar que la LSSI dispone en el párrafo 4º del art. 12 que reglamentariamente se establecerán las categorías de datos que deben conservarse, el plazo de conservación en cada supuesto concreto, las condiciones en que deberán almacenarse, tratarse y custodiarse, la manera en que se deberán entregar a los órganos autorizados en el caso de ser requeridos, y el modo de destrucción.

Por tanto, es de esperar que aunque el informe mencionado establece que con carácter general las direcciones IP han de someterse a la normativa de protección de datos, cuando finalmente se dicte el Reglamento de desarrollo de la LSSI se disponga de unas pautas más concretas y explícitas conforme a las cuales deberán ser tratadas las direcciones IP en relación con la protección de datos.

Mientras tanto, lo cierto es que con esta interpretación de la Agencia los responsables de páginas web que, de alguna manera, almacenen las IP de los usuarios (circunstancia muy usual en algunas páginas, como por ejemplo las que albergan foros), deberán proceder a dar de alta el fichero correspondiente en la Agencia Española de Protección de Datos, ya que, a pesar de la brevedad del informe emitido por la Agencia y su carácter poco explicativo, éste especifica claramente que la IP debe considerarse como un dato de carácter personal y, por tanto, hay que cumplir con las obligaciones dispuestas en la Ley Orgánica de Protección de Datos, al menos de momento.