Desde el año 1999 la IP se considera dato personal; en síntesis esto quiere decir que la IP de un ordenador identifica o hace identificable a alguien, y ese alguien se presume que es el que está detrás de esa IP, de ese ordenador.
Por tanto, si alguien cometiera alguna infracción en Internet y tuviéramos su IP podríamos identificar al autor directamente, ya que como hemos dicho, la IP es un dato de carácter personal y si a alguien tiene que identificar es al que esté haciendo uso de esa IP.
Mucho se ha hablado sobre este tema, pero hasta ahora pocos han sido los que han abordado el asunto con cierta perspectiva práctica. Así, ¿que sucedería si alguien presenta la IP de un ordenador como prueba en un proceso para imputar una infracción a una determinada persona?.
En el caso real que vamos a examinar, al denunciado se le imputa una infracción del artículo 10 de la Ley Orgánica de Protección de Datos (deber de secreto) por publicar en un foro de Internet documentación confidencial del departamento de recursos humanos de una conocida empresa informática; el denunciado tenía acceso a esa información porque trabajaba en ese departamento, aunque en el momento de la denuncia ya era un ex-empleado. Como principal prueba, el denunciante presentará la dirección IP. Para seguir leyendo haz clic en
Veamos en primer lugar el contexto de la denuncia y los hechos que la motivaron:
D. X.X.X. trabajaba en el departamento de recursos humanos de una entidad la ahora denunciante. Con motivo de su trabajo tenía acceso a ciertos datos de carácter personal, como la identificación completa de compañeros de trabajo, directivos, etc.
Para desempeñar sus funciones, a D. X.X.X. se le asignó un ordenador en esta empresa, con una dirección IP propia; este ordenador era de uso exclusivo de D. X.X.X.
Aparecen publicados en unos foros de Internet documentación confidencial de la empresa; documentación toda ella a la que tenía acceso D. X.X.X. por sus condiciones de trabajo.
Se realizan las correspondientes pruebas periciales y se determina que el mensaje fue insertado en esos foros por un usuario cuya dirección IP se corresponde con la dirección IP del puesto de D. X.X.X. en la empresa.
Al trabajador terminan despidiéndolo por este motivo, sin embargo él entendió que el despido era improcedente y denunció a su empresa y en una primera instancia, el juzgado de lo Social afirma que el despido es procedente por cuanto queda probada la autoría de los hechos por parte de D. X.X.X.; la principal prueba de cargo presentada ante este juzgado fue la IP de su puesto de trabajo.
La empresa denuncia ahora ante la Agencia Española de Protección de Datos a D. X.X.X. por publicar esa información y por tanto vulnerar el artículo 10 LOPD.
Hasta aquí uno podría pensar “blanco y en botella”; sin embargo veamos las alegaciones de D. X.X.X.:
Iniciado el procedimiento sancionador el denunciado alega en primer lugar, y en síntesis, NO ser el responsable de la infracción imputada, argumentando que las direcciones IP desde donde se enviaron los mensajes publicados en el foro, si bien pertenecían a su ordenador personal, las mismas son manipulables, y por ello, dicha circunstancia no constituye prueba de cargo suficiente para determinar la comisión de la infracción.
Asimismo, aporta como prueba diversos documentos, entre los que se aprecia un Recurso de Suplicación frente a la Sentencia del Juzgado de lo Social que declaraba procedente su despido (y que ahora se declara improcedente !) en el que se recoge el argumentario utilizado en el citado recurso con objeto de demostrar la posibilidad de la modificación de un número de IP asignado a un determinado ordenador, circunstancia que determinaría la insuficiencia de la principal prueba de cargo en virtud de la cual se han denunciado los hechos.
En concreto, y esta es la clave, en dicho Recurso de lo Social, se afirma, por parte del juez, que “… tal y como se desprende de los citados documentos, y tal y como es sabido por cualquier usuario de internet, las últimas cifras de las direcciones IP se asignan por el usuario pueden ser modificadas en cualquier momento, sustituyendo la de un equipo por la de otro o variando cualquiera de ellas, por lo que se admite el motivo …”
Y añade: “…sin que, por el contrario, conste acreditado que el usuario ‘………’ fuera el actor (D. X.X.X), por cuanto, tal y como pone de manifiesto, las últimas cifras de la dirección IP son fácilmente modificables por cualquier usuario desde cualquiera de los ordenadores que estén conectados a la misma línea de internet, pudiéndose utilizar durante el tiempo que se quiera y volver a variarlos, de manera que no queda identificado el actor porque la persona que utilizó tal nick lo hiciera desde la dirección IP que tenía asignada en la empresa, ….., por lo que es equivocada la afirmación de la juzgadora a quo, sobre la cual se fundamenta la procedencia del despido de que ‘desde su ordenador –de uso exclusivo-, se insertaron en la página web citada, dichos archivos en horas y días en los que el actor se encontraba en su puesto de trabajo”.
Es decir, recopilando, tenemos, por orden cronológico:
* 1º: Aparecen publicado en un foro de Internet información confidencial de una empresa; la IP del mensaje corresponde al ordenador de uso exclusivo de X.X.X. en la empresa.
* 2º: Despido de X.X.X. por publicar esa información confidencial en Internet.
* 3º: Una primera Sentencia afirmando que el despido era procedente por cuanto queda probado que fue X.X.X quien publicó esa información dado que la IP del mensaje en el foro era la de su ordenador del trabajo.
* 4º: D. X.X.X. recurre esa Sentencia alegando que la IP no puede identificarlo, y en efecto, gana el recurso y se considera improcedente el despido por no quedar suficientemente probado la relación de la IP con X.X.X.
* 5º: La empresa denuncia a X.X.X. ante la Agencia Española de Protección de Datos por vulnerar el deber se secreto (artículo 10 LOPD).
* 6º: X.X.X. aporta como prueba el recurso ganado y alega que la IP es un dato manipulable y no puede identificarlo.
Finalmente la AEPD archiva el caso porque en efecto, afirma, apoyándose en el recurso ante lo Social presentado por X.X.X. que no puede estimarse probado que fuera D. X.X.X. el autor de la publicación en la web de los datos personales de distintos trabajadores, por lo que al estimar ésta última Sentencia “que no queda identificado el actor” que publicó los referidos datos personales, no puede ser imputada la comisión de la infracción en el presente procedimiento sancionador, estimándose, por tanto, adecuado el archivo del mismo.
En conclusión, en este caso concreto, que parecía obvio la relación entre un puesto de trabajo - IP - trabajador de ese puesto, parece que no es suficiente.
Y es que en efecto, la IP puede identificar a un ordenador conectado a Internet en un momento del tiempo determinado, pero en absoluto puede identificar al señor que está sentado y escribiendo desde él.
Finalmente recordar, que en la actualidad, tanto por parte de la AEPD como del marco europeo, la IP se considera un dato personal, aunque como acabamos de comprobar, llegados el caso, la IP no va a ser capaz de identificar a nadie en concreto cuando haya que utilizarla.
Descargar resolución de la AEPDFuente: http://www.samuelparra.com/2008/02/24/la-ip-como-dato-personal-insuficiente-para-identificar-al-infractor/
En cambio, no pasa lo mismo con el ".com", el cual conduce a un sitio de Panda Security que parece que vio un buen negocio en mantener un sitio para menores mientras vende sus productos.
En cambio, no pasa lo mismo con el ".com", el cual conduce a un sitio de Panda Security que parece que vio un buen negocio en mantener un sitio para menores mientras vende sus productos.
