Hoy es el día europeo de la Protección de Datos y la ocasión es óptima para repasar la última noticia en lo que a la Analítica Web y privacidad respecta: El criterio de que la dirección IP constituye un dato por sí mismo identificativo del individuo (algo ya discutido en España al calor del informe jurídico de la Agencia Española de Protección de Datos) podría cobrar fuerza a nivel comunitario.

En el marco de una discusión concerniente a la personalización de la publicidad utilizada por servicios como GMail, Peter Scharr, comisionado de la agencia alemana de protección de datos que encabeza actualmente el Grupo del 29 (creado a tenor del artículo 29 de la Directiva de Protección de Datos Personales y que agrupa a todos los directores de las agencias) defendió la semana pasada la necesidad de que la dirección IP pueda ser considerada un dato de carácter personal.

La cuestión ahora es: ¿Por sí misma o en compañía de otros datos?

Por supuesto, la dirección IP permite identificar al individuo, pero sólo en contadas ocasiones permite hacerlo de forma aislada. Así, un perito informático podrá localizar a un individuo en Internet a partir de la dirección IP utilizada en un determinado momento, pero requerirá el acceso a información complementaria acerca de la propia terminal usada por el usuario y los registros de acceso de los proveedores de acceso que han facilitado su conexión.

También es evidente que, en el contexto de un ISP (proveedor de servicios de acceso a la red), la dirección IP resulta en gran medida identificativa del individuo (o al menos del titular de la conexión utilizada). Dado que tanto la legislación española como la alemana exigen el almacenamiento de direcciones IP utilizadas por el usuario durante un período mínimo, resulta comprensible que dichas IPs pasen a formar parte de un fichero de datos personales. Es en esta línea que se pronunciaba originalmente la AEPD.

Sin embargo, las circunstancias señaladas no son equiparables al escenario que manejamos en entornos de Analítica Web. Una empresa que analiza las tendencias de tráfico o gestiona campañas en su web tiene efectivamente acceso a las direcciones IP asociadas a los diferentes accesos registrados. Sin embargo, es sólo en contadas ocasiones que dicha empresa recopila datos que permitan identificar individualmente a sus usuarios. Y en estos casos (muchas veces ejemplificados en este blog) impera la consciencia de que la LOPD resulta aplicable.

Pongámonos en un caso hipotético catastrofista, por aquello de entretener al personal: Si ahora pasáramos a considerar que mantener una tabla que asocia direcciones IP a páginas visualizadas o webs de origen constituye un archivo para el tratamiento de datos personales, la consecuencia directa es que la LOPD resultaría aplicable.

¿Consecuencias?

1. El mero uso de un programa de análisis de logs o huellas equivaldría a tratar datos personales y requeriría noticia expresa en el aviso legal, registro del fichero ante la AEPD, puesta en marcha de un procedimiento para la asistencia a los usuarios que soliciten acceso, modificación o eliminación, designación de un supervisor a estos efectos, despliegue de un plan de medidas de seguridad, preparación de un documento que exponga dichas medidas, etc…

2. Si en vez de instalar un programa local hacemos uso de un servicio remoto de “reporting” (Google Analytics, sin ir más lejos) tenemos un problema adicional: La empresa encargada del “procesamiento” pasa a ser distinta de la empresa encargada del “tratamiento”, con lo que un acuerdo expreso es requerido entre ambas.

3. Si además resulta que dicho servicio remoto se encuentra ubicado fuera de la Unión Europea y en un país que la Comisión Europea no haya incluido en su lista de aquellos países que aportan unas garantías mínimas (caso de EEUU), el problema es aún mayor, pues estaremos incurriendo en una transferencia internacional de datos (entrando en juego un nuevo marco legal como el aplicable al “safe harbor” en EEUU).

Por suerte, creo que se trata de algo imposible por el poco sentido común que entraña. Sin embargo, no está de más asomarse a este “precipicio” porque ésta es precisamente la situación en la que nos podríamos encontrarnos cada vez que inocentemente propongamos a nuestros clientes el almacenamiento de un nombre de usuario o dirección de correo electrónico identificativa de cada visitante.