Esta entrada ha sido borrada ya que parece que se publicaban datos que la Agencia de Protección de Datos dispone no se vean. No estoy completamente seguro pero en defensa de la misma privacidad que tanto defendemos en este blog (receta de mi medicina ;) ) la cancelamos.
Disculpen las molestias.
Pues vaya… además te tienen controlado…
Solamente quería recordar que existe un informe de la Agencia de Protección de datos y que está disponible en su web, titulado «Carácter de dato personal de la dirección IP», Informe 327/2003.
En dicho documento se dice textualmente:
«Así pues, aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.»
Posteriormente continua diciendo:
«En este sentido un fichero que contuviera únicamente las direcciones IP, en principio resultaría de aplicación las medidas de seguridad nivel básico. Por el contrario un fichero que contuviera la dirección IP asociada, por ejemplo, a los sitios web solicitados con la finalidad de elaborar un determinado perfil del usuario, si el mismo permite obtener una evaluación de la personalidad del individuo, se deberán adoptar las medidas de seguridad nivel medio.»
Por lo que lejos de publicarse, se deberían haber tomado las precauciones necesarias para que la información que has publicado se mantuviera con la protección adecuada.
Tan seria es la cosa, que la Agencia de Protección de Datos tuvo que publicar otro documento para aclarar la cesión de estos mismos datros que has publicado a los Cuerpos de Seguridad del Estado. Dicho documento se titula «Cesión de la dirección IP a las Fuerzas y Cuerpos de Seguridad» Informe 312/2004, que también está disponible en la página web de la APD.
En dicho documento se dice:
«Resultando, en consecuencia, de aplicación lo dispuesto en la Ley Orgánica 15/1999, la transmisión de los datos mencionados en la consulta a las Fuerzas y Cuerpos de Seguridad constituirá una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica como Toda revelación de datos realizada a una persona distinta del interesado . En caso de cesión de datos, el artículo 11.1 de la Ley Orgánica 15/1999 dispone que Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado . No obstante, será lícita la comunicación de datos sin consentimiento del interesado, como sucedería en el supuesto contemplado en el presente caso, si la misma encuentra encaje en los casos mencionados en el artículo 11.2 de la Ley, considerando el apartado a) de dicho precepto lícita la cesión habilitada por una norma con rango de Ley.»
Por lo tanto, teniendo en cuenta lo que se dice en estos documentos y en la LSSI técnicamente se puede decir que tienes un problema y que puedes acabar sancionado, ya de oficio o por instancia de cualquier ciudadano que denuncie los hechos siguiendo los pasos que se establecen en esta página:
https://www.agpd.es/index.php?idSeccion=118
Es evidente que se ha violado la intimidad de la persona que ha realizado esa búsqueda y estaba asociada a esa IP en ese momento y además, no contento con ello, has elaborado un juicio de valor sobre esa búsqueda, que no hace más que demostrar que dicha información no debería haberse divulgado, tal como dice la APD en sus documentos. Tanto es así, que ha aparecido esto:
http://meneame.net/story/ministerio-defensa-investiga-utilizar-rfid-para-identificar-seres-humanos
De todos modos, con esta actitud no lograrás que nadie tenga confianza en tu política de protección de datos. No obstante, la libertad de expresión de cada uno es propia, como también es propia la responsabilidad de no ejercerla con cautela.
La IP no aparece completa, en cualquier caso estoy encantado con su apunte, fue un despiste por mi parte no «tapar» la IP debidamente… Voy a hacerlo ahora… hecho :)
Bien, estimado amigo, puede que piense que ha salvado la cuestión legal, pero siento decirle que no es así como veremos más adelante, pero también hay otras cuestiones que considero en este caso, más importantes si cabe.
Por ejemplo, no parece muy consuecuente, ni ético, que usted hable de privacidad, de su imporancia y de los métodos para salvaguardarla, como si la valorase en gran medida y luego mantenga esa entrada que es una clara violación de la privacidad. Aunque no fuera sancionable, que sí lo es, no considero que dicha actitud sea acorde con la ética que debería mantener un Webmaster y mucho menos, consecuente con lo que hay en su página web, que todo hay que decirlo, me ha «chirriado» y me ha motivado para escribirle. En definitiva y como le he dicho antes, no creo que sea una postura demasiado ética ante las personas que acceden su página web y consencuente con una adecuada política de privacidad. Pero como es lógico, cada uno hace lo que quiere con su página web y no seré yo el que intente dar lecciones de ello.
De todos modos, desde el punto de vista legal, siento decirle que con su inocente intento de eliminar la IP, no ha logrado gran cosa cara a salvar su posible responsabilidad. Para la APD tiene la misma consideración de dato protegido la dirección IP,o la resolución DNS de la misma, que como es lógico es mucho más éxplicita, como usted bien sabe y de hecho usa para fundamentar su tesis.
Dicho de otro modo, a la APD le da lo mismo que alguien diga que es la persona que vive en la Calle X número Y piso Z, su nombre completo, su IP, o el número de su DNI, todas las informaciones llevan al mismo sitio y suponen la misma viiolación de la privacidad de esa persona, en este caso doble del Ministerio de Defensa y de la persona que hizo la búsqueda. Precisamente la APD en el documento que le indiqué anteriormente explica con toda claridad que el riesgo asociado al almacenamiento de la IP es precisamente la posibilidad de resolver el dominio, cosa que usted evidentemente ya ha hecho, al determinar que IP=Ministerio de Defensa, está dando toda la información protegida «en un lenguaje inteligible por todo el mundo». Es decir, la IP en si misma no sería un dato protegido si no se pudiera resolver el dominio de la misma.
Por si no tiene el docuimento, le pongo el texto más relevante para el caso, que le recomiendo que lea con atención:
«El TCP/IP se trata de un protocolo básico de transmisión de datos en Internet, donde cada ordenador se identifica con una dirección IP numérica única. Las redes TCP/IP se basan en la transmisión de paquetes pequeños de información, cada una de los cuales contiene una dirección IP del emisor y del destinatario.
Por otro lado, el DNS (sistema de nombre de dominio) es un mecanismo de asignación de nombres a ordenadores identificados con una dirección IP. Ciertas herramientas existentes en la red permiten encontrar el enlace entre el nombre de dominio y la empresa o el particular. A su vez, los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP. Un proveedor de acceso a Internet que tiene un contrato con un abonado a Internet, normalmente mantiene un fichero histórico con la dirección IP (fija o dinámica) asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección.
Es mas, si el usuario de Internet está utilizando una red pública de telecomunicaciones, como un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación. En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), pormedios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.»
Creo que queda claro la equivalencia entre IP y resolución DNS, por lo que nos encontramos ante el mismo caso de violación de privacidad y por lo tanto, eliminar la IP de la entrada no le salva de una eventual denuncia o de una actuación de oficio de la APD y con ello, de una posible sanción.
Este hecho es algo que creo que debería sopesar seriamente ya que he visto pocos casos en la Jurisprudencia de la APD tan claros como el que estamos tratando y sinceramente creo la entrada en su blog no aporta una información de demasiado peso o concluyente, como para que valga la pena arriesgarse a mantenerla y ser sancionado por ello.
De nuevo le recomiendo que se lea cuidadosamente la documentación de la APD y la LSSI antes de tomar una decisión al respecto.
Borro la entrada. Dejo los comentarios porque es información muy interesante y útil… y porque me ayudará a ser más prudente.