Existe cierto revuelo en la comunidad blogolítica a raiz de la publicación en el magnífico blog de Samuel Parra de unos comentarios sobre una Resolución de la Agencia Española de Protección de Datos en la que se indicaba que el DNI podía no ser considerado como dato de carácter persona, en contraposición de otra Resolución de la misma APD en la que se decía que la IP podía ser considerado como tal.
Y creo, perdóneseme la intromisión, que se parte de un error de base a la hora de derivar de tales documentos más efectos que los que propiamente tienen. Para aclarar el embrollo, nada mejor que intentar definir qué sea “dato de carácter personal” y cuál no lo sea, sin olvidarnos de un tipo de dato que, siendo de gran importancia, pasa por el olvido en numerosas ocasiones pero que, por el contrario, puede ayudarnos a superar alguna que otra crisis ante la APD: el dato disociado.
Y la respuesta a la primera cuestión nos tenemos que dirigir inexcusablemente al artículo 3º de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) considera datos de carácter personal a cualquier información concerniente a personas físicas identificadas o identificables, El subrayado anterior es nuestro y volveremos más adelante sobre esta cuestión, al tratar del dato disociado.
El concepto de “dato” que recoge la LOPD no puede ser más amplio, y permite incluir prácticamente cualquier “cosa”. Tal es así que el artículo 1.4 del Real Decreto 1332/1994 de 20 de junio (en el mismo sentido que el recientemente aprobado Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal) considera como tal a toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de ser recogida, registro, tratamiento o transmisión.
En el mismo sentido extensivo, y como necesaria referencia, el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
Ahora bien, en los párrafos anteriores nos hemos referido al concepto de “dato” sin apellidos. Esto es, dato por sí mismo, algo que objetivamente se considera como tal. La cuestión fundamental es saber cuándo ese dato se convierte en “dato de carácter personal” y, por lo tanto, le sea de aplicación la LOPD. Esto se producirá en los supuestos en que el dato sea susceptible de identificar a una persona o, mediante la utilización de un procedimiento no excesivamente oneroso, la haga identificable (“oneroso” en el sentido de no requerir esfuerzos excesivos). Si no fuera así, no será de aplicación la normativa sobre protección de datos de carácter personal, porque no habrá tales datos en juego. Y, claro, sin olvidar que la identificación la debe realizar un tercero, no el titular del dato.
Por lo tanto, ése es el “quid” de toda la cuestión, la determinación de si, mediante un procedimiento simple, un dato identifica o permite identificar a una persona. En tal sentido, la determinación de cuándo un dato tiene ese carácter o no tendrá que ser estudiada caso a caso, para poder alcanzar la conclusión correspondiente. No parece adecuado sacar conclusiones apriorísticas en muchas ocasiones, sin haber estudiado los antecedentes y circunstancias concurrentes en cada supuesto sometido a nuestra consideración o estudio. Por eso la APD dice que “en principio (…) el número del DNI, por si solo, no constituye un dato de carácter personal, si lo será en cuanto resulte adscrito al concreto titular del mismo. En el supuesto concreto que se plantea, no parece probable que los destinatarios del listado dentro del ámbito en que se publica tengan posibilidad de asociar el número del DNI a un determinado alumno, de forma tal, que permita su identificación inequívoca, sin que ello suponga efectuar esfuerzos desproporcionados”, aunque luego termina manifestando que se debe evitar “la difusión de este tipo de listados o, en su caso, habilite otros métodos de informar al alumno de sus calificaciones que garanticen al completo los derechos amparados por la LOPD” (Expediente Nº: E/00561/2004).
En cuanto al Informe de la APD nº 327/2003, relativo a la consideración o no de la IP como dato de carácter personal, la propia APD parte del mismo planteamiento anterior, esto es, que la adjetivación como “de carácter personal” de un dato vendrá determinado por las circunstancias concurrentes en cada caso.
En el concreto supuesto del Informe de la APD sobre las IP’s, se trata de una consulta que efectúa un operador de telecomunicaciones y, por lo tanto, las conclusiones que se obtienen deben ponerse en relación con tal circunstancia. Refiere el Informe de la APD lo evidente, esto es, que los proveedores de acceso a Internet (y también los administradores de redes locales) pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, habitualmente, asociándolo con el fichero histórico de la dirección IP asignada, el número de identificación del suscriptor, la fecha la hora y la duración de la asignación de dirección. Más que nada, porque tiene que facturarle mensualmente por tal servicio. De la misma manera que si el acceso a Internet se realiza desde una red pública de telecomunicaciones, con un teléfono móvil o fijo, la compañía telefónica registrará el número marcado, junto con la fecha, la hora y la duración, para la posterior facturación. Evidente.
“En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999”.
En el mismo Informe se afirma, igualmente, que se puede dar el caso de que cualquiera pueda llegar a averiguar la dirección IP dinámica de un determinado usuario pero no ser capaz de relacionarla con otros datos que le permitan identificarlo.
“(…) Sin embargo, en muchos casos existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación”.
Aunque bien es cierto que la conclusión final es, al menos, discutible, al afirme que “aunque no siempre sea posible para todos los agentes de Internet identificar a un usuario a partir de datos tratados en la Red, desde esta Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”.
En definitiva, no todo dato lo es de carácter personal y para determinar si lo es o no, habrá que estudiar el caso concreto. Pero, ¿todo dato de carácter personal está sujeto a la LOPD?
Veamos cómo, en contraposición al “dato de carácter personal” tenemos el denominado “dato disociado” (que no se define en la LOPD aunque sí en el RD 1720/2007 como “aquél que no permite la identificación de un afectado o interesado) que, en buena lógica, es el resultado de un procedimiento de disociación que, a su vez, se define como todo tratamiento de datos personales realizado de tal manera que la información que se obtenga no pueda asociarse a persona identificada o identificable (en el RD 1720/2007 se define el procedimiento de disociación como “aquél que permite obtener datos disociados”). En definitiva un procedimiento de disociación debe eliminar la conexión entre el dato y la persona, de manera que se impida la identificación. Y si no hay datos de carácter personal no es necesario aplicar la LOPD. Los llamados “datos disociados” no se encuentran dentro del ámbito de aplicación de ésta.
Hay que ser muy cuidadosos en esta cuestión puesto que, para que exista dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la invocada Directiva 95/46/CE que expresamente señala que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado.
Por lo tanto, si podemos conseguir que el dato se “procese” (para contraponerlo al concepto de “tratamiento”) de tal manera que el resultado impida la identificación de la persona, aun utilizando medios técnicos no excesivos o muy gravosos, habremos conseguido un “dato disociado” que podremos utilizar de la manera que mejor convenga. Es fundamental tener muy en cuenta y no olvidar en ningún momento, a los efectos pretendidos que, para que exista disociación, no es necesario que la identificación se haya producido, sino que basta con que se permita o sea posible.
La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, podría permitir la exención del cumplimiento de las obligaciones que establece la LOPD, por ejemplo de requerir el consentimiento del interesado para poder utilizar esos datos en el tratamiento previsto.
Resumiendo, en el caso de datos disociados se parte de un dato de carácter personal que se procesa para que deje de ser tal.
Lo que os digo, en ocasiones veo … datos.
22 Mayo 2008 a las 9:12 am
[...] no es idónea para identificar a las personas (recordemos el concepto de “datos disociados” a que hemos hecho referencia en otra entrada anterior). Por otra parte, el mecanismo se presenta como inocuo desde el punto de vista de la salud, [...]