La AEPD aprecia los argumentos de Telefónica al negarse a facilitar una dirección IP a su titular
Esta semana se ha publicado una resolución de la AEPD (Expediente Nº 202412453) relativa a una reclamación interpuesta por un particular a Telefónica Móviles España, S.A. por negarse a facilitarle sus direcciones IP como contestación al ejercicio de un derecho de acceso ejercido por el reclamante.
El reclamante solicitó a Telefónica que le facilitara las distintas direcciones de IP que le había asignado como titular de un número de teléfono fijo. Telefónica contestó el ejercicio de derecho de acceso señalando que la normativa sectorial de telecomunicaciones le obliga a salvaguardar el secreto de las telecomunicaciones y demás datos asociados que puedan indirectamente revelar información sobre los usuarios, entre los que se encuentra la dirección IP; asimismo, la normativa de protección de datos también contempla excepciones al derecho de acceso, como cuando se ven involucrados datos de terceras personas.
La compañía de telecomunicaciones señaló que el acceso a datos como la dirección IP podría facilitar inferencias sobre actividades de otros usuarios que hayan utilizado esa misma IP, por ejemplo, datos asociados a su navegación en la web. A juicio de Telefónica, ello implicaría que revelar dicha información supondría una vulneración al secreto de las comunicaciones electrónicas de terceros, así como a la normativa de protección de datos, que para casos como este exige que medie el consentimiento de los terceros cuyos datos vayan a ser facilitados.
Por su parte, la AEPD recuerda que la dirección IP se considera un dato personal, ya que permite identificar a los usuarios en determinados contextos y por ello está dentro del ámbito de aplicación de la normativa de protección de datos, y consecuentemente, de la regulación del derecho de acceso, concretamente de los artículos 15 del RGPD y 13 de la LOPD. No obstante lo anterior, la AEPD matiza que el mismo artículo 15 del RGPD señala en su numeral cuarto que el derecho de acceso no afectará negativamente a los derechos y libertades de terceros.
Esta disputa tiene lugar debido a que la dirección IP no es un dato único ni permanente para el titular de una línea telefónica o de un servicio de Wi-Fi, sino que este dato puede ser compartido por distintos usuarios en diferentes momentos. En ese sentido, existen direcciones IP fijas y dinámicas. Como su nombre sugiere, las primeras son aquellas que permanecen constantes en el tiempo y suelen ser utilizadas para alojar servidores, permitir acceder a sistemas remotos o configurar servicios que requieran una dirección fija, mientras que las IP dinámicas son aquellas que van cambiando con el tiempo y suelen ser las más utilizadas por proveedores de internet y telefonía para sus clientes, al ser más fáciles de administrar gracias a su flexibilidad.
En vista de lo anterior, al tener el reclamante una dirección IP dinámica, al concederle el acceso a dicha información se podría estar facilitando datos (o permitiéndole acceder a ellos) de distintos usuarios que también hubiesen tenido dicha dirección IP, acceso que no se podría producir sin el consentimiento del resto de terceros afectados. Por todos estos motivos, la AEPD considera que no existe una vulneración de la normativa al no facilitar la dirección de IP al reclamante y resuelve desestimar la reclamación.
Resulta especialmente interesante analizar cómo podría impactar este argumento (no se puede conceder a un interesado el acceso a sus datos si dichos datos son compartidos por terceras personas) a otros supuestos, como los contemplados en la Data Act (disponéis de un análisis de la norma aquí), sobre el uso y compartición equitativa de datos generados por dispositivos conectados y servicios relacionados, ya que los datos generados por un dispositivo inteligente pueden estar relacionados a varias personas, por ejemplo, cuando los dispositivos son utilizados por varios usuarios que viven en una smart home.