¿Qué es una dirección IP y por qué se considera un dato personal?

Una dirección IP es una dirección de Internet única que se asigna a cada dispositivo. Dado que se utiliza para acceder a sitios web, se considera datos personales, ya que proporciona información sobre el usuario, incluida su ubicación.

¿Cómo se utilizan las direcciones IP al utilizar herramientas de terceros como Google Maps?

Cuando un sitio web incorpora una herramienta como Google Maps, la dirección IP del usuario se transmite automáticamente al proveedor de terceros. Esto se debe al protocolo de Internet y permite al proveedor recopilar y analizar información sobre la ubicación del usuario.

¿Qué son los datos personales en el contexto de esta declaración?

Los datos personales son información que se refiere a una persona identificada o identificable. Esto incluye, por ejemplo, las direcciones IP que se capturan al visitar un sitio web.

¿Qué impacto tiene la invalidación del Privacidad Shield en los sitios web?

La invalidez del Privacy Shield significa que muchas herramientas comunes de sitios web, como Google Maps o botones de Facebook, no pueden ser utilizadas sin el consentimiento explícito de los usuarios, ya que recopilan datos personales.

¿Por qué no se pueden utilizar ciertas herramientas de sitios web sin el consentimiento?

Esto se debe a que las direcciones IP se consideran datos personales y el Reglamento General de Protección de Datos (RGPD) requiere un consentimiento explícito para la recopilación y el procesamiento de datos. Las herramientas deben utilizarse con la aprobación de los usuarios.

Direcciones IP: Conceptos básicos y RGPD

General

La dirección IP se refiere a la dirección de protocolo de Internet y es un componente fundamental del protocolo que forma la base para llamar a sitios web.

Las direcciones IP son datos personales.
Las sentencias del TJCE y del BGH así lo establecen claramente

Una dirección IP es un dato personal. Así lo estableció el TJUE en su sentencia del 19.10.2016 – C-582/14, y así también lo hizo el BGH en su sentencia del 16.05.2017 – VI ZR 135/13. Esto es válido incluso para direcciones IP dinámicas, es decir, aquellas direcciones de red que pueden cambiar por ejemplo todos los días.

Al hacer una llamada a una página web mediante un navegador se transmite la dirección IP del usuario, es decir, su dirección de red, a la página web solicitada. Dado que las direcciones IP son datos personales, el llamado a una página web siempre es un proceso relevante para la RGPD.

Por cierto, las direcciones IP son potencialmente siempre personales para empresas que operan a nivel mundial y cubren todos los aspectos de la vida cotidiana como Google, independientemente de las leyes nacionales. También no necesita el citado fallo del TJUE para argumentar sobre el carácter personal de las direcciones IP para Google.

¿Qué son los datos personales?

Comúnmente se entiende por tales todos los datos que pueden utilizarse para establecer una identidad. Sin embargo, estos datos también incluyen los que van unidos a una persona, como la preferencia por las rosas rojas.

Mientras se puede imaginar fácilmente que nombre, dirección y número de teléfono forman parte de una identidad, resulta difícil para el sentido común que las IP-Adreses sean personales. Porque el Tribunal Supremo Alemán (BGH) ha decidido así , las IP-Adreses son ahora personales. Tan pronto como un usuario accede a una página web, se transmite su dirección IP al servidor donde está la página web. Si en la página web están incorporados herramientas de terceros, también se transmite la dirección IP del usuario al proveedor de servicios de terceros. Dichas herramientas pueden ser videos, mapas o formularios.

Transferencia a terceros mediante la integración de servicios/herramientas/scripts/archivos

Si una página web X vincula un servicio como por ejemplo Google Maps, sucede necesariamente lo siguiente debido al protocolo de Internet mencionado anteriormente:

Usuario con dirección IP 4711 accede al sitio web
La página web X incorpora _Google Maps
Como resultado, el sitio web X transmite la dirección IP 4711 a Google

El operador del sitio web X es responsable de garantizar que los datos personales del usuario se transmitan a Google a través del sitio web.

Cadena de llamadas

Normalmente se utilizan nombres simbólicos para sitios web y servicios en lugar de direcciones IP. Por ejemplo, una variante del script que hay que incorporar para Google Analytics es google-analytics.com/analytics.js_

Direcciones IP en los registros del servidor

A través de un servidor de nombres (Servicio de Nombres de Dominio, abreviado: DNS) se resuelve este nombre a una dirección IP. Para cada dirección IP hay información en forma de bases de datos con rangos de direcciones sobre qué país corresponde esta dirección IP. Estos rangos pueden cambiar teóricamente. En la práctica, especialmente para direcciones IP muy solicitadas, son estables durante mucho tiempo. Las bases de datos de direcciones se actualizan regularmente. Una distribución de carga en grandes empresas como Google garantiza que no siempre se utilice la misma dirección IP para una dominio como google.com. En una semana, según mi observación, 72 x 256 direcciones IP desaparecieron de los rangos para Estados Unidos y algunas otras aparecieron. Con más de mil millones de direcciones IP que corresponden a Estados Unidos, 72 x 256 = 18.432 es una magnitud no perceptible.

La dirección IP actual se puede determinar mediante el comando DOS tracert, mediante la herramienta mencionada en el siguiente paso CountryTraceRoute o al acceder a una página web mediante la consola de desarrolladores del navegador. Aquí hay un ejemplo después de acceder a una página web, como se muestra en el navegador Firefox en su consola de desarrolladores (accesible con la tecla F12):

Dirección IP de un archivo recuperado al acceder a un sitio web

La página web llamada binda un plugin de medios sociales de Twitter, como se puede ver por los nombres de archivo. La dominio pbs.twimg.com tenía la dirección IP 23.1.106.237 (la especificación de postfix :443 indica el puerto, que en este caso es irrelevante).

La mayoría de las veces no existe una conexión directa entre el llamador de una página web y la dirección de un servicio incorporado como Google Analytics. Esto es análogo a los horarios de trenes entre dos ciudades: para ciertas rutas de viaje hay que cambiar a otro tren (otra dirección) en un punto determinado. A diferencia de los trenes, las cadenas de llamadas (rutas) para direcciones IP no son infrecuentes en todo el mundo.

Referencia del país

Con un herramienta gratuita como CountryTraceRoute (descarga gratuita en https://www.nirsoft.net/utils/country_traceroute.html), se puede determinar la cadena de llamadas para cualquier nombre de dominio. Para cada IP-visitada, se muestra directamente el país.

Para la dirección IP mencionada anteriormente del plugin de Twitter, se obtiene como resultado (partes anonimizadas):

Ruta para la dirección IP del plugin de Twitter

Al acceder a una archivo del Twitter Plugins se visitan los países Alemania, Países Bajos, EE.UU y Reino Unido, recientemente nuevamente EE.UU.

Aquí otro ejemplo para google-analytics.com (parte anonimizada):

Aufrufkette samt Ländern für google-analytics.com

Al acceder a un archivo desde la dominio google-analytics-com se visitarán (probablemente) los países Alemania, Países Bajos y Estados Unidos.

Que una dominio no es cookieless se muestra en mi investigación del Google Tag Manager.

Si una zona de nombres está legalmente asignada a una doméstica, se puede determinar mediante una consulta WHOIS.

Declaración sobre la transferencia de datos personales

Para todos los datos personales que se recopilen, transmitan y procesen a través de una página web, deben hacer accesible a los usuarios una declaración adecuada. Esto se hace en la Declaración de protección de datos.

Para algunas de estas operaciones, esta explicación incluso debe ser accesible antes de transferir datos del usuario. Un ejemplo es el botón de "Me gusta" de Facebook como plugin para sitios web. Dado que la recopilación previa de consentimiento a menudo no es posible o impracticable, el uso de herramientas semejantes genera una alta incertidumbre jurídica.

El Privacy Shield Problema

El Privacy Shield era un acuerdo informal de protección de datos entre Europa y América. Tenía que garantizar que la procesamiento de datos en EE.UU se llevara a cabo según estándares similares a los de la Regulación General de Protección de Datos de la UE (RGPD-UE). El Tribunal de Justicia Europeo (TJE) decidió el 16. Julio 2020 que el Privacy Shield es inválido. Las consecuencias son especialmente graves para las páginas web: todos los herramientas de Google, Adobe, YouTube, Vimeo, Facebook, Instagram, Pinterest, etc. no pueden ser utilizadas en las páginas web sin consentimiento. La razón es que las direcciones IP son datos personales, como se explicó anteriormente. Las siguientes herramientas están afectadas:

Google Maps
Google reCAPTCHA
Fuentes externas de Google
Fast Fonts (Fonts.com)
Adobe Typekit
Omniture Analytics (Adobe Analytics)
OpenStreetMap (a través de MapBox o similar)
YouTube Videos
Vídeos de Vimeo
SoundCloud Player

Como se puede ver en la lista, es muy grande el número de herramientas populares cuyo uso directo parece ilegal, o el número de páginas web afectadas. Por suerte, hay soluciones, por ejemplo, en lugar de Google Maps una carta interactiva conforme con la protección de datos. Los plugins críticos pueden descubrirse mediante mi Website-Check.

Mensajes clave

Las direcciones IP son datos personales y se deben tratar con cuidado según el RGPD.

Las direcciones IP de sitios web pueden visitar varios países antes de llegar al usuario final, creando una "cadena de llamadas" que puede ser compleja.

El uso de herramientas populares como Google Maps o Facebook en sitios web puede ser ilegal sin el consentimiento explícito de los usuarios debido a la normativa de protección de datos.

Acerca de