DESAFÍOS ANTIL AVADO
Este caso de la granja de Kansas fue citado por la Electronic Frontier Foundation (EFF), al
desafiar la dependencia de direcciones IP de identificar la ubicación de los delitos y la identi-
dad de las personas involucradas. Las recomendaciones del EFF a las autoridades de control
legal y de los tribunales promueven una evaluación adecuada de los datos de la dirección IP y
una corroboración temprana. 8
Las direcciones IP fraudulentas han sido centrales en la botnet Methbot que está asociada con
pérdidas que superan los $180 millones. Methbot utiliza servidores de los EE.UU. y de los Paí-
ses Bajos para alimentar más de 850.000 bots con direcciones IP falsamente registradas, lo que
les permitió a los ciberdelincuentes llevar a cabo la mayor trama de fraude publicitario jamás
descubierta. Según los informes, esta estafa arrojó entre 3 y 5 millones de dólares por día en
ingresos publicitarios fraudulentos mediante la obtención fraudulenta de direcciones IP de
registros de internet en el extranjero y luego los registró falsamente en proveedores de servicio
en los EE.UU. Las direcciones IP evadieron la detección de fraudes al parecer que provenían de
usuarios reales en los EE.UU. 9
Las direcciones IP generalmente están asociadas con un equipo o servidor específico, pero
pueden o no estar asociadas con un usuario individual, lo que podría conducir a problemas de
privacidad de datos. Los funcionarios de la Comisión Federal de Comercio (FTC, por sus siglas
en inglés) consideran que la dirección IP es una información de identificación personal que
debe ser protegida apropiadamente cuando ella u otros identificadores persistentes pueden
estar vinculados a un individuo, computadora o dispositivo en particular. 10
Funcionarios de la FTC les han advertido a los operadores de sitios web que recopilan identifi-
cadores persistentes que no hagan declaraciones generales de que la información personal no
se está recopilando o que los datos recolectados son anónimos. Las medidas de protección de
datos y las evaluaciones de riesgos deberían ser apropiadas para todos los datos recopilados, no
sólo datos como el nombre del individuo o la dirección de correo electrónico. 11
El Tribunal de Justicia de la Unión Europea (UE) 12 declaró recientemente que una dirección
IP dinámica puede clasificarse como datos personales cuando se combina con datos identifi-
cables sobre el usuario individual. 13 Esto es compatible con el Reglamento General de Pro-
tección de Datos de la UE (GDPR), que se aplicará a los países de la UE a partir del 25 de
mayo del 2018. 14
El considerando 30 del GDPR establece que
las personas físicas pueden estar asociadas a
identificadores en línea, como las direccio-
nes IP. Dichos identificadores en línea pue-
den dejar huellas que, cuando se combinan
con identificadores únicos y otra informa-
ción recibida por los servidores, pueden
usarse para crear perfiles de personas natu-
rales e identificarlos.
Los operadores de sitios web y los proveedo-
res de aplicaciones que recopilan datos per-
sonales de la UE—en servidores locales o en
la nube 15 —deben comprobar cómo la reco-
pilación de direcciones IP puede verse afec-
tada por los requisitos GDPR. Esto podría
incluir un consentimiento más estricto,
retención y obligaciones de transferencia de
datos transfronterizos, aunque pueden apli-
carse excepciones. 16
Países como Argentina, 17 Canadá, 18 Hong
Kong, 19 Japón 20 y Suiza 21 clasifican las direc-
ciones IP como datos personales cuando se
combinan con datos identificables.
Brasil tiene un enfoque notable con direc-
ciones IP. Para facilitar la identificación de
los usuarios que han participado en actos
delictivos o infracción de datos personales,
Brasil requiere la retención de direcciones
IP de los usuarios en los registros de
conexión (que rastrean la conexión a inter-
net del usuario) y los registros de acceso a la
aplicación. Los registros de conexión deben
mantenerse en un entorno seguro durante
Aaron Mackey, Seth Schoen, Cindy Cohn, “Unreliable Informants: IP Addresses, Digital Tips and Police Raids,” Electronic Frontier Foundation, septiembre de 2016,
https://www.eff.org/files/2016/09/22/2016.09.20_final_ formatted_ip_address_white_paper.pdf
9
“The Methbot Operation,” White Ops, 20 de diciembre del 2016, http://go.whiteops.com/rs/179-SQE-823/images/WO_Methbot_Operation_WP.pdf
10
“Protecting Consumer Privacy in the Digital Age: Reaffirming the Role of Consumer Control, Keynote Address of FTC
Chairwoman Edith Ramirez Technology Policy Institute Aspen Forum,” Federal Trade Commission, 22 de agosto del 2016,
https://www.ftc.gov/system/files/documents/public_statements/980623/ramirez_-_protecting_consumer_privacy_in_digital_age_aspen_8-22-16.pdf
11
Jessica Rich, “Keeping Up with the Online Advertising Industry,” Federal Trade Commission, 2 de abril del 2016,
https://www.ftc.gov/news-events/blogs/business-blog/2016/04/keeping-online-advertising-industry
12
Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia,
Latvia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Reino Unido, Romania y Suecia
13
“Case C‑582/14, Patrick Breyer v Bundesrepublik Deutschland,” Judgment of the Court (Second Chamber), 19 de octubre del 2016,
http://curia.europa.eu/juris/document/document_print.jsf;jsession...qMbN4PahaLe0?doclang=EN&text=&pageIndex=0&docid=184668&cid=90876
14
“Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016,” Official Journal of the European Union, 5 de abril del 2016,
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
15
“Managing the Challenges of the Cloud Under the New EU General Data Protection Regulation,” Netskope, 2016,
http://cloudfseurope.com/wp-content/uploads/sites/3/2016/05/Netskope-EU-GDPR-Managing-the-Challenges-of-Cloud-White-Paper.pdf
16
Alex van der Wolk, Hanno Timner, “European Court of Justice: IP Addresses Are Personal Information,” Westlaw Journal Computer & Internet, 4 de noviembre del
2016, https://media2.mofo.com/documents/161104-wlj-european-court-of-justice.pdf
17
Maximiliano D’Auro, Florencia Rosati, Manuela Adrogué and Ambrosio Nougués, “Data protection in Argentina: Overview,” Practical Law, 1 de septiembre del 2016,
http://us.practicallaw.com/3-586-5566
18
“What an IP Address Can Reveal About You,” Office of the Privacy Commission of Canada, mayo de 2013, https://www.priv.gc.ca/media/1767/ip_201305_e.pdf
19
“Data Protection Principles in the Personal Data (Privacy) Ordinance – from the Privacy Commissioner’s perspective (2nd Edition),” Office of the Privacy
Commissioner for Personal Data, Hong Kong, 2010, https://www.pcpd.org.hk/english/resources_centre/publications/books/files/Perspective_2nd.pdf
20
Mangyo Kinoshita, Shino Asayama, Eric Kosinski, “Data protection in Japan: overview,” Practical Law, 1 de noviembre del 2014,
http://uk.practicallaw.com/5-520-1289
21
Tom Espiner, “Swiss fileshare software broke DP law, says court,” ZDNet, 10 de septiembre del 2010,
http://www.zdnet.com/article/swiss-fileshare-software-broke-dp-law-says-court/
8
ACAMS TODAY | JUNIO–AGOSTO 2017 | ESPANOL.ACAMS.ORG | ACAMSTODAY.ORG
41