La clasificación de una dirección IP como dato personal bajo el RGPD tiene consecuencias directas para cualquier organización que opere un sitio web, utilice herramientas de analítica o mantenga registros de servidor. El TJUE estableció en la sentencia Breyer (Caso C-582/14) que incluso las direcciones IP dinámicas constituyen datos personales cuando el responsable del tratamiento dispone de medios razonables para vincularlas a una persona física. Desde entonces, la AEPD ha sancionado a múltiples organizaciones españolas por el tratamiento indebido de direcciones IP, incluyendo una multa de 100.000 EUR por la recogida de direcciones IP sin base legal en el contexto de herramientas de analítica web (Expediente PS/00240/2022). Comprender cuándo una dirección IP dato personal RGPD constituye un dato protegido es imprescindible para configurar correctamente los sistemas de información.
Puntos Clave
- El TJUE confirmó en Breyer (C-582/14) que las direcciones IP dinámicas son datos personales cuando el responsable puede vincularlas a una persona identificable.
- El RGPD incluye expresamente los “identificadores en línea” en la definición de datos personales (Art. 4(1), Considerando 30).
- La sentencia EDPS v SRB (C-413/23 P, septiembre 2025) matiza que los datos seudonimizados no son automáticamente personales para todo receptor, sino que depende de los medios de reidentificación disponibles.
- Las herramientas de analítica web que registran direcciones IP completas sin base legal infringen el RGPD.
- Las organizaciones deben implementar anonimización o truncamiento de IP para reducir la exposición al cumplimiento.
Definición de dato personal y direcciones IP
El Art. 4(1) del RGPD define los datos personales como “toda información sobre una persona física identificada o identificable”. El Considerando 30 aclara expresamente que los identificadores en línea, como las direcciones IP, las cookies y los identificadores de dispositivo, pueden utilizarse para crear perfiles de personas y, por tanto, están sujetos al reglamento.
Esta definición amplia significa que una dirección IP – ya sea estática o dinámica, IPv4 o IPv6 – puede constituir un dato personal cuando permite identificar directa o indirectamente a una persona física. La clave no es si la dirección IP identifica por sí sola, sino si el responsable del tratamiento dispone de medios razonables para vincularla a un individuo.
Para una comprensión detallada de la definición de datos personales, consulte nuestra guía sobre qué son los datos personales bajo el RGPD.
Jurisprudencia del TJUE: de Breyer a EDPS v SRB
Sentencia Breyer (C-582/14, octubre 2016)
El caso Breyer resolvió la cuestión de si las direcciones IP dinámicas constituyen datos personales para un operador de sitio web. Patrick Breyer demandó al Estado alemán por registrar las direcciones IP de los visitantes de sitios web gubernamentales.
El TJUE dictaminó que una dirección IP dinámica registrada por un proveedor de servicios en línea constituye un dato personal cuando el proveedor dispone de medios legales que le permitan razonablemente obtener la identificación del usuario a través de información adicional en poder del proveedor de acceso a Internet. En la práctica, esto significa que para la inmensa mayoría de los operadores de sitios web, las direcciones IP son datos personales, ya que los ISP conservan los datos de asignación de IP y existe un marco legal que permite su obtención en determinadas circunstancias.
Sentencia EDPS v SRB (C-413/23 P, septiembre 2025)
El TJUE matizó el criterio de Breyer en la sentencia EDPS v SRB de septiembre de 2025. El Tribunal estableció que los datos seudonimizados – incluidas las direcciones IP como forma de identificador seudonimizado – no son automáticamente datos personales para todo receptor. La clasificación depende de si la parte que posee los datos tiene medios razonables para reidentificar a las personas.
Esta sentencia es directamente relevante para las direcciones IP: una dirección IP puede ser dato personal para el ISP que puede vincularla a un abonado, pero no necesariamente para un tercero que carece de medios de reidentificación. La propuesta Digital Omnibus de la Comisión Europea de noviembre de 2025 intentó codificar un enfoque similar reformando la definición de dato personal, pero el texto de compromiso del Consejo de febrero de 2026 eliminó esa modificación, dejando el marco jurisprudencial del TJUE como estándar vigente.
Implicaciones prácticas para organizaciones
Analítica web y registros de servidor
La mayoría de las herramientas de analítica web (Google Analytics, Matomo, Adobe Analytics) registran direcciones IP completas de forma predeterminada. Tras la oleada de sanciones europeas contra el uso de Google Analytics en 2022-2023 – donde la CNIL, la autoridad austriaca y la italiana sancionaron a múltiples organizaciones por transferir direcciones IP a servidores estadounidenses --, las organizaciones deben verificar que sus herramientas de analítica anonimizan o truncan las direcciones IP antes de cualquier procesamiento.
La AEPD publicó en 2023 orientaciones específicas sobre el uso de herramientas de analítica, recomendando como mínimo el truncamiento de la IP (eliminación del último octeto en IPv4) antes de su almacenamiento, la utilización de proxies que eliminen la IP antes de enviar los datos a proveedores terceros y la verificación de que las transferencias internacionales derivadas del uso de estas herramientas cumplen el Capítulo V del RGPD.
Registros de servidor y ciberseguridad
Los registros de servidor que contienen direcciones IP completas constituyen un tratamiento de datos personales sujeto al RGPD. La base legal más habitual es el interés legítimo (Art. 6(1)(f)), ya que la conservación temporal de logs es necesaria para la seguridad de los sistemas. Sin embargo, este interés legítimo debe documentarse mediante la prueba de ponderación en tres partes y los plazos de conservación deben ser proporcionados.
Las orientaciones del CEPD sugieren que un plazo de conservación de 30 a 90 días para registros de servidor es generalmente proporcional al fin de seguridad, siempre que se justifique adecuadamente. Una conservación más prolongada requiere una justificación reforzada.
Cookies y rastreadores
Las cookies que almacenan o permiten la lectura de direcciones IP están sujetas tanto al RGPD como a la Directiva ePrivacy (2002/58/CE). En España, la LSSI (Ley 34/2002) exige el consentimiento informado para la instalación de cookies no estrictamente necesarias. La combinación de una dirección IP con una cookie de seguimiento aumenta significativamente la capacidad de identificación y, por tanto, la exposición regulatoria.
Sanciones y casos relevantes
AEPD
La AEPD ha sancionado a organizaciones españolas por el tratamiento indebido de direcciones IP. En el Expediente PS/00240/2022, impuso 100.000 EUR por la recogida de direcciones IP mediante herramientas de analítica sin base legal ni información a los interesados. En el Expediente PS/00188/2021, la Agencia sancionó con 70.000 EUR a una empresa por conservar registros de acceso con direcciones IP durante un periodo superior al necesario.
Sanciones europeas por Google Analytics
En 2022, las autoridades de control de Austria (DSB), Francia (CNIL) e Italia (Garante) declararon que el uso de Google Analytics implicaba una transferencia ilegal de direcciones IP a Estados Unidos y sancionaron a múltiples organizaciones. Estas decisiones confirmaron que las direcciones IP constituyen datos personales y que su transferencia a un tercer país requiere las garantías del Capítulo V del RGPD.
Medidas técnicas de protección de direcciones IP
Las organizaciones deben implementar medidas técnicas para minimizar los riesgos asociados al tratamiento de direcciones IP.
Anonimización: la eliminación completa e irreversible del dato de IP. Los datos verdaderamente anonimizados quedan fuera del ámbito del RGPD. El truncamiento del último octeto (por ejemplo, convertir 192.168.1.100 en 192.168.1.0) reduce significativamente la capacidad de identificación pero, según el CEPD, puede no constituir una anonimización completa.
Seudonimización: el reemplazo de la dirección IP por un identificador artificial. Los datos seudonimizados siguen siendo datos personales bajo el RGPD, pero la seudonimización reduce los riesgos y se considera una medida de seguridad conforme al Art. 32.
Cifrado: el cifrado de los registros que contienen direcciones IP protege los datos en tránsito y en reposo, y constituye una medida técnica adecuada conforme al Art. 32 del RGPD. La integración temprana de estas medidas responde al principio de protección de datos desde el diseño exigido por el Art. 25 RGPD.
FAQ
¿Las direcciones IP son siempre datos personales bajo el RGPD?
No siempre, pero sí en la mayoría de los contextos prácticos. Según la sentencia Breyer (C-582/14), una dirección IP dinámica es dato personal cuando el responsable del tratamiento dispone de medios razonables para vincularla a una persona identificable. Para los operadores de sitios web que pueden solicitar al ISP la identificación del usuario, las direcciones IP son datos personales. La sentencia EDPS v SRB (C-413/23 P) matiza que para un tercero que carezca de medios de reidentificación, la clasificación podría ser diferente.
¿Qué base legal se puede utilizar para registrar direcciones IP?
Las bases legales más habituales son el interés legítimo (Art. 6(1)(f) RGPD) para registros de servidor y seguridad, y el consentimiento (Art. 6(1)(a)) para cookies de analítica y seguimiento. El interés legítimo requiere una prueba de ponderación documentada, y el consentimiento debe cumplir los requisitos del Art. 7 RGPD: libre, específico, informado e inequívoco.
¿Cómo afecta la normativa española al tratamiento de direcciones IP?
En España, la LOPDGDD complementa el RGPD y la LSSI (Ley 34/2002) regula las comunicaciones electrónicas, incluyendo las cookies. La AEPD ha publicado orientaciones específicas sobre analítica web y ha sancionado a organizaciones por el tratamiento de direcciones IP sin base legal. La Instrucción 1/2006 limita la conservación de imágenes de videovigilancia (que pueden captar direcciones IP en redes) a un máximo de 30 días.
¿Qué riesgos tiene utilizar Google Analytics respecto a las direcciones IP?
Las autoridades de control europeas declararon en 2022-2023 que el uso de Google Analytics implicaba una transferencia ilegal de direcciones IP a servidores estadounidenses. Desde la adopción del DPF en julio de 2023, Google se certificó bajo este marco, lo que en principio permite la transferencia. Sin embargo, la estabilidad del DPF es incierta, y las organizaciones deben activar la anonimización de IP en Google Analytics 4 y verificar la configuración de transferencias internacionales.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
