Leyes y regulaciones de protección de datos para almacenar direcciones IP para usuarios registrados [cerrado]

Navega tus respuestas
2

Tengo un sitio web, solo se puede acceder a grandes cantidades de este sitio si el usuario inicia sesión. Me gustaría usar las direcciones IP de los usuarios como un medio para determinar dónde se encuentran cuando acceden a ciertas páginas.

Me gustaría usar la IP de los usuarios para determinar si están en un determinado instituto (empresa, universidad, escuela, etc.). Sé los rangos de direcciones IP para el instituto (por ejemplo, 0.0.1.0 a 0.0.1.255 ) y conozco la dirección IP de los usuarios, por ejemplo. 0.0.1.1 .

Lo ideal es que almacene la dirección IP de los usuarios en una base de datos que me permita decir "Persona X a la página Y desde la computadora 0.0.1.1 ".

He leído, en varios foros, que hay algunas cosas que debe tener cuidado al almacenar direcciones IP que se pueden vincular a usuarios específicos. En algunos casos, las personas dicen que deben eliminarse después de 90 días, me gustaría evitar eliminar esta información hasta que el usuario ya no esté registrado en mi sitio.

¿Puedo almacenar esta información sin infringir ninguna ley, ley de protección de datos, etc.?

Para resumir:

  • Me gustaría almacenar direcciones IP para usuarios conocidos cada vez que accedan a ciertas páginas
  • Nunca almacenaría direcciones IP para los visitantes que no están registrados en mi sitio
  • La información se almacenará hasta que el usuario ya no esté registrado en el sitio (en cuyo momento se eliminarán las IP).
  • Estoy seguro de que las leyes varían de un país a otro, para mayor claridad: todos los usuarios registrados están en el Reino Unido (los datos también se almacenan en el Reino Unido)
pregunta Phil 01.03.2014 - 16:18
fuente

2 respuestas

1

Definitivamente, debe verificar las leyes de protección de datos tanto en Europa como en el Reino Unido para estar seguro, pero siempre y cuando no recopile y almacene Personalmente Información identificable (PII) , no tendrá que preocuparse realmente por las leyes y regulaciones.

Más precisamente:

  

Una dirección IP aislada no es información personal según los datos del Reino Unido   Ley de protección, según el comisario de información. Pero una IP   La dirección puede convertirse en datos personales cuando se combina con otra información.   o cuando se usa para construir un perfil de un individuo, incluso si eso   El nombre del individuo es desconocido.

Por lo tanto, esto debe determinarse en función del tipo de información que recopile y / o almacene de sus usuarios.

Además, como se menciona en los comentarios, este no parece ser el enfoque correcto para lograrlo.

    
respondido por el ack__ 01.03.2014 - 17:05
fuente
1

La ley europea de protección de datos se basa (actualmente) en el 95 / 46 Directiva de la UE . Esto significa que la ley es, en su mayoría, la misma en todos los estados miembros en términos generales (a diferencia de un reglamento, una directiva de la UE otorga a los estados miembros un margen sobre cómo implementar la directiva mientras sigue siendo legalmente vinculante).

Las direcciones IP generalmente se consideran datos personales dentro de la UE, Reino Unido es excepcional en este sentido. Incluso dentro del Reino Unido, el ICO es consciente del hecho de que las direcciones IP son un área gris con respecto a los datos personales (buen artículo aquí ) ya que pueden relacionarse con un individuo único sin demasiado esfuerzo dependiendo de quién los recopila.

Algunos principios de protección de datos para ayudarlo a decidir si este es el caso:

¿Almacena los datos para un propósito específico y legal? Usted menciona "Quiero saber dónde están cuando acceden a los datos". Por qué quieres saber? ¿Para vender los datos recopilados a una empresa de marketing o para optimizar su sitio? El primero puede no ser legal, el segundo parece bastante razonable.

¿Es proporcional? ¿Necesita la información que reúne o podría hacer menos para lograr su propósito?

¿Cuánto tiempo necesitas los datos? Esto depende en gran medida del propósito para el cual lo reuniste en primer lugar. Generalmente no hay un término definido, depende del propósito. Para optimizar su sitio, 90 días podrían estar bien, realizar una parte del análisis científico de 2 años de un estudio universitario sobre el uso del sitio web en el Reino Unido no es lo suficientemente largo.

Además, si las personas registradas o no no necesariamente importa, siempre y cuando las personas den su consentimiento. Por supuesto, la forma más fácil de solicitar el consentimiento para procesar cierta información está en el formulario de registro. La ley de protección de datos requiere un consentimiento informado (por ejemplo, las personas que dicen "Estoy de acuerdo" sin leer realmente los términos, ya que los términos son del tamaño de fuente 3 y se muestran en un color similar al del fondo, generalmente no conllevan un consentimiento informado). Si se otorga dicho consentimiento y usted procesa los datos que recopila de acuerdo con los términos que especificó cuando las personas dieron su consentimiento, debería estar listo.

Nota final: la seguridad es un aspecto importante, todos los datos personales deben almacenarse de acuerdo con los medios tecnológicos y organizativos apropiados. Es decir, tomar precauciones razonables para asegurar los datos.

    
respondido por el user3244085 01.03.2014 - 23:38
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo protegerme del operador de VPN cuando uso una VPN para obtener acceso gratuito a Internet? ¿Alternativa a cobrar 2 pequeñas cantidades por la autenticación de tarjetas de crédito?