Con respecto a la cuestión de si las direcciones IP se consideran datos de carácter personal, una sentencia dictada el 3 de octubre de 2014 por la Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo y que, a su vez, se basa en una sentencia del Tribunal Superior de Justicia de la Unión Europea, considera que las direcciones IP tienen el carácter de datos personales. Por ello, la protección de las mismas se encuentra regulada en el RGPD y en la LOPD.
La condición de datos de carácter personal de las direcciones IP dinámicas aparece más detallado en el siguiente artículo, que pone de manifiesto que la razón por la que este tipo de secuencias numéricas son consideradas como tal radica en el hecho de que se asignan de manera individual a cada dispositivo en particular y que, por lo tanto, permiten identificar a los usuarios de los mismos.
En definitiva, el aporte de la sentencia anteriormente mencionadaa, es que el concepto de dato personal debe interpretarse de forma amplia. En este sentido, los datos que se recogen al navegar por Internet o al prestar servicios web, al combinarse con los datos obtenidos por el prestador del servicio, pueden llegar a identificar a una persona y, por lo tanto, pasarán a considerarse datos personales.
A este respecto, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, pone de manifiesto en el apartado 30 que:
Las personas físicas pueden ser asociadas a identificadores online facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.
Asimismo, dicha normativa también recoge cuál es el papel que desempeña el consentimiento al uso de los mismos por parte de los usuarios, como queda patente en su razón 32:
"El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta."