El Informe 327/2003 de la AEPD resuelve las cuestiones planteadas sobre si la dirección IP es un dato de carácter personal y cuál sería el nivel de seguridad aplicable de conformidad con la Ley Orgánica 15/1999.
1-En primer lugar, la AEPD SI considera las direcciones IP como datos de carácter personal sujetas a la LOPD, pues éstas permiten a proveedores y administradores de redes, identificar a los usuarios de Internet a los que las han asignado sin grandes esfuerzos.
2- Respecto al nivel de seguridad que corresponde aplicar a su tratamiento, la AEPD responde que:
-Todos los ficheros con datos personales deben adoptar medidas de seguridad de nivel básico.
-Los ficheros con datos relativos a comisión de infracciones administrativas o penales, los de la Hacienda Pública, servicios financieros, los que se rijan por el artículo 29 de la LOPD, los de la Seguridad Social y los de elaboración de perfiles, deberán reunir, además de las medidas de nivel básico, las medidas de nivel medio.
-Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual o los que contengan datos para fines policiales sin consentimiento del titular, deberán reunir además de las medidas de nivel básico y medio, las de nivel alto.
Por tanto, al fichero que contenga únicamente direcciones IP, le serán de aplicación medidas de seguridad nivel básico, pero si se tratan datos de dirección IP asociada a sitios web solicitados para elaborar perfiles de usuario, evaluando la personalidad del individuo, se deberán adoptar las medidas de nivel medio.