BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 20 diciembre 2025

Registro de direcciones IP bajo el GDPR: seudonimización, dato personal y qué está permitido

Una dirección IP es un dato personal según el GDPR. Los registros de seguridad suelen necesitarlos durante semanas o meses. ¿Cómo se concilia eso con los principios de conservación?

Una dirección IP se considera un dato personal bajo el GDPR. Los registros de seguridad que almacenan direcciones IP están sujetos a las normas de tratamiento de datos.

Bases legales permitidas

  • Interés legítimo: seguridad, prevención del fraude, resolución de problemas. La más utilizada.
  • Obligación legal: en caso de legislación específica (supervisión financiera).
  • Consentimiento: raramente necesario para los registros de seguridad.

Plazos de conservación

  • Registros de acceso web: 30 días por defecto, hasta 90 para fines forenses.
  • Registros de autenticación (intentos de inicio de sesión): 90 días - 1 año.
  • Registros de cortafuegos: 30-90 días.
  • Registros de auditoría para cumplimiento: 3 años (requerido por ISO).

Conservar datos por más tiempo implica una justificación más sólida en el registro de tratamiento y un análisis de riesgos que explique por qué es necesario.

Seudonimización

¿Es posible anonimizar el último octeto (192.168.1.x → 192.168.1.0/24)? Para analítica es suficiente. Para seguridad, generalmente no: necesitas poder correlacionar una IP específica.

Derechos de los interesados

Si alguien pregunta "¿qué registros tienes sobre mí?", debes poder buscar tanto por su IP como por su ID de cuenta. Documenta en tu sistema cómo lo haces.

Ver también: pilar GDPR, plazos de conservación.

Onderwerpen

#security #avg #ip-adres #logs

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

Cumplimiento GDPR para pymes: el mínimo práctico

El GDPR no cuesta €10.000 ni exige un DPO hasta cierto tamaño. Esto es lo que toda pyme debe tener como mínimo — basado en lo que la autoridad supervisora realmente inspecciona.

2 min
AVG & privacy

Plazos de conservación por categoría de datos en pymes

¿Cuánto tiempo conservas datos de clientes, candidatos, facturas o grabaciones CCTV? Aquí las categorías más importantes en una tabla resumen, con la fuente de cada plazo.

2 min
AVG & privacy

Consentimiento de marketing: email, WhatsApp, retargeting — ¿qué está permitido?

Tu newsletter, tus emails promocionales, tus píxeles de retargeting — todos necesitan una base de consentimiento. Aquí las reglas concretas por canal.

2 min
AVG & privacy

Derechos de los interesados: acceso, rectificación, supresión — un procedimiento que funciona

Un cliente quiere ver sus datos o directamente eliminarlos. Tienes 30 días. Aquí el procedimiento que funciona sin que una solicitud te cueste media semana.

2 min
AVG & privacy

Sub-encargados fuera de la UE: lo que la sentencia Schrems II sigue exigiendo

¿Usas AWS, Google o Microsoft? Entonces parte de tus datos pasa por EE. UU. Desde Schrems II eso ya no es algo que puedas dar por sentado. Aquí te explicamos qué funciona hoy.

2 min
AVG & privacy

DPIA — Evaluación de Impacto en la Protección de Datos: ¿cuándo es obligatoria y cuándo no?

Una DPIA suena a algo reservado para grandes empresas. Para una pyme rara vez es necesaria, pero sí lo es en algunas situaciones concretas. Aquí tienes el árbol de decisión.

2 min
← Alle artikelen in "AVG & privacy"