El informe 327/03 de la Agencia Española de Protección de Datos (AEPD) llega a la conclusión de que las direcciones IP, tanto fijas como dinámicas, son datos de carácter personal a los que hay que aplicar medidas de seguridad de nivel básico. Los razonamientos de la AEPD son los siguientes:
Los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios a los que han asignado direcciones IP.
Con la asistencia de terceras partes responsables de la asignación de la dirección IP se puede identificar a un usuario de Internet por medios razonables.
Existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos.
Sin embargo, existen muchas actividades en las que se trabaja con direcciones IP completamente disociadas y en las que no es posible identificar a un usuario concreto de Internet por medios razonables. Exigir el tratamiento de dichas direcciones IP como datos personales, con la consiguiente aplicación de medidas de seguridad de nivel básico, sería altamente costoso para muchas empresas.