Las direcciones IP dinámicas son datos personales según el máximo tribunal europeo

El día de hoy el Tribunal de Justicia de la Unión Europea (TJUE) ha dictado sentencia en el caso C-582/14, “Patrick Breyer y Bundesrepublik Deutschland”, en el cual el Bundesgerichtshof (Tribunal Supremo Civil y Penal de Alemania) ha remitido dos preguntas o cuestiones prejudiciales al TJUE en relación a temas de protección de datos personales.

Las circunstancias del caso hacen relación a la petición del político Patrick Breyer (Partido Pirata alemán) a los órganos jurisdiccionales de lo contencioso-administrativo alemanes para que “se prohibiera a la República Federal de Alemania conservar o permitir que terceros conservasen, al final de las sesiones de consulta de sitios accesibles al público de medios en línea de organismos federales alemanes, la dirección IP del sistema principal de acceso del Sr. Breyer, en la medida en que dicha conservación no fuera necesaria, en caso de fallo, para el restablecimiento de la difusión de esos medios”.

Dicha petición tiene como fundamento la preocupación del Sr. Breyer en relación al hecho de que al visitar los sitios web de organismos federales alemanes, con el objeto de prevenir ataques y posibilitar el ejercicio de acciones penales contra “piratas”, la mayor parte de ellos registran todas las consultas e información de navegación sobre sus usuarios.

Este registro ocurre al final de cada “sesión”, incorporando la siguiente información: (i) el nombre del sitio o fichero consultado, (ii) los términos introducidos en los campos de búsqueda, (iii) la fecha y hora de la consulta, (iv) la cantidad de datos transmitidos, (v) la constatación del éxito de la consulta y (vi) la dirección IP del ordenador desde el que se ha realizado la consulta.

La primera cuestión prejudicial planteada por el Bundersgerichtshof tiene por objeto que el TJUE determine si bajo las circunstancias expuestas las direcciones IP dinámicas (en contraposición a las estáticas), pueden ser consideradas como datos personales.

La segunda cuestión prejudicial tiene como finalidad que el TJUE establezca si el artículo 7, letra f de la Directiva de Protección de Datos Personales (DPD) permite o no que una disposición nacional (en este caso la ley alemana) permita a su vez recoger y tratar datos personales de un usuario sin su consentimiento cuando sea necesario para ofrecer y facturar el uso concreto del medio línea por ese usuario, y con arreglo a la cual el objetivo de garantizar el funcionamiento general del medio en línea no puede justificar la utilización de esos datos tras la conclusión de cada operación de uso concreta.

En cuanto a la primera gestión prejudicial, el TJUE estableció que las direcciones IP dinámicas (aquellas que cambian con ocasión de cada nueva conexión a Internet) registradas por un proveedor de servicios de medios en línea pueden constituir datos personales, siempre y cuando el proveedor de servicios disponga de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona.

En este sentido, el TJUE indica que una dirección IP dinámica no constituye información relativa a una “persona física identificada”, “puesto que tal dirección no revela directamente la identidad de la persona física propietaria del ordenador desde el cual se realiza la consulta de un sitio de Internet ni la de otra persona que pudiera utilizar ese ordenador”.

Como sea, y tal como lo establece el artículo 2, letra a) de la DPD, una dirección dato personal no requiere necesariamente hacer relación a una persona “identificada”, sino que también puede hacer referencia a una persona “identificable”, lo que se puede hacer directa o indirectamente.

La “información adicional” a la que hace alusión el TJUE y que permitiría identificar a una determinada persona, puede encontrarse u obtenerse de diversas formas. En el caso en análisis existen incluso vías legales para obtener dicha información complementaria: “existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales”.

En cuanto a la segunda cuestión prejudicial el TJUE declaró que la normativa europea se opone a una ley nacional que permita a los prestadores de servicios de medios en línea recoger y tratar datos personales de sus usuarios, sin su consentimiento, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de éstos.

La base de esta decisión se encuentra en los párrafos 50 a 64 de la sentencia. En síntesis, el TJUE indicó que de acuerdo al artículo 7, letra f), de la Directiva 95/46, el tratamiento de datos personales es lícito si «es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1, apartado 1», de dicha Directiva. Según el TJUE, dicho objetivo no se puede lograr mediante la norma alemana (artículo 15 Telemediengesetz [Ley relativa a ciertos servicios de comunicación e información electrónicos]), ya que ella va más allá de los objetivos trazados por la DPD.

Sin perjuicio de la decisión del TJUE sobre la segunda cuestión prejudicial, resulta claro que de cualquier modo los “gestores” de sitios web gubernamentales alemanes podrán almacenar datos como las direcciones IP de sus usuarios, cuando cuenten con un interés legítimo, el que por ejemplo puede estar basado en la necesidad de protegerse y combatir ataques informáticos.

En pocas palabras:

  • Las direcciones IP dinámicas pueden constituir datos personales siempre y cuando exista otra información a la cual se les pueda vincular para determinar la identidad de la persona navegando bajo dicha dirección IP.

  • El tratamiento de datos personales consistentes en direcciones IP dinámicas por regla general debe basarse en el consentimiento del titular de datos, pero de igual modo puede fundarse en el “interés legítimo” del “responsable del tratamiento o terceros”. Cuando se está frente a este tipo de casos, se debe realizar un análisis casuístico que determine si el titular del responsable o de los terceros son superiores a los derechos del titular de datos personales.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s