Una
dirección IP dinámica, mediante la que un usuario ha accedido a la página web
de un proveedor de servicios de telecomunicaciones y que ha sido almacenada por
éste, constituye para dicho proveedor de servicios un “dato personal” en la
medida en que un proveedor de acceso a la red posea otros datos adicionales
que, asociados a dicha dirección, permitan identificar al usuario.
Así
lo ha señalado el abogado general español, Sr. Campos Sánchez-Bordona, en sus
Conclusiones en el asunto C 582/14 Breyer, que queda pues pendiente de la
decisión final del Tribunal (pues recordemos que el Abogado General propone al
Tribunal de Justicia dar una solución jurídica determinada a un asunto, pero sus
conclusiones no son vinculantes a la hora de dictar sentencia)
¿Qué es una IP dinámica?
Una
dirección IP es una secuencia de números binarios que, asignada a un
dispositivo (un ordenador, una tableta, un teléfono inteligente), lo identifica
y le permite acceder a la red de comunicaciones electrónicas.
Para
conectarse a Internet, el dispositivo ha de emplear la secuencia numérica
proporcionada por los proveedores del servicio de acceso a la red (por lo
general, las compañías telefónicas).
La
dirección IP se transmite al servidor donde está almacenada la página web
objeto de consulta. Los proveedores de acceso a la red atribuyen a sus clientes
las denominadas «direcciones IP dinámicas», de manera temporal, para cada
conexión a Internet, y las cambian con ocasión de las conexiones posteriores.
Esas
mismas compañías llevan un registro en el que consta qué dirección IP han
adjudicado a un determinado dispositivo en cada momento. Los titulares de los
sitios web a los que se accede mediante las direcciones IP dinámicas también
suelen mantener registros en los que constan qué páginas se han consultado,
cuándo y desde qué dirección IP dinámica.
Técnicamente,
esos registros pueden conservarse sin límites temporales una vez terminada la
conexión a Internet de cada usuario.
Si
bien una dirección IP dinámica no basta por sí sola para que el prestador de
servicios identifique al usuario de su página web, aquel podrá hacerlo si
combina la dirección IP dinámica con otros datos adicionales en manos del
proveedor de acceso a la red, en particular con la denominada «direcciones IP
fijas o estáticas», que son invariables y permiten la identificación permanente
del dispositivo conectado a la red,
Los antencedentes del caso
El
actor, ciudadano alemán, ejercitó una acción de cesación contra la República
Federal de Alemania r por el registro de direcciones IP que realizan la mayor
parte de los portales de Internet de las instituciones públicas alemanas, para
prevenir ataques y posibilitar la persecución penal de los agresores.
La
mayor parte de esos portales almacenan todos los accesos en ficheros o
registros de protocolo (en ellos conservan, incluso después de acabada la
operación, el nombre del fichero o de la página solicitados, los conceptos
introducidos en los campos de búsqueda, el momento de la llamada, la cantidad
de datos transmitidos, el informe sobre si la llamada se ha llevado a cabo y la
dirección IP del ordenador desde el que se ha hecho).
El
Sr. Breyer consultó varias de las páginas mencionadas y solicitó que se
condenase a la República Federal a dejar de registrar, por sí misma o por
terceros, la dirección IP del sistema host desde el que realizó las llamadas,
siempre que no fuera preciso para restablecer la disponibilidad del servicio de
telecomunicación en caso de fallo.
El
Tribunal Supremo Civil y Penal alemán, ante el que ha llegado el asunto,
planteó varias cuestiones prejudiciales al Tribunal de Justicia en relación con
la Directiva 95/46, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos.
Las conclusiones del Abogado general: la IP
dinámica constituye un dato personal
El
Abogado General comienza advirtiendo que quedan al margen de este asunto las
«direcciones IP fijas o estáticas», caracterizadas por ser invariables y
permitir la identificación permanente del dispositivo conectado a la red. En
ese asunto únicamente se trata de decidir si una dirección IP dinámica es un
dato de carácter personal para el proveedor de un servicio de Internet cuando
la compañía de comunicaciones que ofrece el acceso a la red (el proveedor de
acceso) maneja datos adicionales que, combinados con aquella dirección,
permiten identificar a quien accede a la página web gestionada por el primero.
En
sus conclusiones, Campos Sánchez-Bordona propone al Tribunal de Justicia que en
su futura sentencia responda al Bundesgerichtshof que, con arreglo a la
Directiva 95/46, una dirección IP dinámica, mediante la que un usuario ha
accedido a la página web de un proveedor de servicios de telecomunicaciones y
que ha sido almacenada por éste, constituye para dicho proveedor de servicios
un “dato personal” en la medida en que un proveedor de acceso a la red
posea otros datos adicionales que, asociados a dicha dirección, permitan
identificar al usuario.
El
Abogado General español destaca que la posibilidad de transmisión de datos,
perfectamente «razonable», convierte por sí sola a la dirección IP dinámica,
conforme a los términos de la Directiva 95/46, en un dato de carácter personal
para el prestador de servicios de Internet. La existencia de un tercero muy
específico (el proveedor de acceso a la red) al que el proveedor de servicios
de Internet puede razonablemente dirigirse para conseguir otros datos
adicionales que, combinados con esa dirección, permiten identificar al usuario
que ha visitado una determinada página web, confirma ese carácter de dato
personal de la dirección IP dinámica respecto del proveedor de servicios de
Internet.
El tratamiento de las IP dinámicas para
garantizar el funcionamiento del servicio de telecomunicaciones
Mediante
su segunda cuestión prejudicial, el tribunal alemán plantea si la Directiva
95/46 se opone a una normativa nacional con arreglo a la cual un prestador de
servicios sólo puede recoger y utilizar los datos personales de un usuario, sin
el consentimiento de éste, cuando ello sea necesario para ofrecer y facturar el
uso concreto del servicio de telecomunicación por dicho usuario.
A
este respecto, el Abogado General Campos Sánchez-Bordona considera que los
órganos jurisdiccionales nacionales están obligados a interpretar la
legislación nacional de modo acorde con la Directiva 95/46, lo que implica: a)
que se pueda incluir entre las causas justificativas del tratamiento de los
denominados «datos de uso» el interés legítimo del prestador de servicios de
telecomunicación para proteger el uso general de éstos; y b) que se pueda
ponderar, en cada caso, ese interés del prestador del servicio, contrastándolo
con el interés o los derechos y libertades fundamentales del usuario, para
determinar si debe o no concederse la protección que confiere la Directiva
95/46.
Por
lo tanto, el objetivo de garantizar el funcionamiento del servicio de
telecomunicación puede considerarse, en principio, como un interés legítimo,
cuya satisfacción justifica el tratamiento de ese dato personal, siempre que se
estime que prevalece sobre el interés o los derechos fundamentales del
afectado. En opinión del Abogado General, las disposiciones nacionales que no
permitan tener en cuenta ese interés legítimo son incompatibles con la
Directiva.
El nuevo Reglamento europeo de protección de
datos
Para
concluir, debe tenerse en cuenta que si bien la normativa aplicable a este caso
es la Directiva 95/46, esta ha sido derogada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos), publicado el pasado día 4 de mayo.
Esta
nueva norma europeo entrará en vigor a los veinte días de su publicación, pero
no será aplicable hasta el 25 de mayo de 2018.
En
relación con las direcciones IP, el consentimiento para el tratamiento de datos
y el derecho del ciudadano a que sus datos personales se supriman y dejen de
tratarse si ya no son necesarios para los fines para los que fueron recogidos,
reproducimos, por su interés, los Considerando 30, 32 y 65 del Reglamento.
“30. Las
personas físicas pueden ser asociadas a identificadores en línea facilitados
por sus dispositivos, aplicaciones, herramientas y protocolos, como
direcciones de los protocolos de internet, identificadores de sesión en forma
de «cookies» u otros identificadores, como etiquetas de identificación por
radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas
con identificadores únicos y otros datos recibidos por los servidores, pueden
ser utilizadas para elaborar perfiles de las personas físicas e
identificarlas.”
“32. El
consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del
interesado de aceptar el tratamiento de datos de carácter personal que le
conciernen, como una declaración por escrito, inclusive por medios
electrónicos, o una declaración verbal… el silencio, las casillas ya
marcadas o la inacción no deben constituir consentimiento. El consentimiento
debe darse para todas las actividades de tratamiento realizadas con el mismo o
los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos. Si el consentimiento del interesado se ha de
dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser
clara, concisa y no perturbar innecesariamente el uso del servicio para el que
se presta.”
“65. Los
interesados deben tener derecho a que se rectifiquen los datos personales que
le conciernen y un «derecho al olvido» si la retención de tales datos infringe
el presente Reglamento o el Derecho de la Unión o de los Estados miembros
aplicable al responsable del tratamiento. En particular, los interesados
deben tener derecho a que sus datos personales se supriman y dejen de tratarse
si ya no son necesarios para los fines para los que fueron recogidos o tratados
de otro modo, si los interesados han retirado su consentimiento para el
tratamiento o se oponen al tratamiento de datos personales que les conciernen,
o si el tratamiento de sus datos personales incumple de otro modo el presente
Reglamento. …
la
retención ulterior de los datos personales debe ser lícita cuando sea necesaria
para el ejercicio de la libertad de expresión e información, para el
cumplimiento de una obligación legal, para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos
al responsable del tratamiento, por razones de interés público en el ámbito de
la salud pública, con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, o para la
formulación, el ejercicio o la defensa de reclamaciones.”
No hay comentarios:
Publicar un comentario