La Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo ha dictado una sentencia de fecha 3 de octubre de 2014 (recurso número 6153/2011), por la que establece una interesante doctrina sobre la consideración de la claves IP, a efectos de la protección de datos de carácter personal.
La sentencia estima, con base en la STJUE de sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Al no producirse la imposibilidad de informar a los intersados del tratamiento de sus direcciones IP, ni exigir dicho trámite un esfuerzo desproporcionado al obligado al mismo, no concurren los motivos exigidos para aplicar la exención del deber de informar al interesado del tratamiento de sus datos.
Además, no cabe presumir, de forma segura e indudable, tal como exige el artículo 6 de la LOPD que los interesados han otorgado su consentimiento para el tratamiento de sus datos por el hecho de conectarse a una red P2P.
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente. Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Igualmente la sentencia señala que los 138.3, 139.1 h) y 141.6 de la Ley de Propiedad Intelectual (RDLegislativo 1/1996), no contienen ninguna habilitación, ni referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales. Pues, "Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE."
Además, resuelve que, de acuedo con la STJU ... "no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público."
Si bien matiza que "sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet."
Por último, la Sala determina que "que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente."
Los hechos
La parte recurrente presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales.
La AEPD acordón no autorizar dicha exención y la la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo interpuesto contra dicha decisión, contra la que se ha interpuesto recurso de casación.
La sentencia
Por su interés reproducimos los principales fundamentos de derecho Octavo de la sentencia, de la que ha sido ponente el magistrado señor del Riego Valledor:
"CUARTO.- Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008.
Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C-275/2006.
La Sala comparte y hace suyos los razonamientos de la Sala de instancia.
De acuerdo con el escrito de solicitud de la exención del deber de informar del tratamiento a los titulares de los datos (folio 3 del expediente administrativo), el tratamiento de datos que PROMUSICAE pretende llevar a cabo se refiere al nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.
Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas “identificadas o identificables”. El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación…".
No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por P, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46, es decir, información sobre una persona física identificada o identificable, pues “con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión”.
Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
Se desestima el segundo motivo del recurso de casación.
QUINTO.- En su tercer motivo del recurso, PROMUSICAE alega que, en la hipótesis de que se entienda que las direcciones IP constituyen datos de carácter personal, debía concederse la exención del deber de informar al interesado, de conformidad con el artículo 5.5 LOPD, por resultar imposible el cumplimiento de dicho deber. Entiende la parte recurrente que la imposibilidad de informar a los interesados ha quedado acreditada a lo largo del procedimiento, y así lo declara la sentencia recurrida, al aceptar que dicha parte no es capaz de averiguar la identidad, el domicilio, ni ningún otro dato identificativo de los usuarios de redes P2P cuya dirección IP fuera recogida.
El artículo 5 de la LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apartado 4 del artículo 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el artículo 5.5 LOPD exceptúa de dicho deber de información determinados supuestos: cuando la ley expresamente lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
En desarrollo de dicha previsión legal, el Reglamento de la LOPD, aprobado por Real Decreto 1720/2007, en sus artículos 153 y siguientes, estableció el procedimiento a seguir para obtener de la AEPD la exención del deber de información al interesado del tratamiento de sus datos, cuando resulte imposible o exija esfuerzos desproporcionados, siendo este procedimiento al que acudió la parte recurrente, y la sentencia de la Audiencia Nacional basa la desestimación del recurso en el argumento de que no concurre, o al menos la parte recurrente no ha justificado, la circunstancia de imposibilidad de información a los interesados del tratamiento de sus datos.
El recurso de casación impugna la resolución recurrida a partir de una premisa equivocada, pues considera la parte recurrente en este tercer motivo que “la imposibilidad de informar a los interesados del tratamiento de sus direcciones IP ha quedado acreditada a lo largo del procedimiento seguido ante la Audiencia Nacional, y así lo viene a declarar la Sentencia recurrida”, cuando no es así, sino que sucede justamente lo contrario, que la sentencia recurrida establece con claridad (FD Segundo), que “ninguna de las circunstancias que prevé el artículo 5.5 LOPD concurre en el caso presente”, en el que estima que “no consta dificultad especial para realizar dicha información”, insistiendo en que la autorización del tratamiento de datos sin realizar la preceptiva información al titular de los datos y sin contar con su consentimiento solo puede realizarse excepcionalmente, cuando concurran las circunstancias previstas en el artículo 5 LOPD “que, en el caso presente, no concurren".
La propia parte recurrente, en contradicción con lo afirmado en este motivo tercero del recurso de casación, reconoce en el motivo primero que la sentencia basa la desestimación de la demanda en que la parte no ha justificado la concurrencia de los requisitos exigidos por el artículo 5.5 LOPD y, por tal razón, combate en dicho motivo primero la -en su criterio irracional apreciación de la prueba llevada a cabo por la sentencia recurrida, que incurrió en un error palmario en la valoración de la prueba, que desemboca en una resolución irracional o arbitraria. No obstante, debe recordarse, como ya se ha indicado en esta sentencia, que este motivo primero del recurso de casación fue inadmitido por auto de la Sección 1ª de esta Sala, de 20 de diciembre de 2012, por su defectuosa preparación, pues el motivo debió invocarse en base a la letra d) del artículo 88.1 LJCA, como un error in iudicando, y no por el cauce de la letra c) de dicho precepto legal, como un error in procedendo.
Al no haberse combatido eficazmente en este recurso de casación la valoración de la prueba por la Sala de instancia, hemos de mantener ahora su apreciación respecto de la falta de acreditación de las circunstancias del artículo 5.5 LOPD habilitantes de la exención del deber de informar, entre ellas la imposibilidad o exigencia de esfuerzos desproporcionados de la información.
Por las razones indicadas se desestima el tercer motivo del recurso de casación.
SEXTO.- El cuarto motivo del recurso de casación considera que concurre el consentimiento tácito de los interesados para el tratamiento de datos que P pretende llevar a cabo, que se desprende de su decisión libre y voluntaria de poner a disposición del público la información que estiman pertinente, incluida su dirección IP.
El artículo 3.h) LOPD define el consentimiento del interesado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen” y, desde luego, en este caso no puede mantenerse que, entre otros requisitos, exista una manifestación de voluntad informada del interesado.
Es cierto que el artículo 6 LOPD exige el consentimiento del interesado, sin la previsión de que sea expreso, pero como afirma la sentencia recurrida, el consentimiento podrá ser tácito pero, en todo caso, deberá ser inequívoco, y esta Sala considera que no cabe presumir, de forma segura e indudable, el consentimiento de los interesados al tratamiento de sus datos por el hecho de conectarse a una red P2P.
A la hora de analizar si existe un consentimiento tácito del titular de los datos para su tratamiento, debe tenerse en cuenta la finalidad de los actos de los que se deduce esa voluntad, que en este caso están encaminados a operar en las redes P2P, sin que sea razonable deducir de dicho propósito el consentimiento para el tratamiento de los datos. En este sentido, como decía la sentencia de este Tribunal de 17 de abril de 2007 (recurso 3755/2003), “resulta incongruente hablar de consentimiento tácito cuando ni siquiera se ha producido la necesaria información a los titulares sobre la existencia de tal tratamiento y fichero".
El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente.
Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Se desestima el cuarto motivo del recurso de casación.
SÉPTIMO.- El motivo quinto del recurso considera que, de conformidad con el artículo 6.1 LOPD, existen varias habilitaciones legales para el tratamiento de datos pretendido por la parte recurrente, sin el consentimiento del afectado, contenidas de forma implícita en los artículos 138.3, 139.1.h) y 141.6 de la Ley de Propiedad Intelectual y el artículo 24 CE.
El artículo 6.1 LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, “salvo que la ley disponga otra cosa.”
Como se ha indicado, la parte recurrente considera que son varias las disposiciones legales que, implícitamente, dispensan el consentimiento del afectado para el tratamiento de datos que pretende. Se trata de los artículos 138.3, 139.1.h) y 141.6 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), en los que se prevé que el titular del derecho de propiedad intelectual podrá solicitar el cese, y la medida cautelar de suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual, y que dicho cese y medida cautelar podrán también solicitarse, cuando sean apropiadas, contra los intermediarios a cuyos servicios recurra un tercero para infringir derechos de propiedad intelectual reconocidos en la LPI, aunque los actos de dichos intermediarios no constituyan en sí mismos una infracción.
En la tesis de la parte recurrente, el tratamiento de datos a que se refiere su solicitud es imprescindible para poder iniciar con posibilidades de éxito un procedimiento judicial en defensa de sus intereses, en el que solicitar y obtener ese cese de la actividad, o la medida cautelar de suspensión de los servicios en cuyo ámbito se produce la infracción de los derechos de propiedad intelectual.
Sin embargo, ninguno de los preceptos citados por la parte recurrente contiene ninguna habilitación, ni referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales.
Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58, que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE.
En este sentido, el Tribunal Constitucional, en la sentencia 292/2000 (FJ 16), sobre cuestiones relacionadas sobre el derecho fundamental a la protección de datos, ha señalado no solo la necesidad de que las limitaciones a un derecho fundamental estén fundadas en una previsión legal que tenga justificación constitucional y sean proporcionadas, sino además, “que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora”, y tal requisito de precisión y certeza no es compatible con la limitación normativa implícita del derecho fundamental a la protección de datos que alega el recurrente en este motivo.
De acuerdo con lo razonado, no cabe acoger el motivo quinto del recurso de casación.
OCTAVO.- El motivo sexto del recurso de casación denuncia la infracción del artículo 6.2 in fine de la LOPD, a través de dos submotivos. El primero alega la falta de conformidad de la interpretación que efectúa la sentencia recurrida del artículo 6.2 in fine de la LOPD con el artículo 7.f) de la Directiva 95/46 y el segundo se refiere a la existencia de un interés legítimo prevalente por parte de P para realizar el tratamiento pretendido.
En el primero de los submotivos citados, la parte recurrente aduce que no es necesario el consentimiento del afectado para tratar un dato personal, siempre que el tratamiento responda a un interés legítimo preponderante del responsable del fichero, sin que sea necesario, además, que el tratamiento conste en una fuente accesible al público.
El artículo 6.2 LOPD establece que no será preciso el consentimiento del afectado en determinados supuestos que detalla, y entre ellos, “cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
A su vez, el artículo 7.f) de la Directiva 95/46/CE señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si: “f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”
En la interpretación del artículo 7.f) de la Directiva 95/46/CE, el Tribunal de Justicia de la Unión Europea ha dicho, en sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que el mencionado precepto “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado” (apartado 38), de lo que se sigue que el indicado artículo 7.f) de la Directiva 95/46 “se opone a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales que se sumen a los dos requisitos acumulativos mencionados en el apartado anterior.” (apartado 39).
Ahora bien, que el artículo 7.f) de la Directiva no contemple el requisito de que los datos figuren en fuentes accesibles al público para admitir su tratamiento sin consentimiento del interesado, no significa que dicha circunstancia no pueda ser ponderada al examinar el segundo de los requisitos establecido en el indicado precepto, que exige que no prevalezca el interés o los derechos y libertades fundamentales del titular de los datos sobre el interés legítimo perseguido por el responsable del tratamiento o [sic].
En efecto, añade la sentencia del TJCE citada que “En lo que respecta a la ponderación requerida por el artículo 7, letra f), de la Directiva 95/46, cabe tomar en consideración el hecho de que la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento puede variar en función de que los datos figuren ya, o no, en fuentes accesibles al público” (apartado 44), pues “a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos” (apartado 45).
Por tales razones, concluye sobre esta cuestión la referida sentencia del TJCE que:
"Apartado 46: A este respecto, procede subrayar que nada se opone a que, en ejercicio del margen de apreciación que les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan los principios que deben regir dicha ponderación.
Apartado 47: No obstante, si una normativa nacional excluye la posibilidad de tratar determinadas categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5.
Apartado 48: Por lo tanto, sin perjuicio del artículo 8 de la Directiva 95/46, relativo al tratamiento de determinadas categorías particulares de datos, disposición que no se discute en el litigio principal, el artículo 7, letra f), de dicha Directiva se opone a que un Estado miembro excluya de forma categórica y generalizada la posibilidad de someter a un tratamiento de datos determinadas categorías de datos personales, sin permitir ponderar los derechos e intereses en conflicto en cada caso concreto."
Así pues, de acuerdo con la sentencia del TJUE citada, no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público.
Sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión “fuente accesible al público” del artículo 6.2 LOPD, equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet.
En todo caso, y como resulta de la sentencia del TJUE antes citada, el debate abierto por el escrito de demanda, sobre la inclusión o no de las redes P2P en el concepto de fuente accesible al público del artículo 6.2 LOPD, no resulta decisivo para resolver la pretensión de la parte recurrente, y debe relegarse, en caso de estimarse necesario, al momento del examen de la concurrencia del segundo requisito contemplado por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE, que exige ponderar la prevalencia entre el derecho fundamental a la protección de datos de los afectados y el legítimo interés del responsable del fichero en el tratamiento de los datos.
En relación con este segundo requisito, la parte recurrente mantiene que la Sala de instancia no se pronunció al respecto y que concurre el interés prevalente de PROMUSICAE sobre los derechos de los usuarios de redes P2P, si bien esta Sala no comparte ninguno de esos dos argumentos.
La sentencia recurrida si contiene un pronunciamiento sobre la prevalencia entre los derechos en conflicto, pues en el Fundamento de Derecho Quinto tiene en cuenta, para rechazar el tratamiento de las direcciones IP pretendido, que la recurrente “es una simple entidad privada y ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas” y en el Fundamento de Derecho Sexto añade que “todo ello no puede servir para justificar, como pretende la parte recurrente que se lleve a cabo una aplicación de la LOPD que sea claramente lesiva de los derechos en materia de protección de datos. La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos (entendida en un sentido mucho más amplio que el simple derecho a la intimidad).”
Las alegaciones del motivo sobre la prevalencia del interés legítimo de P en el presente caso tampoco pueden prosperar.
Como hemos visto con anterioridad, el artículo 7.f) de la Directiva 95/46 admite el tratamiento de datos personales cuando sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado, en este caso, su derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales, protegido por el artículo 1.1 de la Directiva, y la aplicación de este precepto exige una ponderación de los derechos e intereses en conflicto, en atención a las circunstancias concurrentes en el caso particular.
Como primera cuestión, hemos de señalar que es jurisprudencia reiterada del TJUE, como resalta su sentencia de 8 de abril de 2014 (asuntos acumulados C-293/12 y C-594/12, apartado 52), que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario, y en este caso la parte recurrente no ha acreditado la concurrencia de la necesidad de acudir al tratamiento de datos en cuestión, para la satisfacción de su interés legítimo de protección de los derechos de propiedad intelectual, pues si bien afirma en su recurso que, a fin de poder concretar las conductas ilícitas de los usuarios de las redes P2P que motivan el ejercicio de su derecho a la tutela judicial efectiva, “no tiene más remedio” que tratar las direcciones IP de los usuarios de dichas redes, sin embargo, en criterio de esta Sala, no justifica de forma suficiente esa necesidad, por inexistencia de medidas protectoras alternativas en el ordenamiento jurídico, bien en el orden civil, en particular en la Ley de Propiedad Intelectual, bien en el orden penal, más respetuosas del derecho a la protección de los datos personales.
Por otro lado, también tenemos en cuenta las características y extensión del tratamiento de datos a que se refiere este recurso, de acuerdo con el escrito de la parte recurrente, de solicitud a la AEPD de la exención del deber de informar a los titulares de los datos personales (folio 3 del expediente administrativo), que seria realizado por la empresa danesa, DtecNet Software, domiciliada en Copenhague, con la que P ha contratado la prestación de este servicio, y se refiere a los datos siguientes: el nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.
También resulta de interés advertir que la parte recurrente en ningún momento ha ofrecido indicación alguna, siquiera aproximada, sobre el número de interesados cuyos datos personales pueden ser objeto del tratamiento exento de su autorización, como puso de relieve la sentencia impugnada.
En el otro lado de la balanza tenemos en cuenta que el derecho a la protección de datos personales es un derecho fundamental, cuyo contenido consiste, de acuerdo con la sentencia 292/2000, del Tribunal Constitucional en “un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permit e al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”, de donde se sigue que el consentimiento del interesado sobre la recogida y uso de sus datos personales forma parte del contenido esencial de este derecho fundamental.
En la ponderación de derechos e intereses que efectuamos hemos de tener también presente el precedente, de especial interés en este recurso, constituido por la sentencia del TJUE de 29 de enero de 2008, anteriormente citada, recaída en un asunto en el que P intervenía en defensa de los mismos derechos de propiedad intelectual hace valer en el presente recurso, que señaló (apartado 57) que la protección efectiva que las Directivas 2000/31, 2001/29 y 2004/48 otorgan a la propiedad intelectual no puede ir en perjuicio de las exigencias relativas a la protección de los datos personales.
Por todo lo anterior, estimamos que en el presente caso, por sus particulares características de extensión y falta de acreditación de su estricta necesidad para la finalidad legítima perseguida, el tratamiento de datos que pretende la parte recurrente no justifica las limitaciones en el contenido esencial del derecho fundamental a la protección de datos de un número desconocido de personas, por lo que no concurre el segundo de los requisitos exigidos por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE.
De acuerdo con los anteriores razonamientos, se desestima el motivo sexto del recurso de casación.
NOVENO.- El séptimo motivo del recurso considera que la sentencia recurrida ha aplicado indebidamente el artículo 6 de la Ley 25/2007, porque no es cierto que la parte recurrente pretenda que los prestadores de servicios de Internet le cedan las direcciones IP de sus abonados, sino que lo que pretende es obtener dichas direcciones IP por si misma de las redes P2P, sin que el tratamiento de datos sobre el que versa el presente procedimiento requiera ninguna cesión de datos sometida a la Ley 25/2007.
La Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, establece la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados, entendiendo por tales los miembros de los Cuerpos Policiales autorizados para ello en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002 y L.O. 2/2002 y los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el artículo 283.1 de la Ley de Enjuiciamiento Criminal.
En este contexto, el artículo 6 de la citada Ley 25/2007 dispone que los datos conservados de conformidad con lo dispuesto en dicha Ley, sólo podrán ser cedidos de acuerdo con los fines que se determinan y previa autorización judicial.
Para esta Sala es claro que la sentencia recurrida no incurre en la confusión que le atribuye la parte recurrente, de estimar que la pretensión de P es que los prestadores de servicios telefónicos le cedan las direcciones IP en el marco de la Ley 25/2007. Basta la lectura del Fundamento Jurídico Segundo de la sentencia recurrida, para apreciar que la misma es perfecta conocedora de que la pretensión de la parte recurrente, tal y como aparece articulada en la solicitud que inicia el expediente administrativo y en el escrito de demanda, es obtener la exención por la AEPD del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, prevista en el artículo 5.5 LOPD y en los artículos 153 y siguientes de su Reglamento de desarrollo.
La cita que efectúa la sentencia recurrida al artículo 6 de la Ley 25/20067 no tiene otro objeto que el de resaltar la relevancia del dato de dirección IP, que figura entre los datos objeto de conservación establecidos por el artículo 3 de la indicada Ley, cuya cesión por los operadores de telecomunicaciones a los agentes facultados está sujeta a condiciones restrictivas, entre ellas, a la previa autorización judicial.
Esta regulación legal es tenida en cuenta por la sentencia recurrida, para efectuar la ponderación ordenada por el artículo 6.2 de la LOPD, de los intereses y derechos concurrentes en el presente caso, en cuanto pone de manifiesto la especial protección dispensada por el legislador a los datos vinculados a la comunicación a través de Internet, que la sentencia recurrida tiene en cuenta para afirmar (FJ Quinto), que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que “ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas”, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.
Se desestima el séptimo motivo del recurso de casación por las razones expresadas."