Una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de servicios de telecomunicaciones y que ha sido almacenada por éste, constituye para dicho proveedor de servicios un “dato personal” en la medida en que un proveedor de acceso a la red posea otros datos adicionales que, asociados a dicha dirección, permitan identificar al usuario.
Así lo ha señalado el abogado general español, Sr. Campos Sánchez-Bordona, en sus Conclusiones en el asunto C 582/14 Breyer, que queda pues pendiente de la decisión final del Tribunal (pues recordemos que el Abogado General propone al Tribunal de Justicia dar una solución jurídica determinada a un asunto, pero sus conclusiones no son vinculantes a la hora de dictar sentencia)
¿Qué es una IP dinámica?
Una dirección IP es una secuencia de números binarios que, asignada a un dispositivo (un ordenador, una tableta, un teléfono inteligente), lo identifica y le permite acceder a la red de comunicaciones electrónicas.
Para conectarse a Internet, el dispositivo ha de emplear la secuencia numérica proporcionada por los proveedores del servicio de acceso a la red (por lo general, las compañías telefónicas).
La dirección IP se transmite al servidor donde está almacenada la página web objeto de consulta. Los proveedores de acceso a la red atribuyen a sus clientes las denominadas «direcciones IP dinámicas», de manera temporal, para cada conexión a Internet, y las cambian con ocasión de las conexiones posteriores.
Esas mismas compañías llevan un registro en el que consta qué dirección IP han adjudicado a un determinado dispositivo en cada momento. Los titulares de los sitios web a los que se accede mediante las direcciones IP dinámicas también suelen mantener registros en los que constan qué páginas se han consultado, cuándo y desde qué dirección IP dinámica.
Técnicamente, esos registros pueden conservarse sin límites temporales una vez terminada la conexión a Internet de cada usuario.
Si bien una dirección IP dinámica no basta por sí sola para que el prestador de servicios identifique al usuario de su página web, aquel podrá hacerlo si combina la dirección IP dinámica con otros datos adicionales en manos del proveedor de acceso a la red, en particular con la denominada «direcciones IP fijas o estáticas», que son invariables y permiten la identificación permanente del dispositivo conectado a la red,
Los antencedentes del caso
El actor, ciudadano alemán, ejercitó una acción de cesación contra la República Federal de Alemania r por el registro de direcciones IP que realizan la mayor parte de los portales de Internet de las instituciones públicas alemanas, para prevenir ataques y posibilitar la persecución penal de los agresores.
La mayor parte de esos portales almacenan todos los accesos en ficheros o registros de protocolo (en ellos conservan, incluso después de acabada la operación, el nombre del fichero o de la página solicitados, los conceptos introducidos en los campos de búsqueda, el momento de la llamada, la cantidad de datos transmitidos, el informe sobre si la llamada se ha llevado a cabo y la dirección IP del ordenador desde el que se ha hecho).
El Sr. Breyer consultó varias de las páginas mencionadas y solicitó que se condenase a la República Federal a dejar de registrar, por sí misma o por terceros, la dirección IP del sistema host desde el que realizó las llamadas, siempre que no fuera preciso para restablecer la disponibilidad del servicio de telecomunicación en caso de fallo.
El Tribunal Supremo Civil y Penal alemán, ante el que ha llegado el asunto, planteó varias cuestiones prejudiciales al Tribunal de Justicia en relación con la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Las conclusiones del Abogado general: la IP dinámica constituye un dato personal
El Abogado General comienza advirtiendo que quedan al margen de este asunto las «direcciones IP fijas o estáticas», caracterizadas por ser invariables y permitir la identificación permanente del dispositivo conectado a la red. En ese asunto únicamente se trata de decidir si una dirección IP dinámica es un dato de carácter personal para el proveedor de un servicio de Internet cuando la compañía de comunicaciones que ofrece el acceso a la red (el proveedor de acceso) maneja datos adicionales que, combinados con aquella dirección, permiten identificar a quien accede a la página web gestionada por el primero.
En sus conclusiones, Campos Sánchez-Bordona propone al Tribunal de Justicia que en su futura sentencia responda al Bundesgerichtshof que, con arreglo a la Directiva 95/46, una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de servicios de telecomunicaciones y que ha sido almacenada por éste, constituye para dicho proveedor de servicios un “dato personal” en la medida en que un proveedor de acceso a la red posea otros datos adicionales que, asociados a dicha dirección, permitan identificar al usuario.
El Abogado General español destaca que la posibilidad de transmisión de datos, perfectamente «razonable», convierte por sí sola a la dirección IP dinámica, conforme a los términos de la Directiva 95/46, en un dato de carácter personal para el prestador de servicios de Internet. La existencia de un tercero muy específico (el proveedor de acceso a la red) al que el proveedor de servicios de Internet puede razonablemente dirigirse para conseguir otros datos adicionales que, combinados con esa dirección, permiten identificar al usuario que ha visitado una determinada página web, confirma ese carácter de dato personal de la dirección IP dinámica respecto del proveedor de servicios de Internet.
El tratamiento de las IP dinámicas para garantizar el funcionamiento del servicio de telecomunicaciones
Mediante su segunda cuestión prejudicial, el tribunal alemán plantea si la Directiva 95/46 se opone a una normativa nacional con arreglo a la cual un prestador de servicios sólo puede recoger y utilizar los datos personales de un usuario, sin el consentimiento de éste, cuando ello sea necesario para ofrecer y facturar el uso concreto del servicio de telecomunicación por dicho usuario.
A este respecto, el Abogado General Campos Sánchez-Bordona considera que los órganos jurisdiccionales nacionales están obligados a interpretar la legislación nacional de modo acorde con la Directiva 95/46, lo que implica: a) que se pueda incluir entre las causas justificativas del tratamiento de los denominados «datos de uso» el interés legítimo del prestador de servicios de telecomunicación para proteger el uso general de éstos; y b) que se pueda ponderar, en cada caso, ese interés del prestador del servicio, contrastándolo con el interés o los derechos y libertades fundamentales del usuario, para determinar si debe o no concederse la protección que confiere la Directiva 95/46.
Por lo tanto, el objetivo de garantizar el funcionamiento del servicio de telecomunicación puede considerarse, en principio, como un interés legítimo, cuya satisfacción justifica el tratamiento de ese dato personal, siempre que se estime que prevalece sobre el interés o los derechos fundamentales del afectado. En opinión del Abogado General, las disposiciones nacionales que no permitan tener en cuenta ese interés legítimo son incompatibles con la Directiva.
El nuevo Reglamento europeo de protección de datos
Para concluir, debe tenerse en cuenta que si bien la normativa aplicable a este caso es la Directiva 95/46, esta ha sido derogada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), publicado el pasado día 4 de mayo.
Esta nueva norma europeo entrará en vigor a los veinte días de su publicación, pero no será aplicable hasta el 25 de mayo de 2018.
En relación con las direcciones IP, el consentimiento para el tratamiento de datos y el derecho del ciudadano a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos, reproducimos, por su interés, los Considerando 30, 32 y 65 de la Introducción del Reglamento.
“30. Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.”
“32. El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal… el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”
“65. Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. …
la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.”