La sentencia del Tribunal de Justicia de la Unión Europea dictada el pasado 19 de octubre de 2016 en el asunto C-582/14 “Patrick Breyer y Bundesrepublick Deutschland”, ha resuelto dos cuestiones prejudiciales planteadas por el Tribunal Supremo alemán relativas a la interpretación de la Directiva 95/46.
1. Antecedentes
Si la dirección IP dinámica registrada por un prestador de servicios de la sociedad de la información, como por ejemplo el titular de una página web o de una Aplicación para dispositivos móviles, cuando un usuario accede a su sitio de Internet, tiene la consideración de dato de carácter personal de conformidad con el artículo 2.a) de la Directiva 95/46, desde el momento en que un tercero, en este caso un proveedor de acceso a Internet, dispone de datos adicionales de dicho usuario que permiten su identificación.
Si el tratamiento de la dirección IP dinámica en base al concepto de “interés legítimo” recogido en el artículo 7.f de la Directiva 95/46, se encuentra limitado por alguna legislación, en este caso la alemana, que impida la utilización de los datos de los usuarios, sin su consentimiento, tras la conclusión de cada operación de uso concreto de un medio “on line”.
Con relación a las cuestiones planteadas, el Tribunal de Justicia de la Unión Europea, siguiendo las Conclusiones del Abogado General español, Sr. Manuel Campos Sánchez-Bordona, de fecha 12 de mayo de 2016, ha resuelto lo siguiente:
2. Las direcciones IP dinámicas tienen la consideración de carácter personal si concurren determinadas circunstancias
Con carácter previo conviene explicar que las direcciones IP son secuencias de números que se asignan a los ordenadores conectados a Internet para que estos puedan comunicarse entre sí. De la misma manera, los ordenadores de los usuarios de Internet reciben de los proveedores de acceso a Internet una dirección IP «estática» o una dirección IP «dinámica», es decir, una dirección IP que cambia con ocasión de cada nueva conexión a Internet.
Del contenido de la Sentencia resulta destacable que el TJUE ha acudido a un criterio “relativo” para determinar si una persona es identificable y ha resuelto que la dirección IP dinámica es un dato personal únicamente respecto a aquellas entidades que disponen de información adicional que, combinada con la dirección IP, permitiría identificar a un usuario. Normalmente es el proveedor de acceso a Internet quien tiene acceso a esta información adicional.
Es importante señalar que el planteamiento recogido en la Sentencia no coincide con la postura de nuestra Agencia Española de Protección de Datos, que utiliza habitualmente un criterio “objetivo” al considerar que las direcciones IP dinámicas, con independencia del tipo de acceso, son datos de carácter personal, aunque solamente un tercero pueda determinar la identidad del interesado, de suerte tal que también afectaría a los prestadores de servicios de la sociedad de la información, que no siempre tienen acceso a esta información complementaria del usuario.
Así las cosas, de conformidad con la Sentencia que estamos analizando, para que la dirección IP dinámica sea considerada un dato de carácter personal resultaría necesaria la concurrencia de los dos siguientes supuestos:
- Existencia de una tercera entidad, por ejemplo un proveedor de acceso a Internet, que pueda identificar al afectado a través de su dirección IP dinámica.
- Que el prestador de servicios de la sociedad de la información disponga de mecanismos legales para identificar al afectado con ayuda del proveedor de un tercero, por ejemplo ante un ciberataque.
3. Conservación de la dirección IP dinámica con fines de ciberseguridad y funcionamiento de la página web o App: Interés legítimo
El TJUE considera que la obtención y el tratamiento de datos personales de un usuario, sin el consentimiento de éste, por parte de los prestadores de servicios de la sociedad de la información, no sólo para posibilitar y facturar el uso concreto de un servicio por ese usuario, sino con el objetivo de garantizar el funcionamiento general de esos mismos servicios, por ejemplo para protegerse frente a un ciberataque, se encuentra amparada por el concepto de «interés legítimo», regulado en el artículo 7.f) de la Directiva 95/46. Por este motivo, se encontraría justificado la utilización de los datos de un usuario tras una sesión de consulta de los servicios, sin que resulte necesaria la obtención de un consentimiento previo de dicho usuario.
4. El Reglamento Europeo de Protección de Datos
Para concluir, debe tenerse en cuenta que si bien la Sentencia del TJUE se basa en la actual Directiva 95/46, esta ha sido derogada por el Reglamento (UE) 2016/679 que resultará aplicable para todas las empresas establecidas en España que realicen un tratamiento de información personal a partir del 25 de mayo de 2018.