La reciente sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre, caso C‑582/14, declara que la dirección IP dinámica registrada por un “proveedor de servicios de medios en línea” (es decir, por el gestor de un sitio de Internet), durante la consulta de su sitio de Internet accesible, constituye un dato personal cuando este disponga de medios legales que le permitan identificar al usuario.
Tabla de contenidos
Hechos
La parte demandante, el Sr. Patrick Breyer, se opone a que los sitios de Internet de los organismos federales alemanes registren y conserven sus “direcciones IP” (direcciones de protocolo de internet). La parte demandada, por contra, defiende la conservación de tales datos con base a la prevención de ataques cibernéticos y la posibilidad de poder ejercitar acciones penales.
Cuestiones prejudiciales
El Tribunal Supremo alemán se dirige al Tribunal de Justicia de la Unión Europea para plantear varias cuestiones prejudiciales en las que cuestiona si, en el contexto del caso expuesto, las direcciones IP “dinámicas”* constituyen, también y en relación al gestor del sitio de Internet, un dato personal y por tanto deben disfrutar de la protección prevista para tales datos por la normativa europea.
*Una dirección IP dinámica es una dirección IP que cambia con ocasión de cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas, las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. Así, únicamente el proveedor de acceso a Internet del Sr. Breyer dispone de la información suplementaria necesaria para identificarle.
El Tribunal Supremo alemán, a su vez, también consulta si el gestor de un sitio de Internet debe tener la posibilidad de recoger y utilizar posteriormente los datos personales de los usuarios con el fin de garantizar el funcionamiento general de su sitio.
En este sentido, la mayor parte de la doctrina alemana interpreta su normativa nacional en el sentido de que los datos deben ser eliminados al final de la sesión de consulta.
Sentencia nº C-582/14 del Tribunal de Justicia, de 19 de octubre de 2016
El TJUE estructura la contestación a las cuestiones prejudiciales planteadas por el tribunal alemán en dos bloques:
a) Dirección IP dinámica como dato personal
El TJUE considera que:
Una dirección IP dinámica registrada por un «proveedor de servicios de medios en línea» (es decir, por el gestor de un sitio de Internet, en el presente asunto los organismos federales alemanes) durante la consulta de su sitio de Internet accesible al público constituye, respecto al gestor, un dato personal cuando éste dispone de medios legales que le permitan identificar al usuario gracias a la información suplementaria de que dispone el proveedor de acceso a Internet de dicho usuario.
Añade, además, que las autoridades alemanas disponen de vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar a continuación acciones penales.
b) ¿Puede, el gestor de un sitio web, conservar los datos personales sin el consentimiento de los usuarios?
En el presente caso se plantea la posibilidad de que el titular o gestor del sitio pueda conservar y tratar los datos personales de los usuarios, sin consentimiento de estos, para garantizar el funcionamiento general del sitio. En este sentido, el TJUE recuerda la posibilidad de alegar un interés legítimo para su conservación y tratamiento, siempre y cuando no afecte a los derechos y libertades fundamentales del usuario.
El TJUE concluye la sentencia otorgando a los gestores y/o titulares de los sitios web una nueva vía de protección frente a posibles ciberataques y otras actuaciones promovidas por sus usuarios con el fin de provocar cualquier quiebra o violación de la seguridad. Esta nueva vía de protección queda articulada a través de la posibilidad, que otorga a los gestores y titulares de sitios web, de conservar y tratar datos personales de los usuarios que visiten su sitio, en base a la necesidad de tal conservación y tratamiento de datos para el correcto y continuo funcionamiento de sus sitios.