Recientemente, el Tribunal de Justicia de la Unión
Europea (TJUE) ha dictado una sentencia
importante en relación al caso C‑582/14, en lo que concierne a las
posibilidades del gestor o titular de un sitio de internet y, en definitiva, de
cualquier prestador de servicios en línea de defenderse y reaccionar en caso de
que un ataque cibernético por parte de los usuarios pudiera comprometer el
correcto funcionamiento de su página y servicios, al permitirle conservar y
tratar ciertos datos personales de los usuarios, en particular, su dirección de
protocolo de internet dinámica (direcciones de IP dinámica) que, como ya apunta
esta sentencia, constituye, para tal gestor y/o prestador, un dato personal
cuando éste dispone de medios legales que le permitan identificar de forma
razonable al usuario de que se trate gracias a información suplementaria en
manos del proveedor de acceso a Internet del usuario. Ciertamente, esta
información serviría a tal gestor o prestador para articular las acciones
legales que correspondiera frente a los usuarios atacantes en defensa de sus
derechos e intereses legítimos.
A tenor de esta sentencia se plantean dos
cuestiones principales, a saber:
1. ¿Tiene la dirección IP dinámica el carácter de
dato personal?
2. ¿Puede justificar el interés legítimo del gestor
o titular de un sitio web en garantizar el correcto funcionamiento general del
mismo la conservación y, en general, el tratamiento de ciertos datos personales
(direcciones IP dinámicas) de los usuarios sin su consentimiento?
Dirección IP como dato personal
En lo que concierne a la primera cuestión, se debe
destacar que desde hace ya algún tiempo atrás, tanto la jurisprudencia del
Tribunal de Justicia de la Unión Europea (TJUE)[1], cuanto la jurisprudencia del Tribunal
Supremo español[2] viene categorizando a las direcciones IP
de los usuarios como datos de carácter personal, con la consiguiente aplicación
de los principios de información y de consentimiento a los efectos del
tratamiento de los mismos, así como del resto de la normativa protectora de
datos personales. También la Agencia Española de Protección de datos (AEPD) se
ha manifestado en algún Informe Jurídico en este mismo sentido.[3]
En este contexto, la STJUE de 19 de octubre de
2016, -en la línea ya apuntada de forma previa también por las Conclusiones del
el Sr. M. CAMPOS SÁNCHEZ-BORDONA, Abogado General de este Alto Tribunal, del
pasado 12 de mayo de 2016[4]-, examina específicamente el caso de las
direcciones de IP dinámicas, que son aquellas direcciones IP que son asignadas
de forma temporal al usuario por el proveedor de servicios de acceso a Internet
(ISP) ostentando, por consiguiente, una duración máxima determinada y cambiando
con cada nueva conexión a Internet. A diferencia de las direcciones IP
estáticas (invariables y que permiten la identificación del dispositivo
conectado a la red), las direcciones IP dinámicas no permiten relacionar,
mediante ficheros accesibles al público, un ordenador concreto y la conexión
física a la red utilizada por el proveedor de acceso a Internet. La única
manera de poder identificar al usuario que está detrás de las IP dinámicas
sería cruzando esta información con la información suplementaria en manos del
ISP.
A este respecto, la anterior STJUE aclaró que una
dirección IP dinámica registrada por un proveedor o gestor de servicios de
medios en línea, es decir, por el gestor de un sitio de Internet, durante la
consulta de su sitio de Internet accesible al público constituye, respecto a
este gestor, un dato personal cuando el mismo dispone de medios legales y
razonables que le permitan identificar al usuario gracias a la información
adicional de que dispone el proveedor de acceso a Internet de dicho usuario[5]. En definitiva, se tratará de una persona
física identificable y con ello, de conformidad con el derecho aplicable, de
información de tipo personal.
[1] Remítase a la Sentencia de la Sección Sexta de la
Sala de lo Contencioso-administrativo del Tribunal Supremo: http://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=7195354&links=%226153/2011%22&optimize=20141023&publicinterface=true
[2] Entre otras, resultan de interés
las SSTJUE de 29 de enero de 2008 y de 24 de noviembre de 2011: http://curia.europa.eu/juris/liste.jsf?language=es&num=C-275/06 y http://curia.europa.eu/juris/document/document.jsf?docid=115205&doclang=ES
[3] Véase así el Informe Jurídico
AEPD nº 327/2003: https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2003-0327_Car-aa-cter-de-dato-personal-de-la-direcci-oo-n-IP.pdf
[4]Texto accesible desde esta
URL: http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=690386
[5] No sería posible tal asociación
(ni nos encontraríamos ante datos de carácter personal) cuando la
identificación del interesado esté prohibida por la ley o sea prácticamente
irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a
tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea
en realidad insignificante. En este sentido, véase el Considerando 68 de las
siguientes Conclusiones del Abogado General del TJUE: http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=690386. En este caso, el gestor o
prestador de un sitio de Internet podrá articular diversas vías legales que le
permiten dirigirse, en el caso de ataques cibernéticos, a la autoridad
competente a fin de que ésta lleve a cabo las actuaciones necesarias para
obtener dicha información del proveedor de acceso a Internet y para ejercitar
acciones legales que correspondan.
[6] Este Reglamento puede consultarse a través de la
siguiente dirección web: https://www.boe.es/doue/2016/119/L00001-00088.pdf
Se expone a continuación el análisis de una serie de resoluciones e informes de la Agencia Española de Protección de Datos (AEPD) que han analizado y despejado cuestiones dudosas.
El análisis de casos concretos ayuda con frecuencia a esclarecer aspectos prácticos que desde el punto de vista de la normativa de protección de datos pueden no resultar totalmente claros tras un primer análisis de la normativa.
La dirección IP: ¿Se considera datos de Carácter Personal?
Las direcciones IP o Internet Protocol es el conjunto de números que identifican de manera lógica y jerárquica un equipo en Internet; ya sea un ordenador o cualquier otro dispositivo capaz de conectarse a Internet.
La dirección IP con la que un equipo navega por Internet, es única en el momento de la navegación y ningún otro equipo puede estar navegando con la misma dirección, es por esto que cabría identificarla como la “matrícula” del equipo en Internet.13
13 Hay que tener en cuenta que las direcciones IP pueden ser dinámicas o estáticas dependiendo si el usuario accede siempre con la misma dirección, o si lo hace cada vez que se conecta con una diferente. No obstante, e independientemente de que lo haga con una modalidad o con otra, queda registrado en el archivo histórico del proveedor.
Si se parte del concepto de dato de carácter personal dispuesto en el artículo 3 a) de la LOPD se observa que el dato de carácter personal es todo aquel dato que identifique o haga identificable a una persona física.
La dirección IP por sí sola no hace identificable directamente a una persona física, sino que hace identificable a un equipo, y en su caso, a una conexión a Internet contratada a nombre de una persona en concreto, al menos inicialmente.
Todos los proveedores de acceso a Internet disponen de un fichero histórico14 en el que queda guardada la dirección IP asignada a cada uno de sus abonados en el momento concreto en el que se conectan, de igual manera los datos de tráfico, fecha, hora y otros de semejante naturaleza; de cara a poder facturar posteriormente los servicios.
Con todo ello, la Agencia Española de Protección de Datos, entendió en el Informe 327/2003 que siempre que medie la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, esto es, obtener su identidad civil (nombre dirección, número de teléfono, etc) por medios razonables, de modo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.
No hay comentarios.:
Publicar un comentario