Diario del Derecho. Edición de 18/03/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 22/11/2016
 
 

El gestor de un sitio de Internet puede tener un interés legítimo en conservar ciertos datos personales de los usuarios para defenderse de los ataques cibernéticos

22/11/2016
Compartir: 

La dirección de protocolo de Internet dinámica de un usuario constituye, para el gestor del sitio, un dato personal cuando dicho gestor dispone de medios legales que le permitan identificar al usuario de que se trate gracias a la información suplementaria de que dispone el proveedor de acceso a Internet del usuario.

El Sr. Patrick Breyer se opone, ante los órganos jurisdiccionales alemanes, a que los sitios de Internet de los organismos federales alemanes que consulta registren y conserven sus direcciones de protocolo de Internet (“direcciones IP”). Estos organismos registran y conservan, además de la fecha y hora de la consulta, las direcciones IP de los usuarios para prevenir ataques cibernéticos y posibilitar el ejercicio de acciones penales.

El Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania) se ha dirigido al Tribunal de Justicia para averiguar si, en este contexto, las direcciones IP “dinámicas” constituyen también, en relación con el gestor del sitio de Internet, un dato personal y disfrutan así de la protección prevista para tales datos. Una dirección IP dinámica es una dirección IP que cambia con ocasión de cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas, las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. Así, únicamente el proveedor de acceso a Internet del Sr. Breyer dispone de la información suplementaria necesaria para identificarle.

Por otro lado, el Bundesgerichtshof desea saber si el gestor de un sitio de Internet debe, al menos en principio, tener la posibilidad de recoger y utilizar posteriormente los datos personales de los usuarios con el fin de garantizar el funcionamiento general de su sitio. Observa, en ese sentido, que la mayor parte de la doctrina alemana interpreta la normativa alemana en la materia en el sentido de que los datos deben ser eliminados al final de la sesión de consulta salvo que sean necesarios a efectos de facturación.

Mediante la sentencia que se dicta hoy, el Tribunal de Justicia declara, en primer lugar, que una dirección IP dinámica registrada por un “proveedor de servicios de medios en línea” (es decir, por el gestor de un sitio de Internet, en el presente asunto los organismos federales alemanes) durante la consulta de su sitio de Internet accesible al público constituye, respecto al gestor, un dato personal cuando éste dispone de medios legales que le permitan identificar al usuario gracias a la información suplementaria de que dispone el proveedor de acceso a Internet de dicho usuario.

El Tribunal de Justicia señala, a este respecto, que parece que existen vías legales en Alemania que permiten al proveedor de servicios de medios en línea 3 dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar a continuación acciones penales.

En segundo lugar, el Tribunal de Justicia declara que el Derecho de la Unión 4 se opone a una normativa de un Estado miembro con arreglo a la cual un prestador de servicios de medios en línea sólo puede recoger y utilizar datos personales del usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de éstos.

El Tribunal de Justicia recuerda que, conforme al Derecho de la Unión, el tratamiento de datos personales es lícito, entre otros, si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado.

La normativa alemana, tal como la interpreta la mayor parte de la doctrina, reduce el alcance de ese principio al excluir que el objetivo de garantizar el funcionamiento general de dicho medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de los usuarios.

En este contexto, el Tribunal de Justicia señala que los organismos federales alemanes que suministran servicios de medios en línea podrían tener un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de sus sitios.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)

de 19 de octubre de 2016 (*)

“Procedimiento prejudicial - Tratamiento de datos personales - Directiva 95/46/CE - Artículo 2, letra a) - Artículo 7, letra f) - Concepto de “datos personales” - Dirección de protocolo de Internet - Conservación por un proveedor de servicios de medios en línea - Normativa nacional que no permite la toma en consideración del interés legítimo perseguido por el responsable del tratamiento”

En el asunto C-582/14,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania), mediante resolución de 28 de octubre de 2014, recibida en el Tribunal de Justicia el 17 de diciembre de 2014, en el procedimiento entre

Patrick Breyer

y

Bundesrepublik Deutschland,

EL TRIBUNAL DE JUSTICIA (Sala Segunda),

integrado por el Sr. M. Ileic, Presidente de Sala, y la Sra. A. Prechal, el Sr. A. Rosas (Ponente), la Sra. C. Toader y el Sr. E. Jaraiunas, Jueces;

Abogado General: Sr. M. Campos Sánchez-Bordona;

Secretario: Sra. V. Giacobbo-Peyronnel, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 25 de febrero de 2016;

consideradas las observaciones presentadas:

- en nombre del Sr. Breyer, por el Sr. M. Starostik, Rechtsanwalt;

- en nombre del Gobierno alemán, por los Sres. A. Lippstreu y T. Henze, en calidad de agentes;

- en nombre del Gobierno austriaco, por el Sr. G. Eberhard, en calidad de agente;

- en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y la Sra. C. Vieira Guerra, en calidad de agentes;

- en nombre de la Comisión Europea, por los Sres. P.J.O. Van Nuffel y H. Krämer, y por las Sras. P. Costa de Oliveira y J. Vondung, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 12 de mayo de 2016;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 2, letra a), y del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2 Esta petición ha sido presentada en el marco de un litigio entre el Sr. Patrick Breyer y la Bundesrepublik Deutschland (República Federal de Alemania) en relación con el registro y la conservación por esta última de la dirección de protocolo de Internet (en lo sucesivo, “dirección IP”) del Sr. Breyer a raíz de la consulta por éste de varios sitios de Internet de organismos federales alemanes.

Marco jurídico

Derecho de la Unión

3 El considerando 26 de la Directiva 95/46 tiene el siguiente tenor:

“Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento, o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artículo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado.”

4 Con arreglo al artículo 1 de dicha Directiva:

“1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.”

5 El artículo 2 de esa misma Directiva enuncia:

“A efectos de la presente Directiva, se entenderá por:

a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[...]

d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

[...]

f) “tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;

[...]”

6 El artículo 3 de la Directiva 95/46, con el epígrafe “Ámbito de aplicación”, establece:

“1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

- efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

[...]”

7 El artículo 5 de la mencionada Directiva establece:

“Los Estados miembros precisarán, dentro de los límites de las disposiciones del presente capítulo, las condiciones en que son lícitos los tratamientos de datos personales.”

8 El artículo 7 de esa misma Directiva tiene el siguiente tenor:

“Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca,

o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado,

o

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento,

o

d) es necesario para proteger el interés vital del interesado,

o

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos,

o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”

9 El artículo 13, apartado 1, de la Directiva 95/46 dispone:

“Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

[...]

d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;

[...]”

Derecho alemán

10 El artículo 12 de la Telemediengesetz (Ley relativa a ciertos servicios de comunicación e información electrónicos), de 26 de febrero de 2007 (BGBl. 2007 I, p. 179; en lo sucesivo, “TMG”), dispone:

“1) El prestador de servicios sólo podrá recoger y utilizar datos personales para la puesta a disposición de medios en línea cuando la presente ley u otras disposiciones referidas expresamente a dichos medios lo permitan o cuando el usuario haya prestado su consentimiento.

2) El prestador de servicios sólo podrá utilizar para otros fines los datos personales recogidos para la puesta a disposición de medios en línea cuando la presente ley u otras disposiciones referidas expresamente a dichos medios lo permitan o cuando el usuario haya prestado su consentimiento.

3) Salvo disposición en contrario, serán de aplicación las correspondientes disposiciones vigentes relativas a la protección de datos personales, aun cuando no se produzca un tratamiento automático de los datos.”

11 El artículo 15 de la TMG establece:

“1) El prestador de servicios sólo podrá recoger y utilizar los datos personales de un usuario cuando sea necesario para posibilitar y facturar el uso de medios en línea (datos de uso). Se consideran datos de uso, en particular:

1. las características de identificación del usuario;

2. las indicaciones sobre el comienzo y el fin del uso y sobre su alcance,

3. las indicaciones sobre los medios en línea utilizados por el usuario.

2) El prestador de servicios podrá combinar los datos de uso de un usuario sobre la utilización de distintos medios en línea siempre que sea necesario para fines de facturación frente al usuario.

[...]

4) El prestador de servicios podrá utilizar los datos de uso más allá de la conclusión de la operación de uso siempre que sea necesario para fines de facturación frente al usuario (datos de facturación). Para cumplir los plazos legales, estatutarios o contractuales de conservación vigentes, el prestador de servicios podrá bloquear los datos. [...]”

12 Con arreglo al artículo 3, apartado 1, de la Bundesdatenschutzgesetz (Ley federal de protección de datos), de 20 de diciembre de 1990 (BGBl. 1990 I, p. 2954), “los datos personales son datos concretos sobre circunstancias personales o materiales de una persona física identificada o identificable (interesado). [...]”.

Litigio principal y cuestiones prejudiciales

13 El Sr. Breyer consultó varios sitios de Internet de organismos federales alemanes. En esos sitios, accesibles al público, los mencionados organismos suministran información actualizada.

14 Para prevenir ataques y posibilitar el ejercicio de acciones penales contra los “piratas”, la mayor parte de esos sitios registran todas las consultas en ficheros de protocolo. En ellos se conservan, al final de la sesión de consulta de dichos sitios, el nombre del sitio o fichero consultado, los términos introducidos en los campos de búsqueda, la fecha y hora de la consulta, la cantidad de datos transmitidos, la constatación del éxito de la consulta y la dirección IP del ordenador desde el que se ha realizado la consulta.

15 Las direcciones IP son secuencias de números que se asignan a los ordenadores conectados a Internet para que estos puedan comunicarse entre sí a través de esa red. Cuando se consulta un sitio de Internet, la dirección IP del ordenador que consulta se comunica al servidor en el que se aloja el sitio consultado. Dicha comunicación es necesaria para que los datos consultados puedan transferirse al destinatario correcto.

16 Por otro lado, de la resolución de remisión y de los autos a disposición del Tribunal de Justicia se deriva que los ordenadores de los usuarios de Internet reciben de los proveedores de acceso a Internet una dirección IP “estática” o una dirección IP “dinámica”, es decir, una dirección IP que cambia con ocasión de cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas, las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet.

17 El Sr. Breyer presentó, ante los órganos jurisdiccionales de lo contencioso-administrativo alemanes, un recurso con el objeto de que se prohibiera a la República Federal de Alemania conservar o permitir que terceros conservasen, al final de las sesiones de consulta de sitios accesibles al público de medios en línea de organismos federales alemanes, la dirección IP del sistema principal de acceso del Sr. Breyer, en la medida en que dicha conservación no fuera necesaria, en caso de fallo, para el restablecimiento de la difusión de esos medios.

18 Al haber sido desestimado su recurso en primera instancia, el Sr. Breyer interpuso un recurso de apelación contra la resolución desestimatoria.

19 El tribunal de apelación modificó parcialmente esa resolución y condenó a la República Federal de Alemania a abstenerse de conservar o de permitir que terceros conservasen, al final de cada consulta, la dirección IP del sistema principal de acceso del Sr. Breyer, transmitido durante la consulta por éste de sitios accesibles al público de medios en línea de organismos federales alemanes, cuando dicha dirección se conserva en combinación con la fecha de la sesión de consulta a la que se refiere y cuando el Sr. Breyer ha revelado su identidad durante dicha sesión, también bajo la forma de una dirección electrónica que mencione su identidad, en la medida en que dicha conservación no sea necesaria, en caso de fallo, para el restablecimiento de la difusión del medio en línea.

20 Según el tribunal de apelación, una dirección IP dinámica, en combinación con la fecha de la sesión de consulta a la que se refiere, constituye, cuando el usuario del sitio de Internet de que se trate ha revelado su identidad durante esa sesión, un dato personal, porque el operador de ese sitio puede identificar a dicho usuario cruzando su nombre con la dirección IP de su ordenador.

21 Sin embargo, dicho tribunal de apelación consideró que no procedía estimar el recurso del Sr. Breyer en los demás casos. Cuando el Sr. Breyer no indica su identidad durante una sesión de consulta, sólo el proveedor de acceso a Internet podría relacionar la dirección IP con un abonado identificado. En cambio, en poder de la República Federal de Alemania, en su condición de proveedor de servicios de medios en línea, la dirección IP no es un dato personal, ni siquiera en combinación con la fecha de la sesión de consulta a la que se refiere, puesto que el usuario de los sitios de Internet de que se trata no es identificable por dicho Estado miembro.

22 El Sr. Breyer y la República Federal de Alemania interpusieron sendos recursos de casación ante el Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania) contra la resolución del tribunal de apelación. El Sr. Breyer solicita que se estime íntegramente su pretensión de prohibición. La República Federal de Alemania solicita que se desestime dicha pretensión.

23 El tribunal remitente precisa que las direcciones IP dinámicas del ordenador del Sr. Breyer, conservadas por la República Federal de Alemania en su condición de proveedor de servicios de medios en línea, constituyen, por lo menos en el contexto de los demás datos conservados en los ficheros de protocolo, datos concretos sobre circunstancias materiales del Sr. Breyer, dado que facilitan indicaciones sobre la consulta por éste de determinados sitios o determinados ficheros en Internet en determinadas fechas.

24 No obstante, según el tribunal remitente, los datos así conservados no permiten determinar directamente la identidad del Sr. Breyer. Los operadores de los sitios de Internet de que se trata en el asunto principal sólo podrían identificar al Sr. Breyer si el proveedor de acceso a Internet de éste les transmitiera información sobre la identidad de ese usuario. La calificación de esos datos de “personales” depende, en consecuencia, de si el Sr. Breyer era identificable.

25 El Bundesgerichtshof (Tribunal Supremo Civil y Penal) expone la controversia doctrinal relativa a la cuestión de si, para determinar si una persona es identificable, procede tomar como base un criterio “objetivo” o un criterio “relativo”. Conforme al criterio “objetivo”, datos como las direcciones IP controvertidas en el asunto principal, al final de las sesiones de consulta de los sitios de Internet de que se trata, son datos personales aunque solamente un tercero pueda determinar la identidad del interesado, siendo ese tercero, en el presente asunto, el proveedor de acceso a Internet del Sr. Breyer que ha conservado información adicional que permite identificar a éste mediante las mencionadas direcciones IP. Según el criterio “relativo”, tales datos son personales respecto a una entidad como el proveedor de acceso a Internet del Sr. Breyer, porque permiten la identificación precisa del usuario (véase, a este respecto, la sentencia de 24 de noviembre de 2011, Scarlet Extended, C-70/10, EU:C:2011:771, apartado 51), pero no lo son respecto a otra entidad como el operador de los sitios de Internet consultados por el Sr. Breyer, dado que este operador no dispone, en el caso de que el Sr. Breyer no haya revelado su identidad durante las sesiones de consulta de esos sitios, de la información necesaria para su identificación sin un esfuerzo desmesurado.

26 En caso de que se considere que las direcciones IP dinámicas del ordenador del Sr. Breyer, en combinación con la fecha de la sesión a la que se refieren, son datos personales, el tribunal remitente desea saber si la conservación de esas direcciones IP al final de dicha sesión está autorizada con arreglo al artículo 7, letra f), de la misma Directiva.

27 A este respecto, el Bundesgerichtshof (Tribunal Supremo Civil y Penal) precisa, por una parte, que los proveedores de servicios de medios en línea sólo podrán, con arreglo al artículo 15, apartado 1, de la TMG, recoger y utilizar datos personales de un usuario cuando sea necesario para posibilitar y facturar el uso de esos medios. Por otra parte, el tribunal remitente indica que, según la República Federal de Alemania, la conservación de esos datos es necesaria para garantizar la seguridad y la continuidad del buen funcionamiento de los sitios de servicios de medios en línea que ella hace accesibles al público, ya que permiten, en particular, detectar los ataques informáticos denominados “ataques mediante denegación de servicio” -que persiguen paralizar el funcionamiento de esos sitios inundando de modo deliberado y coordinado ciertos servidores de Internet con un gran número de solicitudes- y permiten luchar contra esos ataques.

28 Según el tribunal remitente, cuando sea necesario que el proveedor de servicios de medios en línea adopte medidas para luchar contra tales ataques, esas medidas podrán considerarse necesarias para “posibilitar [...] el uso de los medios electrónicos” con arreglo al artículo 15 de la TMG. Sin embargo, la doctrina defiende mayoritariamente la tesis según la cual, por una parte, la recogida y utilización de datos personales de un usuario de un sitio de Internet sólo está autorizada para permitir un uso concreto de ese sitio y, por otra parte, esos datos deben ser eliminados al final de la sesión de consulta de que se trate si no son necesarios a efectos de facturación. Pues bien, en opinión del tribunal remitente, esta interpretación estricta del artículo 15, apartado 1, de la TMG se opone a que se autorice la conservación de direcciones IP para garantizar, de modo general, la seguridad y la continuidad del buen funcionamiento de los medios en línea.

29 El tribunal remitente se pregunta si esta última interpretación, que es la defendida por el tribunal de apelación, es conforme con el artículo 7, letra f), de la Directiva 95/46, habida cuenta en particular de los criterios adoptados por el Tribunal de Justicia en los apartados 29 y siguientes de la sentencia de 24 de noviembre de 2011, ASNEF y FECEMD (C-468/10 y C-469/10, EU:C:2011:777).

30 En estas circunstancias, el Bundesgerichtshof (Tribunal Supremo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

“1) ¿Debe interpretarse el artículo 2, letra a), de la Directiva 95/46/CE en el sentido de que una dirección IP registrada por un prestador de servicios [de medios en línea] en relación con un acceso a su sitio de Internet constituye para éste un dato personal desde el momento en que un tercero (en este caso, un proveedor de acceso) disponga de los datos adicionales que permiten identificar al interesado?

2) ¿Se opone el artículo 7, letra f), de [dicha Directiva] a una disposición nacional con arreglo a la cual un prestador de servicios [de medios en línea] sólo puede recoger y utilizar los datos personales de un usuario sin su consentimiento cuando sea necesario para ofrecer y facturar el uso concreto del medio en línea por ese usuario, y con arreglo a la cual el objetivo de garantizar el funcionamiento general del medio en línea no puede justificar la utilización de esos datos tras la conclusión de cada operación de uso concreta?”

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

31 Mediante su primera cuestión prejudicial, el tribunal remitente solicita que se dilucide, en esencia, si el artículo 2, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que una dirección IP dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposición, cuando sólo un tercero, en el presente caso el proveedor de acceso a Internet de esa persona, dispone de la información adicional necesaria para identificarla.

32 A tenor de la citada disposición, se entenderá por “datos personales” “toda información sobre una persona física identificada o identificable (el “interesado”)”. En virtud de dicha disposición, se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

33 Con carácter preliminar, debe señalarse que, en el apartado 51 de la sentencia de 24 de noviembre de 2011, Scarlet Extended (C-70/10, EU:C:2011:771), que se refería a la interpretación de la misma Directiva, el Tribunal de Justicia estimó, en esencia, que las direcciones IP de los usuarios de Internet son datos protegidos de carácter personal, ya que permiten identificar concretamente a esos usuarios.

34 No obstante, esta afirmación del Tribunal de Justicia se refería a la hipótesis en la que la recogida y la identificación de las direcciones IP de los usuarios de Internet son realizadas por los proveedores de acceso a Internet.

35 Pues bien, en el presente asunto, la primera cuestión prejudicial se refiere al caso en el que el proveedor de servicios de medios en línea, es decir, la República Federal de Alemania, es quien registra las direcciones IP de los usuarios de un sitio de Internet que ese prestador de servicios hace accesible al público, sin disponer de la información adicional necesaria para identificar a esos usuarios.

36 Además, consta que las direcciones IP a las que se refiere el tribunal remitente son direcciones IP “dinámicas”, es decir, provisionales, que se atribuyen en cada conexión a Internet y que son sustituidas en conexiones posteriores, y no direcciones IP “estáticas”, que son invariables y que permiten la identificación permanente del dispositivo conectado a la red.

37 Por tanto, la primera cuestión prejudicial planteada por el tribunal remitente se basa en la premisa de que, por un lado, los datos que consisten en una dirección IP dinámica y en la fecha y hora de la sesión de consulta de un sitio de Internet a partir de dicha dirección IP, registrados por un proveedor de servicios de medios en línea no permiten, por sí solos, identificar al usuario que ha consultado ese sitio de Internet durante dicha sesión y, por otro lado, el proveedor de acceso a Internet dispone, por su parte, de información adicional que, si se combinara con esa dirección IP, permitiría identificar a dicho usuario.

38 A este respecto, procede señalar, en primer lugar, que consta que una dirección IP dinámica no constituye una información relativa a una “persona física identificada”, puesto que tal dirección no revela directamente la identidad de la persona física propietaria del ordenador desde el cual se realiza la consulta de un sitio de Internet ni la de otra persona que pudiera utilizar ese ordenador.

39 A continuación, para determinar si una dirección IP dinámica constituye, en la hipótesis expuesta en el apartado 37 de la presente sentencia, un dato personal en el sentido del artículo 2, letra a), de la Directiva 95/46 en relación con dicho proveedor de servicios de medios en línea, debe comprobarse si dicha dirección IP, registrada por tal proveedor, puede calificarse de información relativa a una “persona física identificable” cuando la información adicional necesaria para identificar al usuario de un sitio de Internet que ese proveedor de servicios hace accesible al público la tiene el proveedor de acceso a Internet de ese usuario.

40 A este respecto, del tenor del artículo 2, letra a), de la Directiva 95/46 se desprende que se considera identificable a la persona que puede ser identificada no sólo directamente sino también indirectamente.

41 El uso por el legislador de la Unión del término “indirectamente” muestra que, para calificar una información de dato personal, no es necesario que dicha información permita, por sí sola, identificar al interesado.

42 Además, el considerando 26 de la Directiva 95/46 enuncia que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona.

43 En la medida en que el citado considerando hace referencia a los medios que puedan ser razonablemente utilizados tanto por el responsable del tratamiento como por “cualquier otra persona”, su tenor sugiere que, para que un dato pueda ser calificado de “dato personal”, en el sentido del artículo 2, letra a), de dicha Directiva, no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona.

44 El hecho de que la información adicional necesaria para identificar al usuario de un sitio de Internet no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso a Internet de ese usuario, no parece que pueda excluir que las direcciones IP dinámicas registradas por el proveedor de servicios de medios en línea constituyan, para éste, datos personales en el sentido del artículo 2, letra a), de la Directiva 95/46.

45 No obstante, debe determinarse si la posibilidad de combinar una dirección IP dinámica con dicha información adicional en poder del proveedor de acceso a Internet constituye un medio que pueda ser razonablemente utilizado para identificar al interesado.

46 Como indicó, en esencia, el Abogado General en el apartado 68 de sus conclusiones, no sucede así cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante.

47 Pues bien, aunque el tribunal remitente precisa en su resolución de remisión que el Derecho alemán no permite al proveedor de acceso a Internet transmitir directamente al proveedor de servicios de medios en línea información adicional, necesaria para identificar al interesado, parece no obstante, sin perjuicio de las comprobaciones que debe hacer a este respecto dicho tribunal, que existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones penales.

48 Por tanto, parece que el proveedor de servicios de medios en línea dispone de medios que pueden utilizarse razonablemente para identificar, con ayuda de otras personas, a saber, la autoridad competente y el proveedor de acceso a Internet, al interesado sobre la base de las direcciones IP conservadas.

49 Habida cuenta de las anteriores consideraciones, procede responder a la primera cuestión prejudicial que el artículo 2, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que una dirección IP dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposición, cuando éste disponga de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona.

Segunda cuestión prejudicial

50 Mediante su segunda cuestión prejudicial, el tribunal remitente solicita, en esencia, que se dilucide si el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa de un Estado miembro con arreglo a la cual un proveedor de servicios de medios en línea sólo puede recoger y utilizar datos personales de un usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de los servicios.

51 Antes de responder a esta cuestión prejudicial, procede determinar si el tratamiento de datos personales controvertido en el asunto principal, a saber, las direcciones IP dinámicas de los usuarios de determinados sitios de Internet de organismos federales alemanes, no está excluido del ámbito de aplicación de la Directiva 95/46 con arreglo al artículo 3, apartado 2, primer guion, de ésta, en virtud del cual dicha Directiva no se aplica al tratamiento de datos personales que tengan por objeto, en particular, la actividades del Estado en materia penal.

52 A este respecto, debe recordarse que las actividades enumeradas a título de ejemplo en dicha disposición son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares (véanse las sentencias de 6 de noviembre de 2003, Lindqvist, C-101/01, EU:C:2003:596, apartado 43, y de 16 de diciembre de 2008, Satakunnan Markkinapörssi y Satamedia, C-73/07, EU:C:2008:727, apartado 41).

53 Pues bien, en el asunto principal, sin perjuicio de las comprobaciones que debe realizar a este respecto el tribunal remitente, parece que los organismos federales alemanes que prestan servicios de medios en línea y que son responsables del tratamiento de las direcciones IP dinámicas actúan, a pesar de su estatuto de autoridades públicas, en calidad de particulares y fuera del ámbito de las actividades del Estado en materia penal.

54 Por tanto, debe determinarse si una normativa de un Estado miembro como la controvertida en el asunto principal es compatible con el artículo 7, letra f), de la Directiva 95/46.

55 A estos efectos, procede recordar que la normativa nacional controvertida en el asunto principal, interpretada en el sentido estricto indicado por el tribunal remitente, sólo autoriza la recogida y utilización de datos personales relativos a un usuario de dichos servicios, sin consentimiento de éste, en la medida en que sea necesario para posibilitar y facturar el uso concreto del medio en línea por el usuario de que se trate, sin que el objetivo de garantizar el funcionamiento general del medio en línea pueda justificar la utilización de esos datos tras una sesión de consulta de ese medio.

56 Con arreglo al artículo 7, letra f), de la Directiva 95/46, el tratamiento de datos personales es lícito si “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1, apartado 1”, de dicha Directiva.

57 Debe recordarse que el Tribunal de Justicia ha declarado que el artículo 7 de la citada Directiva prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito y que los Estados miembros no pueden añadir a dicho artículo nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en dicho artículo (véase, en ese sentido, la sentencia de 24 de noviembre de 2011, ASNEF y FECEMD, C-468/10 y C-469/10, EU:C:2011:777, apartados 30 y 32).

58 Si bien el artículo 5 de la Directiva 95/46 autoriza a los Estados miembros a precisar, dentro de los límites de las disposiciones del capítulo II de dicha Directiva, y, por tanto, del artículo 7 de ésta, las condiciones en que son lícitos los tratamientos de datos personales, el margen de apreciación de que disponen los Estados miembros en virtud del citado artículo 5 únicamente puede utilizarse de conformidad con el objetivo perseguido por dicha Directiva, que consiste en mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad. Los Estados miembros no pueden introducir, al amparo de lo dispuesto en el artículo 5 de esa misma Directiva, principios relativos a la legitimación de los tratamientos de datos personales distintos de los enunciados en el artículo 7 de ésta ni modificar, mediante exigencias adicionales, el alcance de los seis principios establecidos en dicho artículo 7 (véase, en ese sentido, la sentencia de 24 de noviembre de 2011, ASNEF y FECEMD, C-468/10 y C-469/10, EU:C:2011:777, apartados 33, 34 y 36).

59 En el presente asunto, resulta que el artículo 15 de la TMG, si recibe la interpretación estricta mencionada en el apartado 55 de la presente sentencia, tiene un alcance más restrictivo que el principio previsto en el artículo 7, letra f), de la Directiva 95/46.

60 En efecto, mientras que el artículo 7, letra f), de la mencionada Directiva se refiere, de modo general a la “satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos”, el artículo 15 de la TMG sólo autoriza al proveedor de servicios a recoger y utilizar datos personales de un usuario cuando esto sea necesario para posibilitar y facturar el uso concreto de los medios electrónicos. El artículo 15 de la TMG se opone, por tanto, de forma general, a la conservación, al final de una sesión de consulta de medios en línea, de datos personales para garantizar el uso de esos medios. Pues bien, los organismos federales alemanes que suministran servicios de medios en línea podrían tener también un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de dichos sitios.

61 Como señaló el Abogado General en los apartados 100 y 101 de sus conclusiones, tal normativa nacional no se limita a precisar, conforme al artículo 5 de la Directiva 95/46, el concepto de “interés legítimo” que figura en el artículo 7, letra f), de dicha Directiva.

62 A este respecto, debe recordarse igualmente que el artículo 7, letra f), de la mencionada Directiva se opone a que un Estado miembro excluya de manera categórica y generalizada la posibilidad de someter a un tratamiento determinadas categorías de datos personales, sin permitir una ponderación de los derechos e intereses en conflicto en cada caso concreto. Un Estado miembro no puede establecer con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto (véase, en ese sentido, la sentencia de 24 de noviembre de 2011, ASNEF y FECEMD, C-468/10 y C-469/10, EU:C:2011:777, apartados 47 y 48).

63 Pues bien, una normativa como la controvertida en el asunto principal reduce, por lo que se refiere al tratamiento de datos personales de los usuarios de sitios de medios en línea, el alcance del principio previsto en el artículo 7, letra f), de la Directiva 95/46 al excluir que el objetivo de garantizar el funcionamiento general de dicho medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de esos usuarios, que requieren, conforme a dicha disposición, una protección con arreglo al artículo 1, apartado 1, de la citada Directiva.

64 Habida cuenta de las anteriores consideraciones, procede responder a la segunda cuestión prejudicial que el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa de un Estado miembro con arreglo a la cual un prestador de servicios de medios en línea sólo puede recoger y utilizar datos personales de un usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de los servicios.

Costas

65 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Segunda) declara:

1) El artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que una dirección de protocolo de Internet dinámica registrada por un proveedor de servicios de medios en línea con ocasión de la consulta por una persona de un sitio de Internet que ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, en el sentido de la citada disposición, cuando éste disponga de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona.

2) El artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa de un Estado miembro con arreglo a la cual un prestador de servicios de medios en línea sólo puede recoger y utilizar datos personales de un usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de los servicios.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana