La dirección IP de una conexion a internet es un dato personal y debe estar protegido
La dirección IP de una conexion a internet es un dato personal y debe estar protegido
El Tribunal de Justicia de la Unión Europea (TJUE) ha dictado una reciente sentencia en la que declara que una dirección IP dinámica registrada por un «proveedor de servicios de medios en línea» (esto es, por el gestor de un sitio de Internet) durante la consulta de su sitio de Internet accesible al público constituye, respecto al gestor, un dato personal cuando éste dispone de medios legales que le permitan identificar al usuario gracias a la información suplementaria de que dispone el proveedor de acceso a Internet de dicho usuario.
La sentencia se ha dictado a raíz de la pregunta del Tribunal Supremo de Alemania en la que cuestionaba al TJUE si las direcciones IP dinámicas –que, a diferencia de las estáticas, no permiten relacionar mediante ficheros accesibles al público un ordenador con la conexión física utilizada- constituyen un dato personal y disfrutan así de la protección prevista para tales datos. Dada sus características, sólo el proveedor de acceso a Internet dispone de la información suplementaria suficiente para identificar al usuario de la IP.
La pregunta sucede a raíz de un procedimiento en el que un ciudadano alemán se oponía a que los sitios de Internet de los organismos federales alemán que consulta registren y conserven sus direcciones de protocolo de Internet (dirección IP), una práctica que realizan para prevenir ataques cibernéticos y posibilitar el ejercicio de acciones penales.
El Tribunal de Justicia señala que parece que existen vías legales en Alemania que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar a continuación acciones penales.
El Tribunal alemán también preguntaba al europeo si el gestor de un sitio web debe tener la posibilidad de recoger y utilizar, con posterioridad, los datos personales de los usuarios, con el fin de garantizar el funcionamiento general de su sitio, pues la norma alemana se interpreta en el sentido que los datos deben ser eliminados tras cada sesión.
Al respecto, el Tribunal de Justicia declara que el Derecho de la Unión se opone a una normativa de un Estado miembro con arreglo a la cual un prestador de servicios de medios en línea sólo pueda recoger y utilizar datos personales del usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de éstos.
El Tribunal de Justicia recuerda que, conforme al Derecho de la Unión, el tratamiento de datos personales es lícito, entre otros, si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado.
La normativa alemana, tal como la interpreta la mayor parte de la doctrina, reduce el alcance de ese principioal excluir que el objetivo de garantizar el funcionamiento general de dicho medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de los usuarios.
En este contexto, el Tribunal de Justicia señala que los organismos federales alemanes que suministran servicios de medios en línea podrían tener un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de sus sitios.