La semana pasada el Tribunal de Justicia de la Unión Europea dictaba sentencia resolviendo las Cuestiones Prejudiciales planteadas por el Tribunal Supremo Civil y Penal Alemán, a raíz de la denuncia de un ciudadano alemán que se oponía, ante los órganos jurisdiccionales alemanes, a que los sitios de Internet de los organismos federales de su país registren y conserven sus direcciones de protocolo de Internet.
La primera cuestión prejudicial planteada por el tribunal alemán versa sobre si los datos que consisten en una dirección IP dinámica y en la fecha y hora de la sesión de consulta de un sitio de Internet, registrados por un proveedor de servicios de medios en línea no permiten, por sí solos, identificar al usuario que ha consultado ese sitio de Internet durante dicha sesión. En principio es el proveedor de acceso a Internet quien dispone de la información adicional que, combinada con esa dirección IP, permitiría identificar a dicho usuario
Sin embargo, el Tribunal Europeo expone que del tenor del artículo 2, letra a), de la Directiva 95/46 se desprende que se considera identificable a la persona que puede ser identificada no sólo directamente sino también indirectamente, y no es necesario que dicha información permita, por sí sola, identificar al interesado.
Continúa TJUE indicando, que para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados. Esto sugiere que para que un dato pueda ser calificado de dato personal no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona. Es decir, que la información adicional no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso, no parece que pueda excluir que las direcciones IP dinámicas sigan constituyendo un dato de carácter personal.
Ahora toca preguntarse:
¿combinar los datos de una IP dinámica con la información del proveedor de acceso es un medio razonable?
El TJUE responde indicando que el Abogado General indicó que no es un medio razonable cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable en términos de costes, tiempo y recursos humanos.
Atendiendo a lo antedicho, el TJUE indica que si bien es cierto que el Derecho alemán no permite al proveedor de acceso a Internet transmitir directamente al proveedor de servicios de medios en línea información adicional, existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente.
Como conclusión a este respecto, podemos entender que será en ciertos casos cuando la dirección IP puede ser considerada un dato personal para el prestador del servicio. Ahora bien, y siendo la segunda cuestión prejudicial, cabe plantearse si este puede recoger y utilizar posteriormente estos datos personales con el fin de garantizar el funcionamiento general de su sitio.
Ante esta cuestión, el TJUE indica que el artículo 7, letra f), de la Directiva 95/46, el tratamiento de datos personales es lícito si «es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1, apartado 1», de dicha Directiva.
Por tanto el TJUE considera que los sitios de Internet pueden tener un interés legítimo en tratar una dirección IP, incluso si se considera dato personal, para garantizar, la continuidad del funcionamiento de sus sitios.