El gestor de un sitio de Internet puede tener un interés legítimo en conservar ciertos datos personales de los usuarios para defenderse de los ataques cibernéticos
La dirección de protocolo de Internet dinámica de un usuario constituye, para el gestor del sitio, un dato personal cuando dicho gestor dispone de medios legales que le permitan identificar al usuario de que se trate gracias a la información suplementaria de que dispone el proveedor de acceso a Internet del usuario
El Sr. Patrick Breyer se opone, ante los órganos jurisdiccionales alemanes, a que los sitios de Internet de los organismos federales alemanes que consulta registren y conserven sus direcciones de protocolo de Internet («direcciones IP»). Estos organismos registran y conservan, además de la fecha y hora de la consulta, las direcciones IP de los usuarios para prevenir ataques cibernéticos y posibilitar el ejercicio de acciones penales. Las direcciones IP son secuencias de números que se asignan a los ordenadores conectados a Internet para permitir la comunicación entre ellos a través de esa red. Cuando se consulta un sitio de Internet, la dirección IP del ordenador que consulta se comunica al servidor en el que se aloja el sitio consultado. Dicha comunicación es necesaria para que los datos consultados puedan transferirse al destinatario correcto.
El Bundesgerichtshof(Tribunal Supremo Civil y Penal de Alemania) se ha dirigido al Tribunal de Justicia para averiguar si, en este contexto, las direcciones IP «dinámicas» constituyen también, en relación con el gestor del sitio de Internet, un dato personal y disfrutan así de la protección prevista para tales datos. Una dirección IP dinámica es una dirección IP que cambia con ocasión de cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas, las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. Así, únicamente el proveedor de acceso a Internet del Sr. Breyer dispone de la información suplementaria necesaria para identificarle.
Por otro lado, el Bundesgerichtshof desea saber si el gestor de un sitio de Internet debe, al menos en principio, tener la posibilidad de recoger y utilizar posteriormente los datos personales de los usuarios con el fin de garantizar el funcionamiento general de su sitio. Observa, en ese sentido, que la mayor parte de la doctrina alemana interpreta la normativa alemana en la materia en el sentido de que los datos deben ser eliminados al final de la sesión de consulta salvo que sean necesarios a efectos de facturación.
Mediante su sentencia, el Tribunal de Justicia declara, en primer lugar, que una dirección IP dinámica registrada por un «proveedor de servicios de medios en línea» (es decir, por el gestor de un sitio de Internet, en el presente asunto, los organismos federales alemanes) durante la consulta de su sitio de Internet accesible al público constituye, respecto al gestor, un dato personal (en el sentido de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos) cuando éste dispone de medios legales que le permitan identificar al usuario gracias a la información suplementaria de que dispone el proveedor de acceso a Internet de dicho usuario.
El Tribunal de Justicia señala, a este respecto, que parece que existen vías legales en Alemania que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar a continuación acciones penales. En el presente supuesto, en el que los sitios de que se trata son gestionados por organismos federales alemanes, el Tribunal de Justicia observa que dichos organismos, a pesar de su estatuto de autoridades públicas, actúan como particulares.
En segundo lugar, el Tribunal de Justicia declara que el Derecho de la Unión (la Directiva 95/46) se opone a una normativa de un Estado miembro con arreglo a la cual un prestador de servicios de medios en línea sólo puede recoger y utilizar datos personales del usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de éstos.
El Tribunal de Justicia recuerda que, conforme al Derecho de la Unión, el tratamiento de datos personales es lícito, entre otros, si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado.
La normativa alemana, tal como la interpreta la mayor parte de la doctrina, reduce el alcance de ese principio al excluir que el objetivo de garantizar el funcionamiento general de dicho medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de los usuarios.
En este contexto, el Tribunal de Justicia señala que los organismos federales alemanes que suministran servicios de medios en línea podrían tener un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de sus sitios.
Fuente: Tribunal de Justicia de la Unión Europea