La Sala Segunda del TJUE mediante resolución de 19 de octubre de 2016, ha resuelto dos cuestiones prejudiciales planteadas, con arreglo al artículo 267 TFUE, por el Tribunal Supremo Civil y Penal de Alemania (Bundesgerichtshof), en relación al tratamientos de los datos personales, siendo objeto de interpretación el artículo 2, letra a), y del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).
El marco conflictual sobre el que se pronuncia las distintas cuestiones prejudiciales comprende dos partes, Patrick Breyer, que consultó varios sitios de Internet de organismos federales alemanes, y por otro lado, República Federal de Alemania (Bundesrepublik Deutschland), que para prevenir ataques y posibilitar el ejercicio de acciones penales contra los hackers, conservaban, al final de la sesión de consulta de dichos sitios, el nombre del sitio o fichero consultado, los términos introducidos en los campos de búsqueda, la fecha y hora de la consulta, la cantidad de datos transmitidos, la constatación del éxito de la consulta y la dirección IP del ordenador desde el que se ha realizado la consulta; medida protectora y preventiva, que fue recurrida por Patrick Breyer con objeto de que se prohibiera, al entender que permitir a terceros (proveedor de acceso) la conservación, al final de cada consulta, la dirección IP del sistema principal, incidía en datos personales, pudiéndose determinar la identidad de la persona; planteamiento que nos lleva a la las cuestiones prejudiciales objeto de estudio, es decir, ¿el artículo 2, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que una dirección IP (de los usuarios de Internet) registrada por un proveedor de servicios de medios en línea (la República Federal de Alemania) y que hace accesible al público, constituye un dato personal cuando no dispone de la información adicional necesaria para identificar a los usuarios?(hay que tener en cuenta que estamos ante una IP dinámica, esto es, provisionales, que se atribuyen en cada conexión a Internet y que son sustituidas en conexiones posteriores, en comparación a las estáticas, que permiten la identificación permanente del dispositivo conectado a la red) Pues bien, la disposición destacada establece, que se entenderá por datos personales, toda información sobre una persona física identificada o identificable, esto es, toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
Dicho lo anterior, constituirá respecto del proveedor de servicios dato personal, en el sentido de la citada disposición, cuando éste disponga de medios legales que le permitan identificar a la persona con la información adicional obtenida, directa o indirectamente, por sí o por otros, pues, no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona; en contraposición, no tendrá el carácter de dato personal, cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante. En definitiva, una dirección dinámica, por sí sola, no revela directamente la identidad de la persona física propietaria del ordenador desde el cual se realiza la consulta de un sitio de Internet ni la de otra persona que pudiera utilizar ese ordenador, requiriendo a tales efectos, que se ostente de información adicional que permita la identificación, obteniendo como consecuencia, la consideración de dato personal.
Por último, respecto a la segunda cuestión prejudicial nos debemos plantear lo siguiente, ¿Se opone el artículo 7, letra f) de la Directiva 95/46/CE a que un proveedor de servicios de medios en línea sólo pueda recoger y utilizar datos personales de un usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para posibilitar y facturar el uso concreto de dichos servicios por ese usuario, sin que el objetivo de garantizar el funcionamiento general de esos mismos servicios pueda justificar la utilización de los datos tras una sesión de consulta de los servicios? Pues bien, dicho precepto establece que el tratamiento de los datos personales solo puede efectuarse si es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la Directiva en cuestión.
Así las cosas, podemos decir que efectivamente el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que se opone a una normativa de un Estado miembro (en concreto, el artículo 15 de la Ley relativa a ciertos servicios de comunicación e información electrónicos-en adelante, TMG-); y es que, mientras que el artículo 7, letra f), de la mencionada Directiva se refiere, de modo general a la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, el artículo 15 de la TMG sólo autoriza al proveedor de servicios a recoger y utilizar datos personales de un usuario cuando esto sea necesario para posibilitar y facturar el uso concreto de los medios electrónicos (tiene un alcance más restrictivo que la Directiva), siendo que los organismos federales alemanes que suministran servicios de medios en línea podrían tener también un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de dichos sitios; es decir, dicha normativa reduce, por lo que se refiere al tratamiento de datos personales de los usuarios de sitios de medios en línea, el alcance del principio previsto en el artículo 7, letra f), de la Directiva 95/46 al excluir que el objetivo de garantizar el funcionamiento general de dicho medio en línea pueda ser objeto de ponderación con el interés o los derechos y libertades fundamentales de esos usuarios, que requieren, conforme a dicha disposición, una protección con arreglo al artículo 1, apartado 1, de la citada Directiva. Además, hay que tener el artículo 7 de la citada Directiva prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito y que los Estados miembros no pueden añadir a dicho artículo nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales. Todo ello, nos lleva a concluir afirmativamente la cuestión planteada. [Eva Salcedo Mendizábal].
Acceder a la Sentencia
