Carpeta de justicia

LawAndTrends



Recientemente, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictado una sentencia importante en relación al caso C‑582/14, en lo que concierne a las posibilidades del gestor o titular de un sitio de internet y, en definitiva, de cualquier prestador de servicios en línea de defenderse y reaccionar en caso de que un ataque cibernético por parte de los usuarios pudiera comprometer el correcto funcionamiento de su página y servicios, al permitirle conservar y tratar ciertos datos personales de los usuarios, en particular, su dirección de protocolo de internet dinámica (direcciones de IP dinámica) que, como ya apunta esta sentencia, constituye, para tal gestor y/o prestador, un dato personal cuando éste dispone de medios legales que le permitan identificar de forma razonable al usuario de que se trate gracias a información suplementaria en manos del proveedor de acceso a Internet del usuario. Ciertamente, esta información serviría a tal gestor o prestador para articular las acciones legales que correspondiera frente a los usuarios atacantes en defensa de sus derechos e intereses legítimos.

A tenor de esta sentencia se plantean dos cuestiones principales, a saber:

1. ¿Tiene la dirección IP dinámica el carácter de dato personal?

2. ¿Puede justificar el interés legítimo del gestor o titular de un sitio web en garantizar el correcto funcionamiento general del mismo la conservación y, en general, el tratamiento de ciertos datos personales (direcciones IP dinámicas) de los usuarios sin su consentimiento?

 

Dirección IP como dato personal

En lo que concierne a la primera cuestión, se debe destacar que desde hace ya algún tiempo atrás, tanto la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE)[1], cuanto la jurisprudencia del Tribunal Supremo español[2] viene categorizando a las direcciones IP de los usuarios como datos de carácter personal, con la consiguiente aplicación de los principios de  información y de consentimiento a los efectos del tratamiento de los mismos, así como del resto de la normativa protectora de datos personales. También la Agencia Española de Protección de datos (AEPD) se ha manifestado en algún Informe Jurídico en este mismo sentido.[3]

En este contexto, la STJUE de 19 de octubre de 2016, -en la línea ya apuntada de forma previa también por las Conclusiones del el Sr. M. CAMPOS SÁNCHEZ-BORDONA, Abogado General de este Alto Tribunal, del pasado 12 de mayo de 2016[4]-, examina específicamente el caso de las direcciones de IP dinámicas, que son aquellas direcciones IP que son asignadas de forma temporal al usuario por el proveedor de servicios de acceso a Internet (ISP) ostentando, por consiguiente, una duración máxima determinada y cambiando con cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas (invariables y que permiten la identificación del dispositivo conectado a la red), las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. La única manera de poder identificar al usuario que está detrás de las IP dinámicas sería cruzando esta información con la información suplementaria en manos del ISP.

A este respecto, la anterior STJUE aclaró que una dirección IP dinámica registrada por un proveedor o gestor de servicios de medios en línea, es decir, por el gestor de un sitio de Internet, durante la consulta de su sitio de Internet accesible al público constituye, respecto a este gestor, un dato personal cuando el mismo dispone de medios legales y razonables que le permitan identificar al usuario gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicho usuario[5]. En definitiva, se tratará de una persona física identificable y con ello, de conformidad con el derecho aplicable, de información de tipo personal.

Interés legítimo del gestor del sitio web en conservar los datos

En lo relativo a la segunda cuestión, se plantea la posibilidad legal de conservar y tratar esta información de los usuarios (direcciones IP dinámicas) por parte del titular o gestor del sitio para poder garantizar el funcionamiento general del mismo sin el consentimiento de aquéllos. En este ámbito, el TJUE recuerda la posibilidad de esgrimir un interés legítimo, siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado.

En punto, el TJUE concluye y aboga finalmente por la posibilidad de que un gestor o prestador de servicios en línea (p.ej., el gestor de un sitio web) pueda esgrimir como interés legítimo aquél relativo a la garantía del funcionamiento general del sitio web o servicios en línea, pudiendo operar como base jurídica suficiente para tratar información personal de los usuarios al margen de su específico consentimiento.

Este posicionamiento judicial, además, parece coherente con el contenido de los Considerandos 47 y 49 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “Reglamento General de Protección de Datos” ó “RGPD”).[6]

Así el Considerando 47 del RGPD prevé que: “(…) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. (…) En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. (…) El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. (…)”.

De forma complementaria, el Considerando 49 del RGPD aclara que, constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte, entre otros agentes y autoridades, por proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

Por lo tanto, parecen impulsarse nuevos cauces de protección y de defensa jurídica a favor de los gestores y/o titulares de los sitios web y, en general, de las plataformas en línea frente a posibles ciberataques y otras actuaciones promovidas por sus usuarios con el fin de provocar cualquier quiebra o violación de la seguridad en torno a aquéllas o, simplemente, evitar o dificultar el correcto funcionamiento de las mismas. En todo caso, se deberá ponderar en cada caso la posible prevalencia de sus intereses con la adecuada protección de los derechos y libertadas públicas de tales usuarios. En tal sentido, parece razonable pensar que pronto, en base de lo dispuesto en el propio RGPD, recaerán nuevos pronunciamientos judiciales que irán marcando los criterios jurisprudenciales a considerar en los diferentes casos que, sin lugar a dudas, se plantearán este ámbito.

 


[1] Remítase a la Sentencia de la Sección Sexta de la Sala de lo Contencioso-administrativo del Tribunal Supremo: http://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=7195354&links=%226153/2011%22&optimize=20141023&publicinterface=true

[2] Entre otras, resultan de interés las SSTJUE de 29 de enero de 2008 y de 24 de noviembre de 2011: http://curia.europa.eu/juris/liste.jsf?language=es&num=C-275/06 y http://curia.europa.eu/juris/document/document.jsf?docid=115205&doclang=ES

[5] No sería posible tal asociación (ni nos encontraríamos ante datos de carácter personal) cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante. En este sentido, véase el Considerando 68 de las siguientes Conclusiones del Abogado General del TJUE: http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=690386. En este caso, el gestor o prestador de un sitio de Internet podrá articular diversas vías legales que le permiten dirigirse, en el caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones legales que correspondan.

[6] Este Reglamento puede consultarse a través de la siguiente dirección web: https://www.boe.es/doue/2016/119/L00001-00088.pdf




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad