Euro

The european project Training Activities to Implement the Data Protection Reform (TAtoDPR) has received funding from the European Union’s Rights, Equality and Citizenship (REC) Programme of the European Union under Grant Agreement No. 769191

The contents of this Journal represent the views of the author only and are his/her sole responsibility. The European Commission does not accept any responsibility for use that may be made of the information it contains.

Home / ISSUES / Issue / Analisís de la Sentencia del Tribunal de Justicia de la Unión Europea, 19 Octubre 2016, Breyer, ..

back print content read pdf content


Analisís de la Sentencia del Tribunal de Justicia de la Unión Europea, 19 Octubre 2016, Breyer, C-582/14

ADRÍAN PALMA ORTIGOSA

    

Hechos: El Sr. Breyer (ciudadano) consultó varias páginas web de Internet de organismos federales alemanes.

Con el objetivo de prevenir ataques y en su caso posibilitar el ejercicio de acciones penales contra piratas informáticos, estos sitios webs registran todas las consultas realizadas en dichas páginas incluyéndolas así en ficheros de protocolos. Entre los datos que se conservan en dichos ficheros se encuentran: “el nombre del sitio o fichero consultado, los términos introducidos en los campos de búsqueda, la fecha y hora de la consulta, la cantidad de datos transmitidos, la constatación del éxito de la consulta y la dirección IP del ordenador desde el que se ha realizado la consulta”. El Sr. Breyer, ante tal situación, presentó un recurso con el objeto de que se prohibiera a Alemania conservar o permitir que terceros conservasen al final de las sesiones de consulta de sitios accesibles al público de medios en línea de organismos federales alemanes, la dirección IP del sistema principal delos usuarios. (FJ 13 a 17)

Cuestiones claves del asunto:

  1. A) Concepto de Dato Personal. Dirección IP: En primer lugar, el TJUE se centra en analizar si una dirección IP dinámica (FJ 16 y 36) puede considerarse un dato personal a los efectos de la Directiva 95/46 en relación al proveedor de servicios en línea. Para ello, el TJUE comienza señalando que una dirección IP dinámica no constituye una información relativa a una «persona física identificada», puesto que tal dirección no revela directamente la identidad de la persona física propietaria del ordenador desde el cual se realiza la consulta de un sitio de Internet. (FJ 38). Ahora bien, el hecho de que por sí sola una dirección IP dinámica no identifique directamente a una persona, si puede identificarla indirectamente. (FJ 40). Y ello es así, ya que, para calificar una información de dato personal, no es necesario que dicha información permita, por sí sola, identificar al interesado (FJ 41) o se exija en su caso que dicha información deba de encontrarse en poder de una sola persona (FJ 43). Así, aunque la información adicional necesaria para identificar a una persona no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso a internet de dicho ciudadano, hay que entender en principio, que las direcciones IP dinámicas registradas por el proveedor de servicios de medios en línea pueden constituir datos personales en el sentido del artículo 2, letra a), de la Directiva 95/46. (FJ 44). Y es que, dado que hoy día el proveedor de servicios de medios en línea dispone de medios (leyes) que pueden utilizarse razonablemente para identificar, con ayuda de otras personas, a saber, la autoridad competente y el proveedor de acceso a Internet, al interesado basándose en la información de dichas IP. (FJ 48). Estas últimas han de considerarse datos a efectos de la Directiva.
  2. B) Licitud del tratamiento: Se analiza finalmente si el tratamiento de datos que realizan las autoridades alemanas es lícito a pesar de que no ha existido consentimiento del interesado y teniendo en cuenta que la norma solo permite el tratamiento de dichos datos con meros efectos de posibilitar y facturar el uso concreto del medio en línea por el usuario, sin que se permita a las autoridades recabar y tratar dichos datos con el objetivo de garantizar el funcionamiento general del medio en línea (FJ 54 y 55) una vez acabada la consulta de dichos servicios en línea. Pues bien, el Art 7 de la Directiva ni permite añadir nuevos principios de legitimación del tratamiento, ni tampoco permite imponer exigencias adicionales a los principios establecidos en dicho artículo (FJ 57 y 58). En el caso analizado, sin embargo, la norma ha establecido unas exigencias más restrictivas de tratamiento de datos que las reconocidas en la Directiva (FJ 59), sin que dicha normativa haya realizado una ponderación adecuada entre los intereses de los particulares y en este caso las autoridades que también ostentan dichos intereses legítimos(FJ 60) habida cuenta de las circunstancias del caso en concreto (FJ 62).

Decisión Final: 1. Una IP dinámica es un dato a los efectos de la Directiva en la medida que, si bien, por sí sola no pudiera arrojar una información que identificara a una persona, a día de hoy, existen medios que permiten poner en común varias informaciones en posesión de distintas personas convirtiéndose así en datos personales a efectos de la Directiva.

  1. La norma alemana es contraria a la Directiva al no permitir que un prestador de servicios de medios en línea, en este caso autoridad pública, pueda realizar un tratamiento de datos con el objetivo de garantizar el funcionamiento general de esos mismos servicios una vez que el usuario ha dejado de consultar dichos servicios. Hasta ese momento, la norma solo permite a dichos servicios de medios en línea conservar los datos con fines de facturación.

Artículos implicados del REPD: Art 4.1) y Art 6.1 f)

Apartado concreto del Temario: 1.2.2 y 1.3.2


  • Giappichelli Social