¿Cuándo la dirección IP es un dato de carácter personal? Sentencia TJUE

Viernes, 28 Octubre 2016 14:17
Publicado en Blog
Escrito por  Visto 2522 veces
Valora este artículo
(2 votos)

La semana pasada el Tribunal de Justicia de la Unión Europea dictaba sentencia resolviendo las Cuestiones Prejudiciales planteadas por el Tribunal Supremo Civil y Penal Alemán, a raíz de la denuncia de un ciudadano alemán que se oponía, ante los órganos jurisdiccionales alemanes, a que los sitios de Internet de los organismos federales de su país registren y conserven sus direcciones de protocolo de Internet.

La primera cuestión prejudicial planteada por el tribunal alemán versa sobre si los datos que consisten en una dirección IP dinámica y en la fecha y hora de la sesión de consulta de un sitio de Internet, registrados por un proveedor de servicios de medios en línea no permiten, por sí solos, identificar al usuario que ha consultado ese sitio de Internet durante dicha sesión. En principio es el proveedor de acceso a Internet quien dispone de la información adicional que, combinada con esa dirección IP, permitiría identificar a dicho usuario

Sin embargo, el Tribunal Europeo expone que del tenor del artículo 2, letra a), de la Directiva 95/46 se desprende que se considera identificable a la persona que puede ser identificada no sólo directamente sino también indirectamente, y no es necesario que dicha información permita, por sí sola, identificar al interesado.

Continúa TJUE indicando, que para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados. Esto sugiere que para que un dato pueda ser calificado de dato personal no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona. Es decir, que la información adicional no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso, no parece que pueda excluir que las direcciones IP dinámicas sigan constituyendo un dato de carácter personal.

Ahora toca preguntarse:

¿combinar los datos de una IP dinámica con la información del proveedor de acceso es un medio razonable?

El TJUE responde indicando que el Abogado General indicó que no es un medio razonable cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable en términos de costes, tiempo y recursos humanos.

Atendiendo a lo antedicho, el TJUE indica que si bien es cierto que el Derecho alemán no permite al proveedor de acceso a Internet transmitir directamente al proveedor de servicios de medios en línea información adicional, existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular en caso de ataques cibernéticos, a la autoridad competente.

Como conclusión a este respecto, podemos entender que será en ciertos casos cuando la dirección IP puede ser considerada un dato personal para el prestador del servicio. Ahora bien, y siendo la segunda cuestión prejudicial, cabe plantearse si este puede recoger y utilizar posteriormente estos datos personales con el fin de garantizar el funcionamiento general de su sitio.

Ante esta cuestión, el TJUE indica que el artículo 7, letra f), de la Directiva 95/46, el tratamiento de datos personales es lícito si «es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1, apartado 1», de dicha Directiva.

Por tanto el TJUE considera que los sitios de Internet pueden tener un interés legítimo en tratar una dirección IP, incluso si se considera dato personal, para garantizar, la continuidad del funcionamiento de sus sitios.

Tamara Morales Martín

Abogada especialista en Nuevas Tecnologías y Protección de Datos.

Directora de PRODAT en Castilla y León

Sitio Web: prodat.es/castilla-y-leon.html
Inicia sesión para enviar comentarios

Modificado por última vez en Viernes, 28 Octubre 2016 14:40

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal