Según informa el Diario digital “Noticias Jurídicas” el Tribunal Supremo ha dictado una sentencia por la que establece una interesante doctrina sobre la consideración de la claves IP, a efectos de la protección de datos de carácter personal.
La sentencia confirma que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.
El Alto Tribunal indica que, al no producirse la imposibilidad de informar a los interesados del tratamiento de sus direcciones IP, ni exigir dicho trámite un esfuerzo desproporcionado al obligado al mismo, no concurren los motivos exigidos para aplicar la exención del deber de informar al interesado del tratamiento de sus datos.
Además, no cabe presumir de forma segura e indudable, tal como exige el artículo 6 de la LOPD, que los interesados han otorgado su consentimiento para el tratamiento de sus datos por el hecho de conectarse a una red P2P.
Así, el hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente. Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.
Direcciones IP personales
Igualmente la sentencia señala que no es posible entregar las direcciones IP a una entidad privada, que no tenga la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas, lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.
La parte recurrente presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales, la AEPD acordó no autorizar dicha exención y la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo interpuesto contra dicha decisión, contra la que se ha interpuesto recurso de casación.
Para el recurrente no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP constituyan datos personales.
Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C-275/2006.
Dirección IP y tratamiento de datos
Desde la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.
El artículo 5 de la LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apartado 4 del artículo 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el artículo 5.5 LOPD exceptúa de dicho deber de información determinados supuestos: cuando la ley expresamente lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Es cierto que el artículo 6 LOPD exige el consentimiento del interesado, sin la previsión de que sea expreso, pero como afirma la sentencia recurrida, el consentimiento podrá ser tácito pero, en todo caso, deberá ser inequívoco, y esta Sala considera que no cabe presumir, de forma segura e indudable, el consentimiento de los interesados al tratamiento de sus datos por el hecho de conectarse a una red P2P.
La cita que efectúa la sentencia recurrida al artículo 6 de la Ley 25/20067 no tiene otro objeto que el de resaltar la relevancia del dato de dirección IP, que figura entre los datos objeto de conservación establecidos por el artículo 3 de la indicada Ley, cuya cesión por los operadores de telecomunicaciones a los agentes facultados está sujeta a condiciones restrictivas, entre ellas, a la previa autorización judicial.
Esta regulación legal es tenida en cuenta por la sentencia recurrida, para efectuar la ponderación ordenada por el artículo 6.2 de la LOPD, de los intereses y derechos concurrentes en el presente caso, en cuanto pone de manifiesto la especial protección dispensada por el legislador a los datos vinculados a la comunicación a través de Internet, que la sentencia recurrida tiene en cuenta para afirmar: que no es posible entregar las direcciones IP a una entidad privada, e incide sobre la improcedencia de la pretensión de la parte recurrente.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!