Home / Publicaciones / A vueltas con la ciberseguridad: el TJUE avala el...

A vueltas con la ciberseguridad: el TJUE avala el uso legítimo de IPS dinámicas

POST JURÍDICO

Eva Cassinello

El Tribunal de Justicia de la UE (“TJUE”) se ha pronunciado en su sentencia de 19 de octubre de 2016 sobre la posibilidad de considerar como datos de carácter personal las direcciones de protocolo de Internet (conocidas como direcciones IP) dinámicas en el sentido de la Directiva 95/46/CE de Protección de Datos, así como de utilizar tales direcciones con fines de seguridad. La sentencia parte de dos cuestiones prejudiciales planteadas en el procedimiento entre un ciudadano alemán (“Demandante”) y la República Federal de Alemania (Bundesrepublik Deutschland) donde el primero se opuso al registro y conservación de sus direcciones IP por parte de los organismos federales alemanes.

El litigio tiene su origen en la comprobación por parte del Demandante de que varios sitios de Internet (websites) titularidad de organismos públicos alemanes conservaban las direcciones IP de los usuarios tras la finalización de las consultas realizadas por éstos, con la finalidad de asegurar el buen funcionamiento de los sistemas y, en su caso, permitir la persecución de eventuales ataques cibernéticos. Ante tales circunstancias, el Demandante inició un proceso judicial solicitando la prohibición de dicha conservación cuando ésta no fuera estrictamente necesaria para reestablecer la conexión en caso de fallo.

El recurso se desestimó en primera instancia, aunque el tribunal de apelación modificó tal resolución estimando parcialmente las pretensiones del Demandante, prohibiendo así que la República Federal Alemana conservase las direcciones IP en los términos antes indicados. Como resultado de lo anterior, ambas partes interpusieron recurso de casación ante el Tribunal Supremo, quien a su vez dio traslado de las citadas cuestiones prejudiciales al TJUE.

La primera de las cuestiones versa sobre la consideración de una dirección IP dinámica como dato de carácter personal de acuerdo con el artículo 2.a) de la Directiva 95/46/CE: “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente […]”.

Como aclara el Abogado General en sus conclusiones, una dirección IP es una secuencia de números binarios que, asignada a un dispositivo (ordenador, tablet, smartphone, etc.), lo identifica y le permite acceder a una red de comunicaciones electrónicas. Por lo tanto, a esa dirección IP podrán tener acceso tanto los proveedores de acceso a Internet que la asignan como los prestadores de servicios, titulares de las páginas web que puede visitar cualquier usuario. Las direcciones IP pueden ser dinámicas o estáticas, variando las primeras con cada conexión a Internet, lo que dificulta la identificación del usuario que está utilizando esa IP e impide que un ordenador concreto se pueda asociar a la conexión de red facilitada por el proveedor de acceso a Internet. Como también apunta el Abogado General en sus conclusiones, “una dirección IP dinámica por sí sola no basta para que el prestador de servicios identifique al usuario de su página web. […] podrá hacerlo si combina la dirección IP dinámica con otros datos adicionales en manos del proveedor de acceso a la red”.

El TJUE establece que tal dirección tendrá la consideración de dato de carácter personal cuando existan vías legales que permitan al prestador de servicios de la sociedad de la información responsable de dicho sitio identificar a la persona física que efectúa la consulta mediante la combinación de la dirección IP registrada e información adicional de esa persona que obra en su poder. Tal escenario podría darse en un supuesto de ataque cibernético en el que la autoridad competente permitiera que un prestador de servicios de la sociedad de la información obtuviera información adicional del usuario –que permita su identificación como persona física– a través del proveedor de acceso a Internet.

En cuanto a la segunda de las cuestiones prejudiciales, se plantea si la normativa de protección de datos alemana sobre servicios de información y comunicación electrónica (Telemediengesetz) es conforme con el artículo 7 de la Directiva 95/46/CE. Si bien la ley autoriza la recogida y uso de los datos personales de un usuario que accede a una página web únicamente cuando sea imprescindible para ofrecer y facturar un uso concreto del servicio en cuestión, el artículo 7 va más allá y reconoce la licitud del tratamiento de los datos personales siempre que sea “necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento (…), siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección”. En consecuencia, el TJUE considera que las limitaciones establecidas en la Telemediengesetz son contrarias a la Directiva 95/46/CE, puesto que no permite llevar a cabo la ponderación de derechos e intereses, de acuerdo con su artículo 7, cuyo resultado podría confirmar la existencia de un interés legítimo en el tratamiento de los datos, siempre atendiendo al análisis efectuado caso por caso.

La sentencia objeto de análisis es un importante precedente que podría habilitar –amparándose en el interés legítimo– el tratamiento de direcciones IP dinámicas con la finalidad de asegurar el funcionamiento de sitios de Internet frente a potenciales ataques cibernéticos. Recuérdese en este sentido que la Directiva (UE) 2016/1148 de ciberseguridad considera el grado de perturbación del funcionamiento de servicios ofrecidos a través de Internet como parámetro para determinar la gravedad de un incidente de seguridad, lo que demuestra la preocupación del legislador europeo en la materia.

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores. 

Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.