Según el TSJUE, el Gestor de un Sitio Web puede conservar ciertos datos personales de los usuarios para defenderse de los ataques cibernéticos.
El TSJUE ha considerado que el gestor de un sitio web tiene «interés legítimo» en el tratamiento de datos personales que identifiquen a un usuario para asegurar el buen funcionamiento de sus páginas web.
Los proveedores de acceso a la red (por lo general, las compañías telefónicas) atribuyen a sus clientes las denominadas «direcciones IP dinámicas», de manera temporal, para cada conexión a Internet, y las cambian con ocasión de las conexiones posteriores. Esas mismas compañías llevan un registro en el que consta qué dirección IP han adjudicado, en cada momento, a un determinado dispositivo.
Hechos
El Sr. Breyer ha instado contra la República Federal de Alemania una acción de cesación por el registro de direcciones IP.
Muchas instituciones públicas alemanas mantienen portales de Internet accesibles al público, en los que ofrecen información actualizada. Para prevenir ataques y posibilitar la persecución penal de los agresores, la mayor parte de esos portales almacenan todos los accesos en ficheros o registros de protocolo. En ellos conservan, incluso después de acabada la operación, el nombre del fichero o de la página solicitados, los conceptos introducidos en los campos de búsqueda, el momento de la llamada, la cantidad de datos transmitidos, la constatación del éxito de la llamada y la dirección IP del ordenador desde el que se ha hecho.
El Sr. Breyer, quien consultó varias de las páginas mencionadas, solicitó en su demanda que la República Federal fuera condenada a cesar en el registro, por sí misma o por terceros, de la dirección IP del sistema host desde el que realizó las llamadas, siempre que no fuera preciso para restablecer la disponibilidad del servicio de telecomunicación en caso de fallo.
La demanda del Sr. Breyer fue desestimada en primera instancia. Su recurso de apelación, sin embargo, fue estimado parcialmente, condenándose a la República Federal a cesar en el registro más allá del término de cada operación de acceso. La orden de cese se condicionó a que el demandante facilitara, durante la operación de acceso, sus datos personales, incluso en forma de dirección de correo electrónico, y a que el registro no fuera imprescindible para restablecer la disponibilidad del servicio de telecomunicación.
Cuestiones planteadas
Dilucidar:
– si una dirección IP, con la que se accede a una página web, representa para la entidad pública titular de esa página un dato personal [en el sentido del artículo 2, letra a), de la Directiva 95/46/CE], en el caso de que el proveedor de acceso a la red posea datos adicionales que permitan la identificación del interesado.
– si una dirección IP dinámica es un dato de carácter personal para el proveedor de un servicio de Internet cuando la compañía de comunicaciones que ofrece el acceso a la red (el proveedor de acceso) maneja datos adicionales que, combinados con aquella dirección, permiten identificar a quien accede a la página web gestionada por el primero.
Conclusión
Según el Tribunal de Luxemburgo:
«1) Con arreglo al artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de servicios de telecomunicaciones, constituye para este último un «dato personal», en la medida en que un proveedor de acceso a la red posea otros datos adicionales que, asociados a la dirección IP dinámica, propicien la identificación del usuario.
2) El artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que el objetivo de garantizar el funcionamiento del servicio de telecomunicación puede, en principio, considerarse como un interés legítimo, cuya satisfacción justifica el tratamiento de ese dato personal, sujeto al juicio de su prevalencia sobre el interés o los derechos fundamentales del afectado. Una disposición nacional que no permitiera tomar en cuenta ese interés legítimo sería incompatible con el citado artículo.»
Para el Tribunal Europeo, los organismos federales alemanes reducen el alcance del principio de privacidad con el objetivo de garantizar una ponderación con el interés o los derechos fundamentales. Por lo que la normativa alemana persigue un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de sus sitios web.