201610.26
0
0

Según el TSJUE, el Gestor de un Sitio Web puede conservar ciertos datos personales de los usuarios para defenderse de los ataques cibernéticos.

El TSJUE ha considerado que el gestor de un sitio web tiene «interés legítimo» en el tratamiento de datos personales que identifiquen a un usuario para asegurar el buen funcionamiento de sus páginas web.

Los proveedores de acceso a la red (por lo general, las compañías telefónicas) atribuyen a sus clientes las denominadas «direcciones IP dinámicas», de manera temporal, para cada conexión a Internet, y las cambian con ocasión de las conexiones posteriores. Esas mismas compañías llevan un registro en el que consta qué dirección IP han adjudicado, en cada momento, a un determinado dispositivo.

Hechos

El Sr. Breyer ha instado contra la República Federal de Alemania una acción de cesación por el registro de direcciones IP.

Muchas instituciones públicas alemanas mantienen portales de Internet accesibles al público, en los que ofrecen información actualizada. Para prevenir ataques y posibilitar la persecución penal de los agresores, la mayor parte de esos portales almacenan todos los accesos en ficheros o registros de protocolo. En ellos conservan, incluso después de acabada la operación, el nombre del fichero o de la página solicitados, los conceptos introducidos en los campos de búsqueda, el momento de la llamada, la cantidad de datos transmitidos, la constatación del éxito de la llamada y la dirección IP del ordenador desde el que se ha hecho.

El Sr. Breyer, quien consultó varias de las páginas mencionadas, solicitó en su demanda que la República Federal fuera condenada a cesar en el registro, por sí misma o por terceros, de la dirección IP del sistema host desde el que realizó las llamadas, siempre que no fuera preciso para restablecer la disponibilidad del servicio de telecomunicación en caso de fallo.

La demanda del Sr. Breyer fue desestimada en primera instancia. Su recurso de apelación, sin embargo, fue estimado parcialmente, condenándose a la República Federal a cesar en el registro más allá del término de cada operación de acceso. La orden de cese se condicionó a que el demandante facilitara, durante la operación de acceso, sus datos personales, incluso en forma de dirección de correo electrónico, y a que el registro no fuera imprescindible para restablecer la disponibilidad del servicio de telecomunicación.

Cuestiones planteadas

Dilucidar:

–  si una dirección IP, con la que se accede a una página web, representa para la entidad pública titular de esa página un dato personal [en el sentido del artículo 2, letra a), de la Directiva 95/46/CE], en el caso de que el proveedor de acceso a la red posea datos adicionales que permitan la identificación del interesado.

– si una dirección IP dinámica es un dato de carácter personal para el proveedor de un servicio de Internet cuando la compañía de comunicaciones que ofrece el acceso a la red (el proveedor de acceso) maneja datos adicionales que, combinados con aquella dirección, permiten identificar a quien accede a la página web gestionada por el primero.

Conclusión

Según el Tribunal de Luxemburgo:

«1)      Con arreglo al artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de servicios de telecomunicaciones, constituye para este último un «dato personal», en la medida en que un proveedor de acceso a la red posea otros datos adicionales que, asociados a la dirección IP dinámica, propicien la identificación del usuario.

2)      El artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que el objetivo de garantizar el funcionamiento del servicio de telecomunicación puede, en principio, considerarse como un interés legítimo, cuya satisfacción justifica el tratamiento de ese dato personal, sujeto al juicio de su prevalencia sobre el interés o los derechos fundamentales del afectado. Una disposición nacional que no permitiera tomar en cuenta ese interés legítimo sería incompatible con el citado artículo.»

Para el Tribunal Europeo, los organismos federales alemanes reducen el alcance del principio de privacidad con el objetivo de garantizar una ponderación con el interés o los derechos fundamentales. Por lo que la normativa alemana persigue un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de sus sitios web.

Documentos de interés

CONCLUSIONES DEL ABOGADO GENERAL M. CAMPOS SÁNCHEZ-BORDONA presentadas el 12 de mayo de 2016. Asunto C-582/14. Patrick Breyer contra Bundesrepublik Deutschland [Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania)] «Tratamiento de datos de carácter personal — Directiva 95/46/CE — Artículo 2, letra a), y artículo 7, letra f) — Concepto de “datos de carácter personal” — Direcciones IP — Conservación por un proveedor de servicios de medios electrónicos — Normativa nacional que no permite tener en cuenta el interés legítimo perseguido por el responsable del tratamiento»

Comunicado de prensa n.º 112/16 del Tribunal de Justicia de la Unión Europea de 19 de octubre de 2016, en relación con la Sentencia en el asunto C-582/14 – Patrick Breyer / Bundesrepublik Deutschland


Dejar un comentario

Tu dirección de correo electrónico no se publicará. Los campos requeridos están marcados *