La
protección de datos de carácter personal está siendo objeto de
interpretación en estos días por el Tribunal Superior de Justicia
de la Unión Europea, en concreto se está tratando la cuestión de
los datos de una dirección IP dinámica, cuestionándose si dicha
información, junto con otros datos del internauta constituyen un
“dato personal” a los efectos de la protección de datos
personales.
La cuestión se ha planteado porque el Tribunal Supremo Civil y Penal de Alemania ha planteado distintas cuestiones prejudiciales ante el TJUE precisamente sobre esta materia, con relación a un litigio del que está conociendo, existente entre un ciudadano alemán y ese Estado miembro, por el almacenamiento de ese tipo de datos incluso después de haber consultado y abandonado páginas de Instituciones Públicas alemanas.
Estas Instituciones conservan, incluso después de acabada la consulta, el nombre del fichero o de la página solicitados por los usuarios, los conceptos introducidos en los campos de búsqueda, el momento de la llamada, la cantidad de datos transmitidos, el informe sobre si la llamada se ha llevado a cabo y la dirección IP del ordenador desde el que se ha hecho, con la finalidad, según manifiestan dichas Instituciones de prevenir ataques informáticos y posibilitar la persecución penal de los agresores.
El usuario alemán que puso la denuncia pidió que el Estado alemán deje de registrar la dirección IP del sistema "host" desde el que realizó las llamadas, siempre que no sea preciso para restablecer la disponibilidad del servicio de telecomunicación en caso de fallo.
Su
recurso fue estimado parcialmente en apelación y Alemania fue
condenada a cesar en el registro más allá del término de cada
operación de acceso, si no es indispensable para la disponibilidad
del servicio.
El Tribunal Supremo alemán preguntó a la Corte Europea, con sede en Luxemburgo, cómo interpretar en este caso la Directiva Comunitaria 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Esta cuestión, que todavía no ha sido resuelta por el Alto Tribunal, sí ha sido objeto de estudio por el Abogado General del Tribunal de Justicia de la Unión Europea, Don Manuel Campos Sánchez-Bordona, en sus Conclusiones en el asunto C582/14 Breyer, que queda pendiente de la decisión final del Tribunal- puesto que el Abogado General propone una solución jurídica determinada al TJUE, en un asunto, pero sus Conclusiones no son vinculantes, a la hora de dictar sentencia.
Así, Abogado General considera que la dirección IP dinámica de un internauta puede considerarse información “personal” cuando va asociada a otros datos adicionales, que permiten identificarle, y puede almacenarse para garantizar un buen servicio de internet. Considera que está justificado "el tratamiento de ese dato personal" para garantizar el funcionamiento del servicio de telecomunicaciones, si se estima que "prevalece sobre el interés o los derechos fundamentales del afectado", recomendando al TJUE que responda así a las cuestiones prejudiciales planteadas en torno a esta cuestión.
En sus Conclusiones, ha señalado que una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de internet y que ha sido almacenada, constituye un "dato personal" en la medida en que el proveedor posea otros datos adicionales que, asociados a dicha dirección, permitan identificar al usuario.
Agregó que los Tribunales alemanes están obligados a interpretar la legislación nacional de modo acorde con la Directiva, lo que implica que se pueda incluir entre las causas justificativas del tratamiento, de los denominados "datos de uso", el interés legítimo del prestador de servicios de telecomunicación, para proteger el uso general de éstos. También que se pueda ponderar, en cada caso, ese interés del prestador del servicio, contrastándolo con el interés o los derechos y libertades fundamentales del usuario, para determinar si debe o no concederse la protección que confiere la Directiva.
De este modo, el Abogado General considera que el objetivo de garantizar el funcionamiento del servicio de telecomunicación "puede considerarse, en principio, un interés legítimo cuya satisfacción justifica el tratamiento de ese dato personal, siempre que se estime que prevalece sobre el interés o los derechos fundamentales del afectado".
Aquí, se está justificando el tratamiento de datos personales- que en el presente caso de Alemania, implica el almacenamiento de información, en páginas de Instituciones Públicas, incluso después de haber abandonado la página web, relativa a los conceptos introducidos en los campos de búsqueda, momento en que se efectúa, dirección IP del ordenador desde el que se hace-- que permiten incluso hacer un perfil del usuario, bajo el pretexto de garantizar la disponibilidad del servicio de telecomunicación en caso de fallo, aún cuando ésta ya ha terminado.
En
la propia Directiva 95/46 (que ha sido derogada por el nuevo
Reglamento Europeo de protección de datos- con efectos a partir del
26 de Mayo de 2018)- en su artículo 13- Excepciones y
limitaciones, establece:
1.- Los Estados miembros podrán adoptar medidas legales para
limitar el alcance de las obligaciones y los derechos previstos
en los artículos 6.1 (Los
Estados miembros dispondrán que los datos personales sean- tratados
de manera leal y lícita; recogidos con fines determinados,
explícitos y legítimos, y no sean tratados posteriormente de
manera incompatible con dichos fines…; adecuados, pertinentes y no
excesivos en relación a los fines para los que se recaben..
actualizados…), en el artículo 10.- Información en caso de
obtención de datos recabados del propio interesado-- debe
comunicar a la persona de quien se recaben los datos que le
conciernan.. sobre la identidad del responsable del tratamiento,
fines del tratamiento de que van a ser objeto los datos…; en el
artículo 11.1.- Información cuando los datos no han sido
recabados del propio interesado…; en el artículo 12.- Derecho
de acceso; y en el artículo 21.- Publicidad de los
tratamientos…- cuando tal limitación constituya una medida
necesaria para la salvaguardia de: la seguridad del
Estado; la defensa; la seguridad
pública; la prevención, investigación, represión de
infracciones penales..; un interés económico y
financiero importante de un Estado miembro o de la UE; … protección
del interesado o de los derechos y libertades de las personas….
Es
decir, se están legitimando auténticas excepciones a los principios
más básicos de protección de datos personales en base a intereses
estatales, incluso económicos, que nada tienen que ver con el
superior y legítimo derecho a la intimidad personal y a un
tratamiento racional y legítimo de nuestros datos.
Estamos llegando a un punto en el que todo vale y está justificado para los Estados, y para las Instituciones públicas, pero no para los particulares.
Incluso en el caso de que un particular tenga un interés legítimo en acceder a una información- como por ejemplo, el número de teléfono de una persona para comprarle una finca- se le impide el acceso a la misma bajo la pantalla artificial de una “protección de datos personales”, y sin embargo, las Instituciones públicas pueden disponer de datos tan personales como qué páginas web visitamos, cuándo, qué miramos en las mismas.. y no pasa nada, es legítimo, sobre todo con la excusa de la seguridad y la defensa nacional...
Todo sea por la protección de los intereses, legítimos o no, de los Estados, de las Instituciones Públicas, incluso de las grandes empresas transnacionales, que trafican con nuestros datos sin que nada ocurra, incluso con una protección legal de primer orden como son nuestras normas europeas y nacionales.
Esperemos
que el TJUE no siga las Conclusiones del Abogado General e impida
esta práctica por parte de las Instituciones Públicas, no solo
alemanas, sino de toda Europa.
Veremos….
María
Pérez Arellano.