La privacidad de nuestros datos en internet

La protección de datos de carácter personal está siendo objeto de interpretación en estos días por el Tribunal Superior de Justicia de la Unión Europea, en concreto se está tratando la cuestión de los datos de una dirección IP dinámica, cuestionándose si dicha información, junto con otros datos del internauta constituyen un “dato personal” a los efectos de la protección de datos personales.

La cuestión se ha planteado porque el Tribunal Supremo Civil y Penal de Alemania ha planteado distintas cuestiones prejudiciales ante el TJUE precisamente sobre esta materia, con relación a un litigio del que está conociendo, existente entre un ciudadano alemán y ese Estado miembro, por el almacenamiento de ese tipo de datos incluso después de haber consultado y abandonado páginas de Instituciones Públicas alemanas.

Estas Instituciones conservan, incluso después de acabada la consulta, el nombre del fichero o de la página solicitados por los usuarios, los conceptos introducidos en los campos de búsqueda, el momento de la llamada, la cantidad de datos transmitidos, el informe sobre si la llamada se ha llevado a cabo y la dirección IP del ordenador desde el que se ha hecho, con la finalidad, según manifiestan dichas Instituciones de prevenir ataques informáticos y posibilitar la persecución penal de los agresores.

El usuario alemán que puso la denuncia pidió que el Estado alemán deje de registrar la dirección IP del sistema "host" desde el que realizó las llamadas, siempre que no sea preciso para restablecer la disponibilidad del servicio de telecomunicación en caso de fallo.

Su recurso fue estimado parcialmente en apelación y Alemania fue condenada a cesar en el registro más allá del término de cada operación de acceso, si no es indispensable para la disponibilidad del servicio.

El Tribunal Supremo alemán preguntó a la Corte Europea, con sede en Luxemburgo, cómo interpretar en este caso la Directiva Comunitaria 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Esta cuestión, que todavía no ha sido resuelta por el Alto Tribunal, sí ha sido objeto de estudio por el Abogado General del Tribunal de Justicia de la Unión Europea, Don Manuel Campos Sánchez-Bordona, en sus Conclusiones en el asunto C582/14 Breyer, que queda pendiente de la decisión final del Tribunal- puesto que el Abogado General propone una solución jurídica determinada al TJUE, en un asunto, pero sus Conclusiones no son vinculantes, a la hora de dictar sentencia.

Así, Abogado General considera que la dirección IP dinámica de un internauta puede considerarse información “personal” cuando va asociada a otros datos adicionales, que permiten identificarle, y puede almacenarse para garantizar un buen servicio de internet. Considera que está justificado "el tratamiento de ese dato personal" para garantizar el funcionamiento del servicio de telecomunicaciones, si se estima que "prevalece sobre el interés o los derechos fundamentales del afectado", recomendando al TJUE que responda así a las cuestiones prejudiciales planteadas en torno a esta cuestión.

En sus Conclusiones, ha señalado que una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de internet y que ha sido almacenada, constituye un "dato personal" en la medida en que el proveedor posea otros datos adicionales que, asociados a dicha dirección, permitan identificar al usuario.

Agregó que los Tribunales alemanes están obligados a interpretar la legislación nacional de modo acorde con la Directiva, lo que implica que se pueda incluir entre las causas justificativas del tratamiento, de los denominados "datos de uso", el interés legítimo del prestador de servicios de telecomunicación, para proteger el uso general de éstos. También que se pueda ponderar, en cada caso, ese interés del prestador del servicio, contrastándolo con el interés o los derechos y libertades fundamentales del usuario, para determinar si debe o no concederse la protección que confiere la Directiva.

De este modo, el Abogado General considera que el objetivo de garantizar el funcionamiento del servicio de telecomunicación "puede considerarse, en principio, un interés legítimo cuya satisfacción justifica el tratamiento de ese dato personal, siempre que se estime que prevalece sobre el interés o los derechos fundamentales del afectado".

Aquí, se está justificando el tratamiento de datos personales- que en el presente caso de Alemania, implica el almacenamiento de información, en páginas de Instituciones Públicas, incluso después de haber abandonado la página web, relativa a los conceptos introducidos en los campos de búsqueda, momento en que se efectúa, dirección IP del ordenador desde el que se hace-- que permiten incluso hacer un perfil del usuario, bajo el pretexto de garantizar la disponibilidad del servicio de telecomunicación en caso de fallo, aún cuando ésta ya ha terminado.

En la propia Directiva 95/46 (que ha sido derogada por el nuevo Reglamento Europeo de protección de datos- con efectos a partir del 26 de Mayo de 2018)- en su artículo 13- Excepciones y limitaciones, establece: 1.- Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en los artículos 6.1 (Los Estados miembros dispondrán que los datos personales sean- tratados de manera leal y lícita; recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines…; adecuados, pertinentes y no excesivos en relación a los fines para los que se recaben.. actualizados…), en el artículo 10.- Información en caso de obtención de datos recabados del propio interesado-- debe comunicar a la persona de quien se recaben los datos que le conciernan.. sobre la identidad del responsable del tratamiento, fines del tratamiento de que van a ser objeto los datos…; en el artículo 11.1.- Información cuando los datos no han sido recabados del propio interesado…; en el artículo 12.- Derecho de acceso; y en el artículo 21.- Publicidad de los tratamientos…- cuando tal limitación constituya una medida necesaria para la salvaguardia de: la seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, represión de infracciones penales..; un interés económico y financiero importante de un Estado miembro o de la UE; … protección del interesado o de los derechos y libertades de las personas….

Es decir, se están legitimando auténticas excepciones a los principios más básicos de protección de datos personales en base a intereses estatales, incluso económicos, que nada tienen que ver con el superior y legítimo derecho a la intimidad personal y a un tratamiento racional y legítimo de nuestros datos.

Estamos llegando a un punto en el que todo vale y está justificado para los Estados, y para las Instituciones públicas, pero no para los particulares.

Incluso en el caso de que un particular tenga un interés legítimo en acceder a una información- como por ejemplo, el número de teléfono de una persona para comprarle una finca- se le impide el acceso a la misma bajo la pantalla artificial de una “protección de datos personales”, y sin embargo, las Instituciones públicas pueden disponer de datos tan personales como qué páginas web visitamos, cuándo, qué miramos en las mismas.. y no pasa nada, es legítimo, sobre todo con la excusa de la seguridad y la defensa nacional...

Todo sea por la protección de los intereses, legítimos o no, de los Estados, de las Instituciones Públicas, incluso de las grandes empresas transnacionales, que trafican con nuestros datos sin que nada ocurra, incluso con una protección legal de primer orden como son nuestras normas europeas y nacionales.

Esperemos que el TJUE no siga las Conclusiones del Abogado General e impida esta práctica por parte de las Instituciones Públicas, no solo alemanas, sino de toda Europa.

Veremos….

María Pérez Arellano.