1. Hechos.
El Sr. Breyer presentó un recurso ante los tribunales contencioso-administrativos alemanes con la intención de que se prohibiese a las páginas web de los organismos federales alemanes conservar las direcciones IP de las personas que accediesen a sus sitios web.
En este caso, las direcciones conservadas son IP dinámicas, que no permiten identificar, por sí solas, a una persona física. Sin embargo, en combinación con datos como la fecha de consulta de la web y la identificación del usuario al acceder a la web, sí permiten obtener la identidad del usuario.
2. Pronunciamientos.
El Tribunal Supremo Alemán (bundesgerichsthof) remitió dos cuestiones prejudiciales al TJ.
En primer lugar el tribunal remitente se pregunta si la IP dinámica de un ordenador obtenida por el titular de la web puede ser considerada un dato personal, en el caso de que el proveedor de acceso a internet tenga los datos adicionales necesarios para identificar a un usuario.
Previamente el TJ ya había determinado que las IP estáticas constituían un dato personal, a diferencia de la IP dinámica, que se considera que no es un dato relativo a una persona identificada. La duda surge en torno a si es un dato de una persona identificable, ya que puede serlo directa o indirectamente.
Esto lleva a considerar que la información necesaria para identificar a un sujeto no debe estar en manos de una sola persona, siempre que los medios a utilizar para llevar a cabo la identificación puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona.
En este caso existen medios legales para que el proveedor de servicios web obtenga la información necesaria del proveedor de acceso a internet, así que dispone de medios razonables para identificar indirectamente a la persona a través de una IP dinámica.
En consecuencia, el TJ establece que una IP dinámica constituye, respecto al titular de una web, un dato personal si dispone de medios legales para identificar al interesado con datos que obran en poder del proveedor de acceso a internet.
La segunda cuestión prejudicial cuestiona que la directiva de protección de datos se oponga a una normativa nacional que permita a un proveedor de servicios web recoger y utilizar datos sin el consentimiento del interesado solamente para posibilitar y facturar el uso de los servicios prestados.
La normativa alemana recorta la enumeración taxativa de casos en los que el tratamiento de datos personales puede considerarse lícito que realiza la directiva, no permitiendo la conservación tras la consulta con el objetivo de garantizar el mantenimiento de los servicios.
Por tanto, a ojos del tribunal, al reducir el alcance del principio establecido en el artículo 7 f) de la directiva de protección de datos, esa normativa nacional es contraria a dicha directiva.
3. Comentario.
El aporte fundamental de esta sentencia es la extensión del concepto de dato personal, interpretando las expresiones “identificable” e “indirectamente” para extender ampliamente el concepto de dato personal.
Así, numerosos datos recogidos en la navegación de Internet o en la prestación de servicios web que, siendo combinables con datos que obtiene el prestador de acceso, puedan llegar a identificar a una persona pasarán a considerarse datos personales. Con ello, el concepto de dato personal se ha ampliado enormemente.
(Fuente de la información: ANUARIO ELZABURU 2016, recopilatorio de comentarios de jurisprudencia europea en materia de Derecho de Propiedad Industrial e Intelectual que realiza Elzaburu).
Documento citado:
-Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos
ENGLISH VERSION
A dynamic IP address can also be considered as personal data. Judgment of the Court of Justice of 19 October 2016, Breyer (C-582/14).
1. Background.
Mr. Breyer lodged an appeal with the German administrative courts seeking an order preventing the websites operated by German Federal institutions from storing the IP addresses of persons accessing those sites.
In this case, the stored addresses are dynamic IP addresses which, by themselves, do not enable a natural person to be identified. However, the user can be identified when that information is combined with data such as the date on which the website was accessed and identification of the user on accessing the website.
2. Findings.
The German Supreme Court (the Bundesgerichtshof) referred two questions to the ECJ for a preliminary ruling.
First of all, the referring court asked the ECJ whether a computer’s dynamic IP address obtained by the owner of the website could be considered as personal data in the event that the Internet access provider has the additional data necessary in order to identify a user.
The ECJ had previously established that static IP addresses constituted personal data, unlike dynamic IP addresses, which do not constitute information relating to an identified natural person. The uncertainty arises in respect of whether the information relates to an identifiable person, who can be identified either directly or indirectly.
It thus follows that the information required in order to identify a data subject does not need to be in the hands of one person, provided that the means to be used in order to carry out the identification can reasonably be used by the controller or by any other person.
In this case, the online media services provider has the legal means to obtain the necessary information from the Internet access provider, and so it has reasonable means to indirectly identify the person through a dynamic IP address.
Consequently, the ECJ holds that a dynamic IP address constitutes, in relation to the owner of a website, personal data where the latter has the legal means which enable it to identify the data subject with additional data held by the Internet access provider.
The second question concerns whether the Data Protection Directive precludes a provision in national law under which an online media services provider may collect and use data without the user’s consent only to the extent necessary in order to facilitate, and charge for, use of the services provided.
German law further limits the exhaustive list of cases –set out in the Directive- in which the processing of personal data can be regarded as being lawful, and does not permit storage at the end of the consultation period for the purpose of ensuring the general operability of the services.
Therefore, in the Court’s view, insofar as it reduces the scope of the principle laid down in Article 7(f) of the Data Protection Directive, the provision of national law in question is incompatible with that Directive.
3. Remarks.
The key aspect of this judgment is the fact that it broadly extends the concept of personal data by interpreting the terms “identifiable” and “indirectly”.
A great deal of data collected during Internet browsing or in the provision of Internet services –which is capable of identifying a person insofar as it can be combined with data obtained by the access provider- will now, therefore, be considered as personal data. This vastly broadens the concept of personal data.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación