El pasado mes de mayo el Abogado General del Tribunal de Justicia de la Unión Europea presentó sus conclusiones en un procedimiento en el que básicamente se plantea si una dirección IP dinámica, mediante la que un usuario ha accedido a la página web de un proveedor de servicios de telecomunicaciones, constituye para dicho proveedor un “dato personal”.
Antes de entrar en la cuestión conviene aclarar algunos conceptos:
Una dirección IP es una secuencia de números que asignada a cualquier dispositivo que permita la navegación (ordenador, smartphone, tablet, etc) lo identifica y permite acceder a la red de comunicaciones.
El dispositivo para conectarse a Internet necesita esa secuencia numérica que los proveedores de acceso a la red proporcionan (movistar, vodafone, etc). Esa dirección IP se transmite al servidor donde está almacenada la web objeto de consulta (un diario digital, una tienda online, etc).
Las compañías telefónicas que son las que dan estos servicios suelen asignar a sus clientes las llamadas “IP dinámicas” de forma que en cada conexión a Internet son diferentes. Esa asignación queda registrada por razones de servicio.
Por lo tanto, de entrada y sin más información, la dirección IP dinámica no permite identificar a un usuario. Ahora bien un cruce de dicha información con otros datos permitiría identificarlo y por ello convertirse en un dato personal. La cuestión es de dónde proceden los datos y si esto es viable y legal.
El tema se ha suscitado a propósito de la petición de un ciudadano alemán que tras consultar diferentes páginas de instituciones oficiales solicita que cesen en el registro de las direcciones IP siempre que no fuera preciso para la disponibilidad del servicio.
La demanda siguió su curso procesal en los tribunales alemanes y al llegar al Tribunal Supremo, la Sala decidió formular una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea: la más importante; si estamos en ante un dato personal desde el momento en que un tercero (el proveedor de acceso) disponga de los datos personales que permiten identificar al interesado.
Por otra parte, se plantea si una disposición de un país puede registrar los datos de un usuario sin su consentimiento cuando sea necesario para ofrecer y facturar el uso del servicio de telecomunicación y según la cual el objetivo de garantizar el funcionamiento del servicio no puede justificar la utilización de esos datos tras las conclusión de cada operación de uso concreto.
Estas cuestiones deben ser dilucidadas al amparo de la Directiva 95/46 de Protección de Datos que establece que son datos personales cualquier información sobre una persona física identificada o identificable.
El nuevo Reglamento General de Protección de Datos que entrará en vigor en 2018 amplia y matiza la definición: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
El principio de calidad establece igualmente entre otras obligaciones, que los datos han de ser conservados en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente.
La opinión del Abogado General que podrá ser seguida o no por el TJUE en su Decisión final, tras un detallado análisis de la cuestión:
Por lo tanto y a la espera de la decisión del Tribunal hemos de considerar que en interpretación de lo dispuesto en la Directiva 95/46 la dirección IP dinámica será dato personal en la medida en que junto con otros datos permitan identificar a una persona.
El gran reto del llamado BIG DATA es precisamente este. Un dato, aislado, en sí mismo, tal vez no proporcione información sobre un usuario ni permita identificarlo pero son millones de datos los que se recogen de cada uno de nosotros a diario: en la navegación en Internet, en nuestros propios dispositivos móviles, en los dispositivos RFID que tenemos incorporados a tarjetas y certificados, en todos los movimientos en los que dejemos un “rastro digital”. La interpretación del “uso legítimo” de los datos puede ser la clave puesto que parece lógico que se guarden datos para garantizar el servicio pero no para “vendernos cosas” mediante el conocimiento previo, detallado y exhaustivo de nuestros hábitos. No digamos en un uso malicioso de dichos datos que en las manos inadecuadas podrían ser una información valiosa en situaciones de conflicto bélico…
En definitiva, la consideración de lo que es dato personal, de lo que se puede hacer o no con los datos y cuáles son los límites se va matizando a medida que las tecnologías permiten obtener más y más información de los usuarios. La finalidad de su uso, en lo que insistimos tanto en nuestro asesoramiento es lo que marca la frontera entre el uso legítimo y el que no lo es. El nuevo Reglamento 2016/679 apunta en este sentido…
