El pasado 3 de octubre la Sala de lo Contencioso-Administrativo del Tribunal Supremo dictó sentencia ante un recurso de casación interpuesto por PROMUSICAE (Productores de Música de España) sobre una sentencia de la Audiencia Nacional en materia de Protección de Datos.
En ella, el Tribunal determinó que una dirección IP de un usuario de Internet, dadas sus características, ha de ser considerada dato de carácter personal, siéndo de aplicación todo lo dispuesto en la LOPD. Además, aprovechando el contexto de los fundamentos de hecho, ha llenado otra de las lagunas legales de nuestro ordenamiento jurídico respecto de los usuarios en la red y la protección de sus datos, concretamente en las redes P2P.
¿Cómo llega hasta el Tribunal Supremo?
Concretamente, el asunto comenzó cuando en 2009 la recurrente solicitó en un escrito a la Agencia Española de Protección de Datos (AEPD) la exención del deber de informar a aquellos usuarios de redes P2P (peer to peer) que infrinjan los derechos de propiedad intelectual de sus representados sobre el tratamiento de sus datos de carácter personal. Alegando la imposibilidad de cumplir dicha obligación, en tanto en cuanto es un dato disociado, exención que así dispone el art. 5.5 LOPD.
La AEPD lo rechazó y PROMUSICAE recurrió ante la Audiencia Nacional, que dio la razón a la AEPD, motivo por el cual el asunto llegó al Tribunal Supremo tras un nuevo recurso. De los argumentos esgrimidos por el Tribunal para elaborar su fallo es de donde sacamos la novedad respecto de las direcciones IP.
Apoyándose en jurisprudencia las direcciones IP son datos personales
Así, apoyándose en jurisprudencia del TJUE, el Tribunal Supremo determina que las direcciones IP son datos personales en el sentido del art. 3 LOPD, esto es “cualquier información concerniente a personas físicas identificadas o identificables”. La recurrente alegaba que a través de una dirección IP le era imposible llegar a conocer a la persona que estaba detrás de ella, alegando que no disponía de los medios técnicos para realizar tal averiguación. Sin embargo, el Tribunal tumba este argumento reafirmando aquello que ya había dicho previamente la Audiencia Nacional, esto es: las direcciones IP son datos de carácter personal pues contienen información sobre personas físicas identificadas o IDENTIFICABLES.
El hecho de no tener a mano los medios para realizar tal identificación no exime a un dato de su carácter de dato personal. Y es que no cabe duda de que los proveedores de acceso a internet contaran con una asociación de nombres, teléfonos y otros datos idenficativos con sus correspondientes direcciones IP.
Del mismo modo, la sentencia también nos hace una apreciación interesante en materia de protección de datos respecto de los usuarios de redes P2P. La recurrente alegaba en su cuarto motivo de casación que los usuarios habían prestado consentimiento tácito para el tratamiento de datos que fuere al poner a disposición del público, entre otros datos, su IP. Y de nuevo el Tribunal Supremo argumenta que, tal y como dice el art. 3.h) LOPD, el consentimiento ha de ser, entre otros, inequívoco.
Y es que hemos de pararnos en la finalidad por la cual el usuario de una red P2P hace pública su dirección IP, la cual es operar en dicha red, y no es correcto que derivemos de tal finalidad el tratamiento de datos que un tercero como la recurrente quiere hacer. Por tanto, a pesar de su dificultad y si queremos cumplir con la ley, lo correcto es que se solicite el consentimiento expreso del usuario para realizar cualquier tratamiento de datos derivado de una dirección IP.
En suma, con esta resolución del Tribunal Supremo damos la bienvenida a un nuevo dato de carácter personal en nuestro mundo de Protección de Datos. Y hemos de agradecer que, a falta de una legislación en este campo más completa y adaptable a nuestro tiempo, las resoluciones de la AEPD y la jurisprudencia, como en este caso, nos sirvan de mucha ayuda para cumplir con la ley.
Antonio J. González
Abogado – Dpto. Jurídico
Mediter Jurídico
juridico@mediterjuridico.es