Conócenos

DATOS PERSONALES

Una dirección IP dinámica también puede considerarse un dato personal

Por Javier Fernández-Lasquetty

Por Martín Bello

  • Imprimir

1.        Hechos.

El Sr. Breyer presentó un recurso ante los tribunales contencioso-administrativos alemanes con la intención de que se prohibiese a las páginas web de los organismos federales alemanes conservar las direcciones IP de las personas que accediesen a sus sitios web.

En este caso, las direcciones conservadas son IP dinámicas, que no permiten identificar, por sí solas, a una persona física. Sin embargo, en combinación con datos como la fecha de consulta de la web y la identificación del usuario al acceder a la web, sí permiten obtener la identidad del usuario.

2.        Pronunciamientos.

 El Tribunal Supremo Alemán (bundesgerichsthof) remitió dos cuestiones prejudiciales al TJ.

En primer lugar el tribunal remitente se pregunta si la IP dinámica de un ordenador obtenida por el titular de la web puede ser considerada un dato personal, en el caso de que el proveedor de acceso a internet tenga los datos adicionales necesarios para identificar a un usuario.

Previamente el TJ ya había determinado que las IP estáticas constituían un dato personal, a diferencia de la IP dinámica, que se considera que no es un dato relativo a una persona identificada. La duda surge en torno a si es un dato de una persona identificable, ya que puede serlo directa o indirectamente.

Esto lleva a considerar que la información necesaria para identificar a un sujeto no debe estar en manos de una sola persona, siempre que los medios a utilizar para llevar a cabo la identificación puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona.

En este caso existen medios legales para que el proveedor de servicios web obtenga la información necesaria del proveedor de acceso a internet, así que dispone de medios razonables para identificar indirectamente a la persona a través de una IP dinámica.

En consecuencia, el TJ establece que una IP dinámica constituye, respecto al titular de una web, un dato personal si dispone de medios legales para identificar al interesado con datos que obran en poder del proveedor de acceso a internet.

La segunda cuestión prejudicial cuestiona que la directiva de protección de datos se oponga a una normativa nacional que permita a un proveedor de servicios web recoger y utilizar datos sin el consentimiento del interesado solamente para posibilitar y facturar el uso de los servicios prestados.

La normativa alemana recorta la enumeración taxativa de casos en los que el tratamiento de datos personales puede considerarse lícito que realiza la directiva, no permitiendo la conservación tras la consulta con el objetivo de garantizar el mantenimiento de los servicios.

Por tanto, a ojos del tribunal, al reducir el alcance del principio establecido en el artículo 7 f) de la directiva de protección de datos, esa normativa nacional es contraria a dicha directiva.

3.        Comentario.

El aporte fundamental de esta sentencia es la extensión del concepto de dato personal, interpretando las expresiones “identificable” e “indirectamente” para extender ampliamente el concepto de dato personal.

Así, numerosos datos recogidos en la navegación de Internet o en la prestación de servicios web que, siendo combinables con datos que obtiene el prestador de acceso, puedan llegar a identificar a una persona pasarán a considerarse datos personales. Con ello, el concepto de dato personal se ha ampliado enormemente.

(Fuente de la información: ANUARIO ELZABURU 2016, recopilatorio de comentarios de jurisprudencia europea en materia de Derecho de Propiedad Industrial e Intelectual que realiza Elzaburu).  

Documento citado: 

-Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995

relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos

personales y a la libre circulación de estos datos

 

ENGLISH VERSION 

A dynamic IP address can also be considered as personal data. Judgment of the Court of Justice of 19 October 2016, Breyer (C-582/14).

 

1.        Background.

Mr. Breyer lodged an appeal with the German administrative courts seeking an order preventing the websites operated by German Federal institutions from storing the IP addresses of persons accessing those sites.  

In this case, the stored addresses are dynamic IP addresses which, by themselves, do not enable a natural person to be identified. However, the user can be identified when that information is combined with data such as the date on which the website was accessed and identification of the user on accessing the website.

2.        Findings.

The German Supreme Court (the Bundesgerichtshof) referred two questions to the ECJ for a preliminary ruling. 

First of all, the referring court asked the ECJ whether a computer’s dynamic IP address obtained by the owner of the website could be considered as personal data in the event that the Internet access provider has the additional data necessary in order to identify a user.  

The ECJ had previously established that static IP addresses constituted personal data, unlike dynamic IP addresses, which do not constitute information relating to an identified natural person. The uncertainty arises in respect of whether the information relates to an identifiable person, who can be identified either directly or indirectly.  

It thus follows that the information required in order to identify a data subject does not need to be in the hands of one person, provided that the means to be used in order to carry out the identification can reasonably be used by the controller or by any other person.

In this case, the online media services provider has the legal means to obtain the necessary information from the Internet access provider, and so it has reasonable means to indirectly identify the person through a dynamic IP address. 

Consequently, the ECJ holds that a dynamic IP address constitutes, in relation to the owner of a website, personal data where the latter has the legal means which enable it to identify the data subject with additional data held by the Internet access provider. 

The second question concerns whether the Data Protection Directive precludes a provision in national law under which an online media services provider may collect and use data without the user’s consent only to the extent necessary in order to facilitate, and charge for, use of the services provided.  

German law further limits the exhaustive list of cases –set out in the Directive- in which the processing of personal data can be regarded as being lawful, and does not permit storage at the end of the consultation period for the purpose of ensuring the general operability of the services.  

Therefore, in the Court’s view, insofar as it reduces the scope of the principle laid down in Article 7(f) of the Data Protection Directive, the provision of national law in question is incompatible with that Directive.

3.        Remarks.

The key aspect of this judgment is the fact that it broadly extends the concept of personal data by interpreting the terms “identifiable” and “indirectly”. 

A great deal of data collected during Internet browsing or in the provision of Internet services –which is capable of identifying a person insofar as it can be combined with data obtained by the access provider- will now, therefore, be considered as personal data.  This vastly broadens the concept of personal data.


Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

COMENTARIOS JURISPRUDENCIALES

ebook gratuito

CASE STUDY & MASTER CLASS

ENTREVISTAS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

GESTIÓN DE DESPACHOS

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Informe “Intelligent economies: AI’s transformation of industries and societies” (The Economist Intelligence Unit)

El informe señala que la inteligencia artificial (IA) está pasando del ámbito de la ciencia ficción a su adopción en el mundo real por parte de organizaciones de los sectores público y privado de todo el mundo.

Five forces shaping the tech industry CEO agenda. Technology Industry CEO Outlook (KMPG)

El informe recoge la visión de 104 CEOs tecnológicos de todo el mundo sobre una serie de aspectos clave, como temas territoriales, crecimiento, tecnología para el bien social, cibernética y confianza, inteligencia artificial (IA), foco en el cliente y millennials.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17