PROMUSICAE NO TIENES RAZÓN, LA IP ES UN DATO DE CARÁCTER PERSONAL

La Sección 6ª de la Sala de lo Contencioso administrativo ha dictado una sentencia de fecha 03/10/2014 (puedes leerla aquí), por la que se confirma la sentencia de la Sección 1ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de 01/09/2011, estableciendo que la Asociación de
15141_3708 Productores de Musica de España (PROMUSICAE en adelante) no está eximida del deber de informar a los usuarios de redes P2P sobre el tratamiento de sus datos que establece la Ley Orgánica de Protección de Datos (LOPD en adelante).

Pongámonos en antecedentes, el 8 de enero de 2009 la representación de PROMUSICAE presentó un escrito ante la Agencia Española de Protección de Datos (AEPD en adelante) en el que solicitó, al amparo del artículo 5.5 de la LOPD, la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales.

La AEPD acordó iniciar el procedimiento de exención del deber de información al interesado, previsto en el artículo 5.5 de la LOPD, de conformidad con los trámites establecidos para dicho procedimiento en el artículo 155 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (RLOPD en adelante) finalizando el procedimiento por la resolución de la AEPD de 2 de julio de 2009, que acordó no autorizar a PROMUSICAE la aplicación de lo dispuesto en el artículo 5.5 de la LOPD, en las condiciones señaladas en la resolución (puedes consultarla aqui).

Ante esta resolución, PROMUSICAE interpuso recurso contencioso administrativo que la Sala de lo Contencioso Administrativo de la Audiencia Nacional desestimó, interponiendo entonces el correspondiente recurso de casación ante el Tribunal Supremo.

PROMUSICAE reclamaba, entre otras cosas, poder tratar las direcciones IP (Internal Protocols) sin informar a los afectados, al considerar que con ese dato era incapaz de llegar a conocer la identidad del usuario.wikipedia

A falta de definición en el RAE de las direcciones Ip, podemos leer en la wikipedia que una  dirección IP es una etiqueta numérica que identifica, de manera lógica y jerárquica, a una interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del Modelo OSI.. La dirección IP puede cambiar muy a menudo por cambios en la red o porque el dispositivo encargado dentro de la red de asignar las direcciones IP decida asignar otra IP (por ejemplo, con el protocolo DHCP). A esta forma de asignación de dirección IP se denomina también dirección IP dinámica.

Con esta primera aproximación, sería dificil considerar una dirección IP como dato de carácter personal, según definición contenida en el art.  3 a) LOPD:

Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

Ahora bien, nos dice el Tribunal Supremo, refrendando la opinión de la Audiencia Nacional y de la propia AEPD que:

Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD, ya que contienen información concerniente a personas físicas “identificadas o identificables”. El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación…”.

No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.

Continuando con los razonamientos expuestos por PROMUSICAE, ésta considera que concurre el consentimiento tácito de los interesados para el tratamiento de datos que PROMUSICAE pretende llevar a cabo, que se desprende de su decisión libre y voluntaria de poner a disposición del público la información que estiman pertinente, incluida su dirección IP. En este sentido el TS destaca que

El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente.Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.

La sentencia no comparte tampoco la alegación de PROMUSICAE de que para poder concretar las conductas ilícitas de los usuarios de redes P2P no tenían más remedio que tratar las direcciones IP. El Supremo indica que no se ha justificado de forma suficiente esa necesidad por inexistencia de medidas protectoras alternativas en el ordenamiento jurídico, bien en el orden civil, en particular en la Ley de Propiedad Intelectual, bien en el orden penal, que fuesen más respetuosas con el derecho a la protección de los datos personales.

La sentencia estima que en este caso, por sus características de extensión y falta de acreditación de su estricta necesidad para la finalidad legítima perseguida, no está justificado limitar el contenido esencial del derecho fundamental a la protección de datos de un número desconocido de personas, por lo que no concurre el segundo de los requisitos exigidos por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE.

En mi humilde opinión esta sentencia viene a refrendar la doctrina de la AEPD sobre la consideración de la IP como dato de carácter personal, con la que se podrá estar más o menos de acuerdo (a mi me cuesta ver en una dirección IP un dato de carácter personal, pero como se dice “doctores tiene la santa madre iglesia), aportando seguridad jurídica al sistema, y deja cerrada esta puerta de lucha contra la piratería a la industria del sector audiovisual, lo que posiblemente haya llevado a ésta a llamar a otras puertas de los otros dos poderes del Estado, que por lo que parece han sido más receptivos a sus peticiones, dada la inminente aprobación de la reforma de nuestra vigente Ley de Propiedad Intelectual.

¿Qué opinas sobre esta resolución, consideraras la dirección IP un dato de carácter personal?

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s