La dirección IP -la secuencia de números que se asigna a un ordenador conectado a Internet- tiene la consideración de dato personal cuando el Estado sea el responsable del tratamiento y, así, cuenta con la protección de la normativa europea de privacidad. Ello incluso aunque la dirección IP sea dinámica -la secuencia numérica cambia en cada conexión-. Así lo determina el Tribunal de Justicia de la UE (TJUE), en una sentencia de 19 de octubre.
El litigio fue planteado por un ciudadano alemán que exigía no se permitiera a la República Federal Alemana conservar su dirección IP dinámica ni el resto de datos obtenidos en relación con su consulta a la web de diversos portales públicos.
El tribunal de Apelación, tras ser la demanda rechazada en Instancia, condenó al Estado a borrar la dirección IP cuando tuviera algún dato que permitiera revelar su identidad -por ejemplo, su correo electrónico-.
Sin embargo, consideró que no procedía obligar al borrado si el Estado sólo tenía la dirección IP dinámica y la fecha de conexión, porque, al no permitir la identificación, no era un dato personal.
«Identificado o identificable»
El artículo 2.a) de la Directiva 94/46 sobre protección de datos define como datos personales «toda información sobre una persona física identificada o identificable».
Además, la jurisprudencia del TJUE ha determinado que se considerará identificable a toda persona cuya identidad pueda determinarse directa o indirectamente, mediante un número de identificación o uno o varios elementos específicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
El fallo, del que ha sido ponente el magistrado Allan Rosas, recuerda que en un asunto anterior -sentencia de 24 de noviembre de 2011, asunto Scarlet Extended– el TJUE aseveró que las direcciones IP son datos protegidos de carácter personal, aunque subraya que el caso concreto se refería a una recogida de datos que realizaba un proveedor de acceso a Internet y no una web o un portal.
En el litigio enjuiciado, el Estado alemán es quien recoge los datos, pero, como admite el Tribunal, no dispone de la información adicional necesaria para identificar a los usuarios -que la tendría el proveedor de servicios de Internet- y, además, sus portales recogen direcciones IP dinámicas. Es decir: las webs federales únicamente cuentan con una dirección IP dinámica y la hora de la conexión.
En este sentido, el texto admite que la dirección IP dinámica no es una información relativa a una «persona física determinada». En todo caso, debe analizarse si la persona puede ser directa o indirectamente identificada a través de ella, para lo cual habrá que «considerar el conjunto de medios que puedan ser razonablemente utilizados por el responsable del tratamiento».
Y, según argumenta Allan Rosas, no existirá tal razonabilidad cuando la posibilidad de combinar la dirección IP con el resto de información este prohibido por ley o sea prácticamente irrealizable por lo costoso que resulte -«que implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos»-.
Existen vías legales
El TJUE constata que el Derecho alemán no permite al proveedor de Internet transmitir directamente los datos al proveedor del portal -el Estado alemán-. Sin embargo, asevera que «parece, no obstante, […] que existen vías legales que permiten al proveedor de servicios de medios en línea dirigirse, en particular, en caso de ataques cibernéticos, a la autoridad competente a fin de que esta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor».
Por ello, el TJUE considera que Alemania cuenta con medios que pueden utilizarse «razonablemente» para identificar al interesado a través de las direcciones IP y debe, por lo tanto, considerarse un dato de carácter personal.