Recientemente, el Tribunal de Justicia de la Unión Europea falló, en la sentencia sobre el asunto C-582/14, a favor de un ciudadano de la República Federal de Alemania, al respecto de la consideración de una IP dinámica, como dato personal que debe ser tratado como tal por el Estado, si concurren determinadas circunstancias. La argumentación de la Curia europea, utilizando un criterio relativo, considera por tanto a la dirección IP dinámica como un dato personal al respecto de prestadores de servicios de la Sociedad de la Información (como por ejemplo, un Estado a través de sus páginas web), siempre y cuando dicha dirección IP dinámica se halle acompañada de otro u otros datos personales que permitieran a un tercero (normalmente, el proveedor del servicio u operador), identificar al usuario, así como que el prestador del servicio pudiera tener un interés legítimo en identificar al mencionado usuario, como por ejemplo para prevenir ataques informáticos contra páginas web estatales. Este criterio, está en contraposición con el criterio objetivo que siguen entidades como la Agencia Española de Protección de Datos, que consideran a la dirección IP, estática o dinámica, como un dato personal bajo cualquier circunstancia.
Así pues, si una entidad prestadora de servicios de la Sociedad de la Información, dispone de una dirección IP que, combinada con otros datos como la fecha de conexión, es capaz de permitir a un tercero la identificación del usuario y, el prestador del servicio pudiera tener un interés legítimo en identificar a dicho usuario, dicha dirección IP dinámica tendría la consideración de dato de carácter personal. Esto significa que, para que la dirección IP dinámica registrada por un prestador de servicios de la Sociedad de la Información sea considerada como dato personal, deben concurrir los siguientes supuestos:
• Que exista una tercera entidad, como el operador, capaz de identificar al usuario a través de la dirección IP y otros datos combinados con ésta, como la fecha de conexión.
• Que el prestador de servicios de la Sociedad de la Información, debido a un interés legítimo para conocer la identidad del abonado, disponga de recursos legales para averiguar la mencionada identidad a través del proveedor de acceso al servicio.
Las consideraciones expuestas derivan de la definición que, el artículo 2.a) de la Directiva 95/46/CE sobre protección de datos, otorga a los datos personales, definiéndolos como “toda información de una persona física identificada o identificable”. La clave radica en la palabra “identificable”. En primera instancia, la demanda fue rechazada y el Tribunal de Apelación condenó al Estado Alemán a borrar la dirección IP cuando fuese acompañada de algún dato que permitiese revelar la identidad del usuario, como la dirección de correo electrónico. Sin embargo, dicho Tribunal consideró que no procedía obligar al prestador del servicio de la Sociedad de la Información (en este caso, el Estado), a borrar la dirección IP acompañada de la fecha de conexión, puesto que la identificación del abonado no puede realizarse de forma directa, sino a través del operador.
Por el contrario, el TJUE, acogiéndose a la definición ya expuesta sobre lo que es un dato personal según la Directiva Europea sobre protección de datos, que considera que un dato personal es también aquél que permite identificar al usuario de forma indirecta (sujeto “identificable”), ha fallado que la dirección IP dinámica, acompañada de la fecha de conexión, es un dato personal.
El perito informático que escribe estas líneas, ya desgranó en su día la dimensión jurídica de la dirección IP en un artículo técnico sobre peritaje informático, así como la manera en que el perito informático debe afrontar la realización de un informe pericial informático en el que, de una forma u otra, alguna de las pruebas del proceso se asiente sobre la identificación de un abonado con una determinada dirección IP. También se desgranó, en otro artículo técnico, cómo el perito informático puede asesorar técnicamente a una empresa u organización en la consecución de sus objetivos tecnológicos.
En línea con la asesoría tecnológica que puede prestar un perito informático, aplicada a lo que se explica en al presente artículo, se puede deducir fácilmente que, si la fecha de conexión no acompañase a la dirección IP, ésta no tendría que ser obligatoriamente considerada como dato personal, siendo su tratamiento completamente distinto. Para ello, sería necesario que los datos fuesen sometidos a un proceso denominado disociación o anonimización, de tal forma que, al final del mismo, ningún usuario quede identificado ni pueda ser identificable. Dicho procedimiento aparece regulado en el artículo 3.f) de la Ley Orgánica de Protección de Datos, así como en el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la mencionada Ley Orgánica. Igualmente, el Dictamen 05/2014 sobre técnicas de anonimización, publicado por el Grupo de Trabajo sobre la protección de las personas en lo que respecta al tratamiento de datos personales, ofrece una serie de técnicas que deben seguirse, a nivel europeo, en cualquier proceso en el que se desee disociar o anonimizar datos personales, de tal forma que cualquier perito informático podría ayudar, a cualquier organización, a poner en marcha dichas técnicas al objeto de disociar o anonimizar los datos personales que maneje la mencionada organización.
La disociación o anonimización de datos es un proceso técnico muy complejo, en el que únicamente un perito informático colegiado conocedor de la Ley, las técnicas informáticas disponibles y la forma en que éstas pueden ser implementadas, puede ayudar a una organización, a disociar los datos personales de terceros que dicha organización maneje, evitando que ésta pueda ser denunciada por operar con datos personales sin que éstos tengan tal consideración y tratamiento.