La Sala Tercera del Tribunal Supremo, Sección 6.ª, en su Sentencia de 10 de octubre de 2014, se ha pronunciado sobre un tema que ha generado controversia en los últimos tiempos y es el referido al tratamiento jurídico que debe darse a la dirección IP de un usuario, a efectos de la Ley Orgánica de Protección de Datos (LOPD).
Como nota previa, procede aclarar que una dirección IP es el número único que identifica a cada ordenador que se conecta a Internet. Puede verse una definición más completa y técnica en este enlace.
El supuesto de hecho ante el que nos encontramos se remonta a la solicitud de PROMUSICAE ante la AEPD, relativa a la exención del deber de informar a los usuarios de redes peer to peer (programas de descarga P2P) sobre el tratamiento de sus datos, que la entidad pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y vídeos musicales.
El Director de la AEPD, en primer lugar, y la Audiencia Nacional, posteriormente, denegaron tal petición al considerar que la dirección IP es un dato personal y que, en aplicación del art. 5 LOPD, PROMUSICAE tiene el deber de informar acerca del eventual tratamiento de datos personales consistentes en las direcciones IP de Internet.
El Tribunal Supremo, resolviendo el recurso de apelación de PROMUSICAE, realiza una serie de afirmaciones, entre las que cabe destacar las siguientes:
1. Las direcciones IP entran dentro del concepto legal de dato personal del art. 3.1 LOPD y 5 f) de su Reglamento, y también del art. 2 a) de la Directiva 95/46/CE, ya que contienen información concerniente a personas físicas «identificadas o identificables«.
El Alto Tribunal considera que no cabe duda que, a partir de la dirección IP, puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a Internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP, por lo que se cumplen las premisas legales para considerar que los números que forman una IP son un dato personal.
2. No es aplicable a este supuesto la exención del deber de informar contemplada en el art. 5.5 LOPD.
El art. 5 LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apdo. 4 del art. 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el art. 5.5 LOPD exceptúa de dicho deber de información determinados supuestos:
a) Cuando la ley expresamente lo prevea.
b) Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
c) Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
PROMUSICAE solicitó la exención alegando que era imposible cumplir con el deber de información en este supuesto, pero la AEPD, la Audiencia Nacional y, ahora, el Tribunal Supremo, desestiman tal petición al no haber acreditado la Entidad de Gestión dicha imposibilidad a lo largo del procedimiento, circunstancia imprescindible para que se hubiese estimado tal excepción, al tener un carácter excepcional.
3. No cabe presumir el consentimiento de los usuarios de programas P2P al tratamiento de sus datos, en aplicación del art. 6 LOPD.
PROMUSICAE alega que concurre el consentimiento tácito de los interesados, ya que estos deciden libre y voluntariamente poner a disposición del público la información que estiman pertinente, incluida su dirección IP.
Aunque es cierto que el consentimiento no tiene por qué ser expreso, sí debe ser inequívoco y, en este caso, no puede darse por hecho que el usuario que se conecta a un programa de esta naturaleza para descargar un disco musical o una película esté dando su consentimiento para que su IP sea visible para los demás usuarios, aunque este sea consciente de que dicho dato pueda ser conocido.
Así, el Supremo llega a la conclusión de que “no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico”.
4. Los arts. 138.3 , 139.1 h) y 141.6 de la Ley de Propiedad Intelectual no dispensan del consentimiento del interesado en el tratamiento de los datos personales.
La entidad de gestión estima que se dispensa el consentimiento del afectado para el tratamiento de datos que pretende en los citados artículos de la LPI, en los que se prevé que el titular del derecho de propiedad intelectual podrá solicitar el cese y la medida cautelar de suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual, y que dicho cese y medida cautelar podrán también solicitarse, cuando sean apropiadas, contra los intermediarios a cuyos servicios recurra un tercero para infringir derechos de propiedad intelectual reconocidos en la LPI, aunque los actos de dichos intermediarios no constituyan en sí mismos una infracción.
Sin embargo, el Tribunal Supremo desestima esta alegación al considerar que dichos preceptos no contienen habilitación alguna ni referencia expresa a la dispensa del consentimiento de los interesados para el tratamiento de sus datos.
Por tanto, una vez analizada la resolución en términos generales, bajo mi punto de vista debemos celebrar que el Supremo haya decidido aplicar una Ley Orgánica por encima de una petición de una entidad de gestión que tiene la finalidad de sancionar a los usuarios que infringen derechos de propiedad intelectual, pero que pretende hacerlo sin tener en cuenta sus derechos legalmente reconocidos.