El Tribunal de Justicia de la Unión Europea ha dictado Sentencia de 19.10.2016 (Asunto C-582/2014) según la cual el gestor de un sitio de Internet puede tener un interés legítimo en conservar ciertos datos personales de los usuarios para defenderse de los ataques cibernéticos. La dirección de protocolo de Internet dinámica de un usuario constituye, para el gestor del sitio, un dato personal cuando dicho gestor dispone de medios legales que le permitan identificar al usuario de que se trate gracias a la información suplementaria de que dispone el proveedor de acceso a Internet del usuario.
Téngase en cuenta que el Tribunal de Justicia consolida la doctrina según la cual una dirección IP dinámica registrada por un «proveedor de servicios de medios en línea» (es decir, por el gestor de un sitio de Internet, en el presente asunto los organismos federales alemanes) durante la consulta de su sitio de Internet accesible al público constituye, respecto al gestor, un dato personal. Sin embargo, añade la condición de que esta es la consecuencia legal cuando el proveedor disponga de medios legales que le permitan identificar al usuario gracias a la información suplementaria de que dispone el proveedor de acceso a Internet de dicho usuario. Parece dar a entender, por tanto, que una dirección IP no es siempre y en todo caso un dato de carácter personal.
Asimismo, señala el Tribunal que los organismos federales alemanes que suministran servicios de medios en línea podrían tener un interés legítimo en garantizar, más allá de cada utilización concreta de sus sitios de Internet accesibles al público, la continuidad del funcionamiento de sus sitios. En esa medida, el tratamiento de datos por parte de esos organismos resultaría lícito al ser necesario para satisfacer el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado. En el caso concreto, ese interés legítimo era asegurar la continuidad del servicio para evitar ciberataques.
Enlaces de interés: Leer nota de prensa del TJUE