A pesar de que, afortunadamente, cada día hay una consciencia mayor sobre lo que supone la posesión y tratamiento de un dato personal, es frecuente aún el cometer errores graves incluso por parte de grandes compañías, a las que ya se les han adjudicado importantes multas en lo que va de año por incumplir con las disposiciones del RGPD. En muchos casos, no se cumple con los requisitos necesarios antes de proceder a la recogida de datos o, simplemente, no se reconoce que un dato sea de carácter personal y, por ende, o se procede a su legal tratamiento. Por ejemplo, ¿es una dirección IP un dato personal? Tal vez, no queda esto del todo claro, pero, para discernirlo, contamos con pronunciamientos como los de la Agencia Española de Protección de Datos (AEPD) o los de nuestro Alto Tribunal para considerar que sí lo son.
En la sentencia STS, Sala de lo Contencioso-Administrativo, de 3 de octubre de 2014, que desestima un recurso de casación de Promusicae, asociación de la industria musical que aglutina a los Productores de España, quien, en su lucha contra la piratería, había elaborado un desafortunado plan para doblegar las numerosas descargas ilegales de música, se encuentran importantes argumentos para dilucidar esta cuestión.
Promusicae decidió contratar los servicios de la compañía DtecNet Software, que permitía surcar las redes P2P (peer to peer), identificando el intercambio de archivos entre internautas, y detectando qué ordenadores estaban compartiendo archivos protegidos por derechos de autor. La identificación de los infractores se realizaría mediante su dirección IP, pudiendo dirigir contra ellos las necesarias actuaciones para defender los derechos de propiedad intelectual que ostenta.
Promusicae comenzó el asunto en 2009 pidiendo a la AEPD que le eximiera de la obligación de informar a los usuarios de las redes P2P del tratamiento de sus datos que se iba a producir, a lo que, lógicamente, la Agencia se opuso. Realmente, esta petición supondría el quebrantamiento del principio rector de protección de datos: informar los interesados, previamente a la recogida de cualquier dato de carácter personal, de la intención de realizar de un tratamiento de sus datos personales y su finalidad, además de obtener su previo consentimiento.
Tras esto, interpuso recurso contencioso-administrativo que también fue desestimado por la Audiencia Nacional, hasta denegarlo igualmente nuestro Alto Tribunal. Es interesante la sentencia por la ponderación a la que somete la protección de los derechos de autor por un lado y la privacidad por otro, pues Promusicae entendía legales y permitidas sus acciones por responder a un interés prevalente.
Es importante identificar cuándo se está ante la posesión de un dato de carácter personal y si se trata de alguna de las categorías especiales que indica el RGPD. De no realizar el tratamiento de los datos personales conforme a sus instrucciones, podría acarrear importantes multas para la compañía responsable.
Y es que Promusicae mantenía en duda en la dirección IP pudiera ser considerada como dato de carácter personal. El Tribunal Supremo fue muy categórico sobre este punto: las direcciones IP “contienen información concerniente a personas identificadas o identificables”. Esto es, a través de ese dato, podría llegar a averiguarse la identidad de una persona física, de manera directa o indirecta. Pensemos en que los proveedores de acceso a internet tienen conocimiento de nombres o direcciones postales de los usuarios a los que atribuyeron una dirección IP.
El error que comete Promusicae al pensar que la IP no es dato personal, es algo que comúnmente podría pensarse. Nuestro Alto Tribunal aclara este punto de manera concluyente: existen datos, como la dirección IP, que pueden ser públicamente conocidos por su exposición. Una IP es visible y accesible, pero esto no significa en absoluto que el usuario acepte el uso y tratamiento de este dato por terceros. El conocimiento por un usuario de esa visibilidad del dato no constituye, en ningún caso, consentimiento inequívoco para que se realice un tratamiento sobre el mismo, aunque pudiera ser tácito. Y esto sólo una parte de los requisitos necesarios para realizar un tratamiento de datos personales de manera legal.
[bctt tweet="A pesar de la merecida protección que debe proporcionarse a todo derecho de propiedad intelectual, no es posible hacerlo prevalecer sobre un derecho fundamental como es el derecho a la protección de datos personales"]
Por otro lado, en cuanto a la exención de la obligación de informar solicitada por Promusicae, amparados, a su juicio, por el derecho de propiedad intelectual, es igualmente tumbada por el Tribunal al no encontrar la parte recurrente ningún argumento que justifique su necesidad de llevar a cabo un tratamiento de datos personales para proteger un interés legítimo.
A pesar de la merecida protección que debe proporcionarse a todo derecho de propiedad intelectual, no es posible hacerlo prevalecer sobre un derecho fundamental como es el derecho a la protección de datos personales (cuya amplitud es mucho mayor que la del simple derecho a la intimidad), más aún cuando ni es determinado el número de personas que se verían afectadas por el pretendido tratamiento.
Un buen conocimiento de los principios básicos del Reglamento General de Protección de datos y de la LOPDGDD son fundamentales para no caer en este tipo de errores y actuar conforme a lo exigido en dichas leyes, cuyo incumplimiento haría caer a la compañía bajo la sospecha de no actuar de manera diligente con sus clientes, lo que provocaría un gran menoscabo en su reputación y marca, además de la repercusión en sus ingresos.
