viernes, 27 de abril de 2012

Intercambio de archivos y protección de datos personales: novedades en la jurisprudencia del Tribunal de Justicia


Tenía pendiente desde mi anterior entrada hacer referencia a la sentencia del Tribunal de Justicia de 19 de abril en el asunto C-461/10, Bonnier. Punto de partida de su análisis es la importancia que tiene la protección de datos personales como límite  a las disposiciones específicas introducidas en los ordenamientos de varios países de la Unión Europea para proteger los derechos de propiedad intelectual frente a sistemas de intercambio de archivos u otras vías utilizadas supuestamente para la infracción de tales derechos en Internet. La aplicación efectiva de esos mecanismos legales presupone el tratamiento (y la comunicación) de datos personales de los supuestos responsables de las infracciones o incluso de otros usuarios en general cuyas actividades puedan ser determinantes para apreciar la  infracción de tales derechos. La reciente sentencia del Tribunal de Justicia en el asunto C-461/10, Bonnier, aborda precisamente en relación con la legislación sueca los límites dentro de los cuales la autoridad judicial en el marco de un proceso civil por infracción de la propiedad intelectual puede requerir a prestadores de servicios de intermediación que proporcionen los datos de tráfico que puedan conducir a la identificación de los usuarios de sistemas de intercambio de archivos que los han utilizado para la supuesta infracción de derechos.


La aportación de la nueva sentencia debe ser apreciada en función de su valor para precisar cuáles son los límites a la aplicación de esos mecanismos que derivan de la interacción entre los derechos fundamentales en materia de protección de datos personales y de la vida privada, por un lado, y en materia de protección de la propiedad intelectual por otro, desarrollando las decisiones previas del Tribunal de Justicia al respecto, en particular, su sentencia de 29 de enero de 2008, C-275/06, Promusicae y su auto de 19 de febrero de 2009, C‑557/07, LSG Gesellschaft zur Wahrnehmung von Leistungsschutzrechten. Aspecto clave de la sentencia es la valoración de si el contenido de la legislación sueca sobre este punto es compatible con el derecho fundamental a la protección de datos personales y los límites que eventualmente éste puede imponer a su aplicación.
Parece por ello oportuno reproducir la disposición esencial de la normativa sueca analizada, es decir, el artículo 53 c de la Ley sobre los derechos de autor (que figura en el apartado 19 de la Sentencia). El texto de esa norma es el siguiente:

«Cuando el demandante presente pruebas evidentes de que se han vulnerado los derechos de autor sobre una obra prevista en el artículo 53, los órganos jurisdiccionales podrán ordenar, so pena de sanciones, a las personas mencionadas en el segundo párrafo que faciliten la información relativa a la fuente y a la red de distribución de los bienes o servicios que infringen o vulneran un derecho (requerimiento judicial de revelación de información). Esta medida podrá ser ordenada a petición del titular del derecho, de su causahabiente o de la persona que disfrute de un derecho legal de explotación de la obra. Sólo podrá ser ordenada si la información requerida puede ayudar a la investigación de la vulneración o infracción de un derecho por dichos bienes o servicios.

La obligación de revelación de información afecta a cualquier persona:

1º)      autora o cómplice de la vulneración o infracción del derecho;

2º)      que haya dispuesto a escala comercial de un bien que vulnere o infrinja un derecho;

3º)      que haya utilizado a escala comercial un servicio que vulnere o infrinja un derecho;

4º)      que haya prestado a escala comercial un servicio de comunicación electrónica o de otro tipo utilizado para cometer la infracción o vulneración del derecho,   o

5º)      que haya sido identificada por una de las personas a las que se refieren los apartados 2º) a 4º) supra como participante en la producción o distribución de un bien o en la prestación de un servicio que vulnere o infrinja un derecho.

La información relativa a la fuente y a las redes de distribución de los bienes o servicios comprende, en particular:

1º)      los nombres y direcciones de los productores, distribuidores, suministradores y otros poseedores anteriores de los bienes o servicios;

2º)      los nombres y direcciones de los mayoristas y minoristas,      y

3º)      la información sobre las cantidades producidas, fabricadas, entregadas, recibidas o encargadas, así como sobre el precio obtenido por los bienes o servicios de que se trate.

Las disposiciones precedentes son aplicables a las tentativas o actos de preparación de la vulneración o infracción prevista en el artículo 53.»

Este tipo de normas encuentran su fundamento en el Derecho de la UE principalmente en el artículo 8 de la Directiva 2004/48, que contempla que “los Estados miembros garantizarán que, en el contexto de los procedimientos relativos a una infracción de un derecho de propiedad intelectual y en respuesta a una petición justificada y proporcionada del demandante, las autoridades judiciales competentes puedan ordenar que faciliten datos sobre el origen y las redes de distribución de las mercancías o servicios que infringen un derecho de propiedad intelectual el infractor” u otras personas relevantes.

            Para responder al órgano jurisdiccional sueco remitente, el Tribunal de Justicia aclara, en primer lugar (aps. 38 a 45 de la Sentencia), que esas normas de la legislación sueca, relativas a la transmisión de datos para comprobar la existencia de una vulneración de los derechos de propiedad intelectual en el marco de un procedimiento civil quedan fuera del ámbito de aplicación de la Directiva 2006/24, de 15 de marzo de 2006. El Tribunal constata que esta Directiva regula ciertas obligaciones sobre la conservación de datos para que estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves y únicamente para su transmitirse a las autoridades nacionales competentes en relación con tales delitos, de modo que la Directiva 2002/64 constituye una normativa especial que establece una excepción para casos concretos a la aplicación de la Directiva de alcance general, es decir, la Directiva 2002/58, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). Ciertamente, habida cuenta del contenido y finalidad de la Directiva 2006/24, cabe considerar que no resulta controvertido el resultado alcanzado por el Tribunal sobre el particular, al concluir sobre este punto que la Directiva 2006/24 “no se opone a la aplicación de una normativa nacional, basada en el artículo 8 de la Directiva 2004/48 del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual, que, a efectos de la identificación de un abonado a Internet o de un usuario de Internet, permite que se requiera judicialmente a un proveedor de acceso a Internet para que comunique al titular de un derecho de autor o a su causahabiente la identidad del abonado a quien se ha asignado una determinada dirección IP que supuestamente ha servido para la vulneración de dicho derecho, puesto que tal normativa es ajena al ámbito de aplicación ratione materiae de la Directiva 2006/24”.

            La segunda gran conclusión que cabe extraer es que el Tribunal de Justicia se muestra en principio favorable a considerar que una normativa como la sueca pueda ser compatible con el derecho fundamental a la protección, al concluir que: “Las Directivas 2002/58 y 2004/48 deben interpretarse en el sentido de que no se oponen a una normativa nacional, como la que es objeto del procedimiento principal, en la medida en que dicha normativa permita al órgano jurisdiccional nacional que conozca de una acción por la que se solicite un requerimiento judicial de comunicación de datos de carácter personal, ejercitada por una persona legitimada, ponderar, en función de las circunstancias de cada caso y con la debida observancia de las exigencias derivadas del principio de proporcionalidad, los intereses contrapuestos existentes”. Esta conclusión resulta sin duda coherente con la jurisprudencia previa del Tribunal de Justicia en la materia –en particular, la sentencia Promusicae y en el auto LSGGesellschaft zur Wahrnehmung von Leistungsschutzrechten- y deja claro que los mecanismos legales relativos a la tutela civil de la propiedad intelectual pueden incluir la posibilidad de que los tribunales competentes requieran a prestadores de servicios de Internet la comunicación de datos personales que puedan ser relevantes para la tutela de  los derechos de propiedad intelectual supuestamente infringidos.
            Ahora bien, a mi modo de ver esta sentencia del Tribunal de Justicia deja muchas cuestiones abiertas. La más obvia se desprende del párrafo del fallo que acaba de reproducirse, que remite a la jurisdiccional nacional la valoración en el caso concreto acerca de si la legislación en cuestión es respetuosa con la exigencia de que “el fin perseguido por dicho requerimiento sea más importante que el daño o perjuicio que se puedan causar a la persona afectada o a otros intereses contrapuestos”. Esta exigencia resulta determinante para asegurar el equilibrio entre, de una parte, el derecho de propiedad intelectual y, de otra, el derecho de protección de datos, sin que el Tribunal aporte criterios adicionales al respecto.
Pero me interesa ahora destacar otros dos importantes elementos de incertidumbre que persisten en relación con la compatibilidad de ese tipo de legislaciones y el derecho fundamental a la protección de datos personales (y la normativa que lo desarrolla). El primero de esos elementos se desprende de la comparación de la sentencia con las conclusiones del Abogado General Jääskinen sobre este mismo asunto. Aparentemente las conclusiones resultaban más restrictivas en lo que se refiere a los límites de ese tipo de legislaciones para la tutela de la propiedad intelectual. En concreto, en el apartado 60 de sus conclusiones el Abogado General consideraba que: “Para que sea posible la comunicación de datos personales, el Derecho comunitario exige que la legislación nacional establezca una obligación de conservación, con el fin de precisar las categorías de datos que hay que conservar, el fin de la conservación, su duración y las personas con acceso a los mismos. El uso de bases de datos existentes para fines distintos a los establecidos por el legislador es contrario a los principios de protección de datos personales”. En línea con esta afirmación en el apartado 62 el Abogado General concluyó que: “…no procede privilegiar a los titulares de derechos de propiedad intelectual permitiéndoles el uso de datos personales legalmente recogidos o conservados para fines ajenos a la protección de sus derechos. La recopilación y utilización de dichos datos para tales fines respetando el Derecho comunitario en materia de protección de datos personales requeriría la previa adopción por el legislador nacional de disposiciones detalladas, conforme al artículo 15 de la Directiva 2002/58”. Se trata de una exigencia muy importante en la medida en que determina que los requerimiento de comunicación de datos deban ir referidos a datos conservados para esa finalidad de protección de la propiedad intelectual en virtud de obligaciones legales impuestas a los prestadores de servicios de Internet en cumplimiento de lo dispuesto en el artículo 15 Directiva 2002/85/CE. La sentencia aparentemente no hace referencia a esta cuestión, de modo que cabría sostener que la compatibilidad con el marco legal en materia de protección de datos de ese tipo de legislaciones para la tutela de la propiedad intelectual no se subordina a la existencia previa de normas que impongan la obligación de retener los datos con la específica finalidad de ser comunicados cuando medie requerimiento por ser relevantes en procesos civiles relativos a la tutela de la propiedad intelectual. Ahora bien, al inicio de su fundamentación jurídica, en el apartado 37 de la sentencia, el Tribunal de Justicia incluye la siguiente afirmación como presupuesto del resto de su análisis: “Interesa señalar, con carácter preliminar, por una parte, que el Tribunal de Justicia se basa en la premisa de que los datos que son objeto del procedimiento principal se han conservado con arreglo a la normativa nacional, respetando los requisitos establecidos en el artículo 15, apartado 1, de la Directiva 2002/58, extremo que corresponde verificar al órgano jurisdiccional remitente.” El Tribunal no incluye ninguna precisión adicional acerca cómo deben ser interpretados los requisitos establecidos en ese artículo y no descarta de manera expresa la interpretación de  los mismos llevada a cabo por el Abogado General.
            Un último elemento de incertidumbre tiene que ver con que típicamente este tipo de legislaciones se basan para la adopción de medidas en que “el demandante presente pruebas evidentes de que se han vulnerado los derechos de autor sobre una obra” –como dice la legislación sueca a la que va referida esta sentencia- (por su parte en España el art. 17.2 RD 1889/2011, de 30 de diciembre, por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual –si bien es cierto que se basa en un modelo distinto no centrado en la sanción de los usuarios- hace referencia a que el titular de los derechos debe aportar la información que acredite que la obra o prestación está siendo objeto de explotación a través del servicio de la sociedad de la información objeto de la solicitud, así como los datos de los que disponga que coadyuven a identificar al responsable…). En relación con este presupuesto de la aplicación de estas legislaciones de protección de la propiedad intelectual parece resultar también muy relevante que en la medida en que el titular de derechos aporte datos personales (por ejemplo, datos de los usuarios del servicio para acreditar que éste se usa para infringir derechos en España) dichos datos deberán hacer sido recopilados y tratados por el titular de los derechos respetando el derecho a la protección de datos de los usuarios afectados.