martes, 15 de mayo de 2018

Direcciones IP dinámicas y derecho a la privacidad ante el TEDH


          Aunque adoptada en el contexto de una legislación nacional menos tuitiva que la existente en la actualidad en España, la reciente sentencia del Tribunal Europeo de Derechos Humanos (TEDH) en el asunto Benedik c. Eslovenia presenta indudable interés acerca de la protección que el derecho a la vida privada (art. 8  del Convenio Europeo de Derechos Humanos o CEDH) y el derecho a la protección de datos ofrece con respecto a la revelación de información que permita conocer al usuario de una dirección IP dinámica. Incluso en el contexto de un proceso penal relativo a una red P2P de intercambio de archivos entre los que se incluía pornografía infantil, el TEDH opta por una interpretación amplia de la tutela de la privacidad y el anonimato de los usuarios de Internet. El criterio de que un componente esencial de la tutela en Internet del derecho a la vida privada es la protección del anonimato en circunstancias en las que el usuario no ha renunciado a sus expectativas legítimas de privacidad condiciona la singular relevancia que la sentencia atribuye al uso de direcciones IP dinámicas, lo que debe destacarse a la luz de la utilización ampliamente extendida de este tipo de direcciones IP por los usuarios de  Internet.


               Más allá de que el TEDH concluya que en el caso concreto las autoridades eslovenas vulneraron el derecho del condenado a la vida privada establecido en el artículo 8 CEDH, al haber obtenido la policía directamente del proveedor de acceso a Internet la información que permitió asociar la dirección IP dinámica utilizada a su persona, alguno de los planteamientos del TEDH revisten especial interés. En primer lugar, cabe destacar la importancia atribuida a la diferenciación entre, de una parte, direcciones IP estáticas, asociadas a un equipo de modo que permiten conocer mediante información accesible públicamente el equipo desde el que un usuario se conecta a Internet (y, en su caso, hacen posible identificar al usuario mismo) y, de otra, direcciones IP dinámicas, que determinan que la dirección IP del usuario de un equipo varíe cada vez que se conecta a Internet (de modo que no es posible mediante información pública asociar a un concreto equipo con la dirección IP utilizada para acceder).

Característico de las direcciones IP dinámicas es que sólo los proveedores de acceso a Internet disponen de la información que permite asociarlas a la ubicación desde la que el usuario accedió a Internet, como ya puso de relieve el TJUE en su sentencia Breyer, C-582/14, EU:C:2016:779, en la que concluyó que una dirección IP dinámica registrada por un proveedor de servicios de Internet con ocasión de la consulta por una persona de un sitio de Internet de ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, “si dispone de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona” (apdo. 49). El alcance atribuido por el TEDH a la protección del anonimato de los usuarios de Internet que no han renunciado a sus expectativas legítimas de privacidad (apdo. 117 de la sentencia Benedik con referencia a la sentencia Delfi objeto en su momento de dos entradas en este blog) se traduce en que el acceso mediante una IP dinámica puede facilitar una tutela reforzada del derecho a la vida privada del usuario.

En particular, en situaciones en las que el usuario ha empleado una red de acceso público –como la red P2P utilizada para el intercambio de archivos en el caso controvertido- que permitiera que terceros pudieran conocer su dirección IP al no haber adoptado ningún mecanismo para ocultarla, del criterio del TEDH resulta que ello no impedirá apreciar que el usuario conserva su legítima expectativa de privacidad en la medida en que el acceso haya tenido lugar a través de una dirección IP dinámica aunque estuviera visible por terceros, frente a las situaciones en las que hubiera accedido en esas mismas circunstancias a través de una dirección IP estática. Por otra parte, la sentencia Benedik avala el criterio de que la tutela de las expectativas legítimas de privacidad de un usuario de Internet (y eventualmente su consideración como afectado por el tratamiento de ciertos datos) se proyecta tanto sobre la concreta persona vinculada en virtud del contrato de acceso a Internet con el proveedor (y cuyos datos éste posee) como sobre cualquier tercero que utilice el equipo para acceder a Internet de modo que eventualmente pueda ser identificado a partir de las indagaciones que se lleven a cabo una vez que el proveedor de acceso facilite la información sobre el cliente del servicio de acceso que utilizaba la dirección IP dinámica en el momento relevante (apdo. 112).