La necesidad de respetar el derecho fundamental a la protección de datos personales condiciona de manera decisiva el ejercicio de acciones relativas a la tutela de la propiedad intelectual. Por ello, en relación con los mecanismos legales instaurados para combatir ciertas prácticas potencialmente infractoras de la propiedad intelectual en Internet y sancionar civilmente a los usuarios que participan en las mismas reviste especial importancia el control de los límites dentro de los cuales cabe requerir a prestadores de servicios de intermediación que proporcionen los datos que puedan conducir a la identificación de los usuarios a los que se pretende exigir responsabilidad. A esos efectos en la legislación española la llamada “ley Sinde” introdujo un nuevo apartado segundo en el artículo 8 LSSI. Precisamente, en relación con esta norma –clave para el funcionamiento del mecanismo sancionador establecido en dicha reforma legislativa- pueden resultar de particular interés las conclusiones que el Abogado General del Tribunal de Justicia Niilo Jääskinen ha presentado en el asunto C-461/10, Bonnier Audio y otros, que tiene su origen en un litigio relativo a la aplicación de la legislación sueca para combatir el intercambio de archivos a través de Internet. En sus conclusiones el Abogado General propone al Tribunal que detalle en su fallo los límites que el Derecho de la UE impone a las legislaciones nacionales que permiten que para identificar a un usuario en el marco de un proceso civil por infracción de la propiedad intelectual la autoridad judicial requiera a un proveedor de acceso a Internet para que facilite información relativa a la identidad del usuario.
Ciertamente, la futura sentencia del Tribunal de Justicia en este asunto está llamada a representar un nuevo avance en la delimitación de la interacción entre los derechos fundamentales en materia de protección de datos personales y de la vida privada, por un lado, y en materia de protección de la propiedad intelectual por otro, que ya había sido tratado en la sentencia de 29 de enero de 2008, C‑275/06, Promusicae y el auto de 19 de febrero de 2009, LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, y cuestión a la que ya me referí con anterioridad en otra entrada relativa al asunto Scarlet.
Elemento fundamental de la propuesta que el Abogado General formula es que para hacer efectiva una protección equivalente de ambas categorías de derechos fundamentales considera que el Tribunal debe establecer que las disposiciones de Derecho nacional que permiten que “a efectos de identificación de un abonado, el juez requiera, en un procedimiento civil, a un proveedor de acceso a Internet para que facilite al titular de un derecho de autor o a su representante información relativa a la identidad del abonado al que ese operador asignó una dirección IP, supuestamente utilizada para infringir” derechos de propiedad intelectual sólo son conformes con el Derecho de la Unión cuando dicha información haya “sido conservada para poder ser comunicada y utilizada con esta finalidad conforme a disposiciones legislativas nacionales detalladas, adoptadas respetando el Derecho de la Unión en materia de protección de datos personales”. El Abogado General alcanza esta conclusión al considerar que “el Derecho comunitario exige que la legislación nacional establezca una obligación de conservación, con el fin de precisar las categorías de datos que hay que conservar, el fin de la conservación, su duración y las personas con acceso a los mismos. El uso de bases de datos existentes para fines distintos a los establecidos por el legislador es contrario a los principios de protección de datos personales” (apartado 60 de las Conclusiones).
Frente a esta exigencia –pendiente todavía del criterio que finalmente adopte el Tribunal de Justicia en su sentencia-, la llamada “Ley Sinde”, si bien es cierto que responde a un modelo que no pone el acento en la sanción directa frente a los usuarios, se limita básicamente a prever en el nuevo apartado segundo del artículo 8 LSSI: “Los órganos competentes para la adopción de las medidas a que se refiere el apartado anterior, con el objeto de identificar al responsable del servicio de la sociedad de la información que está realizando la conducta presuntamente vulneradora, podrán requerir a los prestadores de servicios de la sociedad de la información la cesión de los datos que permitan tal identificación a fin de que pueda comparecer en el procedimiento. Tal requerimiento exigirá la previa autorización judicial de acuerdo con lo previsto en el apartado primero del artículo 122 bis de la Ley reguladora de la Jurisdicción contencioso-administrativa. Una vez obtenida la autorización, los prestadores estarán obligados a facilitar los datos necesarios para llevar a cabo la identificación.”. Precisamente por obedecer a un modelo no destinado en principio a la sanción de los concretos usuarios, puede que en ocasiones la información relevante no sea objeto de la protección que corresponde a los datos personales, pero con respecto al conjunto de las situaciones cabe dudar de que eso sea así.
¿Dónde se encuentra en la legislación española la obligación de dichos prestadores de servicios de conservar con ese concreto fin datos personales (¿cuáles? ¿por cuánto tiempo? ¿a disposición de quién?)?