Aunque adoptada en el contexto de
una legislación nacional menos tuitiva que la existente en la actualidad en
España, la reciente sentencia del Tribunal Europeo de Derechos Humanos (TEDH)
en el asunto Benedik c. Eslovenia
presenta indudable interés acerca de la protección que el derecho a la vida
privada (art. 8 del Convenio Europeo de
Derechos Humanos o CEDH) y el derecho a la protección de datos ofrece con
respecto a la revelación de información que permita conocer al usuario de una
dirección IP dinámica. Incluso en el contexto de un proceso penal relativo a
una red P2P de intercambio de archivos entre los que se incluía pornografía
infantil, el TEDH opta por una interpretación amplia de la tutela de la
privacidad y el anonimato de los usuarios de Internet. El criterio de que un
componente esencial de la tutela en Internet del derecho a la vida privada es
la protección del anonimato en circunstancias en las que el usuario no ha
renunciado a sus expectativas legítimas de privacidad condiciona la singular
relevancia que la sentencia atribuye al uso de direcciones IP dinámicas, lo que
debe destacarse a la luz de la utilización ampliamente extendida de este tipo
de direcciones IP por los usuarios de
Internet.
Más
allá de que el TEDH concluya que en el caso concreto las autoridades eslovenas
vulneraron el derecho del condenado a la vida privada establecido en el artículo
8 CEDH, al haber obtenido la policía directamente del proveedor de acceso a
Internet la información que permitió asociar la dirección IP dinámica utilizada
a su persona, alguno de los planteamientos del TEDH revisten especial interés.
En primer lugar, cabe destacar la importancia atribuida a la diferenciación
entre, de una parte, direcciones IP estáticas, asociadas a un equipo de modo
que permiten conocer mediante información accesible públicamente el equipo
desde el que un usuario se conecta a Internet (y, en su caso, hacen posible
identificar al usuario mismo) y, de otra, direcciones IP dinámicas, que
determinan que la dirección IP del usuario de un equipo varíe cada vez que se
conecta a Internet (de modo que no es posible mediante información pública asociar
a un concreto equipo con la dirección IP utilizada para acceder).
Característico
de las direcciones IP dinámicas es que sólo los proveedores de acceso a
Internet disponen de la información que permite asociarlas a la ubicación desde
la que el usuario accedió a Internet, como ya puso de relieve el TJUE en su sentencia Breyer, C-582/14, EU:C:2016:779, en la que concluyó que una dirección IP dinámica registrada por un proveedor de servicios de Internet con ocasión de la consulta por una persona de un sitio de Internet de ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, “si dispone de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona” (apdo. 49). El alcance atribuido por el TEDH a la protección del anonimato de los usuarios de Internet que no han renunciado a sus expectativas legítimas de privacidad (apdo. 117 de la sentencia Benedik con referencia a la sentencia Delfi objeto en su momento de dos entradas en este blog) se traduce en que el acceso mediante una IP
dinámica puede facilitar una tutela reforzada del derecho a la vida privada del
usuario.
En particular,
en situaciones en las que el usuario ha empleado una red de acceso público –como
la red P2P utilizada para el intercambio de archivos en el caso controvertido- que
permitiera que terceros pudieran conocer su dirección IP al no haber adoptado
ningún mecanismo para ocultarla, del criterio del TEDH resulta que ello no
impedirá apreciar que el usuario conserva su legítima expectativa de privacidad
en la medida en que el acceso haya tenido lugar a través de una dirección IP
dinámica aunque estuviera visible por terceros, frente a las situaciones en las
que hubiera accedido en esas mismas circunstancias a través de una dirección IP
estática. Por otra parte, la sentencia
Benedik avala el criterio de que la tutela de las expectativas legítimas de
privacidad de un usuario de Internet (y eventualmente su consideración como
afectado por el tratamiento de ciertos datos) se proyecta tanto sobre la
concreta persona vinculada en virtud del contrato de acceso a Internet con el
proveedor (y cuyos datos éste posee) como sobre cualquier tercero que utilice
el equipo para acceder a Internet de modo que eventualmente pueda ser
identificado a partir de las indagaciones que se lleven a cabo una vez que el
proveedor de acceso facilite la información sobre el cliente del servicio de
acceso que utilizaba la dirección IP dinámica en el momento relevante (apdo.
112).
