Tenía pendiente
referirme a la reciente sentencia del Tribunal de Justicia (Pleno) en el asunto
La Quadrature du Net e.a. (Données
personnelles y lutte contre la contrefaçon), C-470/21, EU:C:2024:370,
sobre el poliédrico tema de la conservación y acceso a datos de tráfico y su
interacción con la tutela, entre otros, de los derechos de propiedad
intelectual. Se trata de una sentencia de singular interés, en la medida en que
supone un desarrollo o matización por el Tribunal de su jurisprudencia, con el
propósito de asegurar que una rigidez excesiva no genera un riesgo de impunidad
de delitos cometidos en línea, cuando la única posibilidad de identificar al
autor es a través de la dirección IP que tenía asignada. Es conocido que en el
caso de las infracciones de la propiedad intelectual- esa impunidad podría suponer
un incumplimiento, entre otras, de las obligaciones de protegerla en virtud del
artículo 1 del Protocolo nº 1 del Convenio Europeo de Derechos Humanos (véase,
por ejemplo, aquí). El asunto presenta, además, el interés de
ir referido a la aplicación del modelo paradigmático entre los Estados de la UE
de mecanismo de persecución de actividades en línea orientado a sancionar a los
usuarios que participan en el intercambio en redes peer-to-peer de obras y
prestaciones protegidas, como es el instaurado en Francia por la conocida como Loi
Hadopi, y su procedimiento llamado de “respuesta gradual”. Tal respuesta
incluye el envío, en primer lugar, de advertencias a los abonados
titulares de direcciones IP implicadas en actividades de infracción; en segundo
lugar, en caso de reiteración del incumplimiento, envío de información al abonado
de que los hechos pueden ser constitutivos de una infracción penal menor; y, en tercer lugar, la eventual denuncia al Ministerio
Fiscal de los hechos. Ese procedimiento se mantiene, si bien en 2022 la Hadopi
(la Alta Autoridad creada para aplicarlo) fue sustituida por la Autorité de
régulation de la communication audiovisuelle et numérique (ARCOM).
En el marco de ese procedimiento se contemplan
dos operaciones de tratamiento de datos personales de los usuarios participantes
en ese intercambio de obras, que los recurrentes en el litigio principal
consideraban que autorizaban un acceso a datos de conexión de forma
desproporcionada para combatir infracciones del derecho de autor en Internet que
no revisten gravedad, sin un control previo por parte de un juez o de una
autoridad independiente. Esas dos operaciones de tratamiento son, en primer
lugar, la recopilación por organizaciones de titulares de derechos de las
direcciones IP en las redes peer-to-peer utilizadas para actividades que
pudieran vulnerar los derechos de autor o los derechos afines, mediante la
puesta a disposición en Internet, sin autorización, de obras protegidas para su
descarga por terceros. Ahora bien, en la medida en que tales direcciones IP se
obtienen de la consulta de datos disponibles al público en general, el Tribunal
considera que este tratamiento no se produce manifiestamente «en relación con
la prestación de servicios de comunicaciones electrónicas». Por ello, ese
primer tratamiento no está sometido a la Directiva 2002/58 sobre la privacidad
y las comunicaciones electrónicas (y, en concreto, el marco específico
establecido en su art. 15 con respecto a las limitaciones en materia de
tratamiento y almacenamiento de datos de tráfico) sino al régimen general del
RGPD, en el que tiene especial relevancia el que ese tratamiento puede resultar
lícito por ser necesario para la satisfacción de intereses legítimos perseguidos
por los titulares de derechos con base en el artículo 6.1.f) RGPD (apdos. 61 y
62 de la nueva sentencia, con referencia a las sentencias de 17 de junio de
2021, M.I.C.M., C‑597/19, EU:C:2021:492, reseñada aquí, y de 4 de julio de 2023, Meta Platforms y otros (Condiciones
generales del servicio de una red social), C‑252/21, EU:C:2023:537,
reseñada aquí).
En segundo lugar, a requerimiento de la
Hadopi (ahora, ARCOM), las direcciones IP antes mencionadas se asocian a quienes
estaban asignadas, para poner la información sobre tales personas,
esencialmente la referida a su identidad civil, a disposición de esa autoridad
pública. En la medida en que esos datos (básicamente, nombre y apellido, direcciones
postal y electrónicas, datos telefónicos y dirección de la instalación de la
línea telefónica del abonado) sí se obtienen de los proveedores de servicios de comunicaciones electrónicas, está sometido a la
Directiva 2002/58 (apdo. 63). De ahí la importancia de la jurisprudencia previa
del TJ acerca de la interpretación de su artículo 15.1, que establece la
posibilidad de que los Estados miembros adopten medidas legales para limitar el
alcance de los derechos y obligaciones establecidos, entre otros, en su artículo
5 en relación con la confidencialidad de los datos de tráfico. En el presente caso,
tales medidas son las referidas al acceso por la Hadopi a los datos de
identidad civil relativos a una dirección IP en poder de los proveedores de
servicios de comunicaciones electrónicas, y la previa conservación por éstos de
tales datos. Conforme al artículo 15.1, tales limitaciones deben constituir
medidas necesarias, proporcionadas y apropiadas en una sociedad democrática
para proteger la seguridad nacional, la defensa, la seguridad pública, o la
prevención, investigación, descubrimiento y persecución de delitos.
En su sentencia de 6 de octubre de 2020, La
Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18,
EU:C:2020:791, el Tribunal estableció que el artículo 15.1 de la Directiva
2002/58 se opone a que una conservación generalizada e indiferenciada solo de
las direcciones IP atribuidas al origen de una conexión se lleve a cabo para
objetivos distintos de la lucha contra la delincuencia grave, la prevención de
las amenazas graves contra la seguridad pública o la protección de la seguridad
nacional, habida cuenta de la gravedad de la injerencia en ciertos derechos
fundamentales (vida privada, datos personales e incluso libertad de expresión)
que puede suponer la conservación de las direcciones IP. Debe tenerse en cuenta
que los posibles ilícitos penales a los que va referido el procedimiento de respuesta
gradual para la tutela de la propiedad intelectual de la legislación francesa
no pueden ser considerados delitos graves, en el sentido requerido por esa
jurisprudencia.
Tras constatar que no toda conservación
generalizada e indiferenciada de un conjunto de direcciones IP estáticas y
dinámicas que una persona haya utilizado en un período constituye necesariamente
una injerencia grave en los derechos fundamentales relevantes, la nueva sentencia
contrapone el tratamiento que lleva a cabo la Hadopi con el que había sido
objeto de su sentencia de 6 de octubre de 2020. Esa sentencia iba referida a
supuestos de normativas nacionales que implicaban obligaciones de conservación
de grandes cantidades de datos diversos, que permitían extraer conclusiones
precisas sobre la vida privada de los afectados, de modo que podía producir una
injerencia grave en los derechos fundamentales relativo a la protección de la
vida privada y de los datos personales, así como a la libertad de expresión de
dichas personas.
A partir de ahí, la nueva sentencia matiza la
interpretación previa, para establecer que con base en el artículo 15.1 de la
Directiva 2002/58 sí puede estar justificada la imposición de obligaciones de conservación
generalizada e indiferenciada de direcciones IP, que son un tipo de dato que
presenta un grado de sensibilidad menor
que los demás datos de tráfico, incluso para la lucha contra las infracciones
penales en general, siempre que se excluya, de manera efectiva, que esa
conservación pueda generar injerencias graves en la vida privada de la persona
afectada (apdo. 82). Para evitar injerencias de tal alcance debe asegurarse que
la conservación tenga lugar en circunstancias que no hagan posible extraer
conclusiones precisas la vida privada de los afectados, en particular, al
asociar esas direcciones IP a un conjunto de datos de tráfico o de localización
que también hayan conservado esos proveedores (apdo. 83).
El Tribunal establece los requisitos que debe
exigir la legislación nacional para que esa conservación generalizada e
indeferenciada de direcciones IP en relación con la lucha contra las
infracciones penales en general no se considere una injerencia grave. Es
necesario que la conservación de datos se organice de modo se asegure una
separación en compartimentos estancos de las diferentes categorías de datos
conservados (apdo. 84). El Tribunal detalla las exigencias estrictas que la
normativa debe imponer en lo relativo a las condiciones de la conservación de
datos: cada categoría de datos, incluidos los datos identidad civil y las
direcciones IP, deben conservarse de forma totalmente separada de las demás
categorías de datos (apdo. 86); en el plano técnico, esa separación debe
hacerse en compartimentos estancos, con un sistema informático seguro y fiable
(apdo. 87); cuando se prevea la posibilidad de asociar las direcciones IP
conservadas a la identidad civil de la persona de que se trate, tal asociación
solo debe ser posible mediante la utilización de un procedimiento técnico
efectivo que no arroje dudas sobre la eficacia de la separación (apdo. 88); y la
fiabilidad de esa separación debe someterse al control periódico de una
autoridad pública distinta de la que pretende acceder a los datos personales (apdo.
89). Cuando el régimen legal que imponga
la obligación de conservación generalizada e indiferenciada de las direcciones
IP en pro del objetivo de lucha contra las infracciones penales en general
cumpla estas exigencias, tales condiciones de conservación de las direcciones
IP excluyen que puedan asociarse a otros datos conservados sobre la base de la
Directiva 2002/58 para extraer conclusiones precisas sobre la vida privada de
la persona de que se trate, considerándose conforme con su artículo 15.1 (apdo.
92). Además, la normativa debe prever un período de conservación limitado a lo
estrictamente necesario y garantizar que los afectados dispongan de garantías
efectivas contra los riesgos de abuso y contra cualquier acceso y uso ilícitos
de esos datos (apdo. 93).
Con respecto a las exigencias para el acceso por
las autoridades a los datos de identidad civil correspondientes a una dirección
IP conservados por los proveedores de servicios de comunicaciones electrónicas,
se establecen criterios similares, tendentes a asegurar que la injerencia en los
derechos fundamentales concernidos no es grave, pues el acceso no permite
extraer conclusiones precisas sobre la vida privada de las personas afectadas (el
apdo. 103 se remite a los apdos. 85 a 92 antes reseñados). El acceso a las
direcciones IP conservadas en aras del objetivo de luchar contra las
infracciones penales en general puede justificarse con base en el artículo 15.1
de la Directiva 2002/58 cuando ese acceso se autorice con el solo propósito de
identificar a la persona sospechosa de tales infracciones (apdo. 104).
Ahora bien, es importante tener en cuenta,
además, que el acceso a datos de tráfico y a datos de localización solamente
puede justificarse con base en el artículo 15.1 de la Directiva 2002/58 por el
objetivo de interés general para el que se haya impuesto su conservación a los
proveedores de servicios de comunicaciones electrónicas, a menos que dicho
acceso se justifique por un objetivo de interés general de mayor importancia.
Por consiguiente, el acceso con fines de lucha contra las infracciones penales
en general -como en el caso de la Hadopi- no puede concederse cuando la
conservación de esos datos se haya justificado por el objetivo de lucha contra
la delincuencia grave o de protección de la seguridad nacional (apdo. 97).
Ahora bien, el objetivo de lucha contra las infracciones penales en general sí permite
justificar que se dé acceso a los datos de tráfico que se hayan conservado, en
la medida y por la duración necesarias para la comercialización de servicios,
la facturación y la prestación de servicios de valor añadido, conforme al
artículo 6 de la Directiva 2002/58. Se destaca que, en el caso del procedimiento
de respuesta gradual de Hadopi, el acceso que se concede a la autoridad pública
se limita estrictamente a determinados datos de identidad civil del titular de
una dirección IP y se autoriza con el solo propósito de poder identificar a ese
titular por la eventual vulneración de los derechos de propiedad intelectual (apdo.
100). Es necesario, además, que la normativa nacional garantice que las
direcciones IP conservadas de conformidad con la Directiva 2002/58 solo puedan
utilizarse para identificar al supuesto infractor, sin supervisar la la actividad en línea de esa persona.
El Tribunal subraya la coherencia entre su
criterio favorable a que una autoridad como Hadopi pueda tener acceso a datos
de identidad civil correspondientes a una dirección IP pública con el solo
propósito de identificar al titular de esa dirección utilizada para actividades
infractoras en línea, con su interpretación acerca del artículo 8 de la
Directiva 2004/48 relativa a la tutela de la propiedad intelectual, en relación
con el ejercicio de acciones en esta materia ante la jurisdicción civil y la
posibilidad de que los Estados miembros impongan a los proveedores de servicios
de comunicaciones electrónicas la obligación de transmisión a particulares de
datos personales para permitir que se ejerzan acciones ante la jurisdicción
civil contra las vulneraciones de los derechos de autor (apdos. 105 y 106 de la
nueva sentencia, con referencia a sus sentencias de 29 de enero de 2008, Promusicae,
C‑275/06, EU:C:2008:54, y de 17 de junio de 2021, M.I.C.M., C‑597/19,
EU:C:2021:492). Se trata de una posibilidad que tiene su reflejo en España, en particular,
en las diligencias preliminares
en el artículo 256.1.10º y 11º LEC con referencia específica a servicios de la
sociedad de la información, que puede solicitar quien pretenda ejercitar una
acción por infracción de un derecho de propiedad industrial o intelectual.
La injerencia en la vida privada de la
persona sospechosa de haber infringido los derechos de autor o los derechos
afines, en el marco de un mecanismo como el de respuesta gradual, puede no alcanzar
un nivel de gravedad elevado, lo que se refuerza en el caso de Hadopi por el limitado
número de personas vinculadas a la autoridad pública en cuestión que tienen
acceso a esos datos y, además, con un deber de confidencialidad (apdos. 113 y
114). Además, al apreciar la proporcionalidad de la medida, reviste especial
importancia el que tratándose de infracciones en línea, el acceso a las
direcciones IP puede ser la única vía para identificar al supuesto infractor,
lo que resulta determinante para evitar la impunidad.
La sentencia aborda también la eventual exigencia
de control previo de un tribunal o una entidad administrativa independiente
antes de que una autoridad pública acceda a datos de identidad civil
correspondientes a una dirección IP, abordando el principio de proporcionalidad,
que condiciona que el alcance del control varíe función de la gravedad de la
injerencia en los derechos fundamentales relevantes, modulando su jurisprudencia
previa que afirma considera «esencial» que el acceso de las autoridades nacionales
competentes a los datos de tráfico y se someta al control previo de un órgano
jurisdiccional (apdo. 128).
Como criterio general, cuando el acceso se
limite a los datos de identidad civil para identificar a los usuarios
infractores y sin que tales datos puedan asociarse a información sobre las
comunicaciones realizadas, no se considera necesario el control previo, pues no
se trata de una injerencia grave (apdo. 133). Por el contrario, si un procedimiento
de un Estado miembro, al regular el acceso a tales datos, posibilita la
asociación de datos que hayan venido recabándose en diferentes fases del
procedimiento, que permitan obtener conclusiones precisas sobre la vida privada
de la persona en cuestión, cabrá concluir que se produce una injerencia grave
en los derechos fundamentales, que justifica la exigencia de previa por un
órgano jurisdiccional o una entidad administrativa independiente (apdo. 137,
con referencia al procedimiento de Hadopi).
