Case nº C‑582/14 of Tribunal de Justicia, October 19, 2016
| Resolution Date | October 19, 2016 |
| Issuing Organization | Tribunal de Justicia |
| Decision Number | C‑582/14 |
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)
de 19 de octubre de 2016 (*)
Procedimiento prejudicial — Tratamiento de datos personales — Directiva 95/46/CE — Artículo 2, letra a) — Artículo 7, letra f) — Concepto de “datos personales” — Dirección de protocolo de Internet — Conservación por un proveedor de servicios de medios en línea — Normativa nacional que no permite la toma en consideración del interés legítimo perseguido por el responsable del tratamiento
En el asunto C‑582/14,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesgerichtshof (Tribunal Supremo Civil y Penal, Alemania), mediante resolución de 28 de octubre de 2014, recibida en el Tribunal de Justicia el 17 de diciembre de 2014, en el procedimiento entre
Patrick Breyer
y
Bundesrepublik Deutschland,
EL TRIBUNAL DE JUSTICIA (Sala Segunda),
integrado por el Sr. M. Ilešič, Presidente de Sala, y la Sra. A. Prechal, el Sr. A. Rosas (Ponente), la Sra. C. Toader y el Sr. E. Jarašiūnas, Jueces;
Abogado General: Sr. M. Campos Sánchez-Bordona;
Secretario: Sra. V. Giacobbo-Peyronnel, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 25 de febrero de 2016;
consideradas las observaciones presentadas:
– en nombre del Sr. Breyer, por el Sr. M. Starostik, Rechtsanwalt;
– en nombre del Gobierno alemán, por los Sres. A. Lippstreu y T. Henze, en calidad de agentes;
– en nombre del Gobierno austriaco, por el Sr. G. Eberhard, en calidad de agente;
– en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y la Sra. C. Vieira Guerra, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. P.J.O. Van Nuffel y H. Krämer, y por las Sras. P. Costa de Oliveira y J. Vondung, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 12 de mayo de 2016;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 2, letra a), y del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).
2 Esta petición ha sido presentada en el marco de un litigio entre el Sr. Patrick Breyer y la Bundesrepublik Deutschland (República Federal de Alemania) en relación con el registro y la conservación por esta última de la dirección de protocolo de Internet (en lo sucesivo, «dirección IP») del Sr. Breyer a raíz de la consulta por éste de varios sitios de Internet de organismos federales alemanes.
Marco jurídico
Derecho de la Unión
3 El considerando 26 de la Directiva 95/46 tiene el siguiente tenor:
Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento, o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artículo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado.
4 Con arreglo al artículo 1 de dicha Directiva:
1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.
5 El artículo 2 de esa misma Directiva enuncia:
A efectos de la presente Directiva, se entenderá por:
a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
[...]
d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;
[...]
f) “tercero”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento;
[...]
6 El artículo 3 de la Directiva 95/46, con el epígrafe «Ámbito de aplicación», establece:
1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
[...]
7 El artículo 5 de la mencionada Directiva establece:
Los Estados miembros precisarán, dentro de los límites de las disposiciones del presente capítulo, las condiciones en que son lícitos los tratamientos de datos personales.
8 El artículo 7 de esa misma Directiva tiene el siguiente tenor:
Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca,
o
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado,
o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento,
o
d) es necesario para proteger el interés vital del interesado,
o
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos,
o
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.
9 El artículo 13, apartado 1, de la Directiva 95/46 dispone:
Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:
[...]
d) la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;
[...]
Derecho alemán
10 El artículo 12 de la Telemediengesetz (Ley relativa a ciertos servicios de comunicación e información electrónicos), de 26 de febrero de 2007 (BGBl. 2007 I, p. 179; en lo sucesivo, «TMG»), dispone:
1) El prestador de servicios sólo podrá recoger y utilizar datos personales para la puesta a disposición de medios en línea cuando la presente ley u otras disposiciones referidas expresamente a dichos medios lo permitan o cuando el usuario haya prestado su consentimiento.
2) El prestador de servicios sólo podrá utilizar para otros fines los datos personales recogidos para la puesta a disposición de medios en línea cuando la presente ley u otras disposiciones referidas expresamente a dichos medios lo...
To continue reading
Request your trial