Por fin puedo leer la sentencia del Tribunal Supremo del pasado 9 de mayo, por la que supuestamente se declara que los datos que circulan por las redes P2P no están protegidos por la normativa sobre protección de datos de carácter personal ni por el secreto de las comunicaciones (El Mundo, Público).

Lo que plantea el caso es si para la obtención de una dirección IP directamente de eMule se exige autorización judicial, cuando este dato lo hace público el usuario por el mero uso del programa. No obstante, hay algo más, no sólo se trata de la dirección IP, sino también de su vinculación con un identificador de fichero (hash) como fuente del mismo. En este asunto se trataba de imputar un delito de facilitación de difusión de pornografía infantil, pues la acusada compartió material de este tipo mientras se lo descargaba en su equipo. Aún cuando se eliminen dichos ficheros, el identificador del usuario de eMule y la IP de su equipo quedan asociados a los mismos, al menos durante un tiempo en el servidor. Se le puede seguir la pista, lo que no significa necesariamente que exista un acceso o intromisión en el ordenador de dicha persona para recabar esta información.

Por un lado, podría discutirse la validez en juicio de la información que proporciona el servidor de eMule en cuanto a las fuentes de los ficheros y sus direcciones IP (cuestión que también pregunta David Maeztu), así como si, al identificar la IP a un equipo informático, realmente el titular de la conexión a Internet es el responsable de los actos que se hagan con el mismo. El primer punto me parece más interesante, pero lo último no se suele discutir, aceptándose que el uso del equipo se realiza bajo la responsabilidad de dicha persona.

El Tribunal Supremo cita la doctrina del caso Malone del Tribunal Europeo de Derechos Humanos de 1984, reconocida también por el Tribunal Constitucional en una sentencia de 20 de mayo de 2002, según la cual los números de abonado en las comunicaciones telefónicas también están protegidos por el secreto de las comunicaciones. Aún cuando no se entrara en el contenido de las comunicaciones, la obtención de la información relativa a la existencia y momento de la comunicación telefónica requeriría autorización judicial. Se argumenta conforme a dicha doctrina en el sentido de que en realidad haría falta, para que se considerara una injerencia ilegítima, que se llegara a averiguar la identidad de las personas en concreto, no simplemente el número de teléfono. La actuación policial en este supuesto no es, por tanto, contraria a lo anterior, ya que en el momento en que se quiso averiguar la identidad de los titulares de la conexión a Intenet sí se solicitó autorización judicial.

La exclusión de la dirección IP del secreto de las comunicaciones quedaba clara con el artículo 12 de la LSSI en su redacción anterior a la vigente y, posteriormente, por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (ésta no aplicable al momento de los hechos), así que entiendo que la sentencia es conforme con el marco legal en este punto. La autorización a la que se refiere la Ley 25/2007 habría que exigirla cuando los datos estén en poder de los prestadores de servicios de la sociedad de la información, y parece absurdo solicitarla cuando el usuario los hace accesibles y no se requiere ninguna injerencia para su obtención.

Se señala en su Fundamento Segundo:

Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: […]

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3º C.E.

En cualquier caso, la postura oficial de la Agencia y el Supervisor Europeo de Protección de Datos es considerar que las direcciones IP son un dato personal, quedando protegidas por dicha regulación. Voy a pensar que la sentencia tiene incoherencias y que realmente también lo cree.

Lo que no puedo compartir es que el hecho de que el usuario haga público ese dato permita o justifique su captación y cualquier uso posterior, lo que parece deducirse del texto, por las peligrosas consecuencias que podría tener. De todos modos, como bien señala Sergio Carrasco, deben aplicarse a este caso las previsiones del artículo 22 de la LOPD para la recogida y tratamiento de datos para fines policiales por las Fuerzas y Cuerpos de Seguridad del Estado, que evitan solicitar el consentimiento de los afectados.

En conclusión, comparto la fundamentación de la sentencia en su mayor parte, con la advertencia de que la justificación del procedimiento seguido no puede extrapolarse a otros supuestos en los que se trate de investigar la comisión de otros ilícitos a partir de una dirección IP.

ACTUALIZACIÓN (11-06-2008): La sentencia del Supremo ya está disponible para todos los públicos en la web del CGPJ.