Sentencia de TS, Sala 3ª, de lo Contencioso-Administrativo, 3 de Octubre de 2014

Procedimiento:CONTENCIOSO
Ponente:JOSE MARIA DEL RIEGO VALLEDOR
Fecha de Resolución: 3 de Octubre de 2014
Número de Recurso:6153/2011
Emisor:Tribunal Supremo - Sala Tercera, de lo Contencioso-Administrativo
RESUMEN

DIRECCIÓN IP. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Se discute si una dirección IP puede considerarse un dato de carácter personal. No cabe duda de que a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado. Los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP. Se desestima la casación.

 
ÍNDICE
CONTENIDO

T R I B U N A L S U P R E M O Sala de lo

Contencioso-Administrativo

Sección: SEXTA

S E N T E N C I A

Fecha de Sentencia: 03/10/2014

RECURSO CASACION Recurso Núm.: 6153 / 2011

Fallo/Acuerdo: Sentencia Desestimatoria

Votación: 23/09/2014

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Ponente: Excmo. Sr. D. José María del Riego Valledor Secretaría de Sala : Ilma. Sra. Dña. Mª Rocío Guerrero Egido Escrito por:

Nota:

Denegación por la AEPD de exención del artículo 5.5 LOPD

RECURSO CASACION Num.: 6153/2011

Votación: 23/09/2014

Ponente Excmo. Sr. D.: José María del Riego Valledor

Secretaría Sr./Sra.: Ilma. Sra. Dña. Mª Rocío Guerrero Egido

S E N T E N C I A

TRIBUNAL SUPREMO.

SALA DE LO CONTENCIOSO-ADMINISTRATIVO SECCIÓN: SEXTA

Excmos. Sres.: Presidente:

D. Octavio Juan Herrero Pina

Magistrados:

Dª. Margarita Robles Fernández

D. Juan Carlos Trillo Alonso

D. José María del Riego Valledor

D. Wenceslao Francisco Olea Godoy

D. Diego Córdoba Castroverde

Dª. Inés Huerta Garicano

En la Villa de Madrid, a tres de Octubre de dos mil catorce.

Visto por esta Sección Sexta de la Sala Tercera del Tribunal Supremo el recurso de casación número 6153/2011, interpuesto por Productores de Música de España (PROMUSICAE), representado por la Procuradora de los Tribunales Dª. María de la Paloma Ortiz-Cañavate Levenfeld, contra la sentencia de 1 de septiembre de 2011, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 625/2009 , sobre protección de datos, en el que han intervenido como parte recurridas la Administración General del Estado, representada por el Abogado del Estado y Telefónica de España SAU, representada por el Procurador de los Tribunales D. Juan Antonio García San Miguel y Orueta.

ANTECEDENTES DE HECHO

PRIMERO

La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, dictó sentencia el 1 de septiembre de 2011 , con los siguientes pronunciamientos en su parte dispositiva:

"Que desestimando el presente recurso contencioso administrativo interpuesto por la procuradora MARIA DE LA PALOMA ORTIZ CAÑAVATE LEVENFELD, en la representación que ostenta de PRODUCTORES DE MUSICA DE ESPAÑA (PROMUSICAE), contra la resolución descrita en el primer fundamento de esta Sentencia, debemos confirmar la resolución recurrida por ser conforme a derecho. Todo ello sin haber lugar a expresa imposición de costas a ninguna de las partes."

SEGUNDO

Notificada la sentencia, se presentó escrito por la representación procesal de Productores de Música de España (PROMUSICAE), ante la Sala de lo Contencioso Administrativo de la Audiencia Nacional, manifestando su intención de interponer recurso de casación, y la Secretaria Judicial, por diligencia de ordenación de 10 de octubre de 2011, tuvo por preparado el recurso, con emplazamiento de las partes ante esta Sala del Tribunal Supremo.

TERCERO

Con fecha 2 de diciembre de 2011, la representación de PROMUSICAE presentó escrito de interposición del recurso de casación, en el que expuso los motivos en que se fundamentaba, y solicitó a esta Sala que dicte en su día resolución por la que, con estimación de los motivos expuestos en dicho escrito, revoque la sentencia recurrida y dicte en su lugar otra conforme con los pedimentos contenidos en su escrito de demanda, con todo lo demás que en derecho proceda.

CUARTO

La Sección 1ª de esta Sala dictó auto, en fecha 20 de diciembre de 2011 , en el que declaró la inadmisión del recurso de casación, en relación con el motivo primero, y la admisión en cuanto al resto de los motivos.

QUINTO

.- Se dio traslado del escrito de interposición a las partes recurridas para que formularan su oposición, lo que verificó el Abogado del Estado, en escrito de 14 de marzo de 2013, en el que solicitó la desestimación del recurso de casación y la confirmación de la resolución impugnada, declarándose por diligencia de ordenación de 8 de abril de 2013 caducado el trámite de oposición conferido a la representación de Telefónica de España SAU.

SEXTO

Conclusas las actuaciones, se señaló para votación y fallo el día 23 de septiembre de 2014, fecha en que tal diligencia ha tenido lugar.

Siendo Ponente el Excmo. Sr. D. José María del Riego Valledor , Magistrado de la Sala.

FUNDAMENTOS DE DERECHO

PRIMERO

Se interpone recurso de casación contra la sentencia de la Sección 1ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 1 de septiembre de 2011 , que desestimó el recurso contencioso administrativo interpuesto por la representación de PROMUSICAE, también ahora parte recurrente, contra la Resolución del Director de la Agencia Española de Protección de Datos (AEPD), de 2 de julio de 2009.

Hacemos una referencia a los antecedentes de la sentencia impugnada, para una mejor comprensión de las cuestiones planteadas.

El 8 de enero de 2009 la representación de PROMUSICAE presentó un escrito ante la AEPD en el que solicitó, al amparo del artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD ), la exención del deber de informar a los usuarios de redes peer to peer (P2P) sobre el tratamiento de sus datos, que la solicitante pretendía llevar a cabo para el ejercicio de defensa de los derechos de propiedad intelectual de los productores y editores de fonogramas y videos musicales.

El referido escrito concluía solicitando al Presidente de la AEPD la concesión a la recurrente de:

"la exención para el cumplimiento del deber de información respecto de la recopilación de los nombres de usuario y las direcciones IP de quienes infrinjan los derechos de los productores y los editores de fonogramas y videos musicales a través de redes peer to peer, debido a la imposibilidad manifiesta de cumplir dicha obligación, todo ello en virtud del procedimiento habilitado por la propia LOPD en su artículo 5.5 ".

A la vista del anterior escrito, la AEPD acordó iniciar el procedimiento de exención del deber de información al interesado, previsto en el artículo

5.5 de la LOPD, de conformidad con los trámites establecidos para dicho procedimiento en el artículo 155 del RD 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la LOPD, finalizando el procedimiento por la resolución de la AEPD de 2 de julio de 2009, antes citada, que acordó no autorizar a PROMUSICAE la aplicación de lo dispuesto en el artículo 5.5 de la LOPD , en las condiciones señaladas en la resolución.

PROMUSICAE interpuso recurso contencioso administrativo contra el anterior acuerdo, y en el suplico de su escrito de demanda solicitó a la Sala de instancia que dictara sentencia por la que revocara la resolución administrativa impugnada y, en su lugar, "establezca que mi representada está exenta del deber de informar acerca del eventual tratamiento de datos personales consistentes en las direcciones IP de Internet, por darse en su caso todas las condiciones a que se refiere el artículo 5.5 LOPD , con todo lo demás que en Derecho proceda" .

Como ya se ha dicho, la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia desestimatoria del recurso contencioso administrativo, contra la que PROMUSICAE ha interpuesto este recurso de casación.

SEGUNDO

El recurso de casación se articula en siete motivos, si bien el primero ha sido declarado inadmisible por auto de la Sección 1ª de esta Sala, de 20 de diciembre de 2012 , que admitió el recurso en cuanto a los seis motivos restantes, todos ellos formulados por el cauce de la letra d) del artículo 88.1 de la Ley de la Jurisdicción .

El segundo motivo denuncia la infracción, por aplicación indebida, del artículo 3.a) LPOD y del artículo 5.1, letras f) y g) de su Reglamento, por considerar que las direcciones IP son datos de carácter personal.

El tercer motivo alega la infracción, por aplicación indebida, del articulo 5.5 LOPD , en tanto en cuanto concurren los requisitos que establece dicho artículo para la concesión de la exención del deber de informar del tratamiento de datos a sus titulares.

El cuarto motivo aduce la infracción, por aplicación indebida, del primer inciso del articulo 6.1 LOPD , toda vez que concurre el consentimiento tácito de los interesados para el tratamiento de datos que la recurrente pretende llevar a cabo.

El quinto motivo refiere la infracción, por inaplicación, del artículo 6.1 in fine LOPD , por existir una habilitación legal al tratamiento de datos sobre el que versa el procedimiento.

El sexto motivo alega la infracción, por aplicación indebida, del artículo 6.2 in fine LOPD , toda vez que el tratamiento objeto del presente procedimiento está permitido por responder a un interés legítimo prevalente de PROMUSICAE.

El séptimo y último motivo invoca la infracción, por aplicación indebida, del artículo 6 de la Ley 25/2007, de 18 de octubre , de conservación de datos relativos a las comunicaciones electrónicas y a las redes de comunicación.

TERCERO

Antes de pronunciarnos sobre los motivos de impugnación, hemos de examinar la causa de inadmisibilidad del recurso, alegada por el Abogado del Estado en su escrito de oposición, que estima que el recurso carecía de interés casacional al haber perdido sobrevenidamente su objeto, como consecuencia de la promulgación de la Ley 2/2011, que en su disposición final 43ª modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico , y el artículo 158 del RD Legislativo 1/1996, de 12 de abril , por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, lo que se complementa con el RD 1889/2011, de 30 de diciembre, por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual, permitiendo la nueva regulación a la Comisión de Propiedad Intelectual recabar, de los operadores de servicios de comunicaciones electrónicas, la identidad del titular de la dirección IP, a los efectos de salvaguardar los derechos de propiedad intelectual, lo que significa, en opinión del Abogado del Estado, que la identidad puede ser conocida y ser informado el interesado a los efectos del artículo 5.4 LOPD , y los datos ser tratados de acuerdo con el artículo 6.2 LOPD , en cuanto se entabla una relación negocial entre el perjudicado denunciante y el presunto autor del daño.

Ha de advertirse que las reformas introducidas por la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que invoca el Abogado del Estado, no suponen un cambio legislativo "sobrevenido" a la sentencia recurrida, pues dicha norma entró en vigor, de acuerdo con su disposición final sexagésima , al día siguiente de su publicación en el BOE, lo que tuvo ocasión el 5 de marzo de 2011, esto es, con anterioridad a la sentencia recurrida, que es de fecha 1 de septiembre de 2011 .

Por otro lado, de acuerdo con la sentencia del Tribunal Constitucional 102/2009 , la causa legal de terminación anticipada de un proceso por pérdida sobrevenida de su objeto, prevista en el artículo 22 LEC , de aplicación supletoria en esta jurisdicción, "se conecta con la pérdida del interés legítimo en obtener la tutela judicial en relación a la pretensión ejercitada, y precisamente por ello su sentido es evitar la continuación de un proceso en el cual el demandante haya perdido sobrevenidamente todo el interés jurídico que en él tenía" , insistiendo el TC (FD 7º) en que "para que la decisión judicial de cierre del proceso por pérdida sobrevenida del objeto resulte respetuosa del derecho fundamental a la tutela judicial efectiva es necesario que la pérdida del interés legítimo sea completa."

En este caso, la pretensión de la parte recurrente, según resulta tanto de su escrito de inicio del procedimiento administrativo, como del suplico de su demanda, es la obtención de la exención prevista en el artículo 5.5 LOPD del deber que establece el artículo 5.4 del mismo texto legal de informar a los interesados acerca del tratamiento de sus datos de carácter personal, y no se aprecia que dicho concreto y particular interés haya quedado satisfecho por la reforma operada por la Ley 2/2011, que establece ciertamente medidas de salvaguarda de los derechos de propiedad intelectual, pero por una vía distinta a la interesada por la parte recurrente, pues en la norma invocada por el Abogado del Estado esas funciones de salvaguarda se encomiendan a un órgano administrativo, la Comisión de Propiedad Intelectual, mientras que en el presente recurso la pretensión de la parte recurrente es, con esa misma finalidad de protección de los derechos de propiedad intelectual, la obtención para sí misma de la exención del deber legal de informar a los interesados del tratamiento de sus datos de carácter personal, que es materia sobre la que no puede apreciarse ninguna modificación por la norma citada por el Abogado del Estado.

Rechazamos por tanto la causa de inadmisibilidad del recurso opuesta por el Abogado del Estado.

CUARTO

Como hemos indicado, el segundo motivo del recurso de casación sostiene que la sentencia recurrida se equivoca cuando sienta la premisa de que las direcciones IP son datos de carácter personal, pues para la parte recurrente las direcciones IP que pretende tratar no son datos de carácter personal, en el sentido de la LOPD, sino que se trata de datos disociados, pues dicha parte por sí misma es incapaz de llegar a conocer, a partir del dato de la dirección IP, la identidad, u otros datos de identificación de la persona de que se trate. Añade la parte recurrente que, de la prueba practicada en el recurso, resulta que carece de los medios técnicos precisos para llegar a averiguar la identidad real de la persona física que utiliza la dirección IP, con la consecuencia de que, en tales circunstancias, no es posible considerar que las direcciones IP que PROMUSICAE pretende tratar constituyan datos personales, haciendo la sentencia recurrida una lectura equivocada de la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 .

Esta cuestión es tratada y resuelta en la sentencia recurrida, que llega a la conclusión de que las direcciones IP (Internet Protocols) deben ser consideradas como datos personales, tras razonar que entran dentro del concepto legal de dato personal del artículo 3.1) LOPD y 5.f) de su Reglamento, y que dicha conclusión resultó avalada por la sentencia del TJCE en el asunto C- 275/2006 .

La Sala comparte y hace suyos los razonamientos de la Sala de instancia.

De acuerdo con el escrito de solicitud de la exención del deber de informar del tratamiento a los titulares de los datos (folio 3 del expediente administrativo), el tratamiento de datos que PROMUSICAE pretende llevar a cabo se refiere al nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.

Esta Sala estima que las direcciones IP son datos personales, en el sentido del artículo 3 LOPD , ya que contienen información concerniente a personas físicas "identificadas o identificables". El hecho a que alude la parte recurrente, de no tener al alcance de su mano la identificación del titular de los datos por medios y plazos razonables, no es obstáculo para la conclusión que mantenemos de que se trata de datos personales, pues de conformidad con la definición de datos personales del artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por dato personal habrá de entenderse, al igual que señala el artículo 3.a) LOPD antes citado, toda información sobre una persona física identificada o identificable, añadiendo el artículo 2.a) de la Directiva 95/46 que "se considerará identificable toda persona cuya identidadpueda determinarse, directa o indirectamente, en particular mediante un número de identificación...".

No cabe duda que, a partir de la dirección IP puede identificarse directa o indirectamente la identidad del interesado, ya que los proveedores de acceso a internet tienen constancia de los nombres, teléfono y otros datos identificativos de los usuarios a los que han asignado las particulares direcciones IP.

La sentencia recurrida cita, en apoyo de su tesis de que las direcciones IP son datos personales, la sentencia del Tribunal de Justicia de la Comunidad Europea de 29 de enero de 2008 (asunto C-275/06 ), recaída en una petición de decisión prejudicial planteada por un Juzgado de lo Mercantil de Madrid, en un procedimiento promovido por la aquí parte recurrente, PROMUSICAE, contra un proveedor de acceso a internet (Telefónica de España, SAU), para que le comunicase los nombres y direcciones de determinados usuarios de internet. En relación con dicha sentencia del TJCE, es cierto que en su apartado 45 se afirma la condición de datos personales de los que eran objeto de la pretensión de la parte recurrente en el litigio principal, es decir, los nombres y direcciones de determinados usuarios solicitada por PROMUSICAE, sin que el TJCE se pronunciara respecto de las direcciones IP. Sin embargo, debe precisarse también que, en el mismo asunto, la Abogado General en sus conclusiones si mantiene (apartado 61), que el dato del usuario al que se han atribuido determinadas direcciones IP es un dato personal, en el sentido del artículo 2.a) de la Directiva 95/46 , es decir, información sobre una persona física identificada o identificable, pues "con ayuda de este dato se relacionan las actividades realizadas mediante el uso de la correspondiente dirección IP con el titular del punto de conexión" .

Por lo tanto, estimamos que las direcciones IP son datos personales, en el sentido del artículo 3.a) LOPD y, como tales, se encuentran protegidos por las garantías establecidas por dicho texto legal para su tratamiento.

Se desestima el segundo motivo del recurso de casación.

QUINTO

En su tercer motivo del recurso, PROMUSICAE alega que, en la hipótesis de que se entienda que las direcciones IP constituyen datos de carácter personal, debía concederse la exención del deber de informar al interesado, de conformidad con el artículo 5.5 LOPD , por resultar imposible el cumplimiento de dicho deber. Entiende la parte recurrente que la imposibilidad de informar a los interesados ha quedado acreditada a lo largo del procedimiento, y así lo declara la sentencia recurrida, al aceptar que dicha parte no es capaz de averiguar la identidad, el domicilio, ni ningún otro dato identificativo de los usuarios de redes P2P cuya dirección IP fuera recogida.

El artículo 5 de la LOPD establece, en los casos de tratamiento de datos de carácter personal, el deber de informar previamente a los titulares de los datos, y si los datos de carácter personal no han sido recabados del interesado, como sucede en este caso, el apartado 4 del artículo 5 LOPD impone al responsable del fichero el deber de informar al interesado dentro de los tres meses siguientes al registro de los datos, si bien, el artículo 5.5 LOPD exceptúa de dicho deber de información determinados supuestos: cuando la ley expresamente lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

En desarrollo de dicha previsión legal, el Reglamento de la LOPD, aprobado por Real Decreto 1720/2007, en sus artículos 153 y siguientes , estableció el procedimiento a seguir para obtener de la AEPD la exención del deber de información al interesado del tratamiento de sus datos, cuando resulte imposible o exija esfuerzos desproporcionados, siendo este procedimiento al que acudió la parte recurrente, y la sentencia de la Audiencia Nacional basa la desestimación del recurso en el argumento de que no concurre, o al menos la parte recurrente no ha justificado, la circunstancia de imposibilidad de información a los interesados del tratamiento de sus datos.

El recurso de casación impugna la resolución recurrida a partir de una premisa equivocada, pues considera la parte recurrente en este tercer motivo que "la imposibilidad de informar a los interesados del tratamiento de sus direcciones IP ha quedado acreditada a lo largo del procedimiento seguido ante la Audiencia Nacional, y así lo viene a declarar la Sentencia recurrida" , cuando no es así, sino que sucede justamente lo contrario, que la sentencia recurrida establece con claridad (FD Segundo), que "ninguna de las circunstancias que prevé el artículo 5.5 LOPD concurre en el caso presente" , en el que estima que "no consta dificultad especial para realizar dicha información" , insistiendo en que la autorización del tratamiento de datos sin realizar la preceptiva información al titular de los datos y sin contar con su consentimiento solo puede realizarse excepcionalmente, cuando concurran las circunstancias previstas en el artículo 5 LOPD "que, en el caso presente, no concurren".

La propia parte recurrente, en contradicción con lo afirmado en este motivo tercero del recurso de casación, reconoce en el motivo primero que la sentencia basa la desestimación de la demanda en que la parte no ha justificado la concurrencia de los requisitos exigidos por el artículo 5.5 LOPD y, por tal razón, combate en dicho motivo primero la -en su criterio- irracional apreciación de la prueba llevada a cabo por la sentencia recurrida, que incurrió en un error palmario en la valoración de la prueba, que desemboca en una resolución irracional o arbitraria. No obstante, debe recordarse, como ya se ha indicado en esta sentencia, que este motivo primero del recurso de casación fue inadmitido por auto de la Sección 1ª de esta Sala, de 20 de diciembre de 2012 , por su defectuosa preparación, pues el motivo debió invocarse en base a la letra d) del artículo 88.1 LJCA , como un error in iudicando, y no por el cauce de la letra c) de dicho precepto legal, como un error in procedendo.

Al no haberse combatido eficazmente en este recurso de casación la valoración de la prueba por la Sala de instancia, hemos de mantener ahora su apreciación respecto de la falta de acreditación de las circunstancias del artículo 5.5 LOPD habilitantes de la exención del deber de informar, entre ellas la imposibilidad o exigencia de esfuerzos desproporcionados de la información.

Por las razones indicadas se desestima el tercer motivo del recurso de casación.

SEXTO

El cuarto motivo del recurso de casación considera que concurre el consentimiento tácito de los interesados para el tratamiento de datos que PROMUSICAE pretende llevar a cabo, que se desprende de su decisión libre y voluntaria de poner a disposición del público la información que estiman pertinente, incluida su dirección IP.

El artículo 3.h) LOPD define el consentimiento del interesado como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen" y, desde luego, en este caso no puede mantenerse que, entre otros requisitos, exista una manifestación de voluntad informada del interesado.

Es cierto que el artículo 6 LOPD exige el consentimiento del interesado, sin la previsión de que sea expreso, pero como afirma la sentencia recurrida, el consentimiento podrá ser tácito pero, en todo caso, deberá ser inequívoco, y esta Sala considera que no cabe presumir, de forma segura e indudable, el consentimiento de los interesados al tratamiento de sus datos por el hecho de conectarse a una red P2P.

A la hora de analizar si existe un consentimiento tácito del titular de los datos para su tratamiento, debe tenerse en cuenta la finalidad de los actos de los que se deduce esa voluntad, que en este caso están encaminados a operar en las redes P2P, sin que sea razonable deducir de dicho propósito el consentimiento para el tratamiento de los datos. En este sentido, como decía la sentencia de este Tribunal de 17 de abril de 2007 (recurso 3755/2003 ), "resulta incongruente hablar deconsentimiento tácito cuando ni siquiera se ha producido la necesaria información a los titulares sobre la existencia de tal tratamiento y fichero".

El hecho de que un usuario de red P2P conozca que su dirección IP es visible y puede ser conocida, no significa que acepte de forma inequívoca su uso y tratamiento por terceros, ni que consienta de forma específica el tratamiento de sus datos que pretende la parte recurrente.

Por tanto, no puede equipararse el conocimiento por el titular de que su dirección IP es visible en las redes P2P, con su consentimiento para su tratamiento automatizado junto con otros datos de su tráfico.

Se desestima el cuarto motivo del recurso de casación.

SÉPTIMO

El motivo quinto del recurso considera que, de conformidad con el artículo 6.1 LOPD , existen varias habilitaciones legales para el tratamiento de datos pretendido por la parte recurrente, sin el consentimiento del afectado, contenidas de forma implícita en los artículos 138.3 , 139.1.h ) y 141.6 de la Ley de Propiedad Intelectual y el artículo 24 CE .

El artículo 6.1 LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, " salvo que la ley disponga otra cosa."

Como se ha indicado, la parte recurrente considera que son varias las disposiciones legales que, implícitamente, dispensan el consentimiento del afectado para el tratamiento de datos que pretende. Se trata de los artículos 138.3 , 139.1.h ) y 141.6 del Real Decreto Legislativo 1/1996, de 12 de abril , por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), en los que se prevé que el titular del derecho de propiedad intelectual podrá solicitar el cese, y la medida cautelar de suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para infringir derechos de propiedad intelectual, y que dicho cese y medida cautelar podrán también solicitarse, cuando sean apropiadas, contra los intermediarios a cuyos servicios recurra un tercero para infringir derechos de propiedad intelectual reconocidos en la LPI, aunque los actos de dichos intermediarios no constituyan en sí mismos una infracción.

En la tesis de la parte recurrente, el tratamiento de datos a que se refiere su solicitud es imprescindible para poder iniciar con posibilidades de éxito un procedimiento judicial en defensa de sus intereses, en el que solicitar y obtener ese cese de la actividad, o la medida cautelar de suspensión de los servicios en cuyo ámbito se produce la infracción de los derechos de propiedad intelectual.

Sin embargo, ninguno de los preceptos citados por la parte recurrente contiene ninguna habilitación, ni referencia expresa, a la dispensa del consentimiento de los interesados para el tratamiento de sus datos, como tampoco lo hace el artículo 24 CE al garantizar el derecho a obtener la tutela efectiva de los jueces y tribunales.

Cuando una norma jurídica establece excepciones a las prohibiciones de tratamiento de datos sin el consentimiento del interesado, es exigible que lo efectúe de una forma precisa, como sucede con las excepciones previstas en los apartados 2 y 5 del artículo 6 de la Directiva 2002/58 , que se refieren al tratamiento de los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones, o de la lucha contra el fraude, entendiendo por tal, de acuerdo con el considerando 29 de la Directiva, el consistente en la utilización sin pago de servicios de comunicaciones electrónicas, pues una habilitación legal tácita o implícita para tratar datos personales sin consentimiento del titular, en los términos que pretende la parte recurrente, no es conforme con el contenido del derecho a la protección de datos como derecho fundamental, con un régimen de especial protección en la CE.

En este sentido, el Tribunal Constitucional, en la sentencia 292/2000 (FJ 16), sobre cuestiones relacionadas sobre el derecho fundamental a la protección de datos, ha señalado no solo la necesidad de que las limitaciones a un derecho fundamental estén fundadas en una previsión legal que tenga justificación constitucional y sean proporcionadas, sino además, "que la Ley que restrinja este derecho debe expresar con precisión todos y cada uno de los presupuestos materiales de la medida limitadora" , y tal requisito de precisión y certeza no es compatible con la limitación normativa implícita del derecho fundamental a la protección de datos que alega el recurrente en este motivo.

De acuerdo con lo razonado, no cabe acoger el motivo quinto del recurso de casación.

OCTAVO

El motivo sexto del recurso de casación denuncia la infracción del artículo 6.2 in fine de la LOPD , a través de dos submotivos. El primero alega la falta de conformidad de la interpretación que efectúa la sentencia recurrida del artículo 6.2 in fine de la LOPD con el artículo 7.f) de la Directiva 95/46 y el segundo se refiere a la existencia de un interés legítimo prevalente por parte de PROMUSICAE para realizar el tratamiento pretendido.

En el primero de los submotivos citados, la parte recurrente aduce que no es necesario el consentimiento del afectado para tratar un dato personal, siempre que el tratamiento responda a un interés legítimo preponderante del responsable del fichero, sin que sea necesario, además, que el tratamiento conste en una fuente accesible al público.

El artículo 6.2 LOPD establece que no será preciso el consentimiento del afectado en determinados supuestos que detalla, y entre ellos, "cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado."

A su vez, el artículo 7.f) de la Directiva 95/46/CE señala que los Estados miembros dispondrán que el tratamiento de datos personales sólo puede efectuarse si: " f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva."

En la interpretación del artículo 7.f) de la Directiva 95/46/CE , el Tribunal de Justicia de la Unión Europea ha dicho, en sentencia de 24 de noviembre de 2011 (asuntos acumulados C-468/10 y C-469/10, caso ASNEF), que el mencionado precepto "establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado" (apartado 38), de lo que se sigue que el indicado artículo 7.f) de la Directiva 95/46 "se opone a toda normativa nacional que, en el caso de que no exista consentimiento del interesado, imponga exigencias adicionales que se sumen a los dos requisitos acumulativos mencionados en el apartado anterior." (apartado

39).

Ahora bien, que el artículo 7.f) de la Directiva no contemple el requisito de que los datos figuren en fuentes accesibles al público para admitir su tratamiento sin consentimiento del interesado, no significa que dicha circunstancia no pueda ser ponderada al examinar el segundo de los

requisitos establecido en el indicado precepto, que exige que no prevalezca el interés o los derechos y libertades fundamentales del titular de los datos sobre el interés legítimo perseguido por el responsable del tratamiento o.

En efecto, añade la sentencia del TJCE citada que "En lo que respecta a la ponderación requerida por el artículo 7, letra f), de la Directiva 95/46 , cabe tomar en consideración el hecho de que la gravedad de la lesión de los derechos fundamentales de la persona afectada por dicho tratamiento puede variar en función de que los datos figuren ya, o no, en fuentes accesibles al público" (apartado 44), pues "a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos" (apartado 45).

Por tales razones, concluye sobre esta cuestión la referida sentencia del

TJCE que:

Apartado 46: A este respecto, procede subrayar que nada se opone a que, en ejercicio del margen de apreciación que les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan los principios que deben regir dicha ponderación.

Apartado 47: No obstante, si una normativa nacional excluye la posibilidad de tratar determinadas categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de

tales categorías, sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5.

Apartado 48: Por lo tanto, sin perjuicio del artículo 8 de la Directiva

95/46, relativo al tratamiento de determinadas categorías particulares de datos, disposición que no se discute en el litigio principal, el artículo 7, letra f), de dicha Directiva se opone a que un Estado miembro excluya de forma categórica y generalizada la posibilidad de someter a un tratamiento de datos determinadas categorías de datos personales, sin permitir ponderar los derechos e intereses en conflicto en cada caso concreto.

Así pues, de acuerdo con la sentencia del TJUE citada, no cabe añadir ningún otro requisito de carácter excluyente a los dos requisitos acumulativos contemplados en el artículo 7.f) de la Directiva 95/46/CE para la realización de un tratamiento de datos, si bien es admisible que, en la ponderación de los intereses en conflicto a que se refiere el segundo de los requisitos mencionados, se valore si los datos personales de que se trate figuran en fuentes accesibles al público.

Sin perjuicio de lo anterior, los razonamientos de la sentencia impugnada sobre las fuentes de procedencia de los datos objeto de tratamiento, han de entenderse en el contexto en que se producen, que era el de respuesta a la concreta alegación de la demanda, que propugnaba una interpretación en sentido amplio de la expresión "fuente accesible al público" del artículo 6.2 LOPD , equiparando las redes P2P a los medios de comunicación e incluyéndolas entre estos, sin que la sentencia recurrida aceptara esta interpretación amplia, por considerar que, tanto el artículo 3.1.j) LOPD como el artículo 7 de su Reglamento de desarrollo, contienen una lista exhaustiva o cerrada de lo que deben considerarse fuentes accesibles al público, en la que no se incluye internet.

En todo caso, y como resulta de la sentencia del TJUE antes citada, el debate abierto por el escrito de demanda, sobre la inclusión o no de las redes P2P en el concepto de fuente accesible al público del artículo 6.2

LOPD, no resulta decisivo para resolver la pretensión de la parte recurrente, y debe relegarse, en caso de estimarse necesario, al momento del examen de la concurrencia del segundo requisito contemplado por los artículos 6.2 LOPD y 7.f) de la Directiva 95/46/CE , que exige ponderar la prevalencia entre el derecho fundamental a la protección de datos de los afectados y el legítimo interés del responsable del fichero en el tratamiento de los datos.

En relación con este segundo requisito, la parte recurrente mantiene que la Sala de instancia no se pronunció al respecto y que concurre el interés prevalente de PROMUSICAE sobre los derechos de los usuarios de redes P2P, si bien esta Sala no comparte ninguno de esos dos argumentos.

La sentencia recurrida si contiene un pronunciamiento sobre la prevalencia entre los derechos en conflicto, pues en el Fundamento de Derecho Quinto tiene en cuenta, para rechazar el tratamiento de las direcciones IP pretendido, que la recurrente "es una simple entidad privada y ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas" y en el Fundamento de Derecho Sexto añade que "todo ello no puede servir para justificar, como pretende la parte recurrente que se lleve a cabo una aplicación de la LOPD que sea claramente lesiva de los derechos en materia de protección de datos. La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos (entendida en un sentido mucho más amplio que el simple derecho a la intimidad)."

Las alegaciones del motivo sobre la prevalencia del interés legítimo de

PROMUSICAE en el presente caso tampoco pueden prosperar.

Como hemos visto con anterioridad, el artículo 7.f) de la Directiva 95/46 admite el tratamiento de datos personales cuando sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado, en este caso, su derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales, protegido por el artículo 1.1 de la Directiva, y la aplicación de este precepto exige una ponderación de los derechos e intereses en conflicto, en atención a las circunstancias concurrentes en el caso particular.

Como primera cuestión, hemos de señalar que es jurisprudencia reiterada del TJUE, como resalta su sentencia de 8 de abril de 2014 (asuntos acumulados C-293/12 y C-594/12, apartado 52), que las excepciones a la protección de los datos personales y las restricciones a dicha protección han de establecerse sin sobrepasar los límites de lo estrictamente necesario, y en este caso la parte recurrente no ha acreditado la concurrencia de la necesidad de acudir al tratamiento de datos en cuestión, para la satisfacción de su interés legítimo de protección de los derechos de propiedad intelectual, pues si bien afirma en su recurso que, a fin de poder concretar las conductas ilícitas de los usuarios de las redes P2P que motivan el ejercicio de su derecho a la tutela judicial efectiva, "no tiene más remedio" que tratar las direcciones IP de los usuarios de dichas redes, sin embargo, en criterio de esta Sala, no justifica de forma suficiente esa necesidad, por inexistencia de medidas protectoras alternativas en el ordenamiento jurídico, bien en el orden civil, en particular en la Ley de Propiedad Intelectual, bien en el orden penal, más respetuosas del derecho a la protección de los datos personales.

Por otro lado, también tenemos en cuenta las características y extensión del tratamiento de datos a que se refiere este recurso, de acuerdo con el escrito de la parte recurrente, de solicitud a la AEPD de la exención del deber de informar a los titulares de los datos personales (folio 3 del expediente administrativo), que seria realizado por la empresa danesa, DtecNet Software, domiciliada en Copenhague, con la que PROMUSICAE ha contratado la prestación de este servicio, y se refiere a los datos siguientes: el nombre de usuario, la dirección IP, el día y la hora en que se realicen de forma masiva los actos de puesta a disposición de fonogramas o videos musicales, el número de archivos protegidos que ese usuario tenía a disposición del público en su carpeta compartida, los títulos de los fonogramas y videos musicales que ponía a disposición del público y el nombre del artista.

También resulta de interés advertir que la parte recurrente en ningún momento ha ofrecido indicación alguna, siquiera aproximada, sobre el número de interesados cuyos datos personales pueden ser objeto del tratamiento exento de su autorización, como puso de relieve la sentencia impugnada.

En el otro lado de la balanza tenemos en cuenta que el derecho a la protección de datos personales es un derecho fundamental, cuyo contenido consiste, de acuerdo con la sentencia 292/2000, del Tribunal Constitucional en "un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso" , de donde se sigue que el consentimiento del interesado sobre la recogida y uso de sus datos personales forma parte del contenido esencial de este derecho fundamental.

En la ponderación de derechos e intereses que efectuamos hemos de tener también presente el precedente, de especial interés en este

recurso, constituido por la sentencia del TJUE de 29 de enero de 2008 , anteriormente citada, recaída en un asunto en el que PROMUSICAE intervenía en defensa de los mismos derechos de propiedad intelectual hace valer en el presente recurso, que señaló (apartado 57) que la protección efectiva que las Directivas 2000/31, 2001/29 y 2004/48 otorgan a la propiedad intelectual no puede ir en perjuicio de las exigencias relativas a la protección de los datos personales.

Por todo lo anterior, estimamos que en el presente caso, por sus particulares características de extensión y falta de acreditación de su estricta necesidad para la finalidad legítima perseguida, el tratamiento de datos que pretende la parte recurrente no justifica las limitaciones en el contenido esencial del derecho fundamental a la protección de datos de un número desconocido de personas, por lo que no concurre el segundo de los requisitos exigidos por los artículos 6.2 LOPD y 7.f) de la Directiva

95/46/CE.

De acuerdo con los anteriores razonamientos, se desestima el motivo sexto del recurso de casación.

NOVENO

El séptimo motivo del recurso considera que la sentencia recurrida ha aplicado indebidamente el artículo 6 de la Ley 25/2007 , porque no es cierto que la parte recurrente pretenda que los prestadores de servicios de Internet le cedan las direcciones IP de sus abonados, sino que lo que pretende es obtener dichas direcciones IP por si misma de las redes P2P, sin que el tratamiento de datos sobre el que versa el presente procedimiento requiera ninguna cesión de datos sometida a la Ley

25/2007.

La Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, establece la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los

agentes facultados, entendiendo por tales los miembros de los Cuerpos Policiales autorizados para ello en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002 y L.O. 2/2002 y los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el artículo 283.1 de la Ley de Enjuiciamiento Criminal .

En este contexto, el artículo 6 de la citada Ley 25/2007 dispone que los datos conservados de conformidad con lo dispuesto en dicha Ley, sólo podrán ser cedidos de acuerdo con los fines que se determinan y previa autorización judicial.

Para esta Sala es claro que la sentencia recurrida no incurre en la confusión que le atribuye la parte recurrente, de estimar que la pretensión de PROMUSICAE es que los prestadores de servicios telefónicos le cedan las direcciones IP en el marco de la Ley 25/2007. Basta la lectura del Fundamento Jurídico Segundo de la sentencia recurrida, para apreciar que la misma es perfecta conocedora de que la pretensión de la parte recurrente, tal y como aparece articulada en la solicitud que inicia el expediente administrativo y en el escrito de demanda, es obtener la exención por la AEPD del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, prevista en el artículo 5.5

LOPD y en los artículos 153 y siguientes de su Reglamento de desarrollo.

La cita que efectúa la sentencia recurrida al artículo 6 de la Ley 25/20067 no tiene otro objeto que el de resaltar la relevancia del dato de dirección IP, que figura entre los datos objeto de conservación establecidos por el artículo 3 de la indicada Ley, cuya cesión por los operadores de telecomunicaciones a los agentes facultados está sujeta a condiciones restrictivas, entre ellas, a la previa autorización judicial.

Esta regulación legal es tenida en cuenta por la sentencia recurrida, para efectuar la ponderación ordenada por el artículo 6.2 de la LOPD , de los intereses y derechos concurrentes en el presente caso, en cuanto pone de manifiesto la especial protección dispensada por el legislador a los datos vinculados a la comunicación a través de Internet, que la sentencia recurrida tiene en cuenta para afirmar (FJ Quinto), que no es posible entregar las direcciones IP a una entidad privada, como la recurrente, que "ni siquiera tiene la consideración de entidad de gestión a los efectos de valorar el uso que pretende hacer de los datos de descarga de fonogramas y películas" , lo que llevó a la sentencia recurrida a estimar reforzada su conclusión, razonada en los fundamentos precedentes, sobre la improcedencia de la pretensión de la parte recurrente.

Se desestima el séptimo motivo del recurso de casación por las razones expresadas.

DÉCIMO

Al declararse no haber lugar al recurso de casación, procede imponer a la parte recurrente las costas del mismo, de conformidad con la regla del artículo 139.2 LJCA , si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita a

4.000 € el importe máximo a reclamar por todos losconceptos como costas procesales, por la parte recurrida que ha formulado oposición, la Administración General del Estado.

F A L L A M O S

Que declaramos no haber lugar al presente recurso de casación número

6153/2011, interpuesto por la representación procesal de Productores de Música de España (PROMUSICAE), contra la sentencia de 1 de septiembre de 2011, dictada por la Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso número 625/2009 , y condenamos a la parte recurrente en las costas de

casación, hasta el límite señalado en el último Fundamento de Derecho de esta sentencia.

Así por esta nuestra sentencia, que se publicará en la colección legislativa, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- Leída y publicada ha sido la anterior sentencia por el Excmo. Sr. Magistrado Ponente D. José María del Riego Valledor , estando la Sala celebrando audiencia pública en el mismo día de su fecha, de lo que, como Secretario, certifico.