Blog Jurídico | Civil | Comunitario | Constitucional | Digital | Penal
Sentencia Breyer (C‑582/14): Análisis Jurídico
¿Es una IP dinámica un dato personal y hasta dónde puede salvarse el «interés legítimo»?
Zaragoza, 8 de agosto de 2025 — Hoy presentamos una noticia jurídica que no admite paños calientes: el Tribunal de Justicia de la Unión Europea (TJUE) emitió en octubre de 2016 una resolución que sigue marcando el rumbo en protección de datos. El caso Patrick Breyer vs. República Federal de Alemania (C‑582/14) estableció que la sola disponibilidad pública de datos no legitimiza automáticamente su tratamiento. Este resumen diseca con precisión sus antecedentes, fundamentos, fallo y aplicación en España desde el RGPD y la LOPDGDD.
1. Antecedentes: ¿Qué llevó a la cuestión prejudicial?
- Origen alemán: El Tribunal Supremo alemán (Bundesgerichtshof) remitió al TJUE dos preguntas prejudiciales en torno a si una dirección IP dinámica, registrada por el titular de una página web, constituye dato personal cuando el proveedor de acceso (ISP) conserva datos adicionales que permiten identificar al usuario.
- Primer interrogante: ¿Es identificable una persona si existe un tercero (como el ISP) que dispone de datos que, combinados, permiten su identificación? Se planteaba el conflicto entre un criterio objetivo (cualquier dato que potencialmente permita identificar es personal) versus uno relativo (solo si ese dato permite identificar efectivamente al responsable del tratamiento).
- Segundo interrogante: ¿La normativa alemana que permite conservar IPs dinámicas sin consentimiento —dentro del «interés legítimo» para garantizar seguridad— es compatible con el artículo 7 f) de la Directiva 95/46/CE?
2. Fundamentos del TJUE en la sentencia de 19 de octubre de 2016
- El TJUE aplicó una interpretación amplia del concepto de “dato personal”: no hace falta que toda la información identificativa esté en manos de una sola persona, basta que existan medios razonables para lograr la identificación, incluso mediante terceros o autoridades.
- Respecto a la identificabilidad indirecta, el Tribunal sostiene que la IP dinámica sí puede considerarse personal si existe la posibilidad legal y razonable de identificar al usuario, incluso si quien lo hace es una autoridad pública, con datos del ISP.
- Sobre el “interés legítimo”, el TJUE concluye que una normativa nacional que limita estrictamente este concepto y prohíbe conservar los datos tras la sesión altera el alcance del artículo 7 f) y resulta incompatible con la Directiva 95/46/CE.
3. El fallo: conclusiones clave
- Sí, una dirección IP dinámica puede ser un dato personal respecto al prestador del servicio web si éste tiene medios legales razonables para identificar al usuario, incluso a través de un tercero (ISP).
- No es suficiente que el tratamiento se base unilateralmente en el interés legítimo para seguridad si la ley nacional restringe ese tratamiento más allá de lo previsto por la Directiva.
- Implicación directa: esta sentencia amplía la interpretación de dato personal y refuerza el control sobre tratamientos incluso cuando la información proviene de fuentes públicas.
4. Ecos en el régimen español: RGPD y LOPDGDD
A) RGPD (Reglamento (UE) 2016/679)
- Incorpora el concepto de “identificable” de forma directa y clara, incluyendo identidad indirecta e incluso singling‑out, reclamando evaluación de los medios razonablemente disponibles para la identificación.
B) LOPDGDD (Ley Orgánica 3/2018)
- Reproduce los principios del RGPD: el tratamiento de datos personales exige una base legal, transparencia, minimización, y, sobre todo, consentimiento informado, excepto en supuestos tasados, como interés legítimo (artículo 6 RGPD).
5. Jurisprudencia española: el TS ya aplicó esta doctrina
- STS, 3 de octubre de 2014 (recurso 6153/2011) — Promusicae: el Tribunal Supremo consideró que las direcciones IP son datos personales, incluso si el responsable del tratamiento no dispone de medios para identificar a la persona, ya que es razonable que el ISP lo tenga.
- STS, 23 de octubre de 2014 — Tribunal Supremo: reafirma que hablar de visibilidad pública de una IP no implica consentimiento para su tratamiento automatizado; la IP sigue siendo dato personal sujeto a LOPD (hoy LOPDGDD).
- STS, 4 de marzo de 2021, Sala Penal — La IP, por sí sola, no revela identidad y su privacidad es limitada, pero desvelar la identidad del titular requiere autorización judicial, reforzando el derecho a la intimidad y habeas data.
6. Análisis claro y aplicado
| Elemento | Interpretación Breyer / TJUE | Aplicación en España |
|---|---|---|
| IP dinámica | Es dato personal si se puede identificar | TS ya lo reconoce en Promusicae (2014) |
| Interés legítimo | No basta; normativa nacional no puede recortarlo | RGPD y LOPDGDD exigen bases claras y limitadas |
| Identificación | Puede ser indirecta vía ISP o autoridad | Necesita autorización judicial (STS 2021) |
- No basta con que los datos estén disponibles públicamente. La doctrina Breyer obliga a aplicar un enfoque proactivo: el tratamiento y conservación requieren base legal y una evaluación de identidad razonable. En España, esa evaluación ya está consolidada por el Tribunal Supremo.
7. Conclusión
El caso Breyer (C‑582/14) del TJUE marca un hito al esclarecer que la disponibilidad pública de datos no legitima su tratamiento automático. La identificación indirecta y razonable basta para considerar algo dato personal. Esta doctrina está plenamente vigente bajo el RGPD y la LOPDGDD española, y ya ha sido aplicada por el Tribunal Supremo en varias sentencias.
Esta sentencia es un recordatorio de que la privacidad no es cosa del pasado, y que seguir rigurosamente el RGPD y actualizar políticas digitales no es opcional; es necesario.
