10 Nov L’INDIRIZZO IP DINAMICO È UN DATO PERSONALE
Corte giustizia Unione Europea, sez. II, sentenza 19/10/2016 n° C-582/14
La sentenza della seconda Sezione, della Corte di Giustizia dell’Unione Europea datata 19 ottobre 2016 (causa C-582/14) ritorna su un argomento già molto discusso in dottrina ed in giurisprudenza e cioè se l’indirizzo IP possa essere considerato un dato personale.
In particolare l’organo di giustizia comunitario è chiamato ad interpretare in modo corretto sia l’articolo 2, lettera a), che l’articolo 7, lettera f), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
L’art. 2, lett. a) per dato personale intende: “qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d’identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale.” L’art. 7, lett. f) sancisce che “gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando……………è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1”.
Il caso di specie riguarda il sig. Patrick Breyer che si oppone dinanzi ai giudici tedeschi alla registrazione e alla conservazione dei suoi indirizzi di protocollo Internet («indirizzi IP») da parte dei siti Internet dei servizi federali tedeschi da lui consultati. Tali servizi registrano e conservano, oltre alla data e all’ora della consultazione, gli indirizzi IP dei visitatori al fine di difendersi dagli attacchi cibernetici e di rendere possibili le azioni penali.
Il Bundesgerichtshof, che in Germania è la Corte federale di giustizia, si rivolge, quindi, alla Corte di Giustizia per sapere se, in tale contesto, gli indirizzi IP «dinamici» costituiscano anch’essi, per il gestore del sito Internet, un dato personale, e godano quindi della tutela prevista per simili dati.
Si ricorda che un indirizzo IP dinamico è un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Pertanto, solo il fornitore di accesso a Internet del sig. Breyer dispone delle informazioni aggiuntive necessarie per identificarlo.
Inoltre si desidera sapere anche se il gestore di un sito Internet debba, almeno in principio, avere la possibilità di raccogliere e impiegare ulteriormente i dati personali dei visitatori per garantire il funzionamento generale del suo sito.
Con la sentenza in argomento la Corte risponde, (e quindi in tal senso va interpretato l’articolo 2, lettera a), della direttiva 95/46/CE) anzitutto, che un indirizzo IP dinamico registrato da un «fornitore di servizi di media online» (ossia dal gestore di un sito Internet, nel caso di specie i servizi federali tedeschi) durante la consultazione del suo sito Internet accessibile al pubblico costituisce, nei confronti del gestore, un dato personale qualora esso disponga di mezzi giuridici che gli consentano di far identificare il visitatore grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di quest’ultimo dispone.
In secondo luogo, la Corte risponde (ed in tal senso va interpretato l’articolo 7, lettera f), della direttiva 95/46/CE) che il diritto dell’Unione osta a una normativa di uno Stato membro ai sensi della quale, in mancanza di consenso del visitatore, un fornitore di servizi di media online può raccogliere e impiegare i dati personali del visitatore solo nella misura in cui ciò sia necessario per consentire l’effettiva fruizione dei servizi da parte di detto visitatore e di fatturarla, senza che l’obiettivo di assicurare il funzionamento generale dei servizi medesimi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi.
La Corte ricorda che, secondo il diritto dell’Unione, il trattamento di dati personali è lecito, tra l’altro, se necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata.
La normativa tedesca, come interpretata dalla dottrina maggioritaria, riduce la portata di tale principio, escludendo che l’obiettivo di garantire il funzionamento generale del medium online possa essere bilanciato con l’interesse o i diritti e le libertà fondamentali dei visitatori.
In tale contesto, la Corte sottolinea che i servizi federali tedeschi che forniscono servizi di media online potrebbero avere un interesse legittimo a garantire, al di là di ciascuna effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti.
La decisione della Corte di Giustizia non si discosta sostanzialmente da quanto già evidenziato dal gruppo dei garanti europei con il provvedimento n. 4 del 20 giugno 2007 dove ha considerato gli indirizzi IP dati concernenti una persona identificabile. Al riguardo ha dichiarato che “i fornitori di accesso Internet e i gestori delle reti LAN possono, utilizzando mezzi ragionevoli, identificare gli utenti Internet cui essi hanno attribuito indirizzi IP, poiché, normalmente, essi “registrano” in un apposito file la data, l’ora, la durata e l’indirizzo IP dinamico assegnato all’utente Internet. Lo stesso dicasi per i fornitori di servizi Internet, i quali detengono un registro sul server HTTP. In questi casi, non vi è dubbio sul fatto che si possa parlare di dati personali ai sensi dell’articolo 2 (a) della direttiva …)”
In particolare, nei casi in cui il trattamento di indirizzi IP debba essere effettuato per identificare gli utenti di un computer (ad esempio, dal titolare di un diritto d’autore per perseguire l’utente di un computer per violazione di diritti di proprietà intellettuale), il Titolare del trattamento considera compresi tra i “mezzi che possono essere ragionevolmente utilizzati” per identificare le persone, le decisioni prese dal giudice del ricorso e quindi tali informazioni (gli IP) andrebbero considerate dati personali.
Un caso particolare è proprio quello di alcuni tipi di indirizzi IP che, in alcune circostanze, non permettono effettivamente di identificare l’utente per vari motivi tecnici ed organizzativi. Si pensi per esempio agli indirizzi IP attribuiti a un computer di un internet café, dove non è richiesta l’identificazione dei clienti. Si potrebbe affermare che i dati raccolti sull’impiego del computer X per un certo lasso di tempo non consentono di identificare l’utente con mezzi ragionevoli, e quindi non si può parlare di dati personali. Tuttavia, occorre notare che i fornitori di servizi Internet molto probabilmente non sapranno se gli indirizzi IP in questione permettono l’identificazione o meno, e tratteranno i dati associati con quell’IP nello stesso modo in cui trattano le informazioni associate agli indirizzi IP degli utenti debitamente registrati e identificabili. Pertanto, a meno di poter distinguere con assoluta certezza che i dati corrispondano a utenti non identificabili, il fornitore di servizi Internet dovrà trattare tutte le informazioni IP come dati personali, per maggiore sicurezza.
Naturalmente la sentenza della Corte di Giustizia trova applicazione nell’ambito dei paesi dell’Unione Europea e ad essere interpretata, infatti, è la direttiva 95/46/CE, ma come è noto dal 25 maggio 2018 diventerà obbligatorio il Regolamento europeo n. 679/2016 sulla protezione dei dati personali che ha un concetto ben più ampio dell’ambito di applicazione territoriale della normativa comunitaria.
fonte: altalex.com