(Corte di Giustizia UE, sentenza 19/10/2016, causa C-582/14)

L’indirizzo IP (Internet Protocol) dinamico è un dato personale che, per motivi di sicurezza, può essere trattato dai gestori dei siti web anche in assenza di un consenso dell’utente.

La Corte di Giustizia UE è stata investita della questione dalla Corte Federale di Giustizia tedesca.

Il sig. Breyer si era rivolto al giudice tedesco chiedendo che venisse inibita la raccolta e la registrazione da parte dei servizi federali tedeschi degli indirizzi IP degli utenti che navigano i siti governativi: secondo Breyer, , membro del Partito Pirata, l’indirizzo IP dovrebbe considerarsi un dato personale che non potrebbe essere raccolto e conservato senza il consenso dell’utente interessato; la Repubblica Federale Tedesca sosteneva, invece, che la raccolta di quei dati (nome del dominio, termini di ricerca, data e ora della sessione, volume di dati trasferiti e indirizzo IP del computer da cui è partita la richiesta di accesso) avviene con l’obiettivo di prevenire attacchi informatici e perseguire eventuali aggressori.

La Corte UE chiarisce che i fornitori di accesso ad Internet assegnano ai computer degli utenti della rete un indirizzo IP che cambia a ogni connessione a Internet: a differenza degli indirizzi IP statici, gli indirizzi dinamici non consentono di associare, attraverso file accessibili al pubblico, un dato computer al collegamento fisico alla rete utilizzato dal fornitore di accesso ad Internet; il fornitore dell’accesso a Internet dispone, tuttavia, delle informazioni aggiuntive necessarie per identificare l’utente (l’intestatario del contratto di accesso).

Secondo la Direttiva 95/46/CE, si considera dato personale “qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”)” (art. 2, lett. a); in particolare, occorre considerare “l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona” (Considerando 26), anche eventualmente rivolgendosi ad un terzo.

Sotto questo profilo, dunque, anche l’indirizzo IP dinamico deve ritenersi un “dato personale” in quanto permette l’identificabilità dell’utente (intestatario del contratto di accesso) attraverso l’incrocio con i dati raccolti dal provider.

La medesima Direttiva, tuttavia, considera legittimo il trattamento di dati personali quando, tra l’altro, “è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata” (art. 7, punto f, Direttiva cit.).

Ne consegue che il gestore di un sito web è ammesso a trattare i dati personali per un interesse legittimo quale lo scopo di protezione della rete e del sito web (e quindi la ricerca dei responsabili di attacchi informatici).

Ricordiamo che l’art. 4 del nuovo Regolamento Europeo in materia di protezione dei dati personali, che entrerà in vigore in Italia dal 28 maggio 2018, qualifica espressamente come dati personali anche gli identificatori online (tra cui gli indirizzi IP o i marcatori temporanei/cookies: cfr. Considerando 30 del Regolamento).