Occorre preliminarmente capire bene cosa sia un indirizzo IP e quali siano le differenze tra indirizzi IP statici e dinamici. Per farlo utilizziamo le parole della stessa Corte di Giustizia UE, che vi ha dato ampio spazio nella sentenza in oggetto.
L'indirizzo IP può essere qualificato come una sequenza numerica assegnata a computer collegati a Internet, per permettere la comunicazione tra i medesimi attraverso la rete del computer che effettua l'accesso.
L'indirizzo IP viene, quindi, trasmesso al server che ospita il sito consultato. Tale procedura è necessaria per inviare i dati richiesti al corretto destinatario. Gli ISP (internet service provider) assegnano ai computer degli utenti un indirizzo IP che può essere o statico o dinamico, ossia un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentirebbero di associare, attraverso file accessibili al pubblico, un dato computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet.
Il parere della Corte
Secondo la Corte UE, l'indirizzo IP dinamico, pur non essendo direttamente riferibile ad una "persona fisica identificata", in quanto non ne rivela l'identità, potrebbe identificare il soggetto "indirettamente". A ben vedere, non si può che essere concordi con l'interpretazione fornita dalla Corte, posto che la normativa di riferimento (art. 2, lettera a) della direttiva 95/46) considera "identificabile" una persona che può essere identificata non solo direttamente, ma anche "indirettamente".
Le conclusioni della Corte
La Corte nella propria attività interpretativa conclude stabilendo che "un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone."
Appare evidente, dunque, come alla luce di tale pronuncia l'indirizzo IP dinamico debba essere qualificato come dato personale, nella misura in cui consente, attraverso l'utilizzo di altre informazioni, l'identificabilità del soggetto.
In particolare, il soggetto che potrebbe agevolmente risalire ai dati identificativi dell'utente attraverso l'indirizzo IP dinamico non sarebbe tanto l'amministratore del sito web, ma l'Internet service provider che raccoglie nei log dati sufficienti per procedere all'identificazione. Secondo l'interpretazione fornita dalla Corte inoltre, il consenso deve essere fornito anche in presenza di esigenze di "cyber security", non applicandosi il concetto di "legittimo interesse" disciplinato dall'art. 7 della direttiva.
Nota: una versione più completa e dettagliata di questo articolo, con riferimenti al codice vigente, è disponibile sulla rivista telematica dirittodell'informatica.it.