Questa testata è partner di La Repubblica e contribuisce alla sua audience
Hot topics:
News su MWC 2017
5 minuti

L'indirizzo IP è un dato personale anche se dinamico

L'indirizzo IP gode della protezione come dato personale. Ad affermarlo è una recente sentenza della Corte di Giustizia dell'Unione Europea, che si è espressa su richiesta dei giudizi tedeschi. A far partire l'esame una richiesta di un esponente del Partito Pirata.

L'indirizzo IP è un dato personale anche se dinamico

L'indirizzo IP è un dato personale anche se dinamico

L'indirizzo IP è un dato personale anche se dinamico

Banner Tom's LegalLo scorso 19 ottobre la Corte di Giustizia dell'Unione Europea, con la sentenza "Breyer", ha aggiunto un importante tassello in materia di privacy e tutela dei dati personali, andando a colmare una lacuna presente da molti anni nell'ordinamento Europeo. Abbiamo chiesto un parere al Dott. Giuseppe Laganà dello Studio Legale Fioriglio Croari

Il caso

Il caso traeva origine dalla controversia sorta tra il sig. Patrick Breyer e la Repubblica Federale di Germania, relativamente alla registrazione e alla conservazione, da parte di quest'ultima, dell'indirizzo IP del sig. Breyer registrato durante la consultazione di vari siti Internet dei servizi federali tedeschi.

In particolare, il sig. Patrick Breyer, cittadino tedesco ed esponente di spicco del "Partito Pirata", aveva constatato la raccolta, effettuata tramite la visita di vari siti web governativi, degli indirizzi IP del computer con il quale erano stati effettuati gli accessi.

nmedia
Immagine: @nmedia / Depositphotos

Per tale motivo il sig. Breyen chiedeva che ne venisse inibita la conservazione, sostenendo la presunta qualificazione dell'indirizzo IP dinamico quale dato personale e, quindi, soggetto all'obbligo di acquisizione del preventivo consenso per l'eventuale conservazione.

La Repubblica federale tedesca si difendeva invocando la normativa interna in materia di "cyber crime", la quale prevede la possibilità per gli amministratori dei siti web governativi di raccogliere i dati degli utenti, tra cui l'indirizzo IP, per ragioni di sicurezza e per la prevenzione di attacchi informatici. Il sig. Breyer si rivolgeva, quindi, alle competenti Corti territoriali, vedendosi respinto il ricorso in primo grado ed accolto (ma solo in parte) l'appello.

Leggi tutti i contenuti di Tom's Legal

A seguito di tali discordanti pronunce, l'istanza veniva sottoposta al vaglio della Suprema Corte Tedesca, la quale proponeva domanda di pronuncia pregiudiziale alla Corte di Giustizia dell'Unione Europea. I giudici tedeschi chiedevano fosse fatta chiarezza sull'interpretazione dell'articolo 2, lettera a) e dell'articolo 7, lettera f) della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. In particolare, la Suprema Corte Tedesca chiedeva se l'indirizzo IP dinamico potesse essere o meno qualificato quale "dato personale".

L'indirizzo IP è davvero un dato personale?

Occorre preliminarmente capire bene cosa sia un indirizzo IP e quali siano le differenze tra indirizzi IP statici e dinamici. Per farlo utilizziamo le parole della stessa Corte di Giustizia UE, che vi ha dato ampio spazio nella sentenza in oggetto.

L'indirizzo IP può essere qualificato come una sequenza numerica assegnata a computer collegati a Internet, per permettere la comunicazione tra i medesimi attraverso la rete del computer che effettua l'accesso.

rawpixel
Immagine: @rawpixel / Depositphotos

L'indirizzo IP viene, quindi, trasmesso al server che ospita il sito consultato. Tale procedura è necessaria per inviare i dati richiesti al corretto destinatario. Gli ISP (internet service provider) assegnano ai computer degli utenti un indirizzo IP che può essere o statico o dinamico, ossia un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentirebbero di associare, attraverso file accessibili al pubblico, un dato computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet.

Il parere della Corte

Secondo la Corte UE, l'indirizzo IP dinamico, pur non essendo direttamente riferibile ad una "persona fisica identificata", in quanto non ne rivela l'identità, potrebbe identificare il soggetto "indirettamente". A ben vedere, non si può che essere concordi con l'interpretazione fornita dalla Corte, posto che la normativa di riferimento (art. 2, lettera a) della direttiva 95/46) considera "identificabile" una persona che può essere identificata non solo direttamente, ma anche "indirettamente".

Le conclusioni della Corte

La Corte nella propria attività interpretativa conclude stabilendo che "un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone."

ginasanders
Immagine: @ginasanders / Depositphotos

Appare evidente, dunque, come alla luce di tale pronuncia l'indirizzo IP dinamico debba essere qualificato come dato personale, nella misura in cui consente, attraverso l'utilizzo di altre informazioni, l'identificabilità del soggetto.

In particolare, il soggetto che potrebbe agevolmente risalire ai dati identificativi dell'utente attraverso l'indirizzo IP dinamico non sarebbe tanto l'amministratore del sito web, ma l'Internet service provider che raccoglie nei log dati sufficienti per procedere all'identificazione. Secondo l'interpretazione fornita dalla Corte inoltre, il consenso deve essere fornito anche in presenza di esigenze di "cyber security", non applicandosi il concetto di "legittimo interesse" disciplinato dall'art. 7 della direttiva.

Nota: una versione più completa e dettagliata di questo articolo, con riferimenti al codice vigente, è disponibile sulla rivista telematica dirittodell'informatica.it.

Continua a pagina 2
AREE TEMATICHE
Vuoi ricevere aggiornamenti su #E-Gov?
Iscriviti alla newsletter!