La recente pronuncia della Corte di Giustizia dell’Unione Europea nel caso “Breyer” ha aggiunto un altro importante tassello in materia di privacy e tutela dei dati personali, andando a colmare una lacuna presente da molti anni nell’ordinamento Europeo.
Il caso
Il caso traeva origine dalla controversia sorta tra il sig. Patrick Breyer e la Repubblica Federale di Germania, relativamente alla registrazione ed alla conservazione, da parte di quest’ultima, dell’indirizzo IP del sig. Breyer registrato durante la consultazione di vari siti Internet dei servizi federali tedeschi.
In particolare, il sig. Patrick Breyer, cittadino tedesco ed esponente di spicco del “Partito dei Pirati”, aveva constatato la raccolta, effettuata tramite la visita di vari siti web governativi, degli indirizzi IP del computer con il quale erano stati effettuati gli accessi.
Per tale motivo il sig. Breyen chiedeva che ne venisse inibita la conservazione, sostenendo la presunta qualificazione dell’indirizzo IP dinamico quale dato personale e, quindi, soggetto all’obbligo di acquisizione del preventivo consenso per l’eventuale conservazione.
La Repubblica federale tedesca si difendeva invocando la normativa interna in materia di “cyber crime”, la quale prevede la possibilità per gli amministratori dei siti web governativi di raccogliere i dati degli utenti, tra cui l’indirizzo IP, per ragioni di sicurezza e per la prevenzione di attacchi informatici.
Il sig. Breyer si rivolgeva, quindi, alle competenti Corti territoriali, vedendosi respinto il ricorso in primo grado ed accolto (ma solo in parte) l’appello.
A seguito di tali discordanti pronunce, l’istanza veniva sottoposta al vaglio della Suprema Corte Tedesca, la quale proponeva domanda di pronuncia pregiudiziale alla Corte di Giustizia dell’Unione Europea.
I giudici tedeschi chiedevano fosse fatta chiarezza sull’interpretazione dell’articolo 2, lettera a) e dell’articolo 7, lettera f) della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati il quale recita:
“Ai fini della presente direttiva si intende per:
a) «dati personali»: qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;”
Ma l’indirizzo IP è davvero qualificabile come dato personale?
Occorre preliminarmente capire bene cosa sia un indirizzo IP e quali siano le differenze tra indirizzi IP statici e dinamici .
Per farlo utilizziamo le parole della stessa Corte di Giustizia UE, che vi ha dato ampio spazio nella sentenza in oggetto.
L’indirizzo IP può essere qualificato come una sequenza numerica assegnata a computer collegati a Internet, per permettere la comunicazione tra i medesimi attraverso la rete del computer che effettua l’accesso.
L’indirizzo IP viene, quindi, trasmesso al server che ospita il sito consultato. Tale procedura è necessaria per inviare i dati richiesti al corretto destinatario.
Gli ISP (internet service provider) assegnano ai computer degli utenti di tale rete un indirizzo IP che può essere o «statico» o «dinamico», ossia un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentirebbero di associare, attraverso file accessibili al pubblico, un dato computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet.
Il parere della Corte
Secondo la Corte UE, l’indirizzo IP dinamico, pur non essendo direttamente riferibile ad una “persona fisica identificata”, in quanto non ne rivela l’identità, potrebbe identificare il soggetto “indirettamente”.
A ben vedere, non si può che essere concordi con l’interpretazione fornita dalla Corte, posto che la normativa di riferimento (art. 2, lettera a) della direttiva 95/46) considera “identificabile” una persona che può essere identificata non solo direttamente, ma anche “indirettamente”.
Le conclusioni della Corte
La Corte nella propria attività interpretativa conclude stabilendo che “un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.”
Appare evidente, dunque, come alla luce di tale pronuncia l’indirizzo IP dinamico debba essere qualificato come dato personale, nella misura in cui consente, attraverso l’utilizzo di altre informazioni, l’identificabilità del soggetto.
In particolare, il soggetto che potrebbe agevolmente risalire ai dati identificativi dell’utente attraverso l’indirizzo IP dinamico non sarebbe tanto l’amministratore del sito web, ma l’Internet service provider che raccoglie nei log dati sufficienti per procedere all’identificazione.
Secondo l’interpretazione fornita dalla Corte inoltre, il consenso deve essere fornito anche in presenza di esigenze di “cyber security”, non applicandosi il concetto di “legittimo interesse” disciplinato dall’art. 7 della direttiva.
Dott. Giuseppe Laganà