La recente pronuncia della Corte di Giustizia dell’Unione Europea nel caso “Breyer” ha aggiunto un altro importante tassello in materia di privacy e tutela dei dati personali,  andando a colmare una lacuna presente da molti anni nell’ordinamento Europeo.

Il caso

Il caso traeva origine dalla controversia sorta tra il sig. Patrick Breyer e la  Repubblica Federale di Germania, relativamente alla registrazione ed alla conservazione, da parte di quest’ultima, dell’indirizzo IP del sig. Breyer registrato durante la  consultazione di vari siti Internet dei servizi federali tedeschi.

In particolare, il sig. Patrick Breyer, cittadino tedesco ed esponente di spicco del “Partito dei Pirati”, aveva constatato la raccolta, effettuata tramite la visita di vari siti web governativi, degli indirizzi IP del computer con il quale erano stati effettuati gli accessi.

Per tale motivo il sig. Breyen chiedeva che ne venisse inibita la conservazione, sostenendo la presunta qualificazione dell’indirizzo IP dinamico quale dato personale e, quindi, soggetto all’obbligo di acquisizione del preventivo consenso per l’eventuale conservazione.

La Repubblica federale tedesca si difendeva invocando la normativa interna in materia di “cyber crime”, la quale prevede la possibilità per gli amministratori dei siti web governativi di raccogliere i dati degli utenti, tra cui l’indirizzo IP, per ragioni di sicurezza e per la prevenzione di attacchi informatici.

Il sig. Breyer si rivolgeva, quindi, alle competenti Corti territoriali, vedendosi respinto il ricorso in primo grado ed accolto (ma solo in parte) l’appello.

A seguito di tali discordanti pronunce, l’istanza veniva sottoposta al vaglio della Suprema Corte Tedesca, la quale proponeva domanda di pronuncia pregiudiziale alla Corte di Giustizia dell’Unione Europea.

I giudici tedeschi chiedevano fosse fatta chiarezza sull’interpretazione dell’articolo 2, lettera a) e dell’articolo 7, lettera f) della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati il quale recita:

Ai fini della presente direttiva si intende per:

a) «dati personali»: qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;”

Ma l’indirizzo IP è davvero qualificabile come dato personale?

Occorre preliminarmente capire bene cosa sia un indirizzo IP e quali siano le differenze tra indirizzi IP statici e dinamici .

Per farlo utilizziamo le parole della stessa Corte di Giustizia UE, che vi ha dato ampio spazio nella sentenza in oggetto.

L’indirizzo IP può essere qualificato come una sequenza numerica assegnata a computer collegati a Internet, per permettere la comunicazione tra i medesimi attraverso la rete del computer che effettua l’accesso.

L’indirizzo IP viene, quindi,  trasmesso al server che ospita il sito consultato. Tale procedura è necessaria per inviare i dati richiesti al corretto destinatario.

Gli ISP (internet service provider)  assegnano ai computer degli utenti di tale rete un indirizzo IP che può essere o «statico» o «dinamico», ossia un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentirebbero di associare, attraverso file accessibili al pubblico, un dato computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet.

Il parere della Corte

Secondo la Corte UE, l’indirizzo IP dinamico, pur non essendo direttamente riferibile ad una “persona fisica identificata”, in quanto non ne rivela l’identità, potrebbe identificare il soggetto “indirettamente”.

A ben vedere, non si può che essere concordi con l’interpretazione fornita dalla Corte, posto che la normativa di riferimento (art. 2, lettera a) della direttiva 95/46) considera “identificabile” una persona che può essere identificata non solo direttamente, ma anche “indirettamente”.

Le conclusioni della Corte

La Corte nella propria attività interpretativa conclude stabilendo che un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.”

Appare evidente, dunque, come alla luce di tale pronuncia l’indirizzo IP dinamico debba essere qualificato come dato personale, nella misura in cui consente, attraverso l’utilizzo di altre informazioni, l’identificabilità del soggetto.

In particolare, il soggetto che  potrebbe agevolmente risalire ai dati identificativi dell’utente attraverso l’indirizzo IP dinamico non sarebbe tanto l’amministratore del sito web, ma l’Internet service provider che raccoglie nei log dati sufficienti per procedere all’identificazione.

Secondo l’interpretazione fornita dalla Corte inoltre, il consenso deve essere fornito anche in presenza di esigenze di “cyber security”, non applicandosi il concetto di “legittimo interesse” disciplinato dall’art. 7 della direttiva.

Dott. Giuseppe Laganà

 

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.