Con la sentenza del 19 ottobre 2016, la Corte di Giustizia dell’Unione Europea ha provveduto a fornire un’interpretazione più ampia del concetto di “dati personali”, estendendo tale definizione anche agli indirizzi IP c.d. “dinamici”. Tale sentenza, anche se non recentissima, è di particolare interesse in vista dell’entrata in vigore del GDPR a maggio 2018, in quanto risolve definitivamente l’annosa “querelle” circa la natura degli indirizzi IP quali dati personali o meno.
Per comprendere a pieno la questione è necessario partire dalla differenza tra indirizzi IP statici e indirizzi IP dinamici: i primi consentono l’identificazione permanente del dispositivo collegato alla rete, essendo qualificato come una sequenza numerica assegnata a computer collegati a Internet, mentre gli indirizzi IP dinamici sono assegnati temporaneamente al dispositivo per ciascun collegamento alla rete e vengono modificati nei successivi collegamenti. Gli indirizzi IP statici sono sempre stati considerati pacificamente dati personali[1] e ora, in seguito alla soluzione della Corte al presente caso, viene fornito un ampliamento del concetto di “identificabilità dell’interessato”, valevole per la qualificazione di un’informazione come “dato personale”.
L’origine del procedimento è da rinvenire nella controversia sorta tra la Repubblica Federale di Germania e un cittadino tedesco, il quale ha proposto un’azione inibitoria per impedire la registrazione e la conservazione dei propri indirizzi IP quando venivano visitati i siti Internet dei servizi federali tedeschi.
A sostegno di ciò, il ricorrente adduceva la presunta qualificazione dell’indirizzo IP dinamico quale dato personale e, pertanto, trattabile e conservabile solo a seguito del consenso dell’interessato. Al contrario, la Repubblica Federale Tedesca invocava la normativa interna in materia di “cyber crime”, che concede la facoltà agli amministratori dei siti web governativi di raccogliere alcuni dati degli utenti, tra cui l’indirizzo IP, per rilevanti ragioni di sicurezza.
Il procedimento è giunto sino alla Suprema Corte Tedesca, che ha richiesto una pronuncia pregiudiziale alla Corte di Giustizia dell’Unione Europea.
La questione pregiudiziale ha riguardato la corretta interpretazione della definizione di dato personale, ai sensi dell’articolo 2, lettera a), del Considerando 26 e dell’articolo 7, lettera f) della Direttiva 95/46/CE.
Sulla base dell’articolo 2 lettera a), la Direttiva qualifica i “dati personali” come “qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”.
Il Considerando 26, in relazione all’art. 2, lettera a) recita: “per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona […]”.
La Corte di Giustizia dell’Unione Europea ha sul punto statuito che “un indirizzo IP dinamico ottenuto da un fornitore di servizi di media online in occasione della consultazione di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.” Secondo la Corte UE, quindi, l’indirizzo IP dinamico, pur non essendo direttamente riferibile a una “persona fisica identificata”, potrebbe identificare il soggetto “indirettamente” e, qualora tale identificazione avvenisse, andrebbe qualificato come dato personale.
La Corte UE, infine, si è soffermata sulla compatibilità col diritto europeo della disposizione tedesca[2] che permette ai fornitori di servizi Internet di raccogliere e utilizzare i dati personali degli utenti senza il loro consenso, in presenza di circostanze eccezionali previste dalla normativa tedesca. Sulla base dell’art. 7, lettera f) della Direttiva 95/46, che dispone che il trattamento di dati personali possa essere effettuato senza il consenso dell’interessato anche quando “è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento […] o dei terzi a cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata […]”, i giudici hanno accolto le motivazioni del ricorrente e hanno stabilito che il consenso della persona interessata dev’essere fornito anche in presenza di esigenze di “cyber security”, non applicandosi, nel caso di specie, il concetto di “legittimo interesse” disciplinato dall’art. 7 della Direttiva.
Per il contenuto integrale della sentenza in oggetto:
http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62014CJ0582
Avv. Mauro Festa
[1] Alla luce del Parere 4/2007 sul concetto di dati personali, emesso dal Gruppo di Lavoro Articolo 29, e della sentenza della Corte di Giustizia C-70/10 (Scarlet Extended), che sottolinea che essi “costituiscono dati personali protetti, in quanto consentono di identificare in modo preciso gli utenti”.
[2] Articoli 12 e 15 del Telemediengesetz (legge sui media online), del 26 febbraio 2007.
