indirizzo-ipDella Logistep tutto si può dire, tranne che non sia una azienda caparbia. Una sentenza emessa l'8 settembre 2010 dal Tribunale federale di Losanna si è occupata proprio di questa azienda, sancendo che gli indirizzi IP devono essere considerati dati personali e pertanto devono sottostare alla legge sulla protezione dei dati. Quindi, l'Alta Corte ha definito illecita la pratica di alcune imprese private che acquisiscono segretamente indirizzi IP al fine di verificare se utenti della rete commettono dei reati, nello specifico se scaricano file illeciti. Secondo la Corte elvetica tale modo di agire non è giustificabile, per cui ha vietato alla Logistep SA, appunto, di continuare la raccolta di dati personali degli utenti della rete.

La Logistep, azienda con sede in Svizzera, del resto non è nuova a questa pratica di raccolta degli Ip in rete. Anche in Italia tempo fa effettuò una raccolta di dati degli internauti, per conto della Peppermint, ottenendo addirittura i nominativi corrispondenti agli Ip rastrellati, al fine di inviare loro delle lettere di richiesta risarcimento danni per i brani presumibilmente scaricati dalla rete. In quella occasione ed in altre occasioni, vari tribunali anche non italiani, si espressero contro tale pratica, considerata illecita in quanto il diritto d’autore, essendo relativo ad interessi puramente economici, è subordinato al diritto alla privacy degli utenti.


Oggi ritroviamo la Logistep che continua imperterrita a raccogliere indirizzi Ip in rete, i dati degli utenti che presumibilmente avrebbero commesso degli illeciti. In questo caso, però, una pronuncia di un tribunale elvetico ha considerato legittimo l’operato dell’azienda svizzera, non tanto perché non ritenesse preponderante il diritto alla privacy, quanto piuttosto perché non aveva ritenuto l’indirizzo Ip un dato personale, per cui la sua raccolta era stata considerata ammissibile. L’ente corrispondente al nostro Garante per la privacy ha impugnato tale decisione e il Tribunale Federale Svizzero ha stabilito, invece, che l’indirizzo Ip è un dato personale, per cui la Logistep non può fare la raccolta degli Ip.
La Logistep, dal canto suo, ha ribadito che sposterà la sua sede in altri paesi, dove la raccolta degli Ip è ritenuta lecita, per cui possiamo supporre che ne sentiremo parlare di nuovo.

La vicenda in questione porta alla ribalta l’annosa problematica se gli Ip debbano ritenersi dato personale o meno.
Secondo l’art. 4 del decreto legislativo n. 196 del 2003 (Codice della privacy), un dato personale è “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
È evidente che nella maggior parte dei casi l’indirizzo Ip non è in grado di consentire una identificazione di una persona fisica (non è quindi un dato identificativo), anche in considerazione del fatto che generalmente gli Ip sono dinamici e quindi cambiano ad ogni connessione, ma la norma chiarisce che è dato personale anche una informazione che consente di identificare una persona indirettamente, cioè incrociandola con altri dati, come può essere l’orario di connessione. Tali dati, utilizzati insieme, consentono di identificare una persona fisica accedendo ai dati di log del fornitore di connessione ad internet.
Quindi, secondo una posizione maggioritaria della dottrina e della giurisprudenza, l’indirizzo Ip dovrebbe essere ritenuto dato personale, anche se poi non è affatto detto che esso sia sufficiente per fondare una responsabilità, in quanto esso consente di identificare l’intestatario del contratto di connessione, non certo il responsabile di un reato, o di un illecito civile.
L’indirizzo Ip non è pertanto sufficiente per pervenire ad una condanna di un soggetto per aver scaricato un file illecito, ma occorrono altri elementi al fine di stabilire, eventualmente anche per presunzioni, che sia proprio quel soggetto e non altro, nell’ambito della ristretta cerchia di coloro che hanno accesso a quella connessione internet, ad aver commesso quel reato. In assenza di prove non si può che giungere ad una sentenza di assoluzione, anche conoscendo l’Ip che identifica il computer dal quale è stato scaricato il file illecito. E questo è un principio pacifico per gli addetti ai lavori, cioè la responsabilità penale è personale!

In realtà, il punto non è tanto, o perlomeno non è solo quello della problematica relativa agli indirizzi Ip, se siano da considerare dati personali o meno, quanto piuttosto l’ovvia considerazione che una azienda privata non può mai sostituirsi alla magistratura o alla polizia al fine di verificare chi commette un illecito. Le indagini, infatti, sono appannaggio degli organi a ciò deputati dalla legge, altrimenti si aprirebbe la strada agli abusi.
L’articolo 24 del codice della privacy, infatti, consente l’utilizzo di dati personali per far valere un diritto in sede giudiziaria, ma il dato deve essere già in possesso della parte, mentre non è ammissibile la ricerca di quel dato al fine di portarlo in giudizio.
Ad ulteriore chiarimento, la Corte di Cassazione penale italiana ha anche escluso che possano essere promosse indagini preliminari non basate su una notizia di reato ma al fine di eventualmente acquisirla, come indagini a tappeto e in forma indiscriminata, dirette ad accertare se ipotetici reati siano stati commessi (Cass. Pen. Sezione III, sentenza 26 gennaio 1999 n. 3261).
Insomma, i pirati, coloro che commettono reati in rete, devono essere puniti, ma è inammissibile un controllo di tutti gli utenti al fine di stabilire se qualcuno di essi delinque, e in ogni caso il privato non può svolgere le indagini al posto della magistratura, trattando dati personali degli utenti in violazione delle norme.