La recente sentenza della Corte di Giustizia europea (caso C-582/14, Patrick Breyer, membro del Partito Pirata, contro la Repubblica Federale tedesca), colma una lacuna importante in materia di protezione dei dati personali.
La Repubblica Federale tedesca raccoglie gli indirizzi IP degli utenti che navigano i suoi siti governativi, e Breyer ha avviato una causa contro la Germania chiedendo che fosse inibita tale raccolta in considerazione del fatto che l'indirizzo IP (Internet Protocol) deve ritenersi un dato personale. Di conseguenza, secondo Breyer, occorre il consenso dell’utente per raccogliere e conservare l’IP.
La Germania si è difesa sostenendo che la raccolta dei dati (cioè nome del dominio, termini di ricerca, data e ora della sessione, volume di dati trasferiti e indirizzo IP del computer da cui è partita la richiesta di accesso) avviene con l’obiettivo di prevenire attacchi informatici e perseguire eventuali aggressori. Anche dopo l’accesso, tali informazioni sono conservate nei file di log.
È da notare che la normativa tedesca (Telemedia Act, sezione 15) non ammette tra le varie eccezioni quella relativa alla sicurezza del sito, per cui risulta più restrittiva rispetto alla Direttiva europea in materia
La Corte tedesca concorda col fatto che l’IP è un dato personale, sostenendo però che solo il provider può identificare l’utente, e non il gestore del sito. Data l’importanza della questione, e considerando l’incertezza in materia, la decisione è stata rinviata alla Corte di Giustizia europea.
Il caso Breyer va ben oltre le precedenti pronunce, infatti nel 2011 già la Corte si pronunciò (Scarlet contro Sabam, caso C-70/10). Nel caso Scarlet la questione era, però, diversa, in quanto si dibatteva sull’identificazione di un utente nel contesto delle violazioni del copyright, e la Corte concluse che l’indirizzo IP raccolto e conservato da un provider è dato personale in quanto permette l’identificazione dell’utente. E questo in contrasto con quanto stabilito dalla High Court irlandese nel 2010, nella causa EMI Records & Ors contro Eircom Ltd, la quale sentenziò che gli indirizzi IP raccolti a fini di contrasto al copyright non costituiscono dati personali.
Nella decisione del 19 ottobre la Corte ha ricordato che, secondo la Direttiva 95/46/CE, un dato personale è qualsiasi informazione concernente una persona fisica identificata o identificabile (art. 2 lett a). Un indirizzo IP dinamico non identifica una persona fisica, ma appunto consente l'identificabilità dell’individuo tramite l’incrocio con ulteriori informazioni. In particolare occorre tenere in conto “l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona” (Considerando 26), anche eventualmente rivolgendosi ad un terzo, quindi. Nel caso specifico il terzo è il provider che, appunto, raccoglie nei log dati sufficienti per l’identificabilità dell’utente.
Sotto questo profilo, conclude la Corte, l’indirizzo IP dinamico deve ritenersi comunque dato personale in quanto permette l’identificabilità dell’utente (intestatario del contratto di accesso) attraverso l’incrocio con i dati raccolti dal provider.
Però, la Corte aggiunge che la normativa in materia di protezione dei dati personali regolamenta la libera circolazione dei dati personali e tutela la privacy. In tale quadro sovviene l’art. 7 della Direttiva, che al punto f) statuisce:
“Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando: ...
f) è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1”.
Quindi, gli operatori di un sito web sono ammessi a trattare i dati personali per i loro interessi legittimi, nel caso specifico per scopi di protezione della rete e del sito web (e quindi di ricerca dei responsabili di attacchi informatici).
In conclusione, anche se l’indirizzo IP dinamico è un dato personale, i gestori dei siti web sono comunque autorizzati al trattamento degli stessi in assenza di un consenso, per motivi di sicurezza.
Ovviamente deve intendersi che la raccolta degli IP non è ammessa per fini diversi, quali ad esempio il contrasto alle violazioni del copyright, non rientrando nei legittimi interessi.
Ricordiamo che il nuovo Regolamento generale in materia di protezione dei dati personali (GDPR) riconosce espressamente che gli identificatori online sono dati personali. Il termine identificatori online non è definito nel Regolamento, ma è pacificamente inteso come comprendente i cookie e gli indirizzi IP.
