Giustizia europea: l’IP dinamico è un dato personale

Con una recente pronuncia, i Giudici di Lussemburgo hanno equiparato l’IP dinamico a un dato personale. Nella stessa sentenza viene fissata la possibilità di conservazione dell’indirizzo IP per contrastare cyber attacchi

di Martina Zaralli
su Twitter @Mart_Zeta

Se c’è in gioco un interesse legittimo del responsabile del trattamento dei dati, come ad esempio il contrasto a cyber attacchi, è possibile conservare gli IP dinamici degli utenti che accedono a siti pubblici  (di servizi dello Stato): un principio che non contrasta con la tutela della privacy e che viene messo nero su bianco con la sentenza della Corte di Giustizia Europea, causa C – 582/14, depositata il 19 ottobre scorso.

Prima di addentrarci nell’iter giurisprudenziale, dobbiamo munirci di un glossario. Innanzitutto, ogni dispositivo per navigare in Internet deve essere universalmente identificato con un numero particolare (generalmente di 12 cifre): l’indirizzo IP. Questo è dinamico quando la sequenza di cifre cambia a ogni accesso.  Il responsabile del trattamento invece è la persona fisica o giuridica, l’autorità pubblica o qualsiasi altro organismo che, da solo o insieme ad altri,  determina le finalità e gli strumenti del trattamento dei dati personali.

Ora ci spostiamo in Germania.

Tutto inizia con un ricorso promosso da Patrick Breyer (leader regionale del Partito Pirata tedesco) che lamenta l’ingiusta conservazione del suo indirizzo IP in un registro, tenuto dalle autorità nazionali, per il monitoraggio dei siti di servizi federali tedeschi. Ai giudici amministrativi viene chiesto di inibirne la conservazione qualora non fosse necessaria.

In primo e secondo grado, la soluzione al caso non è univoca. La Corte Federale tedesca rivolge dunque due questioni interpretative ai Giudici di Lussemburgo: l’assimilabilità dell’IP dinamico al dato personale, la possibilità per il gestore del sito alla raccolta e utilizzo delle informazioni personali per garantire il corretto e lecito funzionamento del sito.

La Corte di Giustizia Europea si è pronunciata in via pregiudiziale sull’interpretazione degli articoli 2 e 7 della Direttiva 95/46/CE (Direttiva relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).

In particolare le disposizioni che qui interessano sono: l’articolo 2 che riporta le definizioni di dato personale, trattamento, archivio di dati personali, responsabile e incaricato del trattamento, terzo, destinatario e consenso della persona interessata, e l’articolo 7 che apre la sezione dedicata ai “Principi relativi alla legittimazione del trattamento dei dati”.

Passaggio fondamentale della sentenza è il riconoscimento degli indirizzi IP come dati personali protetti in quanto consentono di identificare chi sta eseguendo l’accesso ad un determinato sito. Ciò vale anche per quelli dinamici sebbene, per la loro natura, non rilevano in modo diretto l’identità del proprietario del dispositivo: possono comunque costituire un dato personale se insieme ad altri elementi, estrapolati con mezzi giuridici, rendono possibile identificare la persona (anche quando i dati sono detenuti dal fornitore di accesso a internet).

L’IP dinamico è dunque, in alcuni casi, l’unica possibilità identificativa dell’utente (ad esempio quando non viene comunicato il nome): è un dato personale e come tale ricompreso nelle norme Direttiva 95/46/CE.

Ciò specificato, sul fronte della conservazione, i Giudici di Lussemburgo ribadiscono che l’articolo 7 ben si applica al caso di specie: nell’elenco esaustivo della disposizione rientra “il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi a cui vengono comunicati i dati a condizione che non prevalgano l’interesse o i diritti o le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1”.

Le implicazione per il fornitori di accesso ad internet saranno molteplici e di interesse per gli studiosi della materia. La sicurezza nazionale prevale sulla tutela del comportamento degli utenti: un principio forse evidente per molti ma che lascia Patrick Breyer non poco perplesso tanto da auspicare una legge che colmi le lacune in materia di dati personali prima possibile.