Corte UE: conservazione dati personali da provider di siti web

Corte UE: i provider di siti web possono conservare i dati personali degli utenti per difendersi dai pirati informatici.

Corte di Giustizia Europea, Seconda Sezione, Causa C- 582/14 (16 ottobre 2016). Un indirizzo IP dinamico non costituisce un’informazione riferita a una «persona fisica identificata», dal momento che un indirizzo siffatto non rivela direttamente l’identità della persona fisica proprietaria del computer a partire dal quale avviene la consultazione di un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer.

È ben noto agli esperti che gli indirizzi IP sono sequenze numeriche assegnate a computer collegati a Internet al fine di consentire la comunicazione tra i medesimi attraverso tale rete. In caso di consultazione di un sito Internet, l’indirizzo IP del computer che effettua l’accesso è trasmesso al server che ospita il sito consultato.

Tale comunicazione è necessaria per inviare i dati richiesti al corretto destinatario.

Ma qual è la tutela per il privato cittadino che faccia uso di tali strumenti?  E quali sono, in particolare, le garanzie a tutela della sua privacy?

La Corte di giustizia europea ha respinto il ricorso di Patrick Breyer, leader regionale del Partito Pirata tedesco, che aveva sostenuto la tesi per cui la registrazione degli indirizzi IP rappresenta una violazione delle normative sulla protezione dei dati personali.

A tal proposito la Ue ha stabilito che gli internet provider possono conservare i dati personali degli utenti per difendersi da attacchi informatici.

La vicenda.

Il sig. Breyer aveva fatto appello ai giudici amministrativi tedeschi chiedendo che fosse inibito alla Repubblica federale tedesca di conservare o far conservare a terzi, al termine delle sessioni di consultazione dei siti accessibili al pubblico di media online dei servizi federali, gli indirizzi IP relativi alla propria utenza qualora tale conservazione non fosse stata necessaria, in caso di guasto, al ripristino della diffusione di detti media.

Rigettata in primo grado e parzialmente accolta in secondo grado, la questione veniva sottoposta al vaglio del Bundesgerichtshof (la Corte federale di giustizia), che, a sua volta si rivolgeva alla Corte di Giustizia europea, in via di ricorso pregiudiziale, nei seguenti termini:

«Se l’articolo 2, lettera a), della direttiva 95/46 debba essere interpretato nel senso che un indirizzo IP memorizzato da un fornitore di servizi [di media online] in relazione ad un accesso al suo sito Internet costituisce per quest’ultimo un dato personale qualora sia un terzo (nel caso di specie: un fornitore di accesso) a disporre delle informazioni aggiuntive necessarie ai fini dell’identificazione della persona interessata (…)».

Invero, già il giudice dell’appello aveva accolto (seppure parzialmente) il ricorso proposto dal sig. Breyer, sull’assunto che un indirizzo IP dinamico, associato alla data della sessione di consultazione alla quale esso si riferisce, costituisce dato personale, nel caso in cui l’utente del sito Internet, avesse rivelato la propria identità durante tale sessione, incrociando il suo nome con l’indirizzo IP del suo computer.

Diverso, invece è il caso in cui l’utente, non abbia indicato la propria identità durante la sessione di consultazione; poiché in quest’ultima ipotesi, soltanto il fornitore di accesso a Internet sarebbe in grado di ricollegare l’indirizzo IP ad un abbonato identificato, e non anche il fornitore di servizi di media online (in questo caso la Repubblica federale tedesca).

A giudizio di quest’ultimo giudice, dunque, la qualificazione degli indirizzi IP come dati «personali» dipenderebbe dalla possibilità o meno di identificare l’utente. 

Di talché la questione sarebbe, piuttosto, quella di individuare il criterio «oggettivo» o «relativo», in base al quale stabilire se una persona sia “identificabile”. Applicando un criterio «oggettivo», infatti, dati come gli indirizzi IP potrebbero essere considerati dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, in questo caso, sarebbe il fornitore di accesso a Internet. Secondo, invece, un criterio «relativo», questi dati potrebbero essere qualificati come dati personali solo in relazione ad un particolare soggetto, come il fornitore di accesso a Internet, in grado di risalire alla precisa identificazione dell’utente. Di contro, non potrebbero essere considerati dati personali nei confronti di altri organismi, come i gestori di siti Internet, dato che questi non disporrebbero delle informazioni necessarie all’identificazione senza ricorrere a fonti esterne, tranne nel caso in cui l’utente non abbia rivelato la propria identità nel corso della navigazione.

La questione pregiudiziale:

La questione posta dal giudice del rinvio tedesco muove dalla duplice considerazione per cui, se da un lato, i dati consistenti in un indirizzo IP, la data e l’ora della sessione di consultazione di un sito Internet, seppure registrati non offrirebbero di per sé, la possibilità al fornitore di tali servizi di media online, di identificare l’utente, è pur vero, dall’altro lato, che quest’ultimo potrebbe essere comunque in grado di identificarlo, combinando quelle informazioni aggiuntive di cui dispone con l’indirizzo IP medesimo.

In quest’ultimo caso, deve trattarsi, – affermano i giudici della Corte europea – di veri e propri “dati personali” ai sensi dell’articolo 2, lett. a) della direttiva 95/46 (secondo il quale per «dato personale» deve intendersi «qualsiasi informazione concernente una persona fisica identificata o identificabile, ossia che può essere individuata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale).

Secondo la Corte europea, il fatto che le informazioni aggiuntive necessarie per identificare gli utenti non siano detenute direttamente dai gestori dei siti, ma dal fornitore di accesso a Internet, non pare essere sufficiente ad escludere che gli indirizzi IP dinamici possano essere considerati dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46.

Occorre, piuttosto, stabilire se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet costituisca un mezzo accessibile ai gestori di siti. Un’eventualità che non sarebbe ipotizzabile se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile.

Ancora una volta, dunque, la questione pare risolversi nella necessità di trovare un “giusto” equilibrio tra la libera circolazione dei dati personali, e la tutela della vita privata! 

Ma in questo caso, la vicenda è assai più complessa e vede coinvolti interessi superiori, quali l’interesse legittimo degli stati membri di tutelare i propri siti internet da attacchi di «pirati informatici», e garantirne la continuità nel loro funzionamento. Interessi questi ultimi, che consentirebbero di degradare la tutela della privacy e il diritto alla protezione dei dati personali, a tutto vantaggio dei primi.

Segui e condividi i nostri contenuti anche sui social network...