Anche l’indirizzo IP dinamico è un dato personale, sebbene a determinate condizioni: lo ha sancito, come sappiamo, la Corte di Giustizia dell’Unione Europea nella sentenza Breyer (C-582/14) del 2016 che è ancora oggi pienamente valida.
È bene, dunque, tornare su questo importante argomento anche per integrare questa stessa sentenza con l’odierna disciplina in materia di protezione dei dati personali.
Indice degli argomenti
IP dinamico: la lettura del GDPR
Ai sensi dell’art. 4 GDPR, può definirsi dato personale “qualsiasi informazioni riguardante una persona fisica identificata e identificabile”, sia direttamente che indirettamente, “con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale”.
All’interno del considerando 30, il GDPR si occupa di meglio definire cosa debba intendersi per “identificativo online”, andando a ricomprendere all’interno di detta categoria di informazioni tutti quegli identificativi “prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP” o i cookies.
Vi sono, tuttavia, diverse tipologie di indirizzi IP: proprio sulla classificazione di dette categorie di indirizzi come dato personale o meno, nel corso degli anni si sono susseguite diverse pronunce, una fra tutte proprio la pronuncia della Corte di Giustizia dell’Unione Europea (CGUE) resa nella causa C-582/14 che affronta la questione affermando dei principi in diritto pienamente validi anche alla luce dell’odierno testo normativo europeo.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
IP statico o dinamico: le differenze
Al fine di poter meglio comprendere il contenuto della sentenza emessa dalla CGUE, si ritiene opportuno fare un passo indietro e svolgere una disamina di cosa si intenda per indirizzo IP: l’Internet Protocol Address non è altro che un indirizzo di natura numerica che viene assegnato a un dispositivo nel momento in cui si effettua l’accesso a Internet, ed è una componente essenziale dell’odierno protocollo di trasmissione dei dati TCP/IP. In caso di consultazione di un sito Internet, l’indirizzo IP del computer che effettua l’accesso è trasmesso al server che ospita il sito consultato. Tale comunicazione è necessaria per inviare i dati richiesti al corretto destinatario.
Per poter trasmettere correttamente un pacchetto di dati, all’interno dell’indirizzo IP devono essere indicate una serie di informazioni, ossia la rete sulla quale il pacchetto sarà trasferito ed il dispositivo di destinazione. Da dette informazioni, seppur di per sé piuttosto scarne, è possibile determinare comunque una serie di ulteriori dati, come l’identità del provider Internet, la posizione (seppur in modo non particolarmente preciso) e le attività condotte sul sito. È evidente, dunque, il motivo per il quale l’indirizzo IP viene inserito, all’interno del GDPR, tra quelle informazioni potenzialmente in grado di identificare uno specifico soggetto, contenendo in sé dati che necessitano di adeguata protezione, relativi anche alle abitudini dell’utente.
L’indirizzo IP può essere di due tipologie: statico (ossia, che non muta mai nel corso della connessione) o dinamico (soggetto, dunque, a variazioni ad ogni nuova connessione a Internet). A differenza dell’IP statico, l’IP dinamico non consente di risalire direttamente all’interessato che ne fa uso, rendendosi necessario utilizzare file non accessibili al pubblico: proprio da detta caratteristica, è nata la discussione intorno alla possibilità di far rientrare anche detti indirizzi all’interno della più ampia definizione di dati personali.
Il caso Breyer: le premesse in fatto
La questione di cui si discute nel presente articolo nasce da una controversia instauratasi tra Patrick Breyer, cittadino tedesco, e la Repubblica Federale di Germania, avente ad oggetto l’illecito trattamento dei dati personali del ricorrente e, più nello specifico, l’indebita raccolta e conservazione del suo indirizzo IP sul sito governativo.
Più nello specifico, il Sig. Breyer chiedeva che fosse inibito alla Repubblica federale di Germania “di conservare o far conservare da terzi, al termine delle sessioni di consultazione dei siti accessibili al pubblico di media online dei servizi federali tedeschi, l’indirizzo IP del nodo ospite del sig. Breyer, qualora tale conservazione non sia necessaria, in caso di guasto, al ripristino della diffusione di detti media”.
Occorre premettere che la legge sui media online tedesca, nota anche come “Telemediengesetz”, disponeva che il fornitore di servizi potesse raccogliere e impiegare i dati personali ove sia permesso dalla legge, o per la persecuzione di finalità connesse alla fornitura del servizio, come la fatturazione. Si trattava, dunque, di una normativa particolarmente restrittiva, rispetto al contenuto della Direttiva 95/46.
Nel caso di specie il Sig. Breyer lamentava, dunque, che seppure il suo IP fosse di natura dinamica e dunque non direttamente riconducibile alla sua persona, avrebbe potuto comunque essere utilizzato come elemento utile per poterlo identificare, nel caso in cui fosse stata avanzata dall’autorità giudiziaria specifica richiesta di accesso ai dati di traffico detenuti dall’internet service provider.
Inizialmente respinta in primo grado, la richiesta del Sig. Breyer trovava poi accoglimento in appello: il giudice, in particolare, affermava che “un indirizzo IP dinamico, associato alla data della sessione di consultazione alla quale esso si riferisce, costituisce, nel caso in cui l’utente del sito Internet considerato abbia rivelato la propria identità durante tale sessione, un dato personale, poiché l’operatore di detto sito può identificare tale utente incrociando il suo nome con l’indirizzo IP del suo computer”. In detto caso, dunque, la Repubblica Federale di Germania dovrebbe astenersi dal conservare gli indirizzi IP.
Tuttavia, il medesimo indirizzo IP non poteva essere qualificato come dato personale in altre ipotesi, ossia nel caso in cui l’utente non indichi la propria identità durante una sessione di consultazione, e sia dunque possibile solo per il fornitore dell’accesso a Internet ricollegare l’indirizzo IP ad uno specifico abbonato. Per contro, si legge, “tra le mani della Repubblica federale di Germania, nella sua qualità di fornitore di servizi di media online, l’indirizzo IP non sarebbe un dato personale, neppure se associato alla data della sessione di consultazione alla quale esso si riferisce, dato che l’utente dei siti Internet considerati non sarebbe identificabile da parte di tale Stato membro”.
Ne consegue, dunque, che la natura “personale” dell’indirizzo IP sia ricollegata alla possibilità di identificare l’utente mediante la combinazione dell’indirizzo IP dinamico con altri dati sempre conservati nel file di registro, che possano effettivamente identificarlo.
La causa veniva poi rimessa al Bundesgerichtshof (Corte federale di giustizia), il quale sospendeva il procedimento e sottoponeva alla CGUE due questioni di natura pregiudiziale, una delle quali relativa proprio alla possibilità di interpretare la direttiva 95/46 nel senso che “un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione qualora solamente un terzo, segnatamente il fornitore di accesso a Internet della suddetta persona, disponga delle informazioni necessarie a identificarla”.
La sentenza della CGUE
Rispondendo al quesito posto dalla Corte federale di Giustizia, i giudici della CGUE affermavano che, ai sensi di quanto contenuto nella Direttiva 95/46, affinché possa parlarsi di dati personali non è necessario che l’identificazione possa avvenire in via diretta, potendo rientrare in detta definizione anche tutti quei dati che necessitano dell’acquisizione di informazioni da parti terze. “Il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet siano detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso a Internet di tale utente non pare quindi idoneo a escludere che gli indirizzi IP dinamici registrati dal fornitore di servizi di media online costituiscano, per quest’ultimo, dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46”.
Nel caso di specie, tuttavia, trattandosi di IP dinamico si rendeva necessario svolgere ulteriori precisazioni, al fine di determinare se la combinazione di detto IP con le informazioni aggiuntive detenute dal fornitore di accesso a Internet costituisca effettivamente un mezzo che “può essere ragionevolmente utilizzato per identificare la persona interessata”.
Relativamente a detta questione, la Corte di Giustizia Europea risponde positivamente, precisando che l’articolo 2 lett. a della Direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico, “registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone”.
L’indirizzo IP dinamico, dunque, è qualificabile come dato personale, ma solo a determinate condizioni (giuridiche, nel caso di specie), non potendo di per sé stesso permettere l’identificazione di uno specifico utente.
La Corte precisava altresì, in risposta alla seconda questione pregiudiziale sollevata, che la legge tedesca sui media online appariva eccessivamente restrittiva, permettendo il trattamento dei dati dell’utente esclusivamente nel caso in cui sia fornito espresso consenso o sia necessario per consentire la fruizione dei servizi e la fatturazione degli stessi. Nulla si diceva, infatti, circa la possibilità del fornitore dei servizi di media online di trattare i dati personali anche per il perseguimento di interessi legittimi, tra cui la necessità di garantire la continuità del funzionamento dei siti anche al termine della consultazione da parte dell’utente o, appunto, il contrasto e il tracciamento di eventuali attacchi informatici.
Conclusioni
Quanto statuito dalla Corte di Giustizia Europea nella causa C-582/14, come detto in premessa, assume piena validità ancora oggi, essendo i principi di diritto contenuti nella sentenza Breyer confluiti anche all’interno del GDPR, il quale fa propri e rimarca i concetti di identificazione indiretta dell’interessato e di persecuzione dell’interesse legittimo.
Pertanto, anche nella vigenza del GDPR, si potrà definire l’IP dinamico come dato personale al ricorrere delle condizioni indicate dalla sentenza della CGUE.
