L’indirizzo IP è da considerare un dato personale?

Come la lotta al cyber terrorismo porta a comprimere, solo in parte, le prerogative riconosciute ai cittadini dalla Direttiva 95/46/CE, in materia di protezione dei dati personali.
La Corte di Giustizia europea è stata investita del ricorso promosso da un cittadino tedesco il quale lamentava la circostanza che i suoi indirizzi di protocollo internet venissero registrati e conservati, da parte dei siti internet dei servizi federali tedeschi da lui consultati.
La Corte federale di giustizia tedesca ha portato il caso all’attenzione della Corte di Giustizia europea chiedendo di conoscere se gli indirizzi IP “dinamici” costituiscano anch’essi, per il gestore del sito internet, un dato personale, e godano  quindi anche della tutela prevista per simili dati.
 

1) Indirizzi IP statici o dinamici sono da considerare dati personali?

Per chiarire la questione si forniscono al lettore due premesse.
1. Significato di indirizzo Ip
Semplificando, un indirizzo Ip (Internet Protocol) è un indirizzo numerico assegnato ad un  computer ogni volta che questo colleghi ad Internet, sia che utilizzi un modem (USB/ethernet) oppure un router (adsl, hdsl, cdn,...)
Si può dire che è come un numero di telefono che serve al protocollo TCP/IP per instradare i pacchetti e fare in modo che le comunicazioni possano avvenire da e verso destinazioni differenti. Molti abbonamenti Internet per privati offrono un indirizzo IP dinamico che varia ad ogni connessione, mentre in altre tipologie di collegamento alla rete è necessario almeno un indirizzo ip statico che non varia mai, spesso utile ad aziende che dispongono di un proprio server internet (web, mail, ftp, etc..).
Nel caso in questione si parla di indirizzo Ip dinamico che, quindi, cambia a ogni nuova connessione a Internet. A differenza degli Ip statici, gli indirizzi Ip dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Di conseguenza, solo il fornitore di accesso a Internet del cittadino tedesco dispone delle informazioni aggiuntive necessarie per identificarlo.
2. Significato di dato personale
Ai sensi della Direttiva 95/46/CE, art. 2, un dato personale per essere qualificato come tale non è necessario che la informazione a cui fa riferimento consenta di per sé sola di identificare la persona interessata. Al contrario, il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet siano detenute non dal fornitore dei servizi di media online, ma dal fornitore di accesso a Internet di tale utente  non pare idoneo ad escludere che gli indirizzi Ip dinamici registrati da tale fornitore costituiscano dati personali.
Nel caso in esame premesso che gli indirizzi Ip dinamici  possano essere collegati ai nominativi detenuti dai fornitori di accesso ad Internet, permettendo di risalire alla identità della persona, si tratta di stabilire – caso per caso - se ciò non richieda un’attività sproporzionata in termini di risorse economiche e materiali per il titolare che voglia identificar e l’utente.
La legge tedesca
La legge tedesca prevede la possibilità per gli amministratori dei siti Internet governativi di memorizzare i dati relativi agli accessi degli utenti fino al termine della loro sessione di consultazione al fine di contrastare eventuali attacchi informatici e identificare chi li ha perpetrati
Pertanto, in Germania per contrastare la lotta al terrorismo il gestore di servizi online (nel caso in esame parliamo dei servizi federali tedeschi) può rivolgersi all’autorità competente (il fornitore dell’accesso ad Internet), al fine di acquisire le informazioni necessarie ad individuare chi ha avuto accesso al sito,  per avviare un azione penale.
Sulla scorta di quanto premesso, la Corte federale di giustizia tedesca chiede di sapere se il gestore di un sito internet debba avere la possibilità di raccogliere e impiegare ulteriormente i dati personali dei visitatori per garantire il funzionamento generale del suo sito. Per inciso va sottolineato che, ad avviso della dottrina dominante in Germania, tali dati devono essere cancellati alla fine della sessione di consultazione, a meno che non siano richiesti a fini di fatturazione.
 

2) La sentenza della Corte di giustizia europea

La Corte europea ha stabilito che un indirizzo Ip dinamico registrato da un fornitore di servizi di media online (cioè da un gestore di un sito Internet) durante la consultazione del suo sito Internet accessibile al pubblico, non è riferibile ad una persona fisica identificabile,  quindi, di per sé non rappresenta un dato personale, (in quanto, lo si ribadisce, non consente di operare un abbinamento diretto con una determinata persona fisica). Però finisce con il rientrare nel concetto di dato personale se il gestore dispone di mezzi giuridici che gli consentano di fare identificare il visitatore grazie ad informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.
Pertanto, se vengono ottenuti dati aggiuntivi in grado di consentire la identificazione di chi ha acceduto al sito Internet, trattandosi di dati personali trova applicazione la normativa di riferimento (Direttiva  95/46/CE)
La Corte di giustizia, ha, altresì, affermato che la normativa comunitaria in materia di trattamento dei dati personali vieta ad una legge dei singoli Stati membri, in assenza di consenso del visitatore, che un fornitore di servizi di media online possa raccogliere e impiegare i dati personali del visitatore a meno che ciò sia necessario per garantire il funzionamento del servizio oltre che per fini di fatturazione e, comunque, ciò deve avvenire limitatamente alla effettiva durata della sessione di collegamento al sito. A tale riguardo è stato richiamato l’art. 7 della Direttiva n. 95/46/CE il quale indica un elenco tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito e gli Stati membri non possono variare detto elenco.
Sempre la Corte di giustizia europea ha stabilito che i servizi federali tedeschi, che forniscono servizi di media online, potrebbero avere un interesse legittimo a garantire, al di là di una effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti (appunto, per fini di contrasto nella lotta al cyber terrorismo).
I giudici del Lussemburgo, nel rinviare la causa alla competente corte tedesca, hanno stabilito che gli Ip dinamici rientrano nel novero dei dati personali e sono, quindi, soggetti alle tutele introdotte dalla normativa di settore, anche in presenza di esigenze di cyber security e di come essi vadano ad impattare sulle tecniche di pseudonimizzazione, adottate da un titolare del trattamento nel momento in cui volesse rendere non direttamente riconoscibili i dati di un soggetto interessato.