HOME

/

DIRITTO

/

PRIVACY 2022

/

L’INDIRIZZO IP È DA CONSIDERARE UN DATO PERSONALE?

L’indirizzo IP è da considerare un dato personale?

L'indirizzo IP, statico o dinamico, è dato personale se consente di identificare la persona ed è quindi soggetto alla Legge sulla privacy

Come la lotta al cyber terrorismo porta a comprimere, solo in parte, le prerogative riconosciute ai cittadini dalla Direttiva 95/46/CE, in materia di protezione dei dati personali.
La Corte di Giustizia europea è stata investita del ricorso promosso da un cittadino tedesco il quale lamentava la circostanza che i suoi indirizzi di protocollo internet venissero registrati e conservati, da parte dei siti internet dei servizi federali tedeschi da lui consultati.
La Corte federale di giustizia tedesca ha portato il caso all’attenzione della Corte di Giustizia europea chiedendo di conoscere se gli indirizzi IP “dinamici” costituiscano anch’essi, per il gestore del sito internet, un dato personale, e godano  quindi anche della tutela prevista per simili dati.
 

L'articolo continua dopo la pubblicità

Per rimanere sempre aggiornato segui il nostro Dossier Privacy e protezione dei dati personali.

Inoltre ti potrebbe interessare il nostro ebook di recente pubblicazione "Commento breve al Regolamento europeo per la privacy".

1) Indirizzi IP statici o dinamici sono da considerare dati personali?

Per chiarire la questione si forniscono al lettore due premesse.
1. Significato di indirizzo Ip
Semplificando, un indirizzo Ip (Internet Protocol) è un indirizzo numerico assegnato ad un  computer ogni volta che questo colleghi ad Internet, sia che utilizzi un modem (USB/ethernet) oppure un router (adsl, hdsl, cdn,...)
Si può dire che è come un numero di telefono che serve al protocollo TCP/IP per instradare i pacchetti e fare in modo che le comunicazioni possano avvenire da e verso destinazioni differenti. Molti abbonamenti Internet per privati offrono un indirizzo IP dinamico che varia ad ogni connessione, mentre in altre tipologie di collegamento alla rete è necessario almeno un indirizzo ip statico che non varia mai, spesso utile ad aziende che dispongono di un proprio server internet (web, mail, ftp, etc..).
Nel caso in questione si parla di indirizzo Ip dinamico che, quindi, cambia a ogni nuova connessione a Internet. A differenza degli Ip statici, gli indirizzi Ip dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Di conseguenza, solo il fornitore di accesso a Internet del cittadino tedesco dispone delle informazioni aggiuntive necessarie per identificarlo.
2. Significato di dato personale
Ai sensi della Direttiva 95/46/CE, art. 2, un dato personale per essere qualificato come tale non è necessario che la informazione a cui fa riferimento consenta di per sé sola di identificare la persona interessata. Al contrario, il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet siano detenute non dal fornitore dei servizi di media online, ma dal fornitore di accesso a Internet di tale utente  non pare idoneo ad escludere che gli indirizzi Ip dinamici registrati da tale fornitore costituiscano dati personali.
Nel caso in esame premesso che gli indirizzi Ip dinamici  possano essere collegati ai nominativi detenuti dai fornitori di accesso ad Internet, permettendo di risalire alla identità della persona, si tratta di stabilire – caso per caso - se ciò non richieda un’attività sproporzionata in termini di risorse economiche e materiali per il titolare che voglia identificar e l’utente.
La legge tedesca
La legge tedesca prevede la possibilità per gli amministratori dei siti Internet governativi di memorizzare i dati relativi agli accessi degli utenti fino al termine della loro sessione di consultazione al fine di contrastare eventuali attacchi informatici e identificare chi li ha perpetrati
Pertanto, in Germania per contrastare la lotta al terrorismo il gestore di servizi online (nel caso in esame parliamo dei servizi federali tedeschi) può rivolgersi all’autorità competente (il fornitore dell’accesso ad Internet), al fine di acquisire le informazioni necessarie ad individuare chi ha avuto accesso al sito,  per avviare un azione penale.
Sulla scorta di quanto premesso, la Corte federale di giustizia tedesca chiede di sapere se il gestore di un sito internet debba avere la possibilità di raccogliere e impiegare ulteriormente i dati personali dei visitatori per garantire il funzionamento generale del suo sito. Per inciso va sottolineato che, ad avviso della dottrina dominante in Germania, tali dati devono essere cancellati alla fine della sessione di consultazione, a meno che non siano richiesti a fini di fatturazione.
 

2) La sentenza della Corte di giustizia europea

La Corte europea ha stabilito che un indirizzo Ip dinamico registrato da un fornitore di servizi di media online (cioè da un gestore di un sito Internet) durante la consultazione del suo sito Internet accessibile al pubblico, non è riferibile ad una persona fisica identificabile,  quindi, di per sé non rappresenta un dato personale, (in quanto, lo si ribadisce, non consente di operare un abbinamento diretto con una determinata persona fisica). Però finisce con il rientrare nel concetto di dato personale se il gestore dispone di mezzi giuridici che gli consentano di fare identificare il visitatore grazie ad informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.
Pertanto, se vengono ottenuti dati aggiuntivi in grado di consentire la identificazione di chi ha acceduto al sito Internet, trattandosi di dati personali trova applicazione la normativa di riferimento (Direttiva  95/46/CE)
La Corte di giustizia, ha, altresì, affermato che la normativa comunitaria in materia di trattamento dei dati personali vieta ad una legge dei singoli Stati membri, in assenza di consenso del visitatore, che un fornitore di servizi di media online possa raccogliere e impiegare i dati personali del visitatore a meno che ciò sia necessario per garantire il funzionamento del servizio oltre che per fini di fatturazione e, comunque, ciò deve avvenire limitatamente alla effettiva durata della sessione di collegamento al sito. A tale riguardo è stato richiamato l’art. 7 della Direttiva n. 95/46/CE il quale indica un elenco tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito e gli Stati membri non possono variare detto elenco.
Sempre la Corte di giustizia europea ha stabilito che i servizi federali tedeschi, che forniscono servizi di media online, potrebbero avere un interesse legittimo a garantire, al di là di una effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti (appunto, per fini di contrasto nella lotta al cyber terrorismo).
I giudici del Lussemburgo, nel rinviare la causa alla competente corte tedesca, hanno stabilito che gli Ip dinamici rientrano nel novero dei dati personali e sono, quindi, soggetti alle tutele introdotte dalla normativa di settore, anche in presenza di esigenze di cyber security e di come essi vadano ad impattare sulle tecniche di pseudonimizzazione, adottate da un titolare del trattamento nel momento in cui volesse rendere non direttamente riconoscibili i dati di un soggetto interessato.

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

PRIVACY 2022 · 27/06/2022 Trattamento dati nell'utilizzo del servizio di Google Analytics

I rischi in capo ai Titolari del trattamento dei dati personali collegati all’utilizzo del servizio di Google Analytics

Trattamento dati nell'utilizzo del servizio di Google Analytics

I rischi in capo ai Titolari del trattamento dei dati personali collegati all’utilizzo del servizio di Google Analytics

Cybersicurezza: le raccomandazioni dell'ANC sui prodotti legati alla Russia

Agenzia Nazionale Cybersicurezza: le raccomandazione della Circolare 4336/2021 sui prodotti legati al territorio russo

Come bloccare le chiamate indesiderate: in arrivo il nuovo Registro delle opposizioni

Pubblicato in Gazzetta Ufficiale il nuovo Dpr sul nuovo Registro pubblico delle opposizioni: dal 31 luglio sarà possibile opporsi al telemarketing selvaggio anche da cellulare

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.