Con la sentenza del 19 ottobre 2016, relativa alla causa C-582/14 Patrick Breyer / Bundesrepublik Deutschland, la Corte di Giustizia dell’Unione Europea ha stabilito che l’indirizzo di protocollo Internet dinamico costituisce un dato personale qualora il gestore del sito web visitato disponga di mezzi giuridici idonei a far identificare il visitatore.
IL FATTO:
Una piccola premessa: gli indirizzi IP sono delle sequenze numeriche assegnate a computer collegati a Internet per consentire la comunicazione tra i medesimi attraverso tale rete. A differenza degli indirizzi IP statici, che sono invariabili e permettono l’identificazione permanente del dispositivo, costituendo a tutti gli effetti un dato personale, gli indirizzi IP dinamici vengono assegnati ad ogni connessione e sostituiti in caso di successive connessioni, non consentendo, di per sé soli, di associare un certo computer al collegamento fisico alla rete utilizzata dal fornitore di accesso a internet.
La questione che ha condotto alla pronuncia in esame si è sviluppata interamente in Germania ed ha avuto origine dalla richiesta del Sig. Breyer, presentata avanti ai giudici amministrativi tedeschi, di inibire – in assenza di qualsiasi forma di consenso – la possibilità per la Repubblica federale di Germania di raccogliere e conservare gli indirizzi IP dei visitatori dei siti internet relativi ai servizi federali tedeschi.
La controversia era poi giunta all’attenzione della Corte federale di Giustizia (Bundesgerichtshof), la quale si era dunque rivolta alla Corte di Giustizia dell’Unione Europea per chiarire le seguenti questioni:
Con riguardo alla prima questione posta all’attenzione della Corte, questa ha chiarito che, ai sensi dell’art. 2, lett. a) della Direttiva 95/46, per qualificare un’informazione come dato personale non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata, con la conseguenza che non rileva a tal fine il fatto che le informazioni aggiuntive necessarie per identificare l’utente siano detenute da un soggetto terzo rispetto al gestore del sito web, ovverosia dal fornitore di accesso ad internet del visitatore. Alla luce del Considerando n. 26 della suddetta direttiva e della normativa tedesca in materia, la CGUE ha stabilito che un indirizzo IP dinamico che venga registrato dal gestore del sito web durante la consultazione di questo costituisce, nei confronti del gestore, un dato personale ogniqualvolta esso disponga di mezzi giuridici che gli consentano di far identificare il visitatore, anche grazie alle informazioni aggiuntive di cui dispone il fornitore di accesso a Internet di quest’ultimo.
Con riguardo invece alla seconda questione, considerato che l’art. 7, lett. f) della Direttiva 95/46 stabilisce che è possibile per un fornitore di servizi di media online raccogliere ed impiegare dati personali degli utenti, in mancanza di espresso consenso, qualora ciò risulti necessario “per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata”, la Corte ha ritenuto che, nel caso di specie, la necessità di proteggere i siti relativi ai servizi federali da eventuali attacchi informatici configuri un interesse legittimo del gestore dei siti, connesso al fine di garantire la continuità del funzionamento di questi.
PERCHÉ È IMPORTANTE:
Si tratta di un provvedimento rilevante in materia di protezione della privacy dei cittadini dell’Unione Europea, poiché, espandendo la tutela offerta dalla Direttiva 95/46, per la prima volta qualifica come dato personale l’indirizzo IP dinamico, a nulla rilevando che mediante tale informazione sarebbe impossibile risalire all’identità dell’utilizzatore del sito web se non incrociando il dato raccolto con informazioni aggiuntive in possesso di una terza persona (in particolar modo, del fornitore di accesso ad internet).
La CGUE chiarisce infine che l’art. 7, lettera f), della Direttiva 95/46 non permette alla normativa interna di uno Stato membro di escludere in modo categorico e generalizzato la possibilità che talune categorie di dati personali siano oggetto di trattamento, senza consentire la ponderazione dei diritti e degli interessi contrapposti in gioco.
No Comments