L’indirizzo IP è un dato personale

Vediamo innanzitutto cos’è un “indirizzo IP”.

Semplificando, un indirizzo Ip (Internet Protocol) è un indirizzo numerico assegnato ad un computer ogni volta che questo colleghi ad Internet, sia che utilizzi un modem oppure un router.
Si può dire che è come un numero di telefono che serve al protocollo TCP/IP per instradare i pacchetti e fare in modo che le comunicazioni possano avvenire da e verso destinazioni differenti. Molti abbonamenti Internet per privati offrono un indirizzo IP dinamico che varia ad ogni connessione, mentre in altre tipologie di collegamento alla rete è necessario almeno un indirizzo ip statico che non varia mai, spesso utile ad aziende che dispongono di un proprio server internet.
Nel caso di privati, quindi, normalmente si parla di indirizzo Ip dinamico che cambia a ogni nuova connessione a Internet. A differenza degli Ip statici, gli indirizzi Ip dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Di conseguenza, solo il fornitore di accesso a Internet dispone delle informazioni aggiuntive necessarie per identificarlo.

Ora il caso che ci interessa.

La Corte di Giustizia europea è stata investita (2016) del ricorso promosso da un cittadino tedesco il quale lamentava la circostanza che i suoi indirizzi di protocollo internet venissero registrati e conservati, da parte dei siti internet dei servizi federali tedeschi da lui consultati.
La Corte federale di giustizia tedesca ha portato il caso all’attenzione della Corte di Giustizia europea chiedendo di conoscere se gli indirizzi IP “dinamici” costituiscano anch’essi, per il gestore del sito internet, un dato personale, e godano quindi anche della tutela prevista per simili dati.

La Corte europea ha stabilito che un indirizzo Ip dinamico registrato da un fornitore di servizi di media online (cioè da un gestore di un sito Internet) durante la consultazione del suo sito Internet accessibile al pubblico, non è riferibile ad una persona fisica identificabile, quindi, di per sé non rappresenta un dato personale, (in quanto, lo si ribadisce, non consente di operare un abbinamento diretto con una determinata persona fisica).

Però finisce con il rientrare nel concetto di dato personale se il gestore dispone di mezzi giuridici che gli consentano di fare identificare il visitatore grazie ad informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.

Pertanto, se vengono ottenuti dati aggiuntivi in grado di consentire la identificazione di chi ha acceduto al sito Internet, trattandosi di dati personali ha trovato applicazione la normativa di riferimento (Direttiva 95/46/CE).

La Corte di giustizia, ha, altresì, affermato che la normativa comunitaria in materia di trattamento dei dati personali vieta ad una legge dei singoli Stati membri, in assenza di consenso del visitatore, che un fornitore di servizi di media online possa raccogliere e impiegare i dati personali del visitatore a meno che ciò sia necessario per garantire il funzionamento del servizio oltre che per fini di fatturazione e, comunque, ciò deve avvenire limitatamente alla effettiva durata della sessione di collegamento al sito.

A tale riguardo è stato richiamato l’art. 7 della Direttiva n. 95/46/CE il quale indica un elenco tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito e gli Stati membri non possono variare detto elenco.
Sempre la Corte di giustizia europea ha stabilito che i servizi federali tedeschi, che forniscono servizi di media online, potrebbero avere un interesse legittimo a garantire, al di là di una effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti (appunto, per fini di contrasto nella lotta al cyber  terrorismo).

I giudici del Lussemburgo, nel rinviare la causa alla competente corte tedesca, hanno stabilito che gli Ip dinamici rientrano nel novero dei dati personali e sono, quindi, soggetti alle tutele introdotte dalla normativa di settore, anche in presenza di esigenze di cyber security e di come essi vadano ad impattare sulle tecniche di pseudonimizzazione, adottate da un titolare del trattamento nel momento in cui volesse rendere non direttamente riconoscibili i dati di un soggetto interessato.

In conclusione, anche se l’indirizzo IP dinamico è un dato personale, i gestori dei siti web sono comunque autorizzati al trattamento degli stessi in assenza di un consenso, per motivi di sicurezza.

Ovviamente deve intendersi che la raccolta degli IP non è ammessa per fini diversi, quali ad esempio il contrasto alle violazioni del copyright, non rientrando nei legittimi interessi.

Ricordiamo che il nuovo Regolamento generale in materia di protezione dei dati personali (GDPR) riconosce espressamente che gli identificatori online sono dati personali. Il termine identificatori online non è definito nel Regolamento, ma è pacificamente inteso come comprendente i cookie e gli indirizzi IP.

Riflessione:
La sentenza è vecchia ma ancora attuale. In questo momento occorre fare riferimento al regolamento europeo. L’indirizzo IP è dato identificativo ed ovviamente a seconda del trattamento che si fa del dato IP, occorre avere differenti profili di tutela.

Ad esempio se l’IP viene utilizzato solo a fini di sicurezza (tipo ho il sito web che registra l’IP di chi cerca ripetutamente di accedere al pannello di amministrazione e lo blocca per 1 mese) è sufficiente dare l’informativa. La base giuridica sono i legittimi interessi del titolare.

Se l’IP viene utilizzato a fini di profilazione (es. viene raccolto dal widget sociale di Facebook) allora occorre consenso e informativa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.