L’indirizzo IP è un dato personale
Vediamo innanzitutto cos’è un “indirizzo IP”.
Semplificando, un indirizzo Ip (Internet Protocol) è un indirizzo numerico assegnato ad un computer ogni volta che questo colleghi ad Internet, sia che utilizzi un modem oppure un router.
Si può dire che è come un numero di telefono che serve al protocollo TCP/IP per instradare i pacchetti e fare in modo che le comunicazioni possano avvenire da e verso destinazioni differenti. Molti abbonamenti Internet per privati offrono un indirizzo IP dinamico che varia ad ogni connessione, mentre in altre tipologie di collegamento alla rete è necessario almeno un indirizzo ip statico che non varia mai, spesso utile ad aziende che dispongono di un proprio server internet.
Nel caso di privati, quindi, normalmente si parla di indirizzo Ip dinamico che cambia a ogni nuova connessione a Internet. A differenza degli Ip statici, gli indirizzi Ip dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Di conseguenza, solo il fornitore di accesso a Internet dispone delle informazioni aggiuntive necessarie per identificarlo.
Ora il caso che ci interessa.
La Corte di Giustizia europea è stata investita (2016) del ricorso promosso da un cittadino tedesco il quale lamentava la circostanza che i suoi indirizzi di protocollo internet venissero registrati e conservati, da parte dei siti internet dei servizi federali tedeschi da lui consultati.
La Corte federale di giustizia tedesca ha portato il caso all’attenzione della Corte di Giustizia europea chiedendo di conoscere se gli indirizzi IP “dinamici” costituiscano anch’essi, per il gestore del sito internet, un dato personale, e godano quindi anche della tutela prevista per simili dati.
La Corte europea ha stabilito che un indirizzo Ip dinamico registrato da un fornitore di servizi di media online (cioè da un gestore di un sito Internet) durante la consultazione del suo sito Internet accessibile al pubblico, non è riferibile ad una persona fisica identificabile, quindi, di per sé non rappresenta un dato personale, (in quanto, lo si ribadisce, non consente di operare un abbinamento diretto con una determinata persona fisica).
Però finisce con il rientrare nel concetto di dato personale se il gestore dispone di mezzi giuridici che gli consentano di fare identificare il visitatore grazie ad informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.
Pertanto, se vengono ottenuti dati aggiuntivi in grado di consentire la identificazione di chi ha acceduto al sito Internet, trattandosi di dati personali ha trovato applicazione la normativa di riferimento (Direttiva 95/46/CE).
La Corte di giustizia, ha, altresì, affermato che la normativa comunitaria in materia di trattamento dei dati personali vieta ad una legge dei singoli Stati membri, in assenza di consenso del visitatore, che un fornitore di servizi di media online possa raccogliere e impiegare i dati personali del visitatore a meno che ciò sia necessario per garantire il funzionamento del servizio oltre che per fini di fatturazione e, comunque, ciò deve avvenire limitatamente alla effettiva durata della sessione di collegamento al sito.
A tale riguardo è stato richiamato l’art. 7 della Direttiva n. 95/46/CE il quale indica un elenco tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito e gli Stati membri non possono variare detto elenco.
Sempre la Corte di giustizia europea ha stabilito che i servizi federali tedeschi, che forniscono servizi di media online, potrebbero avere un interesse legittimo a garantire, al di là di una effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti (appunto, per fini di contrasto nella lotta al cyber terrorismo).
I giudici del Lussemburgo, nel rinviare la causa alla competente corte tedesca, hanno stabilito che gli Ip dinamici rientrano nel novero dei dati personali e sono, quindi, soggetti alle tutele introdotte dalla normativa di settore, anche in presenza di esigenze di cyber security e di come essi vadano ad impattare sulle tecniche di pseudonimizzazione, adottate da un titolare del trattamento nel momento in cui volesse rendere non direttamente riconoscibili i dati di un soggetto interessato.
In conclusione, anche se l’indirizzo IP dinamico è un dato personale, i gestori dei siti web sono comunque autorizzati al trattamento degli stessi in assenza di un consenso, per motivi di sicurezza.
Ovviamente deve intendersi che la raccolta degli IP non è ammessa per fini diversi, quali ad esempio il contrasto alle violazioni del copyright, non rientrando nei legittimi interessi.
Ricordiamo che il nuovo Regolamento generale in materia di protezione dei dati personali (GDPR) riconosce espressamente che gli identificatori online sono dati personali. Il termine identificatori online non è definito nel Regolamento, ma è pacificamente inteso come comprendente i cookie e gli indirizzi IP.
Riflessione:
La sentenza è vecchia ma ancora attuale. In questo momento occorre fare riferimento al regolamento europeo. L’indirizzo IP è dato identificativo ed ovviamente a seconda del trattamento che si fa del dato IP, occorre avere differenti profili di tutela.
Ad esempio se l’IP viene utilizzato solo a fini di sicurezza (tipo ho il sito web che registra l’IP di chi cerca ripetutamente di accedere al pannello di amministrazione e lo blocca per 1 mese) è sufficiente dare l’informativa. La base giuridica sono i legittimi interessi del titolare.
Se l’IP viene utilizzato a fini di profilazione (es. viene raccolto dal widget sociale di Facebook) allora occorre consenso e informativa.
Buonasera Giampaolo,
sul mio sito un plugin di WordPress permette il download di un file, per la quale azione non è necessaria alcuna registrazione al sito stesso (quindi non raccolgo alcun dato dell’utente, che può semplicemente premere “scarica” ed ottenere tale file).
Il plugin però in automatico registra ogni download a fini statistici (per contare quanti download del file sono stati effettuati e mostrarlo sul sito) mostrando anche una tabella all’interno del suo pannello di gestione (a cui solo io ho accesso) dove riporta per ciascun download la data dello stesso, l’indirizzo IP di chi ha scaricato il file e lo stato di provenienza della richiesta (ad es: Stati Uniti, Giappone, Italia, etc).
Il dato dell’indirizzo IP che ho in questa tabella di dati statistici può essere mantenuto e allo stesso tempo non ho l’obbligo di scrivere alcuna informativa in quanto non è un dato che riconduce ad un utente preciso, oppure sono obbligato a redirigere una informativa per la registrazione dello stesso oppure alternativamente devo evitarne proprio la registrazione sul database del mio sito, ad esempio anonimizzandolo con dato generico uguale per tutte le righe?
Grazie anticipatamente!
Buonasera Francesco,
corrollario del mio articolo e’ il fatto che se tratti un dato come l’indirizzo Ip… rientri nelle previsioni del GDPR, di cui l’informativa e’ solo uno degli adempimenti previsti.
In ossequio al principio di minimizzazione, comunque, ti consiglierei di evitare di trattare questo dato, anonimizzandolo sin dall’inizio (fase di scrittura), cosi’ da non avere problemi.
Infine, mi permetto di suggerirti di analizzare bene se effettui trattamenti di altro tipo e, soprattutto, i cookies!
Saluti,
Giampaolo Cirioni
Scusate se mi intrometto nella discussione, ma in questo caso il gestore del sito (Francesco) non dispone degli strumenti giuridici necessari per poter risalire alla persona che c’è dietro quell’IP; potrebbe farlo solo se fosse lui stesso il fornitore della connettività. Almeno questo è quello che leggo nell’articolo e che trovo molto sensato. Del resto, anche se magari non è il caso di Francesco, l’indicazione degli IP di chi naviga su un sito è utile, per esempio per gestire eventuali situazioni spiacevoli, come per esempio commenti spiacevoli sul sito con offese, ingiurie o quant’altro penalmente rilevante, piuttosto che azioni che possano avere rilevanza appunto penale. Visto che un Magistrato potrebbe chiedere di avere questi dati durante un’indagine, non sarebbe meglio come principio generale mantenerli piuttosto che renderli anonimi, fermo restando che chi eroga il servizio non possa risalire al reale proprietario dell’IP?
Ciao Daniele,
due concetti vorrei far passare e che, secondo me, sono la sintesi del discorso: il GDPR non vieta l’utilizzo dei dati (i c.d. trattamenti) ma ne limita l’uso nei casi non necessari e, soprattutto, dispone che in caso si effettui un trattamento, appunto, con dei dati ritenuti personali, questo lo si deve fare con altrettanti criteri di sicurezza (gli obblighi derivanti da un trattamento sono molteplici).
IL fatto di trattare i dati per un ipotetica richiesta di un MAgistrato non e’ un elemento sufficiente che legittima l’azione, tanto e’ vero che se io utilizzo una web cam direzionata verso la mia autovettura – parcheggiata in strada – per paura che me la rubino NON solo violo il GDPR ma sono anche perseguibile di reato. QUEsto perche’ sto trattando dei dati personali che non dovrei trattare.
NEl nostro caso specifico, il mio consiglio e’ dettata del fatto che l’attivita’ citata sembra sia non necessaria e ridondante rispetto a quanto si deve svolgere attraverso il sito stesso, cio’ premesso, preciso ancora una volta che, nel caso si pensi di poter utilizzare questi dati per un fine collegato a quello pre cui e’ stato fondato il sito stesso, allora e’ necessario che questo trattamento sia ben esposto e siano utilizzate tutte le cautele previste.
Spero di aver chiarito, anche se per sommi capi, il mio parere.
ps: non e’ detto che se il proprietario del sito non possa risalire al proprietario (in prima battuta, comunque) che non sia configurabile come dato personale…
Io penso che la questione stia qui in questa tua ultima frase: ps: non e’ detto che se il proprietario del sito non possa risalire al proprietario (in prima battuta, comunque) che non sia configurabile come dato personale… Come avrai capito sono titolare di un ISP, non forniamo connettività ma servizi in Data Center. Non posso non tenere gli IP di chi accede ai siti web, perché capita abbastanza spesso che ci siano ordinanze della Magistratura, o in altri casi molto più operativamente devo bloccare gli accessi a classi di IP dai quali partono tramite spoofing attacchi ddos. Qui vedo il contrasto, salvo che si torni a distinzioni tra utilizzo “professionale” e “non professionale” che però non mi convincono affatto. Una parte invece rispetto alla quale non sono d’accordo è il concetto di IP dinamico: come per un IP statico, il provider che lo concede a chi naviga conosce il soggetto al quale quell’IP è stato assegnato in quel dato momento. Quindi la differenza tra IP statico e IP dinamico è per me irrilevante, se non per alcune tipologie di servizi marginali