L’indirizzo IP, anche se dinamico, è un dato personale e il fornitore di servizi di media online, può avere l’interesse legittimo a conservarlo contro i pirati informatici.
di Annalisa Spedicato*
Il caso
La questione nasce in Germania, quando un cittadino, consultando diversi siti internet dei servizi federali tedeschi, si accorge che il proprio indirizzo IP[1] viene conservato anche dopo la sessione di visita del sito.
Il cittadino propone ricorso innanzi ai giudici amministrativi tedeschi, chiedendo che allo Stato venga inibita la conservazione degli indirizzi IP, ancorchè tale conservazione non sia necessaria in caso di guasto, al ripristino della diffusione di detti media.
A seguito del rigetto del ricorso in primo e parzialmente anche in secondo grado, il cittadino tedesco e la repubblica federale di Germania propongono ricorso in Cassazione. I giudici della Cassazione tedesca, sospeso il procedimento, avviano una questione pregiudiziale innanzi alla CGUE, chiamandola a pronunciarsi sull’interpretazione degli artt. 2 e 7 lett. f) della direttiva e-privacy (direttiva 95/46/CE).
Ovvero, i giudici tedeschi domandano ai giudici europei, se l’articolo 2, lettera a), della direttiva 95/46 debba essere interpretato nel senso che un indirizzo IP dinamico registrato da un fornitore di servizi di media online, in occasione della consultazione da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico, costituisce, per tale fornitore, un dato personale ai sensi di detta disposizione, qualora solamente un terzo e cioè il fornitore di accesso alla rete Internet della suddetta persona, disponga delle informazioni necessarie a identificarla. E se l’art. 7 lett. f) della medesima direttiva debba essere interpretato nel senso che una normativa di uno Stato membro può o meno permettere a un fornitore di servizi di media online di raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, quando detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di garantire il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi.
La risposta della Corte Europea[2]
I giudici europei hanno chiarito, innanzitutto che anche l’indirizzo IP dinamico, ai sensi dell’art. 2 della direttiva e-privacy (95/46), nella misura in cui, se associato ad altri dati, consente l’identificazione di un soggetto, deve essere considerato dato personale per il fornitore di servizi di media online, anche se le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet sono detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso alla rete Internet di tale utente, in quanto, grazie all’intervento del fornitore di accesso alla rete e delle autorità di pubblica sicurezza, il fornitore dei servizi media online può ottenere quelle informazioni aggiuntive che gli consentirebbero di identificare l’utente, in caso di attacchi cibernetici (quindi, il gestore del sito dispone dei mezzi giuridici che gli consentono di far identificare il visitatore grazie alle informazioni aggiuntive di cui il fornitore di accesso a internet di quest’ultimo dispone).
Quando uno Stato, continuano i giudici, fornisce servizi media online, non opera nella sua veste di autorità pubblica, ma in qualità di privato e al di fuori delle attività dello Stato in materia di diritto penale. Premesso ciò, secondo i giudici europei la normativa statale tedesca che consente la raccolta e l’impiego di dati personali di un utente di tali servizi, senza il suo consenso, quando ciò sia necessario per consentire e fatturare l’effettiva fruizione del servizio, senza che l’obiettivo di garantire il funzionamento generale del medium online possa giustificare l’impiego dei suddetti dati, dopo una sessione di consultazione di tale medium, deve ritenersi contraria al disposto di cui all’art. 7 lett. f. della direttiva, secondo cui il trattamento di dati personali è legittimo se «è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1», in quanto la formulazione della norma tedesca è generica e non consente una corretta ponderazione degli interessi del fornitore dei servizi media con i diritti e le libertà fondamentali dell’utente.
Nonostante la disposizione di cui all’art. 7 lett. f) della direttiva debba quindi essere interpretata in maniera restrittiva, conclude la Corte, garantire la stabilità del funzionamento dei siti accessibili al pubblico, al di là di ciascun loro utilizzo effettivo da parte dei servizi federali tedeschi che forniscono servizi di media online, potrebbe essere considerato un interesse legittimo.
[1] Gli indirizzi IP sono sequenze numeriche assegnate a computer collegati a Internet per consentire la comunicazione tra i medesimi attraverso tale rete. In caso di consultazione di un sito Internet, l’indirizzo IP del computer che effettua l’accesso è trasmesso al server che ospita il sito consultato. Tale comunicazione è necessaria per inviare i dati richiesti al corretto destinatario.
Pubblico impiego e risarcimento del “danno comunitario”
Trascrizione della domanda ex art. 2932 c.c. e scioglimento del preliminare: quale bilanciamento?
La responsabilità da prodotto difettoso nei sistemi di intelligenza artificiale: il nuovo quadro normativo europeo
Lastrico solare e ripartizione delle spese condominiali: il chiarimento della Cassazione