DATA PROTECTION
General EU Attorney's conclusions in the case 582/14: the dinamic IP address is a personal data for a service provider.
Interessanti le conclusioni dell’Avvocato generale nella Causa C‑582/14 Patrick Breyer contro Bundesrepublik Deutschland circa la riconducibilità dell’indirizzo IP alla nozione di “dato personale” ai sensi della Direttiva UE sulla protezione dei dati.
Ecco i presupposti delle conclusioni dell’Avvocato generale:
1. Un indirizzo di protocollo Internet (in prosieguo: l’«indirizzo IP») è una sequenza di numeri binari che, assegnata a un dispositivo (un computer, un tablet o uno smartphone), lo identifica e gli consente di accedere alla rete di comunicazioni elettroniche. Detto dispositivo, per collegarsi a Internet, deve utilizzare la sequenza numerica assegnata dai fornitori del servizio di accesso alla rete. L’indirizzo IP viene trasmesso al server in cui è memorizzata la pagina web oggetto di consultazione.
2. In particolare, i fornitori di accesso alla rete (generalmente le compagnie telefoniche) assegnano ai loro clienti i cosiddetti «indirizzi IP dinamici», temporaneamente, per ogni collegamento a Internet e li modificano in occasione dei successivi collegamenti. Le medesime compagnie tengono un registro in cui sono indicati gli indirizzi IP assegnati, di volta in volta, a un determinato dispositivo.
3. Di norma, anche i titolari dei siti Internet ai quali si accede mediante indirizzi IP dinamici tengono un registro in cui è indicato quali pagine sono state consultate, quando e da quale indirizzo IP dinamico. Tali registri possono, tecnicamente, essere conservati senza limiti di tempo al termine del collegamento a Internet di ciascun utente.
4. Un indirizzo IP dinamico, di per sé, non è sufficiente per permettere al prestatore di servizi di identificare l’utente della sua pagina web. Tuttavia, detto prestatore può farlo associando l’indirizzo IP dinamico ad altre informazioni aggiuntive di cui dispone il fornitore di accesso alla rete.
5. La controversia verte sulla questione se gli indirizzi IP dinamici siano dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE. Per fornire una risposta occorre stabilire, preliminarmente, se a tal fine rilevi il fatto che le informazioni aggiuntive necessarie per l’identificazione dell’utente non sono in possesso del titolare del sito Internet, bensì di un terzo (nello specifico, il fornitore del servizio di accesso alla rete).
6. Si tratta di una questione inedita per la Corte, dato che, al punto 51 della sentenza Scarlet Extended, essa ha dichiarato che gli indirizzi IP «costituiscono dati personali protetti, in quanto consentono di identificare in modo preciso i suddetti utenti», ma in un contesto in cui la raccolta e l’identificazione degli indirizzi IP venivano effettuate dal fornitore di accesso alla rete (5), e non da un fornitore di contenuti, come nel presente caso.
7. Qualora gli indirizzi IP dinamici costituissero dati personali per il fornitore di servizi Internet, si dovrebbe allora esaminare se il loro trattamento rientri nell’ambito di applicazione della direttiva 95/46.
8. È possibile che, pur costituendo dati personali, essi non godano della tutela conferita dalla direttiva 95/46 nel caso in cui, ad esempio, lo scopo del loro trattamento sia quello di perseguire penalmente eventuali attacchi informatici. In tal caso, la direttiva 95/46, conformemente al suo articolo 3, paragrafo 2, primo trattino, non sarebbe applicabile.
9. Occorre stabilire, inoltre, se il prestatore di servizi che memorizza gli indirizzi IP dinamici quando un utente accede alle sue pagine web (nel caso di specie, la Repubblica federale di Germania) agisca in veste di pubblica autorità oppure come privato.
10. Infine, qualora la direttiva 95/46 fosse applicabile, si dovrebbe precisare entro quali limiti il suo articolo 7, lettera f), sia compatibile con una normativa nazionale che restringe la portata di una delle condizioni previste da detta disposizione per giustificare il trattamento di dati personali.
Alla luce di quanto sopra, l’Avvocato Generale propone alla Corte di rispondere nei termini seguenti alle questioni sollevate:
«1) Ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, un indirizzo IP dinamico, mediante il quale un utente ha visitato la pagina web di un fornitore di servizi di telecomunicazione, costituisce per quest’ultimo un “dato personale» se un fornitore di accesso alla rete dispone di informazioni aggiuntive che, associate all’indirizzo IP dinamico, consentono l’identificazione dell’utente.
2) L’articolo 7, lettera f), della direttiva 95/46 deve essere interpretato nel senso che l’obiettivo di garantire il funzionamento del servizio di telecomunicazione può, in linea di principio, essere considerato un interesse legittimo, il cui perseguimento giustifica il trattamento del suddetto dato personale, qualora sia ritenuto prevalente rispetto all’interesse o ai diritti fondamentali dell’interessato. Una disposizione nazionale che non permettesse di prendere in considerazione tale interesse legittimo sarebbe incompatibile con la suddetta disposizione».
Ecco i presupposti delle conclusioni dell’Avvocato generale:
1. Un indirizzo di protocollo Internet (in prosieguo: l’«indirizzo IP») è una sequenza di numeri binari che, assegnata a un dispositivo (un computer, un tablet o uno smartphone), lo identifica e gli consente di accedere alla rete di comunicazioni elettroniche. Detto dispositivo, per collegarsi a Internet, deve utilizzare la sequenza numerica assegnata dai fornitori del servizio di accesso alla rete. L’indirizzo IP viene trasmesso al server in cui è memorizzata la pagina web oggetto di consultazione.
2. In particolare, i fornitori di accesso alla rete (generalmente le compagnie telefoniche) assegnano ai loro clienti i cosiddetti «indirizzi IP dinamici», temporaneamente, per ogni collegamento a Internet e li modificano in occasione dei successivi collegamenti. Le medesime compagnie tengono un registro in cui sono indicati gli indirizzi IP assegnati, di volta in volta, a un determinato dispositivo.
3. Di norma, anche i titolari dei siti Internet ai quali si accede mediante indirizzi IP dinamici tengono un registro in cui è indicato quali pagine sono state consultate, quando e da quale indirizzo IP dinamico. Tali registri possono, tecnicamente, essere conservati senza limiti di tempo al termine del collegamento a Internet di ciascun utente.
4. Un indirizzo IP dinamico, di per sé, non è sufficiente per permettere al prestatore di servizi di identificare l’utente della sua pagina web. Tuttavia, detto prestatore può farlo associando l’indirizzo IP dinamico ad altre informazioni aggiuntive di cui dispone il fornitore di accesso alla rete.
5. La controversia verte sulla questione se gli indirizzi IP dinamici siano dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE. Per fornire una risposta occorre stabilire, preliminarmente, se a tal fine rilevi il fatto che le informazioni aggiuntive necessarie per l’identificazione dell’utente non sono in possesso del titolare del sito Internet, bensì di un terzo (nello specifico, il fornitore del servizio di accesso alla rete).
6. Si tratta di una questione inedita per la Corte, dato che, al punto 51 della sentenza Scarlet Extended, essa ha dichiarato che gli indirizzi IP «costituiscono dati personali protetti, in quanto consentono di identificare in modo preciso i suddetti utenti», ma in un contesto in cui la raccolta e l’identificazione degli indirizzi IP venivano effettuate dal fornitore di accesso alla rete (5), e non da un fornitore di contenuti, come nel presente caso.
7. Qualora gli indirizzi IP dinamici costituissero dati personali per il fornitore di servizi Internet, si dovrebbe allora esaminare se il loro trattamento rientri nell’ambito di applicazione della direttiva 95/46.
8. È possibile che, pur costituendo dati personali, essi non godano della tutela conferita dalla direttiva 95/46 nel caso in cui, ad esempio, lo scopo del loro trattamento sia quello di perseguire penalmente eventuali attacchi informatici. In tal caso, la direttiva 95/46, conformemente al suo articolo 3, paragrafo 2, primo trattino, non sarebbe applicabile.
9. Occorre stabilire, inoltre, se il prestatore di servizi che memorizza gli indirizzi IP dinamici quando un utente accede alle sue pagine web (nel caso di specie, la Repubblica federale di Germania) agisca in veste di pubblica autorità oppure come privato.
10. Infine, qualora la direttiva 95/46 fosse applicabile, si dovrebbe precisare entro quali limiti il suo articolo 7, lettera f), sia compatibile con una normativa nazionale che restringe la portata di una delle condizioni previste da detta disposizione per giustificare il trattamento di dati personali.
Alla luce di quanto sopra, l’Avvocato Generale propone alla Corte di rispondere nei termini seguenti alle questioni sollevate:
«1) Ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, un indirizzo IP dinamico, mediante il quale un utente ha visitato la pagina web di un fornitore di servizi di telecomunicazione, costituisce per quest’ultimo un “dato personale» se un fornitore di accesso alla rete dispone di informazioni aggiuntive che, associate all’indirizzo IP dinamico, consentono l’identificazione dell’utente.
2) L’articolo 7, lettera f), della direttiva 95/46 deve essere interpretato nel senso che l’obiettivo di garantire il funzionamento del servizio di telecomunicazione può, in linea di principio, essere considerato un interesse legittimo, il cui perseguimento giustifica il trattamento del suddetto dato personale, qualora sia ritenuto prevalente rispetto all’interesse o ai diritti fondamentali dell’interessato. Una disposizione nazionale che non permettesse di prendere in considerazione tale interesse legittimo sarebbe incompatibile con la suddetta disposizione».
