Conservabili gli «IP» degli utenti web
pVia libera alla conservazione di indirizzi IP dinamici di utenti che accedono a siti internet di servizi dello Stato se è in gioco un interesse legittimo, come la difesa da attacchi cibernetici, del responsabile del trattamento. È la Corte di giustizia dell’Unione europea a scriverlo, nella sentenza depositata ieri nella causa C-582/14.
La vicenda nazionale ha preso il via dal ricorso di un cittadino tedesco il cui indirizzo IP è stato conservato in un registro delle autorità interne che curano i siti di servizi federali tedeschi. I giudici amministrativi nazionali avevano respinto il ricorso finalizzato a impedire la conservazione dei dati al termine della consultazione dei siti, mentre i giudici di appello avevano negato la conservazione se l’IP dinamico associato alla data di sessione è collegato al nominativo divulgato dallo stesso utente per- ché, in questi casi, è lesa la tutela dei dati personali. Non così, però, se l’utente non comunica il nominativo perché in questa ipotesi solo il fornitore di accesso a internet è in grado di divulgare l’identità collegando l’IP all’abbonato.
La Corte federale di giustizia ha chiesto aiuto ai giudici di Lussemburgo riguardo all’interpretazione della direttiva europea 95/46 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (che sarà sostituita, dal 25 maggio 2018, dal regolamento n. 2016/ 679), recepita in Italia con Dlgs 196/2003.
Prima di tutto, la Corte di giustizia ha precisato che gli indirizzi IP degli internauti sono dati personali protetti perché consentono di identificare in modo preciso chi li usa e questo, in particolare, se la raccolta e l’identificazione degli indirizzi di protocollo internet degli utenti è effettuata dai fornitori di accesso a internet.
Nel caso di IP dinamici, se è vero che l’indirizzo non costituisce un’informazione riferita a una persona fisica identificata perché l’IP non rivela direttamente l’identità del proprietario del computer dal quale avviene la consultazione di un sito, è anche vero che può costituire un dato personale se da altri elementi è possibile identificare la persona che lo utilizza. E questo anche quando i dati sono detenuti unicamente dal fornitore di accesso a internet se, con alcuni mezzi, inclusa la possibilità di rivolgersi alle autorità giudiziarie, il forni- tore dei servizi media online (in questo caso i servizi federali) può ottenere informazioni dal fornitore di accesso a internet.
Chiarito, quindi, che l’indirizzo IP dinamico è un dato personale, con la conseguente applicazione della direttiva 95/46, la Corte, sul fronte della liceità della conservazione dei dati, chiarisce che l’articolo 7 include un elenco esaustivo e tassativo dei casi in cui un trattamento dati può essere considerato lecito, tra i quali rientra il perseguimento di un interesse legittimo da parte del responsabile del trattamento.
Di conseguenza, le autorità nazionali non possono limitare la conservazione ai soli casi necessari a consentire e fatturare l’effettiva fruizione, escludendola laddove il fornitore di media online (i servizi federali) persegue un interesse legittimo. Che va così tutelato anche con la conservazione dei dati.
IL PRINCIPIO Gli indirizzi equivalgono a informazioni riferite a persone fisiche ma il trattamento è lecito se c’è un interesse legittimo