di Luca Bolognini

Corte di Giustizia UE: l’indirizzo IP dinamico è un dato personale

Nella recente sentenza Breyer (C-582/14), la Corte di Giustizia dell’Unione Europea (“CGUE”) ha sancito che un indirizzo IP “dinamico” costituisce un dato personale.

La questione è stata posta nell’ambito di una controversia sorta fra il sig. Patrick Breyer, cittadino tedesco ed esponente di spicco del “Partito dei Pirati”, e la Repubblica Federale di Germania e riguardante il trattamento illecito di dati personali che il suddetto avanzava verso un ufficio pubblico, per aver quest’ultimo indebitamente raccolto e conservato senza scadenza il suo indirizzo IP. In Germania, per contrastare e prevenire eventuali attacchi informatici, i siti governativi hanno la possibilità di memorizzare i dati di connessione di ogni singolo accesso, compreso, appunto, l’indirizzo IP. Tale informazione, lamentava il ricorrente, benché di natura “dinamica” e pertanto difficilmente riconducibile in via diretta alla sua persona, avrebbe comunque potuto essere ricollegata, seppur indirettamente,  a lui, in caso di richiesta di accesso ai dati di traffico presentata dall’autorità giudiziaria all’internet service provider (“ISP”).

Il giudice di primo grado rigettava la richiesta di cancellazione.

Il giudice di appello invece, accoglieva l’istanza condannando la Repubblica Federale di Germania ad astenersi dal conservare gli indirizzi IP qualora gli utenti abbiano rivelato la loro identità durante la sessione (perciò secondo tale asserzione gli indirizzi IP sarebbero dati personali non sempre ma solo in caso in cui l’utente abbia condiviso anche un indirizzo elettronico che menzioni la sua identità e che l’operatore del sito possa identificare tale utente incrociando il suo nome con l’indirizzo IP del suo computer). La causa è proseguita approdando a Lussemburgo presso la CGUE.

In questa occasione alla Corte sono state presentate le seguenti due questioni:

  1. Se un indirizzo IP (dinamico) possa essere considerato un dato personale. La Corte ha rilevato che gli indirizzi IP dinamici sono considerati dati personali in circostanze in cui è possibile ottenere informazioni da una terza parte che consentirebbe di identificare l’utente. Perciò secondo la CGUE, anche se un indirizzo IP dinamico non è di per sé sufficiente per identificare l’interessato, tale insieme di informazioni deve essere trattato come dato personale, qualora il soggetto che conserva l’indirizzo IP disponga dei mezzi giuridici che gli consentano di far identificare la persona interessata attraverso il ricorso anche ad altre fonti, come l’ISP dell’utente.
  2. Se il “Telemedia Act” tedesco, che consente la conservazione dei dati di navigazione degli utenti esclusivamente al fine di rendere un servizio o per fatturazione (consentendone perciò la relativa identificazione), è in conflitto con le regole della Direttiva 95/46/CE per quanto riguarda la raccolta e il trattamento dei dati personali. A tal riguardo, la CGUE ha ritenuto che la legge tedesca sia troppo restrittiva e dovrebbe quindi permettere il trattamento legittimo dei dati personali, se necessario, ai fini di soddisfare perciò un “interesse legittimo” del titolare del trattamento. Ciò può includere la registrazione di indirizzi IP al fine di contrastare e tracciare gli attacchi informatici.

La decisione sembra in linea con una tendenza volta a espandere il concetto di dati personali, così come previsto dal Nuovo Regolamento UE n. 619/2016 (RGPD).

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.