Sentenza

Via libera alla conservazione di indirizzi IP dinamici di utenti che accedono a siti internet di servizi dello Stato.

Corte di giustizia Ue, sentenza 19 ottobre 2016 sul caso C-58214 
		 Via libera alla conservazione di indirizzi IP dinamici di utenti che accedono a siti internet di servizi dello Stato se è in gioco un interesse legittimo, come la difesa da attacchi cibernetici, del responsabile del trattamento. È la Corte di giustizia dell'Unione europea a scriverlo, nella sentenza depositata ieri nella causa C-582/14.

La vicenda nazionale ha preso il via dal ricorso di un cittadino tedesco il cui indirizzo IP è stato conservato in un registro delle autorità interne che curano i siti di servizi federali tedeschi. I giudici amministrativi nazionali avevano respinto il ricorso finalizzato a impedire la conservazione dei dati al termine della consultazione dei siti, mentre i giudici di appello avevano negato la conservazione se l'IP dinamico associato alla data di sessione è collegato al nominativo divulgato dallo stesso utente perché, in questi casi, è lesa la tutela dei dati personali. Non così, però, se l'utente non comunica il nominativo perché in questa ipotesi solo il fornitore di accesso a internet è in grado di divulgare l'identità collegando l'IP all'abbonato.

La Corte federale di giustizia ha chiesto aiuto ai giudici di Lussemburgo riguardo all'interpretazione della direttiva europea 95/46 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (che sarà sostituita, dal 25 maggio 2018, dal regolamento n. 2016/679), recepita in Italia con Dlgs 196/2003.

Prima di tutto, la Corte di giustizia ha precisato che gli indirizzi IP degli internauti sono dati personali protetti perché consentono di identificare in modo preciso chi li usa e questo, in particolare, se la raccolta e l'identificazione degli indirizzi di protocollo internet degli utenti è effettuata dai fornitori di accesso a internet.

Nel caso di IP dinamici, se è vero che l'indirizzo non costituisce un'informazione riferita a una persona fisica identificata perché l'IP non rivela direttamente l'identità del proprietario del computer dal quale avviene la consultazione di un sito, è anche vero che può costituire un dato personale se da altri elementi è possibile identificare la persona che lo utilizza. E questo anche quando i dati sono detenuti unicamente dal fornitore di accesso a internet se, con alcuni mezzi, inclusa la possibilità di rivolgersi alle autorità giudiziarie, il fornitore dei servizi media online (in questo caso i servizi federali) può ottenere informazioni dal fornitore di accesso a internet.

Chiarito, quindi, che l'indirizzo IP dinamico è un dato personale, con la conseguente applicazione della direttiva 95/46, la Corte, sul fronte della liceità della conservazione dei dati, chiarisce che l'articolo 7 include un elenco esaustivo e tassativo dei casi in cui un trattamento dati può essere considerato lecito, tra i quali rientra il perseguimento di un interesse legittimo da parte del responsabile del trattamento.

Di conseguenza, le autorità nazionali non possono limitare la conservazione ai soli casi necessari a consentire e fatturare l'effettiva fruizione, escludendola laddove il fornitore di media online (i servizi federali) persegue un interesse legittimo. Che va così tutelato anche con la conservazione dei dati.