
I siti web possono conservare gli indirizzi IP degli utenti? Il caso Breyer
6 Dicembre 2016
In caso di consultazione di un sito, l’indirizzo IP del computer che vi accede è trasmesso al server che ospita il sito consultato. Tale comunicazione è necessaria per inviare i dati richiesti al corretto destinatario. La normativa di alcuni stati UE prevede la cancellazione di tali dati, conservati tramite cookies, una volta conclusa la navigazione.
Se ciò è indubbio in caso di indirizzi IP statici, non è affatto chiaro se ciò valga anche per gli indirizzi IP dinamici.
Indirizzo IP: una sequenza numerica assegnata a computer collegati a Internet per consentire la comunicazione tra i medesimi attraverso tale rete.
Indirizzo IP dinamico: indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentono l’identificazione univoca dell’utente, per la quale sono necessarie informazioni aggiuntive (in possesso del fornitore di accesso ad Internet).
Indirizzi IP dinamici: godono della medesima tutela apportata dall’UE ai dati personali?
E’ il quesito rivolto dalla Corte federale tedesca alla Corte di giustizia dell’Unione europea, per risolvere un caso particolare (Sent. C-582/14 – Patrick Breyer/Bundesrepublik Deutschland). Il sig. Breyer si era infatti opposto alla registrazione del proprio indirizzo IP dinamico da parte di un sito Internet.
Il Gestore del sito ha affermato di effettuare la conservazione tramite cookies, al fine di difendersi dagli attacchi cibernetici e rendere possibili le azioni penali.
L’identificabilità dell’utente determinerebbe la tutela…
Esistono in Germania strumenti che consentono al fornitore di servizi online di chiedere, in caso di attacchi cibernetici, all’autorità competente di ottenere le informazioni mancanti per identificare l’utente al fornitore di accesso a Internet.
…ma l’interesse legittimo del gestore del sito può essere prevalente!
Benché la legge sulla privacy tedesca vieti di conservare gli indirizzi IP degli utenti per un tempo maggiore rispetto a quello strettamente necessario, secondo normativa privacy europea il trattamento di dati personali è lecito nei seguenti casi:
- se necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento
- a condizione che non prevalgano il diritto alla privacy e le libertà fondamentali della persona
Nel caso considerato, erano i servizi federali tedeschi a gestire il sito e la Corte ha ritenuto che gli stessi potrebbero possedere un interesse legittimo a garantire la continuità del funzionamento dei loro siti.
Conclusione
L’indirizzo di protocollo Internet dinamico di un visitatore costituisce un dato personale, qualora il gestore disponga di mezzi che consentono l’identificazione del visitatore. La sua tutela va bilanciata caso per caso considerando gli eventuali interessi legittimi di chi ha intenzione di trattare tale dato.
[Fonte: Corte di giustizia dell’Unione europea ]