Privacy - Corte di Giustizie UE: indirizzo IP “dinamico” è un dato personale da trattare con tutte le cautele previste ai sensi della normativa privacy
La recente decisione della Corte di Giustizia Europea sull’interpretazione della Direttiva 95/46/CE nel caso “Breyer” ha segnato un altro importante punto di svolta nel percorso giurisprudenziale in materia privacy che i giudici di Lussemburgo hanno intrapreso da alcuni anni a questa parte.
La vicenda a monte della questione pregiudiziale sollevata dalla Corte di Giustizia Federale della Germania nasceva nell’ambito di una controversia sorta tra il governo nazionale e Patrick Breyer, cittadino tedesco ed esponente di spicco del “Partito dei Pirati”, riguardante l’accusa di trattamento illecito di dati personali che il suddetto avanzava verso un ufficio pubblico tacciato di avere indebitamente raccolto e conservato senza scadenza il suo indirizzo IP.
Tale informazione, infatti, lamentava il ricorrente, benché di natura “dinamica” e pertanto difficilmente riconducibile in via diretta alla sua persona, avrebbe comunque potuto essere ricollegata – seppur indirettamente – a lui, in caso di richiesta di accesso ai dati di traffico presentata dall’autorità giudiziaria all’internet service provider (ISP).
Dal momento in cui la legge federale tedesca in materia di cyber-crime prevede la possibilità per gli amministratori dei siti internet governativi di memorizzare i dati relativi agli accessi degli utenti fino al termine della loro sessione di consultazione al fine di contrastare eventuali attacchi informatici e identificare gli “hacker” perpetratori di tali azioni, l’indirizzo IP del signor Breyer era stato legittimamente considerato coperto dal dettato della normativa e come tale conservato ad libitum.
Rivolgendosi alle competenti corti territoriali, il ricorrente aveva pertanto domandato non solo che fossero inibiti trattamento e conservazione di tale tipologia di informazioni, ma anche che venissero riconosciuti quali dati personali ai sensi della definizione del dettato della Direttiva 95/46 e sostenendo come ai sensi della stessa normativa UE, il concetto di indiretta “riconducibilità” dei dati ad un interessato era da intendersi riferita “all’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona”.
L’istanza di Breyer, dunque, a seguito di alterne pronunce tra primo grado e appello, veniva presa in considerazione dalla Suprema Corte Tedesca e proposta nella forma di questione pregiudiziale ai giudici di Lussemburgo sulla base di assunti contrastanti: da un lato, la tesi in base alla quale un indirizzo IP dinamico, associato ad altri dati indirettamente o direttamente raccolti presso l’interessato o nella materiale disponibilità del titolare sia da considerarsi un dato personale tout court; dall’altro, il totale rigetto di tale tesi sostenuta dal governo tedesco.
La Corte UE, coerentemente a quanto già esposto nel proprio parere dall’avvocato generale, ha innanzitutto rilevato che, in linea generale, un indirizzo IP dinamico non costituisce un’informazione riferita a una “persona fisica identificata”, dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer.
Tuttavia, la definizione di “dato personale” fornita dall’articolo 2 della Direttiva 95/46 induce chiaramente a ritenere che affinché “un dato possa essere qualificato come [tale] non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata”.
Al contrario, infatti, “il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito internet siano detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso a internet di tale utente non pare quindi idoneo a escludere che gli indirizzi IP dinamici registrati da [tale] fornitore costituiscano dati personali ai sensi della Direttiva 95/46”.
Infatti, secondo i giudici sarebbe sempre necessario determinare ex ante se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet – anche a seguito di ordine impartito dell’autorità giudiziaria o di polizia – possa costituire, di per sé, un mezzo accessibile e praticamente ed economicamente realizzabile per il titolare intenzionato ad identificare un utente.
Infine, dunque, confermato il profilo della “personalità” del dato indirizzo IP dinamico organicamente inteso e indirettamente riconducibile ad un interessato, la Corte di Lussemburgo si è concentrata sulla finalità di legittimo interesse oggetto del trattamento dati del quale il signor Breyer aveva chiesto l’inibizione.
A tal proposito, i giudici UE hanno dunque affermato innanzitutto che dal momento in cui “l’articolo 7 della suddetta direttiva prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere nuovi principi relativi alla legittimazione del trattamento dei dati personali del suddetto articolo né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo” la normativa di cui al ricorso principale si pone in contrasto con le disposizioni generali della legislazione UE in materia di privacy.
In secondo luogo, il paradigma del “legittimo interesse del data controller” dovrebbe essere sempre interpretato, previo bilanciamento di interessi, “nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi”.
In conclusione, rinviando il caso alla competente corte nazionale, i giudici di Lussemburgo hanno stabilito come non solo sia possibile considerare gli IP dinamici coperti dalle tutele di cui alla normativa privacy anche in presenza di esigenze di cyber security; ma anche come l’indiretta riconducibilità vada ad impattare, sebbene non espressamente, anche sulle tecniche di cd. “pseudonimizzazione” adottate da un titolare di trattamento nel momento in cui dovesse intervenire a rendere non direttamente riconoscibili – se non “per combinazione” con altre informazioni – i dati personali di un interessato.
Tali risvolti interpretativi, la cui portata più o meno restrittiva è ancora tutta da valutare, potrebbero così addirittura arrivare ad avere un’incidenza notevole anche sull’attuazione del nuovo Regolamento privacy UE e delle sue disposizioni in materia di sicurezza dei dati.
(Corte di Giustizie UE - Seconda Sezione, Sentenza 19 ottobre 2016, causa C-582/14)
La recente decisione della Corte di Giustizia Europea sull’interpretazione della Direttiva 95/46/CE nel caso “Breyer” ha segnato un altro importante punto di svolta nel percorso giurisprudenziale in materia privacy che i giudici di Lussemburgo hanno intrapreso da alcuni anni a questa parte.
La vicenda a monte della questione pregiudiziale sollevata dalla Corte di Giustizia Federale della Germania nasceva nell’ambito di una controversia sorta tra il governo nazionale e Patrick Breyer, cittadino tedesco ed esponente di spicco del “Partito dei Pirati”, riguardante l’accusa di trattamento illecito di dati personali che il suddetto avanzava verso un ufficio pubblico tacciato di avere indebitamente raccolto e conservato senza scadenza il suo indirizzo IP.
Tale informazione, infatti, lamentava il ricorrente, benché di natura “dinamica” e pertanto difficilmente riconducibile in via diretta alla sua persona, avrebbe comunque potuto essere ricollegata – seppur indirettamente – a lui, in caso di richiesta di accesso ai dati di traffico presentata dall’autorità giudiziaria all’internet service provider (ISP).
Dal momento in cui la legge federale tedesca in materia di cyber-crime prevede la possibilità per gli amministratori dei siti internet governativi di memorizzare i dati relativi agli accessi degli utenti fino al termine della loro sessione di consultazione al fine di contrastare eventuali attacchi informatici e identificare gli “hacker” perpetratori di tali azioni, l’indirizzo IP del signor Breyer era stato legittimamente considerato coperto dal dettato della normativa e come tale conservato ad libitum.
Rivolgendosi alle competenti corti territoriali, il ricorrente aveva pertanto domandato non solo che fossero inibiti trattamento e conservazione di tale tipologia di informazioni, ma anche che venissero riconosciuti quali dati personali ai sensi della definizione del dettato della Direttiva 95/46 e sostenendo come ai sensi della stessa normativa UE, il concetto di indiretta “riconducibilità” dei dati ad un interessato era da intendersi riferita “all’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona”.
L’istanza di Breyer, dunque, a seguito di alterne pronunce tra primo grado e appello, veniva presa in considerazione dalla Suprema Corte Tedesca e proposta nella forma di questione pregiudiziale ai giudici di Lussemburgo sulla base di assunti contrastanti: da un lato, la tesi in base alla quale un indirizzo IP dinamico, associato ad altri dati indirettamente o direttamente raccolti presso l’interessato o nella materiale disponibilità del titolare sia da considerarsi un dato personale tout court; dall’altro, il totale rigetto di tale tesi sostenuta dal governo tedesco.
La Corte UE, coerentemente a quanto già esposto nel proprio parere dall’avvocato generale, ha innanzitutto rilevato che, in linea generale, un indirizzo IP dinamico non costituisce un’informazione riferita a una “persona fisica identificata”, dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer.
Tuttavia, la definizione di “dato personale” fornita dall’articolo 2 della Direttiva 95/46 induce chiaramente a ritenere che affinché “un dato possa essere qualificato come [tale] non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata”.
Al contrario, infatti, “il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito internet siano detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso a internet di tale utente non pare quindi idoneo a escludere che gli indirizzi IP dinamici registrati da [tale] fornitore costituiscano dati personali ai sensi della Direttiva 95/46”.
Infatti, secondo i giudici sarebbe sempre necessario determinare ex ante se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet – anche a seguito di ordine impartito dell’autorità giudiziaria o di polizia – possa costituire, di per sé, un mezzo accessibile e praticamente ed economicamente realizzabile per il titolare intenzionato ad identificare un utente.
Infine, dunque, confermato il profilo della “personalità” del dato indirizzo IP dinamico organicamente inteso e indirettamente riconducibile ad un interessato, la Corte di Lussemburgo si è concentrata sulla finalità di legittimo interesse oggetto del trattamento dati del quale il signor Breyer aveva chiesto l’inibizione.
A tal proposito, i giudici UE hanno dunque affermato innanzitutto che dal momento in cui “l’articolo 7 della suddetta direttiva prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere nuovi principi relativi alla legittimazione del trattamento dei dati personali del suddetto articolo né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo” la normativa di cui al ricorso principale si pone in contrasto con le disposizioni generali della legislazione UE in materia di privacy.
In secondo luogo, il paradigma del “legittimo interesse del data controller” dovrebbe essere sempre interpretato, previo bilanciamento di interessi, “nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi”.
In conclusione, rinviando il caso alla competente corte nazionale, i giudici di Lussemburgo hanno stabilito come non solo sia possibile considerare gli IP dinamici coperti dalle tutele di cui alla normativa privacy anche in presenza di esigenze di cyber security; ma anche come l’indiretta riconducibilità vada ad impattare, sebbene non espressamente, anche sulle tecniche di cd. “pseudonimizzazione” adottate da un titolare di trattamento nel momento in cui dovesse intervenire a rendere non direttamente riconoscibili – se non “per combinazione” con altre informazioni – i dati personali di un interessato.
Tali risvolti interpretativi, la cui portata più o meno restrittiva è ancora tutta da valutare, potrebbero così addirittura arrivare ad avere un’incidenza notevole anche sull’attuazione del nuovo Regolamento privacy UE e delle sue disposizioni in materia di sicurezza dei dati.
(Corte di Giustizie UE - Seconda Sezione, Sentenza 19 ottobre 2016, causa C-582/14)