Corte UE: i gestori dei siti web possono conservare indirizzi IP
Il gestore di un sito Internet può avere un interesse legittimo a conservare determinati dati personali dei visitatori per difendersi dagli attacchi cibernetici. Lo ha stabilito la Corte di Giustizia europea che si espressa su un caso avvenuto in Germania. Qui, infatti, un utente internet si è opposto dinanzi ai giudici tedeschi alla registrazione e alla conservazione dei suoi indirizzi di protocollo Internet (indirizzi IP) da parte dei siti Internet dei servizi federali tedeschi da lui consultati. Tali servizi registrano e conservano, oltre alla data e all’ora della consultazione, gli indirizzi IP dei visitatori al fine di difendersi dagli attacchi cibernetici e di rendere possibili le azioni penali. L’indirizzo di protocollo Internet dinamico di un visitatore costituisce, per il gestore del sito, un dato personale che gli consentono per fini giuridici di far identificare il visitatore interessato.
La Corte federale di giustizia tedesca si è rivolta alla Corte di giustizia europea per sapere se, in tale contesto, gli indirizzi IP “dinamici” costituiscano anch’essi, per il gestore del sito Internet, un dato personale, e godano quindi della tutela prevista per simili dati.
Un indirizzo IP dinamico è un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Pertanto, solo il fornitore di accesso a Internet dispone delle informazioni aggiuntive necessarie per identificarlo.
La Corte tedesca rileva, al riguardo, che la maggior parte della dottrina nazionale interpreta la normativa nazionale in materia nel senso che tali dati devono essere cancellati alla fine della sessione di consultazione, a meno che non siano richiesti a fini di fatturazione.
Con la sua sentenza, la Corte UE risponde, anzitutto, che un indirizzo IP dinamico registrato da un gestore di un sito Internet costituisce, nei confronti del gestore, un dato personale qualora esso disponga di mezzi giuridici che gli consentano di far identificare il visitatore grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di quest’ultimo dispone. La Corte ricorda che, secondo il diritto dell’Unione, il trattamento di dati personali è lecito, tra l’altro, se necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o diritti e le libertà fondamentali della persona interessata.
La normativa tedesca sembra invece ridurre la portata di tale principio, escludendo che l’obiettivo di garantire il funzionamento generale del medium online possa essere bilanciato con l’interesse o i diritti e le libertà fondamentali dei visitatori. In tale contesto, la Corte sottolinea che i servizi federali tedeschi che forniscono servizi di media online potrebbero avere un interesse legittimo a garantire, al di là di ciascuna effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti.
