La Corte di Giustizia europea con sentenza datata 19 ottobre 2016 (causa C-582/14) ha chiarito un argomento molto discusso in dottrina e in giurisprudenza e cioè se e quando l’indirizzo IP possa essere considerato un dato personale.
Il caso di specie riguarda un’azione inibitoria promossa da Patrick Breyer contro la Repubblica Federale tedesca, la quale raccoglieva e conservava gli indirizzi IP (indirizzo di protocollo Internet) del sig. Breyer a seguito della consultazione dei siti istituzionali dei servizi federali tedeschi.
Gli indirizzi IP in questione sono “dinamici”, ossia cambiano ad ogni nuova connessione ad Internet dell’utente. La differenza essenziale rispetto agli indirizzi “statici” consiste nel fatto che quelli dinamici non permetterebbero, attraverso file accessibili al pubblico, di identificare il soggetto che sta facendo uso della rete.
Ai fini della decisione, la Corte di Giustizia ha dovuto valutare se un indirizzo IP dinamico possa essere ricondotto all’interno della definizione di dato personale indicata all’articolo 2 della direttiva 95/46/CE cioè “qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”.
La conclusione a cui è giunta è che un indirizzo IP dinamico può costituire un dato personale nei confronti di un fornitore di servizi media online qualora questo disponga dei mezzi giuridici che gli consentono di identificare la persona interessata tramite le informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.
Pertanto, da questa sentenza emerge che un indirizzo IP è un dato personale solamente se è trattato da un soggetto in grado di accedere alle informazioni aggiuntive che permettono di associare l’indirizzo IP ad una persona fisica rendendola quindi identificabile.
Per chiarire tale concetto, basti pensare che un utente che utilizza un indirizzo IP è sicuramente identificabile da parte del proprio provider in forza del contratto che è stato stipulato tra di loro. Quindi, rispetto all’Internet Service Provider, l’indirizzo IP in questione è un dato personale. Se invece con tale indirizzo IP si naviga sulla rete di un altro operatore, quest’ultimo non è in grado di associare l’indirizzo al soggetto. Pertanto l’IP non potrà essere considerato un dato personale, a meno che l’utente non riveli la propria identità, ad esempio tramite una registrazione, durante la sessione.