Il GDPR per le piccole (e piccolissime) imprese
La recente sentenza resa dalla Corte di Giustizia dell’Unione Europea nella causa C-582/14, Patrick Breyer / Bundesrepublik Deutschland, in data 19 ottobre 2016 ha goduto di una breve e vasta popolarità in ordine alla riconduzione degli indirizzi IP dinamici nell’alveo dei dati personali, nel caso in cui il titolare possa avvalersi di mezzi giuridici che gli consentano far identificare l’utente grazie alle informazioni aggiuntive di cui disponga il provider di accesso a Internet del medesimo utente. Ciò avviene, ad esempio, in caso di attacchi cibernetici, quando il fornitore di servizi di media online possa rivolgersi all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal provider di accesso a Internet e per avviare successivamente procedimenti penali. Non è necessario, cioè, che egli disponga di strumenti che gli consentano di assumere direttamente le informazioni detenute dal provider di accesso, ma è sufficiente che abbia il potere di rivolgersi all’Autorità che provvederà ad assumere le iniziative del caso.
La posizione della Corte non sorprende: come ha rilevato essa stessa, infatti, già era stato considerato dato personale l’IP, però statico, nella sentenza del 24 novembre 2011, Scarlet Extended (C‑70/10), che verteva sull’interpretazione della medesima direttiva: al punto 51 si dichiarava che gli indirizzi IP degli utenti di Internet costituivano dati personali ricadenti nella sfera di tutela della Direttiva 95/46/CE, poiché consentono di identificare in modo preciso tali utenti. Tuttavia, tale affermazione della Corte era relativa all’ipotesi in cui la raccolta e l’identificazione degli indirizzi IP degli utenti di Internet fossero stati effettuati dai provider di accesso a Internet, cioè soggetti che avevano tutte le informazioni necessarie per procedere all’identificazione. Nel caso deciso da ultimo, invece, il titolare era il fornitore del servizio di media online, che, come detto, non possedeva autonomamente tutte le informazioni relative all’utenza, e poteva associare le informazioni in suo possesso all’identità di una persona solo quando questa avesse anche provveduto a identificarsi sul sito. Tuttavia l’approdo al quale è giunta la Corte di Giustizia non costituisce una novità, dato che anche il Gruppo di lavoro ex art. 29 già aveva inquadrato l’Ip dinamico come dato personale sin dal 2000, si veda ad esempio il WP 37, documento di lavoro “Tutela della vita privata su Internet – Un approccio integrato dell’EU alla protezione dei dati on-line-“, nonché il WP136 “Parere 4/2007 sul concetto di dati personali”.
Il caso
In estrema sintesi, il signor Breyer, cittadino tedesco, aveva visitato dei siti federali che avevano conservato il suo indirizzo IP (dinamico) e lamentava una lesione della propria privacy ritenendo che l’indirizzo IP fosse stato conservato dai fornitori di servizi web oltre gli stretti limiti per cui la normativa tedesca ammette la conservazione. Il Giudice di primo grado aveva rigettato le sue richieste, ma il giudice di appello aveva riformato parzialmente la decisione ritenendo che la Repubblica federale di Germania dovesse astenersi dal conservare o dal far conservare da terzi, al termine di ogni consultazione, l’indirizzo IP del sig. Breyer- trasmesso all’atto della consultazione- qualora tale indirizzo fosse conservato unitamente alla data della sessione di consultazione e qualora il sig. Breyer avesse rivelato la propria identità durante tale sessione, anche sotto forma di un indirizzo elettronico che menzionasse la sua identità. In altre parole, il giudice di appello riteneva che l’indirizzo IP dinamico potesse essere considerato dato personale solo ove associato a dati identificativi del signor Breyer, e non in altri casi, nei quali non fosse possibile per il fornitore di servizi web associare direttamente l’indirizzo IP all’identità del medesimo signore, non potendo accedere ai dati relativi all’utenza, detenuti da un diverso soggetto: il provider di accesso.
Per la Corte di Giustizia, però, il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet siano detenute non dal fornitore di servizi di media online, ma dal provider di accesso a Internet di tale utente non ha rappresentato un fatto idoneo a escludere che gli indirizzi IP dinamici registrati dal fornitore di servizi di media online costituiscano, per quest’ultimo, dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46.
Per la Corte, tuttavia, occorreva determinare se la possibilità di combinare un indirizzo IP dinamico con le suddette informazioni aggiuntive detenute da detto fornitore di accesso a Internet costituisse un mezzo che può essere ragionevolmente utilizzato per identificare la persona interessata.
Così non sarebbe se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera, facendo così apparire in realtà insignificante il rischio di identificazione. Ma, ha osservato la Corte di Giustizia, sebbene il diritto nazionale tedesco non consenta al provider di accesso a Internet di trasmettere direttamente al fornitore di servizi di media online le informazioni aggiuntive necessarie all’identificazione della persona interessata, sembra tuttavia che esistano strumenti giuridici che, in particolare in caso di attacchi cibernetici, permettono al fornitore di servizi di media online di rivolgersi all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal provider di accesso a Internet e per avviare le iniziative del caso. Pertanto, il fornitore di servizi di media online disponeva, nel caso di specie, di mezzi che possono essere ragionevolmente utilizzati per identificare la persona interessata sulla base degli indirizzi IP conservati, sebbene con l’aiuto di altri soggetti, ossia l’autorità competente e il provider di accesso a Internet. La Corte giungeva così a considerare l’indirizzo IP dinamico come dato personale, ma solo quando il fornitore di servizi web disponga di mezzi giuridici che gli consentano di identificare l’interessato.
Tuttavia non era questo questo l’unico quesito sottoposto alla Corte di Giustizia: appurato che gli indirizzi IP dinamici fossero dati personali, infatti, occorreva comprendere se essi erano stati conservati in conformità al diritto tedesco, il quale ammetteva la conservazione senza consenso solo per particolari esigenze relative alla corretta fatturazione dei servizi, che non assumevano alcuna rilevanza nel caso di specie. Qui la conservazione, infatti, era volta a garantire il corretto funzionamento del sito, consentendo, in particolare, di riconoscere gli attacchi informatici detti «denial of service» («negazione di servizio»)- attacchi, cioè, che sono volti a paralizzare il funzionamento dei siti web inondando in modo mirato e coordinato determinati server Internet di un gran numero di richieste – e di contrastare simili attacchi.
Questa finalità, domandavano in buona sostanza alla Corte i giudici tedeschi, potrebbe rientrare nell’ambito del legittimo interesse del titolare (base giuridica del trattamento ex art. 7 lettera f della direttiva), o l’operatività del legittimo interesse è esclusa dal fatto che la normativa tedesca indichi espressamente le finalità per le quali si può procedere alla conservazione senza consenso, limitandole alle sole esigenze connesse alla corretta fatturazione dei servizi?
La Corte di Giustizia e i limiti del legittimo interesse
In ordine al legittimo interesse la Corte di Giustizia ha stabilito il seguente principio di diritto: “L’articolo 7, lettera f), della direttiva 95/46 dev’essere interpretato nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi”.
Appare molto interessante, a parere di chi scrive, l’iter logico giuridico seguito dalla Corte di Giustizia per giungere a tale principio: la Corte, infatti, muove ricordando che ai sensi dell’articolo 7, lettera f), della direttiva sulla tutela dei dati personali, il trattamento di dati personali è legittimo se «è necessario per il perseguimento del legittimo interesse del titolare (NDA: in realtà nel testo è “responsabile”, per i problemi relativi al disallineamento delle traduzioni rinvio a questo post) del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1» di tale direttiva. Poi la Corte richiama i propri precedenti, rammentando come abbia già dichiarato che l’articolo 7 della suddetta direttiva prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere nuovi principi relativi alla legittimazione del trattamento dei dati personali del suddetto articolo né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo (v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, punti 30 e 32).
La Corte riconosce che l’articolo 5 della direttiva 95/46 autorizza gli Stati membri a precisare, nei limiti delle disposizioni del capo II di tale direttiva e, quindi, dell’articolo 7 della stessa, le condizioni alle quali i trattamenti dei dati personali sono leciti, “il margine discrezionale di cui, in forza di detto articolo 5, dispongono gli Stati membri può essere utilizzato soltanto in conformità all’obiettivo perseguito dalla direttiva suddetta, consistente nel mantenere l’equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata. Gli Stati membri non possono introdurre, sulla base dell’articolo 5 della stessa direttiva, principi relativi alla legittimazione del trattamento dei dati personali diversi da quelli enunciati all’articolo 7 della medesima, né modificare con requisiti supplementari la portata dei sei principi previsti da detto articolo 7 (v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, punti 33, 34 e 36)”.
Per la Corte, la normativa tedesca non si limita a precisare l’ambito di applicazione del legittimo interesse del titolare, ma lo restringe indebitamente. Prosegue la Corte: “A tale riguardo, occorre altresì ricordare che l’articolo 7, lettera f), della suddetta direttiva osta a che uno Stato membro escluda in modo categorico e generalizzato la possibilità che talune categorie di dati personali siano oggetto di trattamento, senza consentire la ponderazione dei diritti e degli interessi contrapposti in gioco nel caso specifico. Uno Stato membro non può quindi stabilire per tali categorie, in modo definitivo, il risultato della ponderazione dei diritti e degli interessi contrapposti, senza consentire un diverso risultato in ragione delle circostanze specifiche del caso concreto (v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, punti 47 e 48).”
La Corte quindi mostra di ritenere che una normativa come quella tedesca rilevante per il caso in commento, riducesse la portata del principio previsto all’articolo 7, lettera f), della direttiva 95/46, con riferimento al trattamento di dati personali degli utenti di siti di media online, dato che escludeva che l’obiettivo di garantire il funzionamento generale di tale medium online potesse essere oggetto di ponderazione con l’interesse o i diritti e le libertà fondamentali di detti utenti, contravvenendo così al dettato della direttiva.
Seppure la sentenza si è limitata ad individuare un solo caso di legittimo interesse, quello connesso alla fattispecie in esame, i principi generali ribaditi dalla Corte appaiono particolarmente significativi, aprendo sacche possibile di operatività per il legittimo interesse anche nel nostro Paese in materie ove si fatica a trovare un punto di appoggio per la liceità del trattamento in assenza di norme specifiche, come nel caso del whistleblowing, o in vista dell’adeguamento al Regolamento Generale sulla protezione dei dati che, ad esempio, considera il marketing diretto nel novero dei legittimi interessi del titolare (occorre però ricordare come il marketing con strumenti automatizzati ricada sotto la direttiva e-privacy, ancora non riformata).
Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.
Articoli correlati
