La Corte di Giustizia, con la recente decisione del 19 ottobre 2016, si è occupata della questione se un indirizzo di protocollo internet (definito “indirizzo IP”) dinamico possa essere qualificato come dato personale ed essere come tale soggetto alle previsioni di cui alla direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali delle persone fisiche e alla loro libera circolazione nell’Unione.

Il caso sottoposto all’attenzione dei giudici europei era riferito a due questioni pregiudiziali sollevate dalla Corte Federale di Giustizia della Germania (Bundesgerichtshof) nel ricorso presentato dal cittadino tedesco sig. Patrick Breyer avverso la sentenza di appello che aveva parzialmente disatteso le sue argomentazioni. Il caso è sorto a seguito della consultazione da parte del sig. Breyer di vari siti Internet riconducibili a servizi federali tedeschi i quali, per contrastare la pirateria informatica, provvedono a registrare in un file di registro gli accessi effettuati dagli utenti di ciascun sito. I dati relativi agli utenti che vengono memorizzati includono il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del PC a partire dal quale è stato effettuato l’accesso.

A seguito dell’accesso, il sig. Breyer proponeva ricorso dinanzi ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania fosse inibita la conservazione – anche attraverso soggetti terzi – dell’indirizzo IP dell’utente dei siti internet ad essa riconducibili ed in particolare di quello del sig. Breyer per le attività oggetto di causa. A seguito del rigetto del ricorso in primo grado, il giudice d’appello ha ritenuto che un indirizzo IP dinamico costituisce un dato personale solo se l’utente abbia rivelato la propria identità durante la sessione di consultazione del sito stesso. Solo in quel caso, a detta del giudice dell’impugnazione, l’operatore del sito internet sarebbe in grado di identificare l’utente incrociando il suo nome con l’indirizzo IP del suo computer. La disputa è approdata dinanzi alla Corte Federale tedesca la quale ha rimesso alla Corte di Giustizia europea la questione se un indirizzo IP dinamico registrato da un gestore di un sito internet a seguito della consultazione da parte di un utente costituisce, nei confronti di tale gestore, un dato personale ai sensi della direttiva 95/46/CE qualora solamente un terzo, segnatamente il fornitore di accesso a Internet della suddetta persona, disponga delle informazioni necessarie a identificarla.

La Corte di Giustizia, dopo aver constatato che risulta pacifico che l’indirizzo IP statico consente di individuare in maniera inequivoca e permanente il dispositivo connesso alla rete, ha affermato che il gestore della pagina internet sarebbe in grado di identificare l’utente che accede alla sua pagina attraverso un indirizzo IP dinamico esclusivamente attraverso ulteriori informazioni generalmente fornite da un soggetto terzo (il fornitore di accesso ad internet dell’utente stesso). Per tali ragioni, al fine di qualificare un indirizzo IP dinamico come dato personale e come tale soggetto alla direttiva in questione, a detta della Corte è necessario verificare se la possibilità di combinare un indirizzo IP dinamico con le informazioni aggiuntive detenute dal fornitore di accesso ad internet costituisca un mezzo che può essere ragionevolmente utilizzato dal gestore della pagina internet per identificare la persona interessata. Nel caso di specie la Corte ha precisato che il diritto nazionale tedesco non consente al gestore della pagina internet di ottenere dal fornitore di accesso ad internet, a semplice richiesta, le informazioni aggiuntive in grado di identificare l’utente che utilizza un indirizzo IP dinamico. Sono tuttavia previsti strumenti giuridici che consentono al fornitore di servizi di media online di rivolgersi, nel particolare caso di attacchi cibernetici, all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal fornitore di accesso ad internet e per avviare procedimenti penali.

Sulla base di tale circostanza la Corte ha concluso che l’indirizzo IP dinamico registrato da un gestore di una pagina internet in occasione della consultazione da parte di un utente costituisce un dato personale nei confronti di tale gestore se esso disponga dei mezzi giuridici che gli consentano di far identificare la persona interessata attraverso le informazioni aggiuntive in possesso del fornitore di accesso ad internet. Di conseguenza il gestore della pagina internet può raccogliere e impiegare dati personali di un utente, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire l’effettiva fruizione dei servizi offerti dalla pagina internet da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi.