Indirizzo IP: può essere considerato un dato personale?

L’Avvocato generale della Corte di Giustizia dell’Unione europea (CGUE) ha emesso il 18 maggio 2016 il proprio parere sul caso di Patrick Breyer c. Repubblica Federale Tedesca secondo cui un Indirizzo Internet Protocol (Indirizzo IP) dinamico rientra nell’ambito di applicazione della Direttiva europea sulla protezione dei dati personali (Dir. 95/46/Ce).

Il contenzioso europeo nasce dal fatto che in Germania lo Stato ha facoltà di salvare l’indirizzo IP dei visitatori dei siti ufficiali delle diverse pubbliche amministrazioni tedesche. La questione pertanto sollevata concerne l’applicabilità o meno della direttiva europea sulla privacy: a norma dell’Avvocato generale, infatti, un indirizzo IP dinamico, memorizzato a causa della connessione ad un portale web, è considerabile quale dato personale se colui che lo memorizza è in grado – incrociando l’indirizzo IP con altre informazioni sull’utente a sua disposizione – di risalire all’identità personale dell’individuo cui quel determinato indirizzo si riferisce.

Qual è, però, il rischio di una non applicabilità della normativa europea in materia di protezione dei dati personali?

Com’è noto, la disciplina prevede un periodo massimo di data retention (ovvero di conservazione delle informazioni), ragion per cui, ove si opti per la non applicabilità della normativa privacy europea, coloro che hanno immagazzinato tante e tali informazioni concernenti gli indirizzi IP dinamici saranno autorizzati a conservarle per un tempo indeterminato, ovvero senza limite di tempo alcuno. In qualunque momento potranno, pertanto, utilizzarli incrociandoli con altri dati a loro disposizione e saranno in grado di risalire all’identità di utenti determinati.

Il Governo tedesco, dal canto suo, sostiene che l’indirizzo IP dinamico non integri un dato personale ai sensi della definizione contenuta nell’art. 4 della Dir. 95/46/Ce. Dovrà esprimersi il Tribunale sul presente contenzioso.