26 ottobre 2009
L’indirizzo I.P. è un dato personale o no?
La domanda non deve sembrare retorica né scontata. Tra l’altro è stata oggetto di ampie discussioni tra giuristi appassionati della materia. Partiamo dal dato normativo:
D.Lgs. n.196/2003, art. 4, comma 1, lettera b):
b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
La definizione di indirizzo I.P. dinamico: Un Indirizzo IP è un numero che identifica univocamente un dispositivo collegato a una rete informatica che comunica utilizzando lo standard IP
Fondamentalmente le posizioni emerse dal dibattito sono le seguenti: la prima che legge il dato normativo contestualizzandolo nelle specifiche realtà, per cui l’indirizzo I.P. sarebbe dato personale solamente quando il “titolare del trattamento” possa collegarlo a qualche altro dato che consenta una identificazione univoca del soggetto giuridico al quale tale indirizzo si riferisce.
La seconda che legge il dato normativo “as is” come si suole dire, e pertanto ritiene che la lettera della norma non possa consentire questa ulteriore suddistinzione.
Prima di passare ad esaminare nel dettaglio le posizioni appena menzionate, un esempio potrà essere chiarificatore: se l’indirizzo I.P. dinamico del c.d. “navigatore” non è un dato personale, allora, per esempio, tutti i siti non dovrebbero fornire una adeguata informativa ai propri visitatori, in quanto ciò che è possibile rilevare dalla “semplice” navigazione non sarebbe associabile a persone fisiche o giuridiche o enti o associazioni.
A prescindere dal piccolo particolare che i dati desumibili dalla semplice navigazione web sono davvero tanti, tanto è vero che attualmente si parla anche del c.d. “geotagging“, ossia della possibilità di correlare l’indirizzo I.P. con la localizzazione fisica del soggetto, provate ad applicare a voi stessi uno dei tools freeware di questo sito: http://www.all-nettools.com, e poi magari se ne riparlerà.
Tanto per chiarire, con il tool “Enviromental Variable Test” si ricava l’indirizzo I.P. assegnato in quel momento e con quello poi si posso effettuare tante altre “ricerche”…
Una piccola annotazione: il sito del Garante per i dati personali annovera tali dati nella propria “policy del sito“.
D’altra parte, secondo il mio parere, l’esegesi letterale del testo normativo non lascia adito a dubbi; infatti la lettera (b) del comma in questione può e deve essere letto nel seguente modo:
[il dato personale è costituito da] qualunque informazione relativa [ad un soggetto giuridico che sia] identificato o identificabile (e quindi anche in via ipotetica), anche indirettamente (quindi è la norma stessa che ammette la relazione indiretta), mediante riferimento a qualsiasi altra informazione (concetto quanto mai ampio), ivi compreso un numero di identificazione personale (se vogliamo si tratta di una precisazione totalmente inutile, alla luce del test che precede).
Certamente anche in sede consulenziale potrebbe essere “comodo” sostenere la prima ipotesi, anche perché reca con sé una grande diminuzione di “complicazioni” organizzative, procedurali e legali, ma non sono poi così
convinto che si farebbe un “buon servizio” ai propri “clienti”.
Scritto il 26-10-2009 alle ore 15:46
Caro Luca,
trovo molto interessante il tema da te proposto e sicuramente di non semplicissima soluzione.
In via di prima approssimazione, io propenderei per considerare l’indirizzo I.P. un dato personale, e alla stregua di ciò, accordargli la relativa tutela secondo quanto previsto dal ns ordinamento, e in special modo, dal Codice Privacy.
Mi riprometto, però, di leggere con più attenzione norme e giurisprudenza per cercare di tornare sull’argomento e portare un mio contributo più proficuo.
Scritto il 26-10-2009 alle ore 17:21
Beh, prima di tutto grazie per il commento.
Io in linea di massima propendo sempre per le interpretazioni il più possibile aderenti alla norma, inoltre volutamente l’articolo non è molto approfondito proprio per la sua collocazione, ma poiché mi occupo della materia in maniera approfondita, ritengo che spesso non ci si documenti a dovere sull’aspetto “tecnico” della questione, e che in fondo da questo poi derivi una intepretazione delle norme di legge diciamo così “fantasiosa”.
Scritto il 26-10-2009 alle ore 19:48
Concordo con la tua impostazione e anche io ritengo che sia quanto meno doveroso partire, innanzitutto, dal dato normativo.
Effettivamente, le conseguenze di ordine pratico – per gli utenti e per le aziende – legate all’una o all’altra opzione sono tante e rilevanti.
Provo a contribuire ulteriormente alla discussione mettendo in campo altri “materiali”:
- in rete ho reperito un’interessante articolo pubblicato sul tema dal Washington Post:
http://www.washingtonpost.com/wp-dyn/content/article/2008/01/21/AR2008012101340.html?hpid=sec-tech
- ricordo, poi, di aver letto qualcosa relativamente ad uno studio del gruppo di lavoro “Articolo 29″ (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm) che dovrebbe aver sostenuto la tesi che l’indirizzo IP costituisca dato “personale” [da qui si può scaricare il pdf del programma di un seminario pubblico sulla “Protezione dei dati su Internet (Google-DoubleClick e altri studi di casi)” tenutosi il 21 gennaio 2008 a Bruxelles: http://www.europarl.europa.eu/meetdocs/2004_2009/documents/oj/701/701671/701671it.pdf.
Scritto il 27-10-2009 alle ore 13:01
Beh come avrai visto l’intento era (forse chiaramente) provocatorio. Tra l’altro, ad essere precisi vi sono anche decisioni italiane in merito (anche se ne parlano per relazione): http://www.altalex.com/index.php?idnot=2511.
Scritto il 2-11-2009 alle ore 12:35
Anche io propendo sempre per le interpretazioni il più possibile aderenti alla norma e dalla lettera della legge mi pare non vi possano essere dubbi sul fatto che l’indirizzo IP sia un dato identificativo “personale”.
Al riguardo è molto utile leggere quanto scritto dal Garante per la privacy nella sua Newsletter n. 293 del 26 luglio 2007, che fa riferimento al documento approvato dai Garanti UE relativo al concetto stesso di “dato personale” [ WP136: Parere 4/2007 disponibile nel sito ec.europa.eu http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_it.pdf ]
Il punto di partenza è, naturalmente, la definizione di dato personale contenuta nella direttiva europea (“qualsiasi informazione concernente una persona fisica identificata o identificabile”). Nell’intenzione del legislatore comunitario l’ambito del concetto di dato personale è assai ampio (“qualsiasi informazione”), pur con i correttivi che la direttiva stessa prevede. Questa definizione è stata analizzata con l’ausilio di esempi tratti dai casi affrontati nei vari Paesi UE dalle Autorità di protezione dei dati. In particolare, l’esempio n. 15 si riferisce proprio agli indirizzi IP dinamici e, al riguardo, il Gruppo li considera “dati concernenti una persona identificabile”, dichiarando che “i fornitori di accesso Internet e i gestori delle reti LAN possono, utilizzando mezzi ragionevoli, identificare gli utenti Internet cui essi hanno attribuito indirizzi IP, poiché, normalmente, essi “registrano” in un apposito file la data, l’ora, la durata e l’indirizzo IP dinamico assegnato all’utente Internet. Lo stesso dicasi per i fornitori di servizi Internet, i quali detengono un registro sul server HTTP. In questi casi, non vi è dubbio sul fatto che si possa parlare di dati personali ai sensi dell’articolo 2 (a) della direttiva …)”. In particolare, nei casi in cui il trattamento di indirizzi IP viene effettuato per identificare gli utenti di un computer (ad esempio, dal titolare di un diritto d’autore per perseguire l’utente di un computer per violazione di diritti di proprietà intellettuale), il responsabile del trattamento parte dal principio che i “mezzi che possono essere ragionevolmente utilizzati” per identificare le persone esistono, ad esempio nella figura del giudice del ricorso (altrimenti la raccolta delle informazioni non avrebbe senso), e quindi tali informazioni andrebbero considerate dati personali. Un caso particolare è quello di alcuni tipi di indirizzi IP che, in alcune circostanze, non permettono effettivamente di identificare l’utente per vari motivi tecnici ed organizzativi. Si pensi per esempio agli indirizzi IP attribuiti a un computer di un Internet café, dove non è richiesta l’identificazione dei clienti. Si potrebbe affermare che i dati raccolti sull’impiego del computer X per un certo lasso di tempo non consentono di identificare l’utente con mezzi ragionevoli, e quindi non si può parlare di dati personali. Tuttavia, occorre notare che i fornitori di servizi Internet molto probabilmente non sapranno se gli indirizzi IP in questione permettono l’identificazione o meno, e tratteranno i dati associati con quell’IP nello stesso modo in cui trattano le informazioni associate agli indirizzi IP degli utenti debitamente registrati e identificabili. Pertanto, a meno di poter distinguere con assoluta certezza che i dati corrispondano a utenti non identificabili, il fornitore di servizi Internet dovrà trattare tutte le informazioni IP come dati personali, per maggiore sicurezza.
Scritto il 2-11-2009 alle ore 17:45
Mi permetto di chiarire due cose sull’ultimo post:
1) la prima concerne la circostanza che, contrariamente a quanto affermato, esiste un preciso obbligo normativo a carico dei soggetti che forniscano accesso ad internet ai propri clienti di identificare i medesimi, se non altro per quanto disposto dal “famoso” decreto c.d. “Pisanu”, che mi pare abbia ancora valore.
2) in secondo luogo il ragionamento è parzialmente viziato, in quanto i dati “provenienti” dagli indirizzi IP del “provider” (nel caso menzionato) dell’internet cafè, sono riconducibili, appunto, all’internet cafè, così come gli indirizzi IP assegnati ad una società sono riconducibili alla medesima, anche se materialente saranno i lavoratori subordinati e/o comunque i collaboratori della società che di fatto utilizzeranno internet.
Ricordo che esiste anche il D.Lgs n.231/2001, che pone precisi oneri a carico del soggetto che gestisce tali dati, il quale – a mente dell’art.8 del medesimo D.Lgs. – se non riesce ad invididuare la persona fisica che abbia commesso l’illecito, ne risponde direttamente ed in proprio.
In altre parole, se viene commesso un illecito, si risale all’indirizzo IP di provenienza, che “appartiene” al soggetto di turno, che poi avrà l’onere di discolparsi nelle opportune sedi (ammesso che vi riesca
Scritto il 3-11-2009 alle ore 17:58
Giuste osservazioni De Grazia! Ad ogni modo quanto da me riportato è esattamente ciò che contiene il parere 4/07 dei Garanti UE, relativo al concetto di “dato personale”.
Per quanto riguarda il decreto “Pisanu” contro il terrorismo, in effetti esso è stato prorogato dal D.L. n. 207/08 fino al 31 dicembre 2009. Il decreto, se non erro, prevede che chi offre accesso a Internet in un pubblico esercizio o in un circolo privato è tenuto a registrarsi presso la Questura e deve tenere un registro dei dati dei propri clienti o soci che si connettono a Internet. In sostanza c’è l’obbligo di identificazione certa degli utenti della propria rete (tramite carta d’identità o numero di cellulare) e l’obbligo di custodire i dati sul traffico che essi hanno fatto su Internet (il “log file”), in modo che le forze dell’ordine, all’occorrenza, possano consultarlo. Questo vale non solo per gli Internet point, ma anche per qualsiasi privato che, da un esercizio pubblico o da casa propria, voglia dare accesso a Internet a terzi.
Il decreto Pisanu, a detta di molti commentatori, è uno dei principali motivi per cui in Italia è così raro potersi collegare a Internet da un bar, un ristorante, una piazza o una stazione, mentre negli altri Paesi europei e nord americani è una cosa normale. In nome della “lotta al terrorismo” i cittadini italiani si trovano di fatto in una specie di stato di “semilibertà vigilata”, almeno per quanto riguarda la diffusione del Wi-Fi free, facendo tra l’altro un gran regalo alle società telefoniche che gestiscono i server a pagamento.
Pienamente d’accordo anche sulla “responsabilità oggettiva” del gestore dell’Internet cafè al quale sono riconducibili gli indirizzi IP degli utenti. E sono pienamente d’accordo anche sull’applicabilità del D.Lgs. n. 231/01 che ha introdotto nell’ordinamento giuridico italiano la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica relativamente alla commissione di alcuni reati, specificamente indicati dal legislatore, tra i quali anche i delitti informatici e il trattamento illecito di dati. Ma qui rischio di uscire dal tema proposto se l’indirizzo IP sia o no un “dato personale”…