venerdì, Marzo 29, 2024
Uncategorized

Gli “identificatori on line”: cookie e indirizzi IP come dati personali?

cookie

Il 27 aprile 2016 il Parlamento e il Consiglio dell’Unione europea hanno approvato il Regolamento 2016/679[1] relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. L’atto entrerà in vigore il 25 maggio 2018, al dichiarato scopo di concedere agli Stati nazionali il tempo per predisporre adeguatamente gli ordinamenti interni e tra le innumerevoli novità, riconosce espressamente che gli identificatori on line sono dati personali veri e propri. Il termine identificatori on line non è definito nel GDPR, ma è pacificamente inteso come inclusivo di cookie e indirizzi IP.

Innanzitutto occorre partire dal concetto di dato personale. Di cosa si tratta esattamente? Ai sensi dell’art. 4, comma 1, nr. 1 del GDPR, si tratta di qualsiasi informazione riguardante una persona fisica identificata o identificabile, (“interessato”). “Si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Di conseguenza l’interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa la finalità e modalità del trattamento ed i loro diritti e qualora il trattamento sia basato sul consenso, ai sensi dell’art. 7, il titolare deve essere in grado di dimostrare che l’interessato ha prestato specificamente il proprio consenso al trattamento dei dati stessi.

Alla luce di quanto detto, possiamo realmente definire anche i cookie e gli indirizzi IP come veri e propri dati personali?

Per i cookie la risposta sembra essere indubbiamente affermativa ed infatti si è provveduto a darne una regolamentazione molto stringente con la celebre “Cookie Law[2]”, in vigore dal 2 giugno 2015.

I cookie non sono altro che dei piccoli file di testo che contengono delle informazioni, in particolare un identificativo (Id) univoco, in modo da distinguere gli utenti collegati, una data di scadenza e uno schema che individua il dominio di riferimento (il sito che rilascia il cookie).

Esistono Cookie tecnici tipo quelli “strettamente necessari” o essenziali (Strictly necessary), che non registrano particolari comportamenti, ma servono solamente per mantenere il collegamento tra il server e il browser dell’utente, vengono utilizzati per registrare temporaneamente i dati dei carrelli elettronici, per identificare e mantenere il collegamento durante la navigazione in aree riservate. Normalmente questi cookie sono di tipo non persistente e la loro finalità è relativa solamente all’accesso funzionale al sito. La medesima tecnicità caratterizza anche i Cookie di tipo funzionale alla navigazione (Functionality cookie), che registrano le scelte dell’utente per permettergli ad esempio di ricordarsi il login, di registrare i prodotti nel carrello e ritrovarseli la prossima sessione, per salvare la lingua selezionata dall’utente, ovvero tutti quei cookie la cui finalità è offrire un’esperienza di navigazione migliorativa e più personalizzata all’interno dell’erogazione di un servizio e di un accesso. Poi esistono Cookie di tipo Statistico (Performance cookie) che permettono di registrare comportamenti statistici come ad esempio i cookie di Google Analytics o di altri motori di statistiche web. Infine, tra i più celebri, ricordiamo i Cookie di tipo pubblicitario (Advertising cookie) ovvero tutti quei cookie che registrano dati di comportamento di navigazione all’interno del sito o di acquisto, la cui finalità è utilizzarli per proporre offerte commerciali personalizzate mentre si naviga sulle pagine, o per inviare successivamente via mail offerte pubblicitarie.

Per quanto riguarda invece gli indirizzi IP (Internet Protocol) la questione è più complessa.

La recente decisione della Corte di Giustizia Europea[3] sull’interpretazione della Direttiva 95/46/CE[4] nel caso “Breyer” ne è un esempio lampante.

La vicenda a monte della questione pregiudiziale sollevata dalla Corte di Giustizia Federale della Germania nasce nell’ambito di una controversia sorta tra la Repubblica Federale tedesca e Patrick Breyer, membro del Partito Pirata, riguardante l’accusa di trattamento illecito di dati personali che il suddetto avanzava verso un ufficio tacciato di avere indebitamente raccolto e conservato senza scadenza il suo indirizzo IP. Tale informazione, infatti, lamentava il ricorrente, benché di natura “dinamica” e pertanto difficilmente riconducibile in via diretta alla sua persona, avrebbe comunque potuto essere ricollegata a lui, e di conseguenza avrebbe dovuto richiedere il suo consenso.

Dal canto suo, la Germania si era difesa sostenendo che:

  1. la legge tedesca in materia di cyber-crime, prevede la possibilità per gli amministratori dei siti internet governativi di memorizzare i dati relativi agli accessi degli utenti (cioè nome del dominio, termini di ricerca, data e ora della sessione, volume di dati trasferiti e indirizzo IP del computer da cui è partita la richiesta di accesso) fino al termine della loro sessione di consultazione al fine di contrastare eventuali attacchi informatici e perseguire gli aggressori;
  2. l’indirizzo IP del signor Breyer era stato legittimamente considerato coperto dal dettato della normativa e come tale conservato nei file di log;
  3. solo il provider, e non il gestore del sito, potevano identificare eventualmente l’utente.

La Corte UE, investita della questione, ha innanzitutto rilevato come, nonostante in linea generale, un indirizzo IP dinamico non costituisca un’informazione riferita a una “persona fisica identificata”, la definizione di “dato personale”, fornita dall’art. 2 della Direttiva 95/46, induca chiaramente a ritenere che affinché “un dato possa essere qualificato come [tale] non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata”. Al contrario, infatti, “il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito internet siano detenute non dal fornitore di servizi di media on line, ma dal fornitore di accesso a internet di tale utente non pare quindi idoneo a escludere che gli indirizzi IP dinamici registrati da [tale] fornitore costituiscano dati personali ai sensi della Direttiva 95/46”.

Un indirizzo IP dinamico non identifica una persona fisica, ma appunto consente l’identificabilità dell’individuo (intestatario del contratto di accesso) tramite l’incrocio con ulteriori informazioni eventualmente detenute da terzi, quali il provider che, appunto, raccoglie nei log dati sufficienti per individuarlo.

Tuttavia, i giudici di Lussemburgo hanno ribadito come, nonostante gli indirizzi IP siano indubbiamente da considerare dati personali, e come tali coperti dalle tutele di cui alla normativa privacy, i gestori dei siti web siano comunque autorizzati al trattamento degli stessi in assenza di un consenso, per motivi di sicurezza (quali esigenze di protezione della rete e del sito web, e quindi di ricerca dei responsabili di attacchi informatici). Ovviamente la loro raccolta non è ammessa per fini diversi, quali ad esempio il contrasto alle violazioni del copyright, non rientrando nei legittimi interessi.

Alla luce di quanto detto, nonostante si tratti di identificatori on line e per questo atipici, sia per i cookie sia per gli indirizzi IP, si tratta sempre e comunque di dati personali, ed in quanto tali, come ricorda il quarto “considerando” del Regolamento UE, «Il trattamento di essi dovrebbe essere sempre e comunque al servizio dell’uomo».

 

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. É entrato in vigore il 24 maggio 2016 (pubblicato sulla Gazzetta Ufficiale dell’Unione europea del 4 maggio 2016) e si applica a decorrere dal 25 maggio 2018. Sostituirà il Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196), pubblicato in Gazzetta Ufficiale n. 174 del 29 luglio 2003, e successive modifiche, in vigore dal 1 gennaio 2004;

[2] Cookie Law, Provvedimento n. 229 dell’8 maggio 2014, pubblicato in Gazzetta Ufficiale n. 126 del 3 giugno 2014, in vigore dal 2 giugno 2015;

[3] Corte di Giustizie UESeconda Sezione,  causa C-582/14, 19 ottobre 2016;

[4] Direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

 

fonte immagine: vishalavalani.com

 

Anna Rovesti

Anna Rovesti nasce a Modena il 31 ottobre 1992. Conseguita la maturità classica, prosegue i suoi studi presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Modena e Reggio Emilia e consegue la laurea a luglio 2016 con il massimo dei voti. La passione e l’interesse per Informatica giuridica e il Diritto dell'informazione e delle comunicazioni la portano ad approfondire in particolar modo queste materie grazie a corsi universitari, seminari di approfondimento e la partecipazione a luglio 2015 tramite l’Associazione ELSA (European Law Student Association) di cui è socia alla Summer Law School di Copenhagen in Media Law. Proprio in quest’ambito decide di redigere la tesi di laurea dal titolo: “Disciplina della libertà di stampa alla prova delle nuove comunicazioni telematiche. Libertà di espressione e di informazione tra ordinamento italiano e prospettive sovranazionali”. Grazie a un tirocinio formativo presso COOPSERVICE S. Coop. p. A. in area legale-privacy, riesce a mettere a frutto l'interesse per questo ambito, affiancando il tutor aziendale e le figure senior dell’ufficio nella gestione della modulistica, di comunicati, lettere, avvisi e convocazioni d’uso comune legati alla normativa sulla protezione dei dati personali. Attualmente lavora come praticante consulente del lavoro in uno studio di Modena prestando consulenza legale in materia giuslavoristica e nella gestione delle risorse umane (gestione del personale inviato all'estero con assistenza contrattuale fiscale e previdenziale, assistenza giudiziale e stragiudiziale in controversie inerenti il rapporto di lavoro, assistenza nelle procedure concorsuali e di licenziamento individuale e collettivo, trattative sindacali inerenti a contratti integrativi aziendali, gestione di survey aziendali finalizzate all'implementazione di piani di welfare, assistenza nella predisposizione di piani relativi ai premi di produzione e di risultato, ecc). La sua collaborazione con “Ius in itinere” nasce dal desiderio di mettersi in gioco come giurista, studiosa e giovane lavoratrice alle prese con il mondo del diritto, tanto complesso quanto affascinante. Una forte determinazione, senso del dovere e capacità di organizzazione la contraddistinguono nella vita e nel lavoro. Email: anna.rovesti@iusinitinere.it

Lascia un commento