Dati personali e cybersicurezza: la decisione Breyer della Corte di giustizia
Daniela Marrani, Università degli Studi di Salerno
1.La sentenza della Corte di giustizia dell’Unione europea, resa il 19 ottobre 2016 (C- 582/14, Breyer), è particolarmente importante in quanto precisa le condizioni in base alle quali un indirizzo IP dinamico (sequenza numerica assegnata in maniera temporanea dai fornitori di accesso alla rete ai loro clienti), registrato da un fornitore di servizi di media on-line, è qualificato come dato personale ai sensi dell’art. 2 lettera a) dalla Direttiva 95/46 del 1995.
Si tratta della prima pronuncia della Corte UE in materia di protezione dei dati personali nei confronti di un fornitore di contenuti. L’approccio funzionale della Corte di giustizia è decisivo nel delineare, per via interpretativa, una nozione comunitaria di “dato personale” che vincola tutti gli Stati membri. Allo stesso tempo, la pronuncia della Corte offre una interpretazione dell’articolo 7, lettera f) della medesima direttiva, affermando che costituisce interesse legittimo di un fornitore di servizi di media on-line quello di tutelarsi da possibili attacchi cibernetici, e ribadisce il carattere non assoluto del diritto alla protezione dei dati personali. Quanto precisato dalla Corte UE appare di particolare rilievo anche nella prospettiva dell’entrata in vigore (nel maggio 2018) della nuova disciplina comunitaria sulla protezione dei dati personali (Regolamento n. 2016/679).
2.La sentenza in esame trae origine da una richiesta di pronuncia pregiudiziale sollevata nell’ambito di una controversia tra un cittadino tedesco, il signor Patrick Breyer, membro del Parlamento dello Schleswig-Holstein (stato federato della Germania), e la Repubblica federale di Germania. Il sig. Breyer aveva presentato un’azione inibitoria volta ad ottenere la condanna della Repubblica federale di Germania ad astenersi dal registrare e dal conservare i suoi indirizzi IP al termine delle sessioni di consultazione dei siti internet accessibili al pubblico gestiti dai servizi federali tedeschi, salvo che la memorizzazione non fosse necessaria, in caso di guasto, al ripristino della disponibilità del servizio di telecomunicazione. La domanda era stata rigettata in primo grado e parzialmente accolta in appello: l’inibitoria era subordinata alla condizione che il ricorrente avesse rivelato la propria identità nel corso della sessione di consultazione, anche sotto forma di un indirizzo e-mail. Entrambe le parti hanno proposto un ricorso per cassazione dinanzi al Bundesgerichtshof (Corte federale di giustizia della Germania), il quale ha sospeso il procedimento, sottoponendo ai giudici di Lussemburgo un duplice quesito, concernente: a) la qualificazione degli indirizzi IP «dinamici» come “dati personali” per il fornitore di servizi di media on-line, ai fini della tutela prevista dalla Direttiva europea sulla protezione dei dati personali n. 95/46; b) la legittimità del trattamento dei dati personali di un utente senza il suo consenso al fine di perseguire l’interesse legittimo del fornitore di servizi di media on-line al funzionamento in generale del sito e alla sicurezza.
3.La prima questione attiene alla qualificazione degli indirizzi IP dinamici come dati personali. La nozione di “dato personale” delineata dall’art. 2 lettera a) della direttiva 95/46 è ampia e si presta ad una interpretazione elastica. La stessa, infatti, comprende: «qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”)». Si considera identificabile «la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d’identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale». A tale fine, il considerando 26 della direttiva suggerisce di «prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona». Il Gruppo di lavoro “Articolo 29” per la tutela delle persone con riguardo al trattamento dei dati personali (organismo indipendente con funzione consultiva istituito a norma della Direttiva 95/46) ha ritenuto che gli indirizzi IP dinamici siano da considerare come dati personali nel caso di trattamento effettuato sia da fornitori di accesso ad internet sia da fornitori di servizi di media on-line (v. Parere 4/2007). Tuttavia, la situazione negli Stati membri è piuttosto diversificata, come emerge dal rapporto: Study of case law on the circumstances in which IP addresses are considered personal data (time.lex, 2011). La dottrina si è sempre mostrata riluttante a qualificare l’indirizzo IP dinamico come dato personale. Nella prassi, sia europea che nordamericana, in molti casi i giudici hanno dovuto intimare agli internet service providers di rivelare l’identità di soggetti associati a determinati indirizzi IP, al fine di perseguire comportamenti illeciti. Si tratta, in particolare, di azioni a tutela della proprietà intellettuale (copyright), di azioni volte a salvaguardare la dignità o la reputazione di persone offese mediante l’utilizzo della rete. Non sempre i giudici sono stati propensi ad intimare al fornitore di accesso ad internet di comunicare l’identità associata ad un indirizzo IP dinamico in quanto un certo grado di anonimato è connaturato all’utilizzo della rete ed è strettamente correlato all’esercizio della libertà di espressione e di manifestazione del pensiero.
Nella sentenza Scarlet Extended del 24 novembre 2011 (C-70/10) la Corte considerava l’ipotesi di identificazione mediante un indirizzo IP dinamico effettuata dagli stessi fornitori di accesso a internet (i quali dispongono dei dati personali di tutti i loro utenti). Nel caso Breyer, invece, al fine di determinare se un indirizzo IP dinamico costituisca un dato personale nei confronti di un fornitore di servizi di media on-line «occorre verificare se un indirizzo IP siffatto, registrato da un tale fornitore, possa essere qualificato come informazione riferita a una “persona fisica identificabile”, qualora le informazioni aggiuntive necessarie per identificare l’utente di un sito internet che detto fornitore di servizi rende accessibile al pubblico siano detenute dal fornitore di accesso a internet dell’utente medesimo» (punto 39 della sentenza).
Come rilevato dall’Avvocato Generale M. Campos Sánchez-Bordona, si tratterebbe di un mezzo di identificazione “ragionevole”. Infatti, l’ordinamento tedesco, pur vietando al fornitore di accesso a internet di trasmettere direttamente le informazioni aggiuntive necessarie all’identificazione della persona interessata, consente al fornitore di servizi di media on-line di rivolgersi, in particolare in caso di attacchi cibernetici, all’autorità competente affinché la stessa assuma le iniziative necessarie per ottenere tali informazioni dal fornitore di accesso a internet. L’identificazione dell’utente potrebbe essere esclusa soltanto qualora fosse: 1) vietata dalla legge; o 2) praticamente irrealizzabile a causa di un dispendio di tempo, di costo e di manodopera tali da minimizzare il rischio di identificazione (punto 46 della sentenza).
Nel caso in esame, pertanto, la Corte ritiene che un IP dinamico costituisca un dato personale ai sensi dell’art. 2 lettera a) della direttiva 95/46 se il fornitore di servizi di media on-line disponga dei mezzi giuridici che gli consentano di far identificare la persona interessata mediante le informazioni aggiuntive di cui disponga il terzo, fornitore di accesso ad internet della stessa.
L’approccio funzionale della Corte di giustizia consente di superare le speculazioni dottrinali in merito alla qualificazione o meno di un indirizzo IP dinamico come dato personale. In specie, nella dottrina tedesca, sono emersi due orientamenti contrapposti: il primo, definito “assoluto/oggettivo”, ritiene sufficiente che l’identificazione della persona interessata sia possibile associando l’indirizzo IP dinamico con i dati forniti da un terzo; il secondo, definito relativo/soggettivo, invece, non ritiene sufficiente la possibilità di disporre dell’ausilio di un terzo ma richiede di verificare se il soggetto che detiene i dati disponga o meno dei mezzi necessari per utilizzare tali dati ai fini dell’identificazione (su entrambe le posizioni dottrinali v. Schreibauer, M., in Kommentar zum Bundesdatenschutzgesetz. Nebengesetze, Esser, M., Kramer, P., e von Lewinski, K. (ed.), Carl Heymanns Verlag/Wolters Kluwer, Colonia, 2014, 4ª ed., § 11 Telemediengesetz, da 4 a 10). La Corte non prende posizione su tali orientamenti dottrinali ma sembra propendere per l’orientamento relativo/soggettivo quando focalizza la propria attenzione sulla disponibilità in concreto di mezzi giuridici che consentano al fornitore di servizi di media on-line di ottenere le informazioni utili all’identificazione della persona interessata dal fornitore di accesso alla rete internet. La possibilità di combinare informazioni personali archiviate presso soggetti diversi al fine di identificare una persona determinata potrebbe verificarsi anche con riguardo a dati di natura diversa, ad esempio ID personali. Inoltre, la pronuncia della Corte di giustizia potrebbe avere delle ricadute sulle discipline nazionali in materia di profiling digitale.
Nella prospettiva resa attuale dal progresso tecnologico di accedere a strumenti sempre più sofisticati di raccolta e trattamento dei dati personali (evidenziata dall’Avvocato Generale al punto 66 delle Conclusioni), si giustifica una interpretazione elastica di dato personale. Per tale ragione, con riferimento agli IP dinamici è stata esclusa la natura di dati personali soltanto nell’ipotesi in cui non consentano con certezza l’identificazione, come nel caso degli utenti di un cybercafé. Lo stesso risultato potrebbe essere ottenuto, ad esempio, mediante tecniche di anonimizzazione dei dati. Non è escluso, peraltro, che la Corte torni a pronunciarsi in futuro sulla nozione di dato personale al fine di includere ulteriori categorie di dati.
4.Per quanto attiene alla seconda questione, la Corte concentra la sua analisi sull’interpretazione dell’articolo 7, lettera f) della direttiva 95/46, avendo riguardo, in particolare, ai limiti della raccolta e dell’utilizzo dei dati personali di un utente di servizi di media on-line, nel caso in cui lo stesso non abbia fornito il proprio consenso al trattamento.
In tale contesto, i giudici di Lussemburgo sottopongono a critica la disciplina tedesca nella misura in cui consente il trattamento dei dati personali soltanto allo scopo di consentire la fatturazione del servizio on-line e limitatamente alla fruizione dello stesso nell’ambito della relativa sessione di consultazione. Preliminarmente, la Corte precisa che i servizi federali tedeschi, gestori dei siti web, operano in quanto soggetti privati, pertanto al di fuori dell’ambito delle attività dello Stato in materia di diritto penale (circostanza che avrebbe escluso l’applicazione della direttiva 95/46, come previsto dall’art. 3, paragrafo 2, primo trattino della stessa).
Secondo la Corte, in base all’art. 7, lettera f), della direttiva sulla tutela dei dati personali, il trattamento di dati personali è legittimo, in assenza del consenso della persona interessata, se «è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1» di tale direttiva. La Corte continua poi la sua analisi ricordando che l’elenco dei casi in cui il trattamento dei dati personali è lecito, ai sensi dell’articolo 7 della suddetta direttiva, è un elenco esaustivo e tassativo. Pertanto gli Stati membri, pur disponendo di un margine discrezionale che consente loro di precisare le condizioni alle quali i trattamenti sono leciti, «non possono introdurre, sulla base dell’articolo 5 della stessa direttiva, principi relativi alla legittimazione del trattamento dei dati personali diversi da quelli enunciati all’articolo 7 della medesima, né modificare con requisiti supplementari la portata dei sei principi previsti da detto articolo 7» (punto 58 della sentenza).
Orbene, l’articolo 15 del Telemediengesetz (legge sui servizi di telecomunicazione) è suscettibile di critiche per un duplice ordine di motivi. In primo luogo, la norma avrebbe l’effetto di restringere la portata dell’articolo 7, lettera f) della direttiva 95/46 in quanto non terrebbe conto dell’interesse legittimo dei servizi federali tedeschi a garantire, al di là di una singola sessione di consultazione, la continuità del funzionamento del sito, predisponendo rimedi preventivi volti a contrastare eventuali attacchi informatici.
La cybersicurezza può costituire, quindi, un interesse legittimo del gestore del sito internet, come ritenuto anche dal Gruppo di Lavoro “Articolo 29”, il quale precisa inoltre che deve trattarsi di un interesse conforme alla legge, articolato in maniera chiara, e attuale (v. Parere 6/2014). Gli attacchi informatici più frequenti consistono nei c.d. denial of service ovvero attacchi massicci lanciati occasionalmente contro alcuni siti web per saturarli e renderli inoperanti (come rilevato dall’Avvocato Generale, v. punto 84 delle Conclusioni). Tali rischi, enfatizzati dalla decisione della Corte, potrebbero legittimare, in futuro, i gestori di siti web (sia privati che pubblici) ad operare una raccolta sistematica e massiccia dei dati personali dei loro utenti, in assenza di consenso al trattamento.
In secondo luogo, a differenza di quanto previsto dalla direttiva, la disciplina tedesca non consentirebbe di effettuare una ponderazione caso per caso dell’interesse legittimo del fornitore di servizi di media on-line con l’interesse o i diritti e le libertà fondamentali degli utenti dei siti internet in questione in quanto realizzerebbe “a monte” una tale ponderazione (punti 62 e 63 della sentenza).
5.Nella sentenza Breyer, la Corte di giustizia UE, in linea con un filone giurisprudenziale che va consolidandosi in materia di tutela della privacy e dei dati personali (Scarlet Extended, cit.; SABAM, C-360/10; ASNEF e FECEMD, C-468 e 469/10; Digital Rights Ireland e Seitlinger et al., C-293/12 e C-594/12; Google Spain SL e Google Inc., C-131/12; Schrems, C-362/14, su cui v. i post di Oddenino, Nino, Saluzzo) offre una interpretazione di alcune norme generali della direttiva 95/46 improntata ai diritti fondamentali riconosciuti dalla Carta di Nizza e alle libertà e ai principi sanciti dai trattati, con una particolare attenzione alla ponderazione dei diritti e degli interessi contrapposti.
Non poca sorpresa suscita il fatto che la sentenza si concretizza in una puntuale critica alla legge tedesca sulle telecomunicazioni la quale è ritenuta una delle discipline che garantiscono la maggiore protezione dei dati personali nell’Unione europea. Questa critica è senz’altro fondata in quanto evidenzia l’inadempimento dello Stato federale tedesco nel recepimento della direttiva 95/46, nella misura in cui restringe la portata delle norme comunitarie, in specie dell’articolo 7, lettera f). La Corte si era già pronunciata in un caso analogo che riguardava la Spagna (sentenza del 24 novembre 2011, ASNEF e FECEMD, cit.), anticipando quanto affermato nella sentenza in esame: la disciplina nazionale in materia di protezione dei dati personali non può richiedere che i dati oggetto del trattamento effettuato in assenza del consenso della persona interessata e nell’interesse legittimo del responsabile di tale trattamento, oltre al rispetto dei diritti e delle libertà fondamentali di detta persona, figurino in fonti accessibili al pubblico. Quest’ultimo requisito “aggiuntivo” avrebbe l’effetto di restringere la portata dell’articolo 7, lettera f). La Corte, nella medesima sentenza, precisa che la norma ha effetto diretto, riconoscendo in tal modo un potere decisionale considerevole ai gestori dei siti internet (aspetto che avrebbe dovuto essere tenuto presente dal giudice di rinvio).
Come ha precisato in varie occasioni la Corte di giustizia UE, l’armonizzazione delle legislazioni nazionali, nella materia che ci interessa, non si limita, semplicemente, ad una armonizzazione minima, ma «sfocia, in linea di principio, in una armonizzazione completa» (sentenza del 6 novembre 2003, Lindqvist, C‑101/01, punto 96; sentenza ASNEF e FECEMD, cit., punto 29). La finalità di rendere equivalente in tutti gli Stati membri il livello di tutela dei diritti e delle libertà delle persone riguardo al trattamento dei dati personali (considerando 8) al fine di evitare che l’instaurazione e il funzionamento del mercato interno possano essere gravemente perturbati dal divario esistente tra i regimi nazionali applicabili al trattamento dei dati personali (considerando 7) non è facilmente conciliabile con il mantenimento dei livelli di tutela assicurata da alcune discipline nazionali, e con l’obiettivo di garantire un elevato grado di tutela nella Comunità (considerando 10). La difficoltà di realizzare un traguardo così ambizioso, anche a causa della complessità degli interessi in gioco (ad esempio, le imprese non accettano di buon grado norme troppo restrittive in materia di protezione dei dati personali che potrebbero gravare in termini di costi e limitarne la competitività), di fatto, ha frenato il raggiungimento dello scopo della direttiva 95/46. L’uniforme applicazione del diritto dell’Unione europea potrà essere realizzata in maniera più efficace in futuro con l’entrata in vigore del Regolamento 2016/679, anche per le caratteristiche e la funzione proprie del regolamento.
I progressi compiuti negli ultimi vent’anni nella disciplina della protezione dei dati personali nell’Unione europea, al punto di ritenere che il diritto alla protezione dei dati personali è, tra i diritti umani, quello che beneficia di una regolamentazione più consistente e dettagliata nell’UE sono avvenuti superando qualche perplessità sollevata dalla dottrina. In particolare, si è discusso in merito alla base giuridica cui fa riferimento la direttiva 95/46: l’art. 95 TCE (ora art. 114 TFUE) che stabilisce la competenza in materia di armonizzazione al fine di garantire il corretto funzionamento del mercato interno. Non si tratta di una base giuridica che, in linea di principio, può essere utilizzata al fine di legiferare in materia di protezione dei diritti umani, benché il legislatore comunitario abbia moltiplicato le ipotesi di questo tipo (e la questione sia stata più volte oggetto di esame da parte della Corte di giustizia UE, v. British American Tobacco (Investments) e Imperial Tobacco, C‑491/01; Vodafone e a., C‑58/08; Inuit Tapiriit Kanatami e a., C-398/13). Tale prassi ha trovato, di recente, una giustificazione: «there is an internal market competence to harmonize fundamental rights protection if certain conditions… are met. The precondition is that there are divergent national laws, which are liable to put the establishment and functioning of the internal market at risk or to distort competition» (v. Kosta, p. 8). Con l’entrata in vigore del Trattato di Lisbona, il problema dell’assenza di una base giuridica nei Trattati è stato risolto: è inserita una norma sulla protezione dei dati personali (art. 16 del TFUE) e la Carta di Nizza assume lo stesso valore giuridico dei Trattati. Tali cambiamenti (alla base del Regolamento 2016/679) riflettono una visione dinamica e integrata dei diritti e delle politiche dell’UE.
In questa fase, il problema sembra spostarsi maggiormente sul piano della composizione del conflitto tra interessi e diritti contrapposti, come evidenzia anche la sentenza Breyer nel pronunciarsi sull’interpretazione dell’articolo 7 lett. f), che prevede l’obbligo di introdurre una ponderazione tra gli interessi del fornitore di servizi di media on-line e il diritto alla riservatezza dei dati personali dell’utente del sito web. In fase applicativa della disciplina della direttiva 95/46, come accennato, è emerso di frequente il conflitto tra il diritto alla protezione dei dati personali e altri diritti fondamentali, non necessariamente coincidenti con le libertà economiche funzionali alla realizzazione del mercato interno (diritto all’informazione; libertà di espressione; diritto di proprietà; diritto d’autore, ecc.). Per quanto le situazioni giuridiche possano essere differenziate, si riscontra in maniera evidente che il diritto alla tutela dei dati personali non è un diritto assoluto e che ogni situazione deve essere esaminata e valutata attentamente dal giudice nazionale (al quale la Corte di giustizia UE demanda il bilanciamento), applicando i principi e le norme del caso di specie.
In relazione a tale delicata questione, i giudici di Lussemburgo non prendono posizione indicando i criteri da adottare ai fini del “bilanciamento” (come afferma l’Avvocato Generale, il Bundesgerichtshof chiede solo di «risolvere una questione preliminare a tale giudizio di ponderazione, vale a dire se siffatto giudizio sia possibile», punto 103 delle Conclusioni). Tale scelta appare giustificata in considerazione dell’applicazione del principio di sussidiarietà in base al quale è in primis il giudice nazionale (che ha sollevato la questione pregiudiziale) legittimato a conoscere dei diritti e degli interessi meritevoli di tutela nella propria comunità nazionale. Sembrerebbe, dalla terminologia utilizzata dalla direttiva 95/46 e ripresa anche dal Regolamento 2016/679, che la direttiva vada interpretata nel senso di legittimare lo stesso fornitore di servizi di media on-line ad effettuare a monte tale ponderazione. Tale possibilità, tuttavia, per la complessità del giudizio, e per l’assenza di “terzietà” del soggetto che lo pone in essere, non è priva di rischi e dovrebbe essere accompagnata da misure volte a garantire la trasparenza del processo decisionale.
I criteri generali ai fini del bilanciamento possono essere rinvenuti nelle norme della Carta dei diritti fondamentali dell’Unione europea (articoli 7 e 8) e dei Trattati (articolo 16, paragrafo 1, del TFUE), arricchiti dalle norme e dai principi espressi nell’ambito della CEDU, e in una serie nutrita di pronunce della Corte di giustizia da cui emerge, in particolare, che il principio di proporzionalità deve limitare l’ingerenza nei diritti fondamentali allo «stretto necessario» (v. sentenza 8 aprile 2014, Digital Rights Ireland e Seitlinger et al., cit., in materia di data retention per esigenze di pubblica sicurezza e protezione dei dati personali). Un ulteriore ausilio potrebbe essere rinvenuto nei provvedimenti delle Autorità garanti per la protezione dei dati personali degli Stati membri.
Con la sentenza Breyer, dunque, i giudici di Lussemburgo, nell’offrire un’interpretazione ampia ed elastica della nozione di dato personale, ribadiscono il carattere non assoluto del diritto alla protezione dei dati personali, che potrebbe in alcune circostanze essere sacrificato alle esigenze di sicurezza informatica. Tali precisazioni rivestono un particolare rilievo nella prospettiva dell’entrata in vigore del Regolamento 2016/679 il cui l’articolo 7, lettera f) resta immutato con l’aggiunta di una attenzione particolare da rivolgere al trattamento dei dati se l’interessato è un minore.
No Comment