Dati personali e cybersicurezza: la decisione Breyer della Corte di giustizia
La sentenza della Corte di giustizia dell’Unione europea, resa il 19 ottobre 2016 (C- 582/14, Breyer), è particolarmente importante in quanto precisa le condizioni in base alle quali un indirizzo IP dinamico (sequenza numerica assegnata in maniera temporanea dai fornitori di accesso alla rete ai loro clienti), registrato da un fornitore di servizi di media on-line, è qualificato come dato personale ai sensi dell’art. 2 lettera a) dalla Direttiva 95/46 del 1995.
Si tratta della prima pronuncia della Corte UE in materia di protezione dei dati personali nei confronti di un fornitore di contenuti. L’approccio funzionale della Corte di giustizia è decisivo nel delineare, per via interpretativa, una nozione comunitaria di “dato personale” che vincola tutti gli Stati membri. Allo stesso tempo, la pronuncia della Corte offre una interpretazione dell’articolo 7, lettera f) della medesima direttiva, affermando che costituisce interesse legittimo di un fornitore di servizi di media on-line quello di tutelarsi da possibili attacchi cibernetici, e ribadisce il carattere non assoluto del diritto alla protezione dei dati personali.