Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

privacy

Quando un nostro dato diventa “personale”? La risposta in due sentenze

di Andrea Monti, avvocato, Alcei

20 Ott 2016

20 ottobre 2016

Sentenze della Corte di giustizia europea e della Corte di cassazione mettono la parola fine a un dibattito che dura da anni: in quali circostanze in cui i nostri dati digitali diventano personali? Si scopre che il concetto di identificabilità è relativo e deve essere oggetto di un bilanciamento di interessi

Due sentenze pubblicate a poca distanza l’una dall’altra ed emanate dalla Corte di giustizia europea e dalla Corte di cassazione mettono la parola fine a un dibattito che dura da anni su quale sia il momento in cui dei dati relativi ad un soggetto acquisiscono lo status normativo di “dato personale”.

Secondo le due corti, un dato diventa personale quando:

  • il titolare del trattamento ha la possibilità giuridica di associare a dati dei quali è in possesso, quelli detenuti da altri soggetti (Corte di giustizia europea, decisione C-582/14 del 19 ottobre 2016),
  • la possibilità di associare una quantità di dati idonea a identificare un soggetto non richiede uno sforzo eccessivo e sproporzionato, giustificato dal concreto interesse all’identificazione stessa (Corte di cassazione, sezione III civile, sentenza n. 20615 del 22 dicembre 2015, depositata il 13 ottobre 2016, letta a contrario).

Il criterio che emerge dalla lettura combinata delle due sentenze è, innanzi tutto, che il concetto di identificabilità è relativo e deve essere oggetto di un bilanciamento di interessi.

Nel caso deciso dalla Cassazione, un cittadino aveva fatto causa al Comune lamentandosi perchè l’amministrazione aveva pubblicato sul sito istituzionale una delibera con nome e cognome del cittadino in questione. Più nello specifico, la delibera riguardava la causa promossa da questa persona, della quale veniva indicato il nome e cognome e il fatto che aveva fatto causa al comune per farsi risarcire un danno al ginocchio subito in un incidente.

Ora, afferma la Corte, potrebbe anche essere possibile, partendo da quei dati pubblicati, arrivare a individuare effettivamente la persona di cui si parla. Ma per farlo sarebbe necessario impiegare mezzi e risorse che non si giustificano rispetto all’importanza del sapere chi fosse coinvolto in un sinistro stradale.

In sintesi, dunque: se partendo da nome, cognome e danno al ginocchio posso identificare una persona coinvolta in un sinistro, ma per farlo devo impiegare mezzi sproporzionati, è estremamente probabile che il gioco non valga la candela e che nessuno si prenda la briga di compiere la ricerca. Dunque l’effettiva identità del soggetto rimarrà sconosciuta e quindi il solo nome e cognome non possono essere qualificati come “dato personale”.

Già questa interpretazione – peraltro ampiamente coerente con la direttiva comunitaria 95/46 e con il d.lgs. 196/03 – consentirebbe da sola, finalmente, di liberarci dell’idea fortemente sostenuta dall’Autorità garante che il numero IP sia sempre e comunque un dato personale.

A rinforzare questa conclusione – se non bastasse la Cassazione – arriva la sentenza della Corte europea che si è occupata specificamente delle condizioni alle quali un numero IP dinamico può essere considerato un dato personale.

Concludendo un’articolata disamina normativa, la Corte scrive:

L’articolo 2, lettera a), della direttiva 95/46 del Parlamento europeo e del Consiglio, del 24 ottobre 1995, …, dev’essere interpretato nel senso che un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.

Dunque, secondo la Corte europea, un numero IP diventa dato personale solo se chi lo tratta ha la possibilità giuridica di accedere a informazioni aggiuntive che consentono di identificare una persona fisica. Anche qui un esempio chiarisce il ragionamento. Un utente che riceve un IP dal proprio provider è certamente identificato perchè il provider ha stipulato un contratto e ha la possibilità di associare l’IP in questione – se non con la persona fisica – con l’utenza che si collega. L’IP assegnato è, rispetto al provider di accesso, certamente un dato personale.

Quando, però, l’utente di questo ISP si presenta sulla rete di un altro operatore, quest’ultimo non ha la possibilità di associare l’IP a un’utenza o a una persona fisica. Dunque, rispetto al secondo ISP, il numero IP non è più un dato personale. Ma se l’utente si “rivela” – per esempio registrandosi su una piattaforma di social networking del provider – allora lo stesso IP torna ad essere un dato personale.

Le indicazioni che arrivano da queste due sentenze possono essere generalizzate e applicate anche ad altri dati, come per esempio gli indirizzi e-mail o gli IP statici che – esternamente – rimangono assegnati all’operatore e non all’utente, che non necessariamente consentono di identificare anche indirettamente una persona.

Da un lato, questa “vecchia-novità” alleggerisce gli inutili oneri burocratici per ISP e aziende e legati, per esempio, al rispetto della “direttiva cookie” in tutti quei casi in cui l’utente rimane anonimo. Dall’altro lato consente a chi opera nel marketing diretto di applicare sistemi di  gestione del consenso al trattamento basati sull’opt-out (se non vuoi ricevere messaggi, fammelo sapere), piuttosto che sull’opt-in (prima di scrivermi un messaggio, chiedimi il consenso).

Il problema serio evidenziato da queste due sentenze, tuttavia, è un altro e di tipo più generale: per avere un’interpretazione sensata e coerente della direttiva sul trattamento dei dati personali in materia di identificabilità dell’interessato ci sono voluti quasi quindici anni. Un periodo di lunghezza geologica, in un mondo i cui ritmi sono scanditi dall’agenda digitale, nel quale cittadini e imprese sono rimaste vittima di interpretazioni e applicazioni sbagliate di una norma che ha provocato costi inutili e inefficienze burocratiche.

La possibilità di rimanere agganciati al mercato dell’innovazione passa, in Italia, anche per la capacità di rimediare in tempi rapidi ad errori che, per carità, possono sempre accadere, ma nei quali non si dovrebbe perseverare.

C’è da sperare che in fase di applicazione del Regolamento generale sulla protezione dei dati personali si faccia tesoro della lezione impartita da queste sentenze, evitando rigidità interpretative destinate – dopo anni – ad essere smentite da sentenze che, per loro stessa natura, arriveranno troppo tardi, quando orami i danni all’ecosistema digitale italiano saranno irreparabili.

  • Enrico

    Per quanto riguarda la sentenza n. 20615 del 22 dicembre 2015, depositata il 13 ottobre 2016, lette le motivazioni si palesa un’incongruenza.
    Al primo punto della sentenza si afferma che “…il termine previsto dall’art. 124 D.lgs 267/2000 (pubblicazione nell’albo pretorio per 15 giorni consecutivi) non può ritenersi di natura perentoria (come indirettamente confermato dalle linee guida contenute nel Decreto legislativo 33/2013 che, disciplinando la pubblicità per finalità di trasparenza, ne ha previsto la durata in 5 anni).”
    C’è una confusione tra la durata di pubblicazione dei dati sui siti istituzionali per finalità di trasparenza che l’art. 8, c. 3, del d.lgs. n. 33/2013 fissa a cinque anni, e la durata di pubblicazione all’albo pretorio, che è inferiore.
    Per la pubblicazione all’albo pretorio non si applica l’arco temporale dei cinque anni. Tale precisazione viene anche riportata nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” pubblicate nella Gazzetta Ufficiale n. 134 del 12 giugno 2014″.  Nella parte seconda, par 3: “…la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall’art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice, laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione .    Nell’ipotesi in cui, invece, la normativa di riferimento non indichi la durata temporale dell’affissione all’albo, l’amministrazione deve comunque individuare un congruo periodo di tempo – non superiore al periodo ritenuto, caso per caso, necessario al raggiungimento dello scopo per il quale l’atto è stato adottato e i dati stessi sono stati resi pubblici – entro il quale i dati personali devono rimanere disponibili. Per i motivi esposti nell'”Introduzione” e nel par. 1 della parte prima delle presenti Linee guida alle pubblicazioni nell’albo pretorio online non si applica l’arco temporale dei cinque anni previsto per la pubblicità di dati e informazioni sui siti web istituzionali per finalità di trasparenza di cui all’art. 8 del d. lgs. n. 33/2013.
    Pertanto – una volta trascorso il periodo di pubblicazione previsto dalle singole discipline di riferimento oppure, in mancanza, decorso il periodo di tempo individuato dalla stessa amministrazione – se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati.” 

Articoli correlati