Il sig. Patrick Breyer si oppone dinanzi ai giudici tedeschi alla registrazione e alla conservazione dei suoi indirizzi di protocollo Internet («indirizzi IP») da parte dei siti Internet dei servizi federali tedeschi da lui consultati.
Tali servizi registrano e conservano, oltre alla data e all’ora della consultazione, gli indirizzi IP dei visitatori al fine di difendersi dagli attacchi cibernetici e di rendere possibili le azioni penali.
Il Bundesgerichtshof (Corte federale di giustizia, Germania) si è rivolto alla Corte di Giustizia Europea per sapere se, in tale contesto, gli indirizzi IP «dinamici» costituiscano anch’essi, per il gestore del sito Internet, un dato personale, e godano quindi della tutela prevista per simili dati.
Un indirizzo IP dinamico è un indirizzo IP che cambia a ogni nuova connessione a Internet.
A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet.
Pertanto, solo il fornitore di accesso a Internet del sig. Breyer dispone delle informazioni aggiuntive necessarie per identificarlo.
Peraltro, il Bundesgerichtshof desidera sapere se il gestore di un sito Internet debba, almeno in principio, avere la possibilità di raccogliere e impiegare ulteriormente i dati personali dei visitatori per garantire il funzionamento generale del suo sito.
Esso rileva, al riguardo, che la maggior parte della dottrina tedesca interpreta la normativa nazionale in materia nel senso che tali dati devono essere cancellati alla fine della sessione di consultazione, a meno che non siano richiesti a fini di fatturazione.
Con la sentenza del 19 ottobre 2016, la Corte risponde, anzitutto, che un indirizzo IP dinamico registrato da un «fornitore di servizi di media online» (ossia dal gestore di un sito Internet, nel caso di specie i servizi federali tedeschi) durante la consultazione del suo sito Internet accessibile al pubblico costituisce, nei confronti del gestore, un dato personale qualora esso disponga di mezzi giuridici che gli consentano di far identificare il visitatore grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di quest’ultimo dispone.
La Corte rileva, in proposito, che, apparentemente, esistono in Germania strumenti giuridici che consentono al fornitore di servizi di media online di rivolgersi, in particolare in caso di attacchi informatici, all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal fornitore di accesso a Internet e per avviare successivamente procedimenti penali.
In secondo luogo, la Corte risponde che il diritto dell’Unione osta a una normativa di uno Stato membro ai sensi della quale, in mancanza di consenso del visitatore, un fornitore di servizi di media online può raccogliere e impiegare i dati personali del visitatore solo nella misura in cui ciò sia necessario per consentire l’effettiva fruizione dei servizi da parte di detto visitatore e di fatturarla, senza che l’obiettivo di assicurare il funzionamento generale dei servizi medesimi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi.
La Corte ricorda che, secondo il diritto dell’Unione, il trattamento di dati personali è lecito, tra l’altro, se necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata.
La normativa tedesca, come interpretata dalla dottrina maggioritaria, riduce la portata di tale principio, escludendo che l’obiettivo di garantire il funzionamento generale del medium online possa essere bilanciato con l’interesse o i diritti e le libertà fondamentali dei visitatori.
In tale contesto, la Corte sottolinea che i servizi federali tedeschi che forniscono servizi di media online potrebbero avere un interesse legittimo a garantire, al di là di ciascuna effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti.