L’indirizzo IP è un dato personale conservabile per contrastare la pirateria informatica?

L’art. 2, lett. a , Direttiva 95/46/CE trattamento e libera circolazione dei dati personali deve essere inteso nel senso che l’indirizzo di protocollo Internet IP dinamico di un visitatore costituisce, per il gestore del sito, un dato personale, qualora detto gestore disponga di mezzi giuridici che gli consentono di far identificare il visitatore interessato grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet del visitatore dispone.

L’articolo 7, lett. f dev’essere interpretato nel senso che osta a una normativa di uno Stato membro, ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente degli stessi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare la loro effettiva fruizione da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di loro consultazione. È quanto deciso dalla EU C 2016 779, C-582/14 del 19/10/16. Il caso. Le istituzioni pubbliche tedesche gestiscono numerosi siti internet con informazioni aggiornate messe a disposizione del pubblico. Per riconoscere e contrastare attacchi informatici c.d. denial of service negazione di servizio e punire penalmente i pirati , questi portali hanno files di registro in cui memorizzano gli accessi, il termine della rispettiva fruizione, il nome del documento ovvero della pagina, le parole inserite nella casella di ricerca, la data e l’ora della richiesta, la quantità di dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer che effettua l’accesso . Si noti che in base al diritto dell’UE la durata dei registri, tenuti dal server e dal titolare del servizio online, è potenzialmente illimitata, come rimarcato nelle Conclusioni su questo caso. Il ricorrente ha promosso un’azione inibitoria affinché alla Germania sia proibito conservare o far conservare da terzi, al termine delle sessioni di consultazione di detti portali, l’IP ed i dati riferibili al ricorrente, salvo che ciò, in caso di guasto, sia necessario al ripristino della disponibilità del servizio di telecomunicazione. In prime cure la richiesta fu respinta, ma fu accolta in appello. La questione approdò in Cassazione ed il G.I., ai fini della tutela della privacy ed alla luce dei criteri oggettivo e relativo , per stabilire se una persona sia identificabile o meno, fissati dalla EU C 2011 771 caso Scarlet Extended, -70/10 , sollevò una pregiudiziale per comprendere se l’IP dinamico, in assenza d’informazioni aggiuntive fornite dal server, sia un dato personale e se la legge tedesca sia compatibile con l’articolo 7 D.95/46. La CGUE ha risposto come in epigrafe. Quadro normativo. La D. 95/46 ha come fine la tutela della privacy soprattutto relativamente al trattamento dei dati personali di individui indentificati od identificabili. Per comprendere se una persona è identificabile si devono prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona . Uno di questi mezzi è il codice di condotta ex articolo 27 che può indicare i mezzi per rendere anonimi questi dati o registrarli in maniera tale che non sia possibile identificare la persona cui si riferiscono Considerando 26 . Gli artt. 2 e 3 forniscono le definizioni ed il campo di applicazione di queste norme. Il Capo II sulle condizioni di liceità di questo trattamento articolo 5 indica anche i principi relativi alla qualità dei dati ed alla legittimazione di questo trattamento artt. 6 e 7 . Tra le varie ipotesi di quest’ultima norma alla lett. f si chiarisce che è consentito se è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1 § .1 . L’articolo 13 individua deroghe alla tutela della privacy le restrizioni sono lecite se volte alla salvaguardia della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate . Quando l’IP dinamico è un dato personale? In primis l’indirizzo IP è una sequenza di numeri binari che, assegnata a un dispositivo pc, tablet , smartphone etc. , lo identifica e gli consente di accedere alla rete di comunicazioni elettroniche ed è assegnato dal fornitore del servizio di accesso alla rete per lo più compagnie telefoniche . L’IP viene trasmesso al server in cui è memorizzata la pagina web oggetto di consultazione. Bisogna distinguere l’IP statico che è un dato personale, in quanto unico e riferito ad una certa persona alcuni siti lo usano per il Login , da questo dinamico che, come sopra esplicato, è considerato tale solo se il fornitore dei servizi di media online , ossia la Germania, disponga dei mezzi giuridici per ottenere le informazioni aggiuntive che direttamente od indirettamente gli consentano questa identificazione. È irrilevante che esse siano detenute dal fornitore dell’accesso alla rete, anziché da quello dei portali. La CGUE chiarisce che nei casi analoghi alla fattispecie sarebbe impossibile identificare la persona cui è abbinato l’IP dinamico solo se ciò fosse vietato dalla legge o se tale operazione implicasse un dispendio di tempo, costi e manodopera tale da rendere insignificante il rischio d’identificazione. Pur spettando al G.I. di rinvio le verifiche del caso sembra che, in base alla legge tedesca, la Germania disponga di mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, ossia l’autorità competente e il fornitore di accesso a Internet, la persona interessata sulla base degli indirizzi IP conservati . Esclusione del consenso informato. La CGUE rileva come le autorità tedesche, titolari di detti portali, e responsabili del trattamento degli indirizzi IP dinamici, agiscano, nonostante il loro status di pubbliche autorità, in qualità di soggetti privati e al di fuori dell’ambito delle attività dello Stato in materia di diritto penale . Orbene l’articolo 7 contiene un elenco tassativo ed i singoli Stati, cui è riconosciuta una certa discrezionalità solo nel bilanciare equamente la libertà di circolazione di queste informazioni con la tutela della privacy ex articolo 5, non possono modificare od aggiungere nuovi principi già sanciti da questa norma e sono tutti ambiti tipici dei poteri dello Stato e quindi esulanti dalle prerogative dei privati. La legge tedesca, limitando l’uso dei dati personali senza il consenso del titolare solo per consentire e fatturare il servizio online e per lo stretto tempo necessario alla durata della sessione di consultazione, snatura i fini di tutela dell’articolo 7, senza considerare che rientra nella nozione d’interesse legittimo del fornitore dei servizi dei media online individuare e perseguire chi commette cyber reati e pirateria informatica. Risulta perciò troppo restrittiva, perché esclude in modo categorico e generalizzato la possibilità che talune categorie di dati personali siano oggetto di trattamento, senza consentire la ponderazione dei diritti e degli interessi contrapposti in gioco nel caso specifico , contrastando così con dette norme ed i principi cardine dell’UE EU C 2011 777 .

Corte di Giustizie UE, Seconda Sezione, sentenza 19 ottobre 2016, causa C-582/14 * Rinvio pregiudiziale – Trattamento dei dati personali – Direttiva 95/46/CE – Articolo 2, lettera a – Articolo 7, lettera f – Nozione di dati personali” – Indirizzi di protocollo Internet – Conservazione da parte di un fornitore di servizi di media online – Normativa nazionale che non consente di prendere in considerazione l’interesse legittimo perseguito dal responsabile del trattamento Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 2, lettera a , e dell’articolo 7, lettera f , della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati GU 1995, L 281, pag. 31 . 2 Tale domanda è stata presentata nell’ambito di una controversia tra il sig. Patrick Breyer e la Bundesrepublik Deutschland Repubblica federale di Germania in merito alla registrazione e alla conservazione, da parte di quest’ultima, dell’indirizzo di protocollo Internet in prosieguo l’ indirizzo IP del sig. Breyer in occasione della consultazione fatta dal medesimo di vari siti Internet dei servizi federali tedeschi. Contesto normativo Diritto dell’Unione 3 Il considerando 26 della direttiva 95/46 è così formulato considerando che i principi della tutela si devono applicare ad ogni informazione concernente una persona identificata o identificabile che, per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona che i principi della tutela non si applicano a dati resi anonimi in modo tale che la persona interessata non è più identificabile che i codici di condotta ai sensi dell’articolo 27 possono costituire uno strumento utile di orientamento sui mezzi grazie ai quali [i] dati possano essere resi anonimi e registrati in modo da rendere impossibile l’identificazione della persona interessata . 4 A termini dell’articolo 1 di detta direttiva 1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali. 2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1 . 5 L’articolo 2 della medesima direttiva è del seguente tenore Ai fini della presente direttiva si intende per a dati personali” qualsiasi informazione concernente una persona fisica identificata o identificabile persona interessata” si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d’identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale b trattamento di dati personali” trattamento” qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione d responsabile del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario f terzi” la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia la persona interessata, il responsabile del trattamento, l’incaricato del trattamento e le persone autorizzate all’elaborazione dei dati sotto la loro autorità diretta . 6 L’articolo 3 della direttiva 95/46, intitolato Campo d’applicazione , stabilisce quanto segue 1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi. 2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali[ ] – effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato e le attività dello Stato in materia di diritto penale . 7 L’articolo 5 della suddetta direttiva così dispone Gli Stati membri precisano, nei limiti delle disposizioni del presente capo, le condizioni alle quali i trattamenti di dati personali sono leciti . 8 L’articolo 7 della stessa direttiva è formulato nel modo seguente Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando a la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure b è necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona, oppure c è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure d è necessario per la salvaguardia dell’interesse vitale della persona interessata, oppure e è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure f è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1 . 9 L’articolo 13, paragrafo 1, della direttiva 95/46 così dispone Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1, e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia d della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate . Diritto tedesco 10 L’articolo 12 del Telemediengesetz legge sui media online , del 26 febbraio 2007 BGBl. 2007 I, pag. 179 in prosieguo il TMG , così dispone 1 Il fornitore di servizi può raccogliere e impiegare dati personali ai fini della messa a disposizione di media online solo nella misura in cui lo permetta la presente legge o un’altra norma, riguardante espressamente i media online, oppure se l’utente vi abbia prestato consenso. 2 Il fornitore di servizi può impiegare ad altri fini i dati personali raccolti per la messa a disposizione di media online solo nella misura in cui lo permetta la presente legge o un’altra norma, riguardante espressamente i media online, oppure l’utente vi abbia prestato consenso. 3 Ove non sia diversamente stabilito, le norme vigenti per la tutela dei dati personali trovano applicazione anche nel caso in cui i dati non costituiscano oggetto di trattamento automatizzato . 11 L’articolo 15 del TMG prevede quanto segue 1 Il fornitore di servizi può raccogliere e impiegare i dati personali di un utente solo nella misura in cui ciò sia necessario per rendere possibile la fruizione di media online e per fatturarla dati di utenza . Costituiscono dati di utenza, in particolare 1. gli elementi per l’identificazione dell’utente, 2. le informazioni su inizio e termine, nonché sulla durata di ciascuna fruizione e 3. le indicazioni sui media online fruiti dall’utente. 2 Il fornitore di servizi può aggregare i dati di utenza di un utente attinenti alla fruizione di diversi media online, laddove ciò sia necessario a fini di fatturazione verso l’utente. 4 Il fornitore di servizi può impiegare i dati di utenza oltre il termine della fruizione, ove essi siano necessari a fini di fatturazione verso l’utente dati di fatturazione . Il fornitore di servizi può bloccare i dati ai fini dell’osservanza dei periodi di conservazione definiti per legge, statuto o contratto . 12 Conformemente all’articolo 3, paragrafo 1, del Bundesdatenschutzgesetz legge federale sulla protezione dei dati , del 20 dicembre 1990 BGBl. 1990 I, pag. 2954 [i] dati personali sono dati particolari su condizioni personali o materiali di una persona fisica identificata o identificabile interessato . Procedimento principale e questioni pregiudiziali 13 Il sig. Breyer ha consultato vari siti Internet dei servizi federali tedeschi. Su tali siti, accessibili al pubblico, i suddetti servizi forniscono informazioni aggiornate. 14 Al fine di contrastare attacchi e consentire il perseguimento penale dei pirati informatici , nella maggior parte di detti siti tutti gli accessi sono registrati nei file di registro. In essi sono memorizzati, al termine della sessione di consultazione di tali siti, il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso. 15 Gli indirizzi IP sono sequenze numeriche assegnate a computer collegati a Internet al fine di consentire la comunicazione tra i medesimi attraverso tale rete. In caso di consultazione di un sito Internet, l’indirizzo IP del computer che effettua l’accesso è trasmesso al server che ospita il sito consultato. Tale comunicazione è necessaria per inviare i dati richiesti al corretto destinatario. 16 Peraltro, dalla decisione di rinvio e dagli atti a disposizione della Corte emerge che i fornitori di accesso a Internet assegnano ai computer degli utenti di tale rete un indirizzo IP che può essere o statico o dinamico , ossia un indirizzo IP che cambia a ogni nuova connessione a Internet. A differenza degli indirizzi IP statici, gli indirizzi IP dinamici non consentirebbero di associare, attraverso file accessibili al pubblico, un dato computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. 17 Il sig. Breyer ha proposto un ricorso dinanzi ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania sia inibito di conservare o far conservare da terzi, al termine delle sessioni di consultazione dei siti accessibili al pubblico di media online dei servizi federali tedeschi, l’indirizzo IP del nodo ospite del sig. Breyer, qualora tale conservazione non sia necessaria, in caso di guasto, al ripristino della diffusione di detti media. 18 A seguito del rigetto in primo grado del ricorso del sig. Breyer, quest’ultimo ha proposto appello avverso la decisione di rigetto. 19 Il giudice di appello ha parzialmente riformato tale decisione. Esso ha condannato la Repubblica federale di Germania ad astenersi dal conservare o dal far conservare da terzi, al termine di ogni consultazione, l’indirizzo IP del nodo ospite del sig. Breyer, trasmesso all’atto della consultazione, da parte del medesimo, dei siti accessibili al pubblico di media online dei servizi federali tedeschi, qualora tale indirizzo sia conservato unitamente alla data della sessione di consultazione alla quale si riferisce e qualora il sig. Breyer abbia rivelato la propria identità durante tale sessione, anche sotto forma di un indirizzo elettronico che menzioni la sua identità, laddove tale conservazione non sia necessaria, in caso di guasto, al ripristino della diffusione di media online. 20 Secondo detto giudice di appello, un indirizzo IP dinamico, associato alla data della sessione di consultazione alla quale esso si riferisce, costituisce, nel caso in cui l’utente del sito Internet considerato abbia rivelato la propria identità durante tale sessione, un dato personale, poiché l’operatore di detto sito può identificare tale utente incrociando il suo nome con l’indirizzo IP del suo computer. 21 Il suddetto giudice di appello ha ritenuto che, tuttavia, il ricorso del sig. Breyer non meritasse accoglimento in altre ipotesi. Infatti, nel caso in cui il sig. Breyer non indichi la propria identità durante una sessione di consultazione, solamente il fornitore di accesso a Internet potrebbe ricollegare l’indirizzo IP a un abbonato identificato. Per contro, tra le mani della Repubblica federale di Germania, nella sua qualità di fornitore di servizi di media online, l’indirizzo IP non sarebbe un dato personale, neppure se associato alla data della sessione di consultazione alla quale esso si riferisce, dato che l’utente dei siti Internet considerati non sarebbe identificabile da parte di tale Stato membro. 22 Il sig. Breyer e la Repubblica federale di Germania hanno ciascuno proposto un ricorso per Revision cassazione dinanzi al Bundesgerichtshof Corte federale di giustizia, Germania avverso la decisione del giudice di appello. Il sig. Breyer chiede l’accoglimento integrale della sua domanda inibitoria. La Repubblica federale di Germania chiede il rigetto di tale domanda. 23 Il giudice del rinvio precisa che gli indirizzi IP dinamici del computer del sig. Breyer, conservati dalla Repubblica federale di Germania quando agisce come fornitore di media online, costituiscono, quanto meno nel contesto degli altri dati conservati nei file di registro, dati particolari su situazioni materiali del sig. Breyer, poiché forniscono indicazioni relative alla consultazione, da parte del medesimo, di determinati siti o di determinati file su Internet in determinate date. 24 Tuttavia, i dati così conservati non consentirebbero di determinare direttamente l’identità del sig. Breyer. Infatti, gli operatori dei siti Internet di cui al procedimento principale potrebbero identificare il sig. Breyer solamente se il fornitore di accesso a Internet del medesimo trasmettesse loro informazioni sull’identità di detto utente. La qualificazione di tali dati come personali dipenderebbe, di conseguenza, dalla possibilità o meno di identificare il sig. Breyer. 25 Il Bundesgerichtshof Corte federale di giustizia richiama la controversia dottrinale relativa alla scelta di un criterio oggettivo oppure di un criterio relativo al fine di stabilire se una persona sia identificabile. Applicando un criterio oggettivo , dati come gli indirizzi IP discussi nel procedimento principale potrebbero essere qualificati, al termine delle sessioni di consultazione dei siti Internet considerati, come dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, nel caso di specie, è il fornitore di accesso a Internet del sig. Breyer che ha conservato dati aggiuntivi i quali consentono l’identificazione del medesimo attraverso i suddetti indirizzi IP. Secondo un criterio relativo , dati siffatti potrebbero essere qualificati come dati personali nei confronti di un organismo, quale il fornitore di accesso a Internet del sig. Breyer, poiché consentono la precisa identificazione dell’utente v., in tal senso, sentenza del 24 novembre 2011, Scarlet Extended, C 70/10, EU C 2011 771, punto 51 , ma come privi di tale qualificazione nei confronti di un altro organismo, quale l’operatore dei siti Internet consultati dal sig. Breyer, dato che detto operatore non disporrebbe, nel caso in cui il sig. Breyer non abbia rivelato la propria identità nel corso delle sessioni di consultazione di detti siti, delle informazioni necessarie per identificarlo senza un eccessivo dispendio di risorse. 26 Nell’ipotesi in cui gli indirizzi IP dinamici del computer del sig. Breyer dovessero essere considerati, in associazione con la data della sessione alla quale si riferiscono, dati personali, il giudice del rinvio chiede se la conservazione di tali indirizzi IP al termine di detta sessione sia autorizzata ai sensi dell’articolo 7, lettera f , della medesima direttiva. 27 A tale riguardo, il Bundesgerichtshof Corte federale di giustizia precisa, da un lato, che i fornitori di servizi di media online possono, ai sensi dell’articolo 15, paragrafo 1, del TMG, raccogliere e impiegare dati personali di un utente solo nella misura in cui ciò sia necessario per consentire e fatturare la fruizione di detti media. Dall’altro, il giudice del rinvio indica che, secondo la Repubblica federale di Germania, la conservazione di tali dati è necessaria per garantire la sicurezza e la continuità del funzionamento dei siti dei servizi di media online che essa rende accessibili al pubblico, consentendo, in particolare, di riconoscere gli attacchi informatici detti denial of service negazione di servizio , volti a paralizzare il funzionamento di tali siti inondando in modo mirato e coordinato determinati server Internet di un gran numero di richieste, e di lottare contro simili attacchi. 28 Secondo il giudice del rinvio, se e nella misura in cui sia necessario che il fornitore di servizi di media online prenda misure per lottare contro simili attacchi, dette misure potrebbero essere considerate necessarie per rendere possibile la fruizione di media online ai sensi dell’articolo 15 del TMG. In dottrina viene però sostenuta prevalentemente la tesi secondo cui, da un lato, la raccolta e l’impiego dei dati personali di un utente di un sito Internet sono consentiti solo per rendere possibile una fruizione concreta di tale sito e, dall’altro, questi dati devono essere cancellati al termine della sessione di consultazione ove non necessari a fini di fatturazione. Orbene, una simile lettura restrittiva dell’articolo 15, paragrafo 1, del TMG osterebbe a che la conservazione degli indirizzi IP sia autorizzata per garantire, in maniera generale, la sicurezza e la continuità del funzionamento dei servizi online. 29 Il giudice del rinvio si chiede se quest’ultima interpretazione, che è quella suggerita dal giudice di appello, sia conforme all’articolo 7, lettera f , della direttiva 95/46, in particolare alla luce dei criteri enunciati dalla Corte ai punti 29 e seguenti della sentenza del 24 novembre 2011, ASNEF e FECEMD C 468/10 e C 469/10, EU C 2011 777 . 30 In tale contesto, il Bundesgerichtshof Corte federale di giustizia ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali 1 Se l’articolo 2, lettera a , della direttiva 95/46 debba essere interpretato nel senso che un indirizzo IP memorizzato da un fornitore di servizi [di media online] in relazione ad un accesso al suo sito Internet costituisce per quest’ultimo un dato personale qualora sia un terzo nel caso di specie un fornitore di accesso a disporre delle informazioni aggiuntive necessarie ai fini dell’identificazione della persona interessata. 2 Se l’articolo 7, lettera f , [di tale direttiva] osti ad una disposizione di diritto nazionale in forza della quale il fornitore di servizi [di media online] può raccogliere e impiegare i dati personali di un utente senza il suo consenso solo nella misura in cui ciò sia necessario per consentire e fatturare l’effettiva fruizione del medium online da parte del rispettivo utente e secondo la quale il fine di assicurare il funzionamento in generale di detto medium non può giustificare l’impiego dei dati oltre il termine della rispettiva fruizione . Sulle questioni pregiudiziali Sulla prima questione 31 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 2, lettera a , della direttiva 95/46 debba essere interpretato nel senso che un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione qualora solamente un terzo, segnatamente il fornitore di accesso a Internet della suddetta persona, disponga delle informazioni necessarie a identificarla. 32 Ai sensi della summenzionata disposizione, per dati personali si intende qualsiasi informazione concernente una persona fisica identificata o identificabile persona interessata” . In base a tale disposizione, si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale. 33 In limine, si deve rilevare che, al punto 51 della sentenza del 24 novembre 2011, Scarlet Extended C 70/10, EU C 2011 771 , che verteva in particolare sull’interpretazione della medesima direttiva, la Corte ha dichiarato, in sostanza, che gli indirizzi IP degli utenti di Internet costituivano dati personali protetti, poiché consentono di identificare in modo preciso tali utenti. 34 Tuttavia, tale affermazione della Corte era relativa all’ipotesi in cui la raccolta e l’identificazione degli indirizzi IP degli utenti di Internet siano effettuati dai fornitori di accesso a Internet. 35 Orbene, nel caso in esame, la prima questione verte sull’ipotesi in cui sia il fornitore di servizi di media online, ossia la Repubblica federale di Germania, a registrare gli indirizzi IP degli utenti di un sito Internet che detto fornitore di servizi rende accessibile al pubblico, senza disporre delle informazioni aggiuntive necessarie per identificare tali utenti. 36 Inoltre, è pacifico che gli indirizzi IP ai quali il giudice del rinvio fa riferimento sono indirizzi IP dinamici , ossia quelli, provvisori, assegnati ad ogni connessione a Internet e sostituiti in caso di successive connessioni, e non indirizzi IP statici , che sono invariabili e consentono l’identificazione permanente del dispositivo connesso alla rete. 37 La prima questione posta dal giudice del rinvio si fonda quindi sulla premessa secondo cui, da un lato, dati consistenti in un indirizzo IP dinamico nonché nella data e nell’ora della sessione di consultazione di un sito Internet a partire da tale indirizzo IP, registrati da un fornitore di servizi di media online, non offrono, di per sé, a questo fornitore la possibilità di identificare l’utente che ha consultato detto sito Internet nel corso di tale sessione e, dall’altro, il fornitore di accesso a Internet dispone, quanto a lui, di informazioni aggiuntive che, se combinate con il suddetto indirizzo IP, consentirebbero di identificare l’utente in parola. 38 A tale riguardo, occorre anzitutto rilevare come sia pacifico che un indirizzo IP dinamico non costituisce un’informazione riferita a una persona fisica identificata , dal momento che un indirizzo siffatto non rivela direttamente l’identità della persona fisica proprietaria del computer a partire dal quale avviene la consultazione di un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer. 39 Inoltre, per determinare se un indirizzo IP dinamico costituisca, nell’ipotesi illustrata al punto 37 della presente sentenza, un dato personale ai sensi dell’articolo 2, lettera a , della direttiva 95/46 nei confronti di un fornitore di servizi di media online, occorre verificare se un indirizzo IP siffatto, registrato da un tale fornitore, possa essere qualificato come informazione riferita a una persona fisica identificabile , qualora le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet che detto fornitore di servizi rende accessibile al pubblico siano detenute dal fornitore di accesso a Internet dell’utente medesimo. 40 A tale riguardo, dalla formulazione dell’articolo 2, lettera a , della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. 41 L’uso da parte del legislatore dell’Unione del termine indirettamente indica tendenzialmente che, per qualificare un’informazione come dato personale, non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata. 42 Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona. 43 Nella misura in cui detto considerando fa riferimento ai mezzi che possono essere ragionevolmente utilizzati tanto dal responsabile del trattamento quanto da altri , la sua formulazione suggerisce che, perché un dato possa essere qualificato come dato personale ai sensi dell’articolo 2, lettera a , di tale direttiva non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona. 44 Il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet siano detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso a Internet di tale utente non pare quindi idoneo a escludere che gli indirizzi IP dinamici registrati dal fornitore di servizi di media online costituiscano, per quest’ultimo, dati personali ai sensi dell’articolo 2, lettera a , della direttiva 95/46. 45 Occorre tuttavia determinare se la possibilità di combinare un indirizzo IP dinamico con le suddette informazioni aggiuntive detenute da detto fornitore di accesso a Internet costituisca un mezzo che può essere ragionevolmente utilizzato per identificare la persona interessata. 46 Come in sostanza rilevato dall’avvocato generale al paragrafo 68 delle sue conclusioni, così non sarebbe se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera, facendo così apparire in realtà insignificante il rischio di identificazione. 47 Orbene, anche se il giudice del rinvio precisa, nella propria decisione di rinvio, che il diritto nazionale tedesco non consente al fornitore di accesso a Internet di trasmettere direttamente al fornitore di servizi di media online le informazioni aggiuntive necessarie all’identificazione della persona interessata, sembra tuttavia, ferme restando le verifiche che detto giudice dovrà compiere al riguardo, che esistano strumenti giuridici che consentono al fornitore di servizi di media online di rivolgersi, in particolare in caso di attacchi cibernetici, all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali. 48 Sembra quindi che il fornitore di servizi di media online disponga di mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, ossia l’autorità competente e il fornitore di accesso a Internet, la persona interessata sulla base degli indirizzi IP conservati. 49 Alla luce dell’insieme delle suesposte considerazioni, occorre rispondere alla prima questione che l’articolo 2, lettera a , della direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone. Sulla seconda questione 50 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 7, lettera f , della direttiva 95/46 debba essere interpretato nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi. 51 Prima di rispondere a tale questione, occorre determinare se il trattamento dei dati personali di cui al procedimento principale, ossia gli indirizzi IP dinamici degli utenti di determinati siti Internet di servizi federali tedeschi, non sia escluso dal campo di applicazione della direttiva 95/46 in forza dell’articolo 3, paragrafo 2, primo trattino, della medesima, ai sensi del quale la suddetta direttiva non si applica al trattamento di dati personali aventi ad oggetto, tra l’altro, le attività dello Stato in materia di diritto penale. 52 A tale riguardo, occorre ricordare che le attività menzionate a titolo esemplificativo dalla suddetta disposizione sono, in tutti i casi, attività proprie degli Stati o delle autorità statali, estranee ai settori di attività dei privati v. sentenze del 6 novembre 2003, Lindqvist, C 101/01, EU C 2003 596, punto 43, e del 16 dicembre 2008, Satakunnan Markkinapörssi e Satamedia, C 73/07, EU C 2008 727, punto 41 . 53 Orbene, nella causa principale, ferme restando le verifiche che il giudice del rinvio dovrà compiere al riguardo, pare che i servizi federali tedeschi, che forniscono servizi di media online e che sono responsabili del trattamento degli indirizzi IP dinamici, agiscano, nonostante il loro status di pubbliche autorità, in qualità di soggetti privati e al di fuori dell’ambito delle attività dello Stato in materia di diritto penale. 54 Occorre pertanto determinare se una normativa di uno Stato membro, come quella di cui al procedimento principale, sia compatibile con l’articolo 7, lettera f , della direttiva 95/46. 55 A tal fine, occorre ricordare che la normativa nazionale discussa nel procedimento principale, come interpretata nel senso restrittivo prospettato dal giudice del rinvio, autorizza la raccolta e l’impiego dei dati personali di un utente di tali servizi, in mancanza del suo consenso, solamente nella misura in cui ciò sia necessario per consentire e fatturare l’effettiva fruizione del medium online da parte dell’utente in questione, senza che l’obiettivo di garantire il funzionamento generale del medium online possa giustificare l’impiego dei suddetti dati dopo una sessione di consultazione di tale medium. 56 Ai sensi dell’articolo 7, lettera f , della direttiva sulla tutela dei dati personali, il trattamento di dati personali è legittimo se è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1 di tale direttiva. 57 È importante ricordare che la Corte ha dichiarato che l’articolo 7 della suddetta direttiva prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere nuovi principi relativi alla legittimazione del trattamento dei dati personali del suddetto articolo né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C 468/10 e C 469/10, EU C 2011 777, punti 30 e 32 . 58 Anche se, certamente, l’articolo 5 della direttiva 95/46 autorizza gli Stati membri a precisare, nei limiti delle disposizioni del capo II di tale direttiva e, quindi, dell’articolo 7 della stessa, le condizioni alle quali i trattamenti dei dati personali sono leciti, il margine discrezionale di cui, in forza di detto articolo 5, dispongono gli Stati membri può essere utilizzato soltanto in conformità all’obiettivo perseguito dalla direttiva suddetta, consistente nel mantenere l’equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata. Gli Stati membri non possono introdurre, sulla base dell’articolo 5 della stessa direttiva, principi relativi alla legittimazione del trattamento dei dati personali diversi da quelli enunciati all’articolo 7 della medesima, né modificare con requisiti supplementari la portata dei sei principi previsti da detto articolo 7 v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C 468/10 e C 469/10, EU C 2011 777, punti 33, 34 e 36 . 59 Nella fattispecie, risulta che l’articolo 15 del TMG, se interpretato nella maniera rigida menzionata al punto 55 della presente sentenza, avrebbe una portata più restrittiva di quella del principio previsto all’articolo 7, lettera f , della direttiva 95/46. 60 Infatti, mentre l’articolo 7, lettera f , si riferisce, in maniera generale, al perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati , l’articolo 15 del TMG autorizzerebbe il fornitore di servizi a raccogliere e impiegare dati personali di un utente solamente nella misura in cui ciò sia necessario per consentire e fatturare l’effettiva fruizione dei media online. L’articolo 15 della TMG osterebbe quindi, in maniera generale, alla conservazione, al termine di una sessione di consultazione di media online, di dati personali per garantire la fruizione di tali media. Orbene, i servizi federali tedeschi che forniscono servizi di media online potrebbero altresì avere un interesse legittimo a garantire, al di là di ciascuna effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento di detti siti. 61 Come rilevato dall’avvocato generale ai paragrafi 100 e 101 delle sue conclusioni, una normativa nazionale siffatta non si limita a precisare, conformemente all’articolo 5 della direttiva 95/46, la nozione di interesse legittimo di cui all’articolo 7, lettera f , di tale direttiva. 62 A tale riguardo, occorre altresì ricordare che l’articolo 7, lettera f , della suddetta direttiva osta a che uno Stato membro escluda in modo categorico e generalizzato la possibilità che talune categorie di dati personali siano oggetto di trattamento, senza consentire la ponderazione dei diritti e degli interessi contrapposti in gioco nel caso specifico. Uno Stato membro non può quindi stabilire per tali categorie, in modo definitivo, il risultato della ponderazione dei diritti e degli interessi contrapposti, senza consentire un diverso risultato in ragione delle circostanze specifiche del caso concreto v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C 468/10 e C 469/10, EU C 2011 777, punti 47 e 48 . 63 Orbene, una normativa come quella di cui al procedimento principale riduce, con riferimento al trattamento di dati personali degli utenti di siti di media online, la portata del principio previsto all’articolo 7, lettera f , della direttiva 95/46, escludendo che l’obiettivo di garantire il funzionamento generale di tale medium online possa essere oggetto di ponderazione con l’interesse o i diritti e le libertà fondamentali di detti utenti, diritti e libertà che richiedono, conformemente alla disposizione in parola, tutela ai sensi dell’articolo 1, paragrafo 1, di tale direttiva. 64 Come risulta dall’insieme delle suesposte considerazioni, occorre rispondere alla seconda questione che l’articolo 7, lettera f , della direttiva 95/46 dev’essere interpretato nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi. Sulle spese 65 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte Seconda Sezione dichiara 1 L’articolo 2, lettera a , della direttiva 95/46 del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, dev’essere interpretato nel senso che un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone. 2 L’articolo 7, lettera f , della direttiva 95/46 dev’essere interpretato nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi. *fonte http //curia.europea.eu/