Si può imporre ai provider di conservare in maniera “stagna” gli indirizzi IP degli utenti
Il fine di perseguire i reati giustifica che un’autorità pubblica nazionale incaricata della lotta contro le contraffazioni commesse online possa accedere all’identità civile senza ingerenza nella vita privata
La Corte Ue precisa - con la sentenza sulla causa C-470/21 - quali debbano essere i requisiti e le modalità di conservazione degli indirizzi Ip da parte dei fornitori di servizi Internet al fine di identificazioni che non debbono però violare in sé i diritti fondamentali degli utenti cui si riferiscono tali dati di accesso alla rete.
La conservazione stagna
Secondo il diritto Ue gli Stati membri possono imporre ai fornitori di accesso a Internet un obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP per lottare contro i reati in generale, purché tale conservazione non consenta di trarre conclusioni precise sulla vita privata dell’interessato. Ciò può essere realizzato mediante modalità che garantiscano una separazione effettivamente “stagna” degli indirizzi IP e delle altre categorie di dati personali, in particolare i dati relativi all’identità civile.
L’identità civile
Gli Stati membri possono però, a determinate condizioni, autorizzare l’autorità nazionale competente ad accedere ai dati relativi all’identità civile riferentisi a indirizzi IP, purché sia assicurata una conservazione tale che garantisca una separazione stagna delle diverse categorie di dati.
La vita privata
In specifiche situazioni la disciplina di accesso ai dati IP e dell’identità civile possono consentire, per il fatto di mettere in relazione le informazioni così raccolte, di trarre conclusioni precise sulla vita privata dell’interessato. Ma in tal caso l’accesso deve essere assoggettato a un previo controllo da parte di un giudice o di un ente amministrativo indipendente.
Il caso a quo
Il caso a quo giunge dalla Francia dove al fine di proteggere dai reati commessi in Internet opere coperte da diritto d’autore o da diritto connesso è stato varato un decreto francese che ha introdotto due trattamenti di dati personali.
Il primo consiste nella raccolta, da parte di organismi che rappresentano gli autori, di indirizzi IP che appaiono essere stati utilizzati su siti tra pari (peer-to-peer) per la commissione di reati nonché nella loro messa a disposizione all’Alta autorità francese per la diffusione delle opere e la tutela dei diritti su Internet (Hadopi).
Il secondo comprende in particolare la messa in relazione, da parte dei fornitori di accesso a Internet che agiscono su richiesta della Hadopi, dell’indirizzo IP e dei dati relativi all’identità civile del suo titolare.
Detti trattamenti di dati consentono a tale autorità di avviare, nei confronti delle persone identificate, un procedimento che combina misure pedagogiche e repressive, che può dar luogo a un deferimento alla procura nei casi più gravi.
A seguito del ricorso per l’annullamento del decreto proposto da quattro associazioni per la tutela dei diritti e delle libertà su Internet dinanzi al Consiglio di Stato francese, tale giudice ha rinviato alla Corte di giustizia la questione se tali trattamenti di dati siano compatibili o meno col diritto dell’Unione.
La risposta della Cgue
La Corte, pronunciandosi in seduta plenaria, dichiara che la conservazione generalizzata e indifferenziata di indirizzi IP non costituisce necessariamente una grave ingerenza nei diritti fondamentali. Una conservazione di questo tipo è autorizzata allorché la normativa nazionale impone modalità di conservazione che garantiscano una separazione effettivamente stagna delle diverse categorie di dati personali, escludendo così che possano essere tratte conclusioni precise sulla vita privata dell’interessato.
Il diritto dell’Unione non vieta che una normativa nazionale autorizzi l’autorità pubblica competente - al solo scopo di identificare la persona sospettata di aver commesso un reato - ad accedere ai dati relativi all’identità civile corrispondenti a un indirizzo IP, a patto che siano conservati separatamente e in maniera effettivamente stagna dai fornitori di accesso a Internet.
Gli Stati membri devono tuttavia garantire che tale accesso non consenta di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP. Ciò implica che la normativa nazionale deve vietare agli agenti che dispongono di tale accesso:
- di divulgare informazioni sul contenuto degli archivi consultati,
- di effettuare un tracciamento del percorso di navigazione a partire dagli indirizzi IP e
- di utilizzare tali indirizzi a fini diversi dall’identificazione dei loro titolari per l’adozione di eventuali misure repressive.
Il legittimo accesso all’identità civile
Quando l’accesso a dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica ha il solo scopo di identificare l’utente interessato, non è indispensabile un previo controllo di tale accesso da parte di un giudice o di un ente amministrativo indipendente in quanto tale accesso comporta un’ingerenza nei diritti fondamentali che non può essere qualificata come “grave”. Ma tale controllo di un’autorità terza deve invece essere previsto quando le specificità di una procedura nazionale di accesso possono, per il fatto di mettere in relazione i dati e le informazioni raccolti nel corso delle diverse fasi, consentire di trarre conclusioni precise sulla vita privata dell’interessato e, pertanto, comportare una “grave ingerenza nei diritti fondamentali”. In un caso del genere, tale controllo da parte di un giudice o di un ente amministrativo indipendente deve avvenire prima che abbia luogo tale messa in relazione. Garantendo così l’efficacia della procedura autorizzata e l’individuazione dei casi di nuova possibile reiterazione del comportamento illecito che si vuole persgeuire.
