Trattamento dei dati: autorizzata la conservazione separata di indirizzi IP per la lotta ai reati purché non costituisca un’ingerenza nella vita privata dell’interessato

Al fine di proteggere le opere coperte da un diritto d'autore o da un diritto connesso dai reati commessi su Internet, un decreto francese ha introdotto due trattamenti di dati personali. Il primo consiste nella raccolta, da parte di organismi che rappresentano gli autori, di indirizzi IP che appaiono essere stati utilizzati su siti tra pari (peer-to-peer) per la commissione di tali reati nonché nella loro messa a disposizione dell'Alta autorità francese per la diffusione delle opere e la tutela dei diritti su Internet (Hadopi).               

Il secondo comprende in particolare la messa in relazione, da parte dei fornitori di accesso a Internet che agiscono su richiesta della Hadopi, dell'indirizzo IP e dei dati relativi all'identità civile del suo titolare. Detti trattamenti di dati consentono a tale autorità di avviare, nei confronti delle persone identificate, un procedimento che combina misure pedagogiche e repressive, che può dar luogo a un deferimento alla procura nei casi più gravi.

Quattro associazioni per la tutela dei diritti e delle libertà su Internet hanno proposto dinanzi al Consiglio di Stato francese un ricorso diretto all'annullamento del decreto di cui trattasi. Tale giudice chiede alla Corte di giustizia se i suddetti trattamenti di dati siano compatibili con il diritto dell'Unione.

La Corte, pronunciandosi in seduta plenaria, dichiara che la conservazione generalizzata e indifferenziata di indirizzi IP non costituisce necessariamente una grave ingerenza nei diritti fondamentali. Una conservazione di questo tipo è autorizzata allorché la normativa nazionale impone modalità di conservazione che garantiscano una separazione effettivamente stagna delle diverse categorie di dati personali, escludendo così che possano essere tratte conclusioni precise sulla vita privata dell'interessato.

La Corte precisa altresì che il diritto dell'Unione non osta a una normativa nazionale che autorizza l'autorità pubblica competente, al solo scopo di identificare la persona sospettata di aver commesso un reato, ad accedere ai dati relativi all'identità civile corrispondenti a un indirizzo IP, conservati separatamente e in maniera effettivamente stagna dai fornitori di accesso a Internet. Gli Stati membri devono tuttavia garantire che tale accesso non consenta di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP di cui trattasi. Ciò implica che si deve vietare agli agenti che dispongono di tale accesso di divulgare informazioni sul contenuto degli archivi consultati, di effettuare un tracciamento del percorso di navigazione a partire dagli indirizzi IP e di utilizzare tali indirizzi a fini diversi dall'identificazione dei loro titolari ai fini dell'adozione di eventuali misure.

Quando l'accesso a dati relativi all'identità civile degli utenti dei mezzi di comunicazione elettronica ha il solo scopo di identificare l'utente interessato, non è indispensabile un previo controllo di tale accesso da parte di un giudice o di un ente amministrativo indipendente in quanto tale accesso comporta un'ingerenza nei diritti fondamentali che non può essere qualificata come grave. Detto controllo deve tuttavia essere previsto allorché le specificità di una procedura nazionale che disciplina un accesso siffatto possono, per il fatto di mettere in relazione i dati e le informazioni raccolti nel corso delle diverse fasi di tale procedura, consentire di trarre conclusioni precise sulla vita privata dell'interessato e, pertanto, comportare una grave ingerenza nei diritti fondamentali. In un caso del genere, tale controllo da parte di un giudice o di un ente amministrativo indipendente deve avvenire prima che abbia luogo tale messa in relazione, preservando al contempo l'efficacia di detta procedura, consentendo, in particolare, di individuare i casi di nuova possibile reiterazione del comportamento illecito di cui trattasi.