Due sentenze pubblicate a poca distanza l’una dall’altra ed emanate dalla Corte di giustizia europea e dalla Corte di cassazione mettono la parola fine a un dibattito che dura da anni su quale sia il momento in cui dei dati relativi ad un soggetto acquisiscono lo status normativo di “dato personale”.
Secondo le due corti, un dato diventa personale quando:
- il titolare del trattamento ha la possibilità giuridica di associare a dati dei quali è in possesso, quelli detenuti da altri soggetti (Corte di giustizia europea, decisione C-582/14 del 19 ottobre 2016),
- la possibilità di associare una quantità di dati idonea a identificare un soggetto non richiede uno sforzo eccessivo e sproporzionato, giustificato dal concreto interesse all’identificazione stessa (Corte di cassazione, sezione III civile, sentenza n. 20615 del 22 dicembre 2015, depositata il 13 ottobre 2016, letta a contrario).
Il criterio che emerge dalla lettura combinata delle due sentenze è, innanzi tutto, che il concetto di identificabilità è relativo e deve essere oggetto di un bilanciamento di interessi.
Nel caso deciso dalla Cassazione, un cittadino aveva fatto causa al Comune lamentandosi perchè l’amministrazione aveva pubblicato sul sito istituzionale una delibera con nome e cognome del cittadino in questione. Più nello specifico, la delibera riguardava la causa promossa da questa persona, della quale veniva indicato il nome e cognome e il fatto che aveva fatto causa al comune per farsi risarcire un danno al ginocchio subito in un incidente.
Ora, afferma la Corte, potrebbe anche essere possibile, partendo da quei dati pubblicati, arrivare a individuare effettivamente la persona di cui si parla. Ma per farlo sarebbe necessario impiegare mezzi e risorse che non si giustificano rispetto all’importanza del sapere chi fosse coinvolto in un sinistro stradale.
In sintesi, dunque: se partendo da nome, cognome e danno al ginocchio posso identificare una persona coinvolta in un sinistro, ma per farlo devo impiegare mezzi sproporzionati, è estremamente probabile che il gioco non valga la candela e che nessuno si prenda la briga di compiere la ricerca. Dunque l’effettiva identità del soggetto rimarrà sconosciuta e quindi il solo nome e cognome non possono essere qualificati come “dato personale”.
Già questa interpretazione – peraltro ampiamente coerente con la direttiva comunitaria 95/46 e con il d.lgs. 196/03 – consentirebbe da sola, finalmente, di liberarci dell’idea fortemente sostenuta dall’Autorità garante che il numero IP sia sempre e comunque un dato personale.
A rinforzare questa conclusione – se non bastasse la Cassazione – arriva la sentenza della Corte europea che si è occupata specificamente delle condizioni alle quali un numero IP dinamico può essere considerato un dato personale.
Concludendo un’articolata disamina normativa, la Corte scrive:
L’articolo 2, lettera a), della direttiva 95/46 del Parlamento europeo e del Consiglio, del 24 ottobre 1995, …, dev’essere interpretato nel senso che un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.
Dunque, secondo la Corte europea, un numero IP diventa dato personale solo se chi lo tratta ha la possibilità giuridica di accedere a informazioni aggiuntive che consentono di identificare una persona fisica. Anche qui un esempio chiarisce il ragionamento. Un utente che riceve un IP dal proprio provider è certamente identificato perchè il provider ha stipulato un contratto e ha la possibilità di associare l’IP in questione – se non con la persona fisica – con l’utenza che si collega. L’IP assegnato è, rispetto al provider di accesso, certamente un dato personale.
Quando, però, l’utente di questo ISP si presenta sulla rete di un altro operatore, quest’ultimo non ha la possibilità di associare l’IP a un’utenza o a una persona fisica. Dunque, rispetto al secondo ISP, il numero IP non è più un dato personale. Ma se l’utente si “rivela” – per esempio registrandosi su una piattaforma di social networking del provider – allora lo stesso IP torna ad essere un dato personale.
Le indicazioni che arrivano da queste due sentenze possono essere generalizzate e applicate anche ad altri dati, come per esempio gli indirizzi e-mail o gli IP statici che – esternamente – rimangono assegnati all’operatore e non all’utente, che non necessariamente consentono di identificare anche indirettamente una persona.
Da un lato, questa “vecchia-novità” alleggerisce gli inutili oneri burocratici per ISP e aziende e legati, per esempio, al rispetto della “direttiva cookie” in tutti quei casi in cui l’utente rimane anonimo. Dall’altro lato consente a chi opera nel marketing diretto di applicare sistemi di gestione del consenso al trattamento basati sull’opt-out (se non vuoi ricevere messaggi, fammelo sapere), piuttosto che sull’opt-in (prima di scrivermi un messaggio, chiedimi il consenso).
Il problema serio evidenziato da queste due sentenze, tuttavia, è un altro e di tipo più generale: per avere un’interpretazione sensata e coerente della direttiva sul trattamento dei dati personali in materia di identificabilità dell’interessato ci sono voluti quasi quindici anni. Un periodo di lunghezza geologica, in un mondo i cui ritmi sono scanditi dall’agenda digitale, nel quale cittadini e imprese sono rimaste vittima di interpretazioni e applicazioni sbagliate di una norma che ha provocato costi inutili e inefficienze burocratiche.
La possibilità di rimanere agganciati al mercato dell’innovazione passa, in Italia, anche per la capacità di rimediare in tempi rapidi ad errori che, per carità, possono sempre accadere, ma nei quali non si dovrebbe perseverare.
C’è da sperare che in fase di applicazione del Regolamento generale sulla protezione dei dati personali si faccia tesoro della lezione impartita da queste sentenze, evitando rigidità interpretative destinate – dopo anni – ad essere smentite da sentenze che, per loro stessa natura, arriveranno troppo tardi, quando orami i danni all’ecosistema digitale italiano saranno irreparabili.
