Conservare i dati personali per difendersi dagli attacchi cibernetici

Conservare i dati personali per difendersi dagli attacchi cibernetici

Un cittadino tedesco è arrivato fino all’alta Corte di giustizia dell’Unione Europea per negare la possibilità che il suo indirizzo di protocollo Internet sia registrato e conservato da parte dei siti Internet dei servizi federali tedeschi.

Prima di approfondire il tema, ricordo che gli indirizzi di protocollo Internet, gli indirizzi IP, sono sequenze numeriche assegnate ai computer collegati a Internet, per consentire la comunicazione fra i medesimi attraverso la rete. In caso di consultazione di un sito Internet, l’indirizzo IP del computer che effettua l’accesso è trasmesso al server che ospita il sito consultato. Tale comunicazione è necessaria per inviare i dati richiesti al corretto destinatario.

Ricordo al proposito che un indirizzo IP dinamico è un indirizzo IP che cambia ad ogni nuova connessione a Internet, a differenza degli indirizzi IP statici.

Un cittadino tedesco, che soleva consultare numerosi siti Internet gestiti dai servizi federali tedeschi, si rese conto, un brutto giorno, che tutti i suoi collegamenti venivano registrati e conservati, a sua insaputa.

In particolare, i servizi federali registravano e conservavano, oltre alla data e l’ora della consultazione, gli indirizzi dei visitatori, col fine di difendersi da attacchi cibernetici e rendere possibile eventuali azioni di natura penale.

I giudici tedeschi, cui il cittadino si era rivolto, non furono in grado di prendere una decisione e si rivolsero alla Corte di giustizia europea, per sapere se questi indirizzi costituivano davvero un dato personale e godevano quindi della tutela prevista per tali dati.

 Pubblicità

Videocorsi in USB - Sicurezza e riservatezza delle informazioni aziendali La formazione per evitare che un'informazione lasciata sfuggire metta in pericolo l'azienda

Con l’occasione, i giudici tedeschi chiedevano all’alta Corte di esprimere un parere circa il fatto che il gestore di un sito Internet possa, almeno in principio, raccogliere ed impiegare ulteriormente i dati personali dei visitatori, con l’esclusivo fine di garantire il regolare funzionamento del suo sito. Il dubbio dei giudici tedeschi nasceva dal fatto che nella maggior parte dei casi la dottrina tedesca interpreta la normativa nazionale in senso restrittivo, imponendo che tali dati debbano essere cancellati alla fine della sessione di consultazione, a meno che non siano richiesti a fini di fatturazione.

Con questa sentenza, che riporto integralmente in allegato, la Corte stabilisce che un indirizzo IP dinamico, registrato da un fornitore di servizi di media on-line durante la consultazione del suo sito Internet accessibile al pubblico, costituisce un dato personale, qualora il gestore disponga di mezzi giuridici che gli consentano di identificare il visitatore, grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.

Un’analisi approfondita della legislazione tedesca, da parte dei giudici della Corte europea, ha permesso di evidenziare il fatto che il fornitore di servizi on-line può rivolgersi, in caso di attacchi cibernetici, all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal fornitore di accesso e avviare successivamente l’azione penale.

Con l’occasione, la Corte ha anche stabilito che, in mancanza di consenso del visitatore, un fornitore di servizi on-line può raccogliere ed impiegare i dati personali solo nella misura in cui questi dati siano necessari per consentire l’effettiva fruizione del servizio o per fatturarlo, senza che possano essere conservati per assicurare il regolare funzionamento dei servizi.

Ancora una volta, la Corte ha ricordato che il trattamento di dati personali è lecito se necessario per il perseguimento di un interesse legittimo del responsabile del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

In conclusione, la Corte ha sottolineato come i servizi federali tedeschi potrebbero avere un interesse legittimo a registrare e conservare i dati, oggetto del contenzioso con il cittadino tedesco, per soddisfare a superiori interessi di tutela dei siti da possibili attacchi cibernetici.

Tutti i gestori di siti Internet sono avvisati e pertanto da adesso potrebbero essere mezzi salvati!

Adalberto Biasiotti

Scarica la sentenza di riferimento:

Corte di giustizia dell’Unione Europea - Sentenza della Corte (Seconda Sezione) del 19 ottobre 2016 - domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof - Germania – Causa C-582/14 - Trattamento dei dati personali

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.