La Corte di giustizia dell’Unione europea, con la sentenza del 19 ottobre 2016, emessa nella causa C-582/14 Stampa e Informazione Patrick Breyer / Bundesrepublik Deutschland, ha dichiarato che l’articolo 2, lettera a), della direttiva 95/46 del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, dev’essere interpretato nel senso che un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale ai sensi di detta disposizione, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.

Si ricorda che sono indirizzi IP «dinamici», ossia quelli, provvisori, assegnati ad ogni connessione a Internet e sostituiti in caso di successive connessioni, e non indirizzi IP «statici», che sono invariabili e consentono l’identificazione permanente del dispositivo connesso alla rete. Per determinare se un indirizzo IP dinamico costituisca un dato personale, nei confronti di un fornitore di servizi di media online, occorre verificare se un indirizzo IP siffatto, registrato da un tale fornitore, possa essere qualificato come informazione riferita a una «persona fisica identificabile», qualora le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet che detto fornitore di servizi rende accessibile al pubblico siano detenute dal fornitore di accesso a Internet dell’utente medesimo. A tale riguardo, dalla formulazione dell’articolo 2, lettera a), della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. L’uso da parte del legislatore dell’Unione del termine «indirettamente» indica tendenzialmente che, per qualificare un’informazione come dato personale, non è necessario che tale informazione consenta di per sé sola di identificare la persona interessata. Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona. Nella misura in cui detto considerando fa riferimento ai mezzi che possono essere ragionevolmente utilizzati tanto dal responsabile del trattamento quanto da «altri», la sua formulazione suggerisce che, perché un dato possa essere qualificato come «dato personale» ai sensi dell’articolo 2, lettera a), di tale direttiva non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona. Il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet siano detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso a Internet di tale utente non pare quindi idoneo a escludere che gli indirizzi IP dinamici registrati dal fornitore di servizi di media online costituiscano, per quest’ultimo, dati personali.

La Corte di Giustizia ha anche stabilito che l’articolo 7, lettera f), della direttiva 95/46 dev’essere interpretato nel senso che osta a una normativa di uno Stato membro ai sensi della quale un fornitore di servizi di media online può raccogliere e impiegare dati personali di un utente di tali servizi, in mancanza del suo consenso, solo nella misura in cui detta raccolta e detto impiego siano necessari per consentire e fatturare l’effettiva fruizione dei suddetti servizi da parte dell’utente in questione, senza che l’obiettivo di assicurare il funzionamento generale dei medesimi servizi possa giustificare l’impiego di tali dati dopo una sessione di consultazione degli stessi.

Ai sensi del citato articolo, il trattamento di dati personali è legittimo se «è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1» di tale direttiva.

È importante ricordare che la Corte ha dichiarato che la norma in esame prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere nuovi principi relativi alla legittimazione del trattamento dei dati personali del suddetto articolo né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo (v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, punti 30 e 32).

Occorre sottolineare, inoltre, che sebbene l’articolo 5 della direttiva 95/46 autorizza gli Stati membri a precisare, nei limiti delle disposizioni del capo II di tale direttiva e, quindi, dell’articolo 7 della stessa, le condizioni alle quali i trattamenti dei dati personali sono leciti, il margine discrezionale di cui dispongono gli Stati membri può essere utilizzato soltanto in conformità all’obiettivo perseguito dalla direttiva suddetta, consistente nel mantenere l’equilibrio tra la libera circolazione dei dati personali e la tutela della vita privata. Gli Stati membri non possono introdurre, quindi, principi relativi alla legittimazione del trattamento dei dati personali diversi da quelli enunciati al citato articolo 7 , né modificare con requisiti supplementari la portata dei sei principi previsti da detto articolo 7 (v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, punti 33, 34 e 36). Si rielva infine che che l’articolo 7, lettera f), della suddetta direttiva osta a che uno Stato membro escluda in modo categorico e generalizzato la possibilità che talune categorie di dati personali siano oggetto di trattamento, senza consentire la ponderazione dei diritti e degli interessi contrapposti in gioco nel caso specifico. Uno Stato membro non può quindi stabilire per tali categorie, in modo definitivo, il risultato della ponderazione dei diritti e degli interessi contrapposti, senza consentire un diverso risultato in ragione delle circostanze specifiche del caso concreto (v., in tal senso, sentenza del 24 novembre 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, punti 47 e 48).