Con la sentenza C-470/21 del 30 aprile 2024, la Corte di Giustizia dell’UE (CGUE) ha stabilito che una autorità pubblica nazionale responsabile della lotta alla contraffazione online può accedere sulla base di un indirizzo IP ai dati di identificazione dei presunti colpevoli.

Secondo la CGUE, l’articolo 15, paragrafo 1, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (la cosiddetta “direttiva e-privacy”) non impedisce ad una normativa nazionale di autorizzare l’autorità preposta alla tutela del diritto d’autore ad accedere ai dati conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, incrociando i dati relativi all’identità civile con gli indirizzi IP. Ciò, a condizione che, ai sensi di tale normativa:

  • tali dati siano conservati in condizioni e secondo modalità tecniche tali da escludere la possibilità che la conservazione consenta di trarre conclusioni precise sulla vita privata dei titolari di tali indirizzi IP, ad esempio stabilendo un profilo dettagliato di tali persone – il che può essere realizzato, in particolare, imponendo ai fornitori di servizi di comunicazione elettronica l’obbligo di conservare le varie categorie di dati personali, come i dati relativi all’identità civile, gli indirizzi IP e i dati relativi al traffico e all’ubicazione, in modo tale da garantire una separazione realmente stagna di queste diverse categorie di dati, impedendo così, nella fase di conservazione, qualsiasi uso combinato di queste diverse categorie di dati – e per un periodo non superiore a quello strettamente necessario;
  • che l’accesso dell’autorità pubblica a tali dati, conservati separatamente e in modo veramente ineccepibile, serva esclusivamente a identificare la persona sospettata di aver commesso un reato e sia soggetto alle garanzie necessarie a garantire che tale accesso non possa, salvo situazioni atipiche, consentire di trarre conclusioni precise sulla vita privata dei titolari di indirizzi IP, ad esempio stabilendo un profilo dettagliato di tali persone, il che implica, in particolare che ai funzionari di tale autorità autorizzati a tale accesso sia vietato divulgare, in qualsiasi forma, informazioni sul contenuto dei file consultati da tali titolari, salvo al solo scopo di adire la pubblica accusa, tracciare il flusso di clic dei titolari di tali indirizzi IP e, più in generale, utilizzare tali indirizzi IP per qualsiasi scopo diverso da quello di identificare i loro titolari in vista dell’eventuale adozione di misure nei loro confronti;
  • la possibilità, per le persone incaricate di esaminare i fatti all’interno di tale autorità pubblica, di collegare tali dati con file contenenti informazioni che rivelano il titolo di opere protette la cui messa a disposizione su Internet ha giustificato la raccolta di indirizzi IP da parte delle organizzazioni dei titolari dei diritti, nei casi in cui la stessa persona ripeta un’attività che viola il diritto d’autore o i diritti connessi, a un controllo da parte di un tribunale o di un organo amministrativo indipendente, che non può essere completamente automatizzato e deve avvenire prima di qualsiasi collegamento, in quanto tale collegamento è in grado, in tali circostanze, di consentire di trarre conclusioni precise sulla vita privata della persona il cui indirizzo IP è stato utilizzato per attività che possono violare il diritto d’autore o i diritti connessi;
  • il sistema di trattamento dei dati utilizzato dall’autorità pubblica sia soggetto a intervalli regolari a una revisione, da parte di un organismo indipendente che agisce come parte terza rispetto a tale autorità pubblica, volta a verificare l’integrità del sistema, comprese le garanzie effettive contro i rischi di accesso abusivo o illegale a tali dati o di utilizzo degli stessi, e la sua efficacia e affidabilità nell’individuare potenziali comportamenti illeciti.

Leggi il comunicato stampa della Curia lussemburghese.