Quinta si chiede (e non e’ il solo) se un indirizzo IP e’ dato personale. Ho la mia (nota) opinione, giuridica.
L’art. 4 d.lgs. 196/2003 (T.U. dati personali) cosi’ recita.
b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Del resto, senza voler sembrare antipaticamente tranchant, l’equazione IP=dato personale (pur nell’incrocio di altri dati) sta alla base della giurisprudenza sul caso Peppermint.
Un dato pero’ per essere personale non deve esistere in elenchi pubblici regolamentati – specifico’ Rodotà poco dopo la prima legge del 96 – il che significa che esistendo il RIPE… l’IP, secondo la dottrina italiana (per quanto ne possa conoscere io informatico: poco) non e’ personale…
Considerando che i privati navigano con IP dinamico, questo tout court non può essere considerato dato personale, anche perchè di proprietà del provider.
L’accoppiata IP – ora di utilizzazione può esserlo, ma solo il provider può sapere a chi era assegnato ed in tal senso il garante ha comunicato in questi giorni l’obbligo di cancellare queste informazioni, in quanto sensibili.
Chi acquista un IP pubblico statico lo fa sempre tramite un provider, e nel 99% dei casi il RIPE restituisce il titolare fisico dell’IP, non l’assegnatario, che pur avendolo statico, ha sempre un contratto di fornitura, non lo compra direttamente.
Tabelle con IP e orario di assegnazione è dato sensibile, quattro numeri in fila no…
@ davidonzo
L’eccezione dell’IP dinamico e’ nota, ma non vincente, se mi e’ consentito.
L’IP da solo non e’ nulla, ma va incrociato. E la legge definisce personale un dato che lo diventa anche con l’incrocio. Per questo ho riportato il testo di legge.
@mfp
Ammetto la mia ignoranza, ma non conosco quella definizione dei registri pubblici. D’altro canto, non compare nella legge.
Credimi, la dottrina sostanzialmente unanime riconosce nell’IP un dato personale (alle condizioni viste).
A mio avviso l’IP potrebbe essere considerato un dato personale ma solo per un “soggetto giuridico”, come un’azienda. E’ l’azienda che sottoscrive il contratto con l’ISP ed è sempre l’azienda che è responsabile di ciò che i propri dipendenti fanno con la connessione a loro disposizione.
La cosa cambia quando si parla di “soggetto fisico” in quanto non è dimostrabile che chi ha sottoscritto il contratto con l’ISP abbia effettivamente commesso il reato. Proviamo a pensare ad una famiglia dove il contratto con l’ISP è sottoscritto da un genitore ma alla fine sono i figli maggiorenni/minorenni o gli amici che vanno a trovarli che si collegano e infrangono (spesso inconsapevolmente) la legge.
@vlad
Ok, in punto responsabilita’ ne parliamo (ed hai ragione in alcune cose), ma la definizione di dato personale e’ un’altra cosa.
sotto un profilo di definizione legale, non dobbiamo dimenticare, inoltre, che anche i dati di imprese sono “dati personali”
l’IP, quindi, purchè sia assegnato, è comunque un dato personale, sia pure del provider
l’IP “dinamico”, combinato con altri due dati (l’ora della trasmissione e i log dei provider) porta ad un legame univoco con un’altro soggetto (l’intestatario di un account) e anche questa informazone è un “dato personale” ancorchè come giustamente nota Vlad, in tema di assunzione di responsabilità (specie penale) al massimo vale come presunzione di responsabilità del titolare dell’account …. ed è da vedere se basti a fondare una responsailità: in tema di responsabilità (civile) da circolazione da autoveicoli il proprietario è responsabile dei danni causati dal veicolo se non prova (ammessa quindi la prova contraria, sia pure ‘vincolata’) che la circolazione è avvenuta contro la sua volontà: questa responsabilità – però – è figlia di una norma espressa del codice civile che manca completamente nel caso in questione (salvo non si voglia stiracchiare anche oltre i limiti dell’analogia – peralto vietata in ambito penale – la norma della legge privacy sulle misure di sicurezza obbligatorie anche per i privati…..)
Bah, sono stato anche troppo pedante 😉
buona serata!
—
hd
Faccio una considerazione da “non-legale”:
Mettiamo che io, privato cittadino, lavori in ambito telefonico con accesso al database delle connessioni internet dell’ISP (data, ora, IP dei clienti).
Mettiamo che io mi faccia vendere da un sito X il suo database di IP (che per alcuni, non trattandosi di dato personale, risulterebbe quindi loggabile e cedibile senza informativa).
Risultato ?
Come semplice operatore telefonico vengo a sapere con precisione quali siti frequenta il mio cliente, a quali orari, etc…
Con la premessa di cui sopra io detengo:
Nome, Cognome, indirizzo, numero telefonico e abitudini di navigazione (in barba a quanto stabilito recentemente dal Garante) del tizio “sorvegliato”.
Più in generale è dimostrato che l’IP può essere utilizzato CON FACILITA’ per risalire all’intestatario della linea anche con mezzi poco leciti.
Mi pare logico quindi il discorso fatto da Daniele Minotti, secondo cui va considerato (e il caso Peppermint lo dimostra al di fuori di ogni dubbio) un dato personale.
Mi resta una curiosità: i molti siti in rete che loggano l’IP, come i forum, detengono di fatto un database di dati personali senza averne il consenso dell’interessato ?…
L’IP in sé non può essere dato personale in quanto, essendo un dato dinamico può essere attribuito a chiunque: dire che l’IP è un dato personale è come dire che il numero civico 5 è un dato personale. Non è vero. Il numero civico 5 è un dato personale solo se inserito in un’insieme di altri dati utili ad identificare indirettamente la persona.
IP + ora di connessione può essere considerato, FORSE, un dato personale. Non è certamente un dato personale l’ip in quanto tale.
@riccardo
temo di dover smentire. Per la norma citata nel post, per quello che pensano in molti (giudici di Roma sul caso Peppermint, Garante, il commentatore Herr Doktor).
So che potrà sembrare strano e/o inaccettabile, ma e’ cosi’.
Esistono dati identificativi e non identificativi. Entrambi sono personali, se ricadono nella definizione.
Tutti gli hoster hanno l’access log acceso di default sul webserver.
Nell’accesso log finisce ogni request
HTTP fatta, con tanto di ip e querystring (quindi, quando cercate /query?search=donne+nude, rimane tracciato) .
Ad esempio minotti.net è hostato su aruba, è in PHP quindi sotto c’è Apache con access log attivo.
Tutte le volte che visitate minotti.net rimane il vostro IP nell’access log, non so per quanto.
E nessuno però vi chiede il consenso al trattamento di quelo vostro dato personale.
ciao
@Anonimo
Interessante osservazione, ma devo fare due chiarimenti:
– io non so se l’hosting tenga dei dati (anzi, secondo me non lo puo’ fare perche’ non e’ un provider di connessione);
– personalmente, non effettuo alcun trattamento (eventualmente, rivolgersi ad Aruba).
Un saluto.
Apache, il web server in uso sul tuo blog, genera vari log… log di accesso e log d’errore di default (o comunque e’ pratica comune; senza quei log non si puo’ correggere gli eventuali errori… e’ cioe’ possibile che Aruba tenga questi log per rispondere alle richieste di assistenza dei sui clienti come te), e questi ultimi visualizzabili da te proprietario dell’hosting tramite l’interfaccia admin di Aruba. E qui siamo ancora a livello applicativo… se scendiamo sul layer del TCP, ogni volta che un tuo lettore carica una pagina del tuo blog… partono 1-5-10-100 sessioni tcp… inoltre ogni pacchetto tcp che viaggia – e per ogni sessione se ne scambiano vari – ha un’etichetta con l’ip di mittente e destinatario… e se non fosse così Internet non potrebbe funzionare… perfino le c.d. darknet o qualunque cosa serva ad anonimizzare, cifrare, etc, si basa su questo meccanismo… pero’ e’ anche vero che se l’IP non e’ in alcun modo riconducibile ad una persona, la privacy e’ salva.
E ogni macchina che sta in mezzo tra il tuo lettore e il tuo web server, riceve queste informazioni e non e’ detto che non ne tenga traccia nel tempo (sono informazioni molto utili). Magari non ne sei responsabile tu… ok… pero’ fare l’enforcement della privatezza dell’IP significa distruggere internet. E se non ne fai l’enforcement come questione di principio, e’ inutile definirlo tale.
X mfp:
ti sfugge (o stai sviando ?) il punto del discorso:
Qui non si parla di eventuali accorgimenti tecnici da adottare per “offuscare” l’indirizzo IP così che rimanga celato.
Si parla del fatto che l’IP, in quanto dato che indirettamente permette la rintracciabilità fisica dell’utente, sia soggetto alla Legge sulla Privacy.
Un conto è dire: il mio server invia e riceve pacchetti TCP/IP per consentirmi di leggere pagine web.
Altro conto è dire: il mio server, oltre che inviare e ricevere i pacchetti TCP/IP logga l’ora e l’IP per fini che non sono strettamente connessi alla fornitura fisica del servizio, ovvero la visualizzazione della/delle pagine.
Inoltre, ed è giusto parlarne secondo me, è possibile offuscare il proprio IP utilizzando tecniche quali servizi di proxy, darknet, etc… quindi sostenere che “l’enforcement” sia inattuabile non è tecnicamente corretto 😉
@Minotti
1. La norma citata nel post non parla di ip e un ip in quanto tale non può integrare la fattispecie descritta nella norma (un ip in quanto tale non identifica indirettamente nessuno).
2. Il caso peppermint è un caso di logging completo, non di mera registrazione di ip, altrimenti gli utenti non sarebbero mai stati identificati.
3. Già siamo in un sistema di civil law (per cui una sentenza non è legge), non si pretenda che io prenda per interpretazioni autentiche quelle dei commentatori del blog di Minotti.
Sulla “provocazione” di minotti.net ovviamente non volevo “accusare” Daniele. “L’ospitato” di un servizio di hosting non ha nessuna colpa.
Se però ammettiamo che la mera acquisizione di un indirizzo ip, + sua elaborazione o salvataggio, sia trattamento di un dato personale, allora il 100% dei servizi di hosting nel mondo lo fanno senza aprire nessun “popup” del tipo “attenzione” sei su http://www.chenesoio123.it , ospitato da Servizio hosting blablabla.it. Ti ricordiamo che il tuo indirizzo ip verrà registrato nell’access log ed error log del webserver. In ottemperanza alla legge 196/2003 i tuoi diritti sono bla bla bla bla … “…
Di fatto, la prassi di gestione tecnica dei servizi di hosting è molto lontana da quanto prevede la normativa in merito.
ciao
>Di fatto, la prassi di gestione tecnica dei >servizi di hosting è molto lontana da >quanto prevede la normativa in merito.
ed ovviamente, non può essere altrimenti (senza access.log non potrebbero fornirti le statistiche di accesso al tuo sito, senza error log non potrebbero individuare errori presenti sul software ospitato sulle loro farm, causati da request malevole, sofware mal scritto etc etc). Non parialiamo di servizi di hosting dove l’admin paranoico installa mod security: lì l’indirizzo ip viene tracciato, geolocalizzato, analizzato, conservato, le singole request POST e GET vengono analizzate, controllate, matchate con gli ip per controllare ogni comportamento del “visitatore” sul webserver.
@mfp
Mi hai dato degli spunti intereressanti, ma, ancora, devo ribadire che io non *sapevo* se quei dati veniva conservati. Ora, grazie alle tue osservazioni, apprendo che e’ diverso. Sai che ho gia’ rpedisposto una pagina di informativa, a scanso di equivoci. E’ pronta, la linko oggi pomeriggio.
@ riccardo (quotando)
1. La norma citata nel post non parla di ip e un ip in quanto tale non può integrare la fattispecie descritta nella norma (un ip in quanto tale non identifica indirettamente nessuno).
** La legge e’ generale e astratta, per definizione. Normale che non parli di IP (ma darei uno sguardo all’art. 132 TU). Per il resto, valgono le considerazioni gia’ fatte.
2. Il caso peppermint è un caso di logging completo, non di mera registrazione di ip, altrimenti gli utenti non sarebbero mai stati identificati.
** C’e’ un IP e un orario, tanto basta (e questi dati sono normalmente a disposizione degli operatori, in alcuni casi devono tenerli).
3. Già siamo in un sistema di civil law (per cui una sentenza non è legge), non si pretenda che io prenda per interpretazioni autentiche quelle dei commentatori del blog di Minotti.
** Nessuno propone un sistema dei precedenti, ma ordinariamente, anche da noi, vi si fa riferimento.
Quanto al commentatore, nessuno lo ha proposto come interprete autentico. Soltanto, sapendo chi e’ e conoscendo la sua cultura giuridica in manteria, l’ho proposto come sponda per le mie conclusioni.
Credimi, pur non da solo (come detto mille volte) l’IP e’ considerato dato personale.
@ Minotti (quotando)
1. La norma citata nel post non parla di ip e un ip in quanto tale non può integrare la fattispecie descritta nella norma (un ip in quanto tale non identifica indirettamente nessuno).
** La legge e’ generale e astratta, per definizione. Normale che non parli di IP (ma darei uno sguardo all’art. 132 TU). Per il resto, valgono le considerazioni gia’ fatte.
*** Ho detto che dal mero ip non è possibile risalire indirettamente a nessuno: vorrei considerazioni su questo, grazie.
2. Il caso peppermint è un caso di logging completo, non di mera registrazione di ip, altrimenti gli utenti non sarebbero mai stati identificati.
** C’e’ un IP e un orario, tanto basta (e questi dati sono normalmente a disposizione degli operatori, in alcuni casi devono tenerli).
*** E allora non parliamo di mero IP, ma di IP + orario. Dunque?
3. Già siamo in un sistema di civil law (per cui una sentenza non è legge), non si pretenda che io prenda per interpretazioni autentiche quelle dei commentatori del blog di Minotti.
** Nessuno propone un sistema dei precedenti, ma ordinariamente, anche da noi, vi si fa riferimento.
Quanto al commentatore, nessuno lo ha proposto come interprete autentico. Soltanto, sapendo chi e’ e conoscendo la sua cultura giuridica in manteria, l’ho proposto come sponda per le mie conclusioni.
Credimi, pur non da solo (come detto mille volte) l’IP e’ considerato dato personale.
*** Sono disposto a crederti purché tu me ne dia il modo. IP ed orario sono un INSIEME di dati che indirettamente servono a risalire ad una persona. Non così il mero orario o il mero IP. Per cui, non puoi citare il caso peppermint a sostegno alla tesi che il mero IP serve ad identificare indirettamente una persona. O correggi il tiro, come già hai fatto dicendo “IP + orario basta” o il tuo ragionamento resta opinabile.
@gianni
A me sembra una questione semplicemente paradossale. Poi, all’interno di questo paradosso, le questioni sono tantissime. Ad esempio quello che scrivevo all’inizio (RIPE=elenco pubblico regolamentato) e’ un parere di Rodotà quando era il garante; ora, che questo parere possa valere zero (non e’ una norma, e nemmeno giurisprudenza) e’ probabile… pero’ credo rappresenti comunque un punto di riferimento sia per gli avvocati che si trovano ad affrontare questo problema, sia (ancor di più) per il giudice che deve esprimersi su una materia che magari non conosce nel dettaglio e quindi certamente prendera’ in considerazione il giurista di riferimento (io avvocato dico: “Rodotà ha detto che quello non e’ dato personale”; l’altro avvocato pensa: “Pork, questo mi a ciulato”; il giudice pensa: “Ho capito… andiamo a vedere che hanno detto Rodotà e Pizzetti perche’ se no da qui non ne usciamo Giusti”). E in qualunque modo i giuristi si trovano ad affrontarla, sbagliano: l’ottica con cui si muove il legislatore e’ incompatibile con la natura dell’IP, e’ presuntuoso pensare di regolamentarlo. Non a caso loro giuristi rilevano che la situazione reale e’ moooooolto distante dalle norme in vigore… e loro giuristi si perdono inevitabilmente per strada buona parte della complessità tecnica (informatica)… aggiungendo anche quella (come facevo nel messaggio precedente), beh, credo la distanza aumenti 🙂
Vogliamo risolvere questo paradosso? Servono (almeno) 3 step:
– introdurre un’elencazione dei casi in cui il furto d’identità e’ punibile e/o una procedura per rendere il sistema informatico tutelabile dal furto di identità (chi, come una banca, vuole tutelare se e i propri utenti, deve certificare i propri sistemi), il default e’ che non e’ punibile;
– Installare Tor (o simili) e privoxy su tutti i terminali di rete, per fare l’enforcement della privacy;
– Usare tecniche di cifratura/tunneling/etc end-to-end lì dove richiesto per evitare il furto d’identita’.
Non conosco le fattispecie di reato che sarebbero stravolte da questa impostazione (es: ingiuria, diffamazione); e andrebbero tutte adeguate come fatto con il furto d’identita’.
La cosa certa e’ che salterebbero i desideri di controllo sociale che molti politici ignoranti e criminali auspicano costantemente… e anche i rigurgiti di fascismo dei giuristi di cui tutta la categoria dovrebbe vergognarsi…
Insomma, bisogna andare a toccare questioni più macroscopiche e impegnative.
@ riccardo (e se finiscono gli asterischi 😉
@ Minotti (quotando)
*** Ho detto che dal mero ip non è possibile risalire indirettamente a nessuno: vorrei considerazioni su questo, grazie.
** Pensavo di averle gia’ fatte, probabilmente mi sono espresso male. E’ chiaro che quattro gruppi di numeri non dicono nulla, ma contestualizzati possono portare ad una persona (fisica o giuridica). Non sono io che dico certe cose, e’ la legge.
*** E allora non parliamo di mero IP, ma di IP + orario. Dunque?
** IP + orario portano all’identificazione, ma la definizione di dato personale gia’ il dato prima dell’incrocio.
*** Sono disposto a crederti purché tu me ne dia il modo. IP ed orario sono un INSIEME di dati che indirettamente servono a risalire ad una persona. Non così il mero orario o il mero IP. Per cui, non puoi citare il caso peppermint a sostegno alla tesi che il mero IP serve ad identificare indirettamente una persona. O correggi il tiro, come già hai fatto dicendo “IP + orario basta” o il tuo ragionamento resta opinabile.
** Mi sono gia’ spiegato. Senza presunzione, ma non penso di dover correggere il tiro.
@ mfp
Certo, riconosco i miei limiti nella tecnica, ma non mi sto inventando io certe definizioni di legge. Come faccio sempre, cito determinati testi. Poi, se sono sbagliati e/o inaccettabili, non e’ colpa mia.
@ Minotti
Hai già corretto il tiro: sei partito dicendo che il mero IP integra la fattispecie (cosa obiettivamente non vera) per poi dire che per integrarla occorre in realtà anche l’orario e dunque un insieme di dati.
O vogliamo dire che l’IP comprende anche l’orario? 🙂
E’ su questo punto che ti chiedo di rispondere, grazie.
@daniele
E mica sto’ sindacando il tuo parere sul piano giuridico… non potrei, io sono un informatico… all’interno del quadro normativo il tuo ragionamento probabilmente non fa una piega… pero’ il quadro normativo e’ sbajato, tant’e’ che voi giuristi rilevate che e’ largamente disatteso 🙂
@ Anonimo
Se ti leggi bene il post dove ho citato la norma rilevante, capisci che non ho corretto il tiro.
L’IP non comprende l’orario.
@mfp
Non so se e’ disattteso. Io, come avvocato, mi occupo di leggi e non posso fare a meno di citarle.
Poi, come ho gia’ detto, puo’ anche essere sbagliato o inaccettabile, ma la legge non l’ho scritta io.
Pingback: » Logistep, IP e la giustizia elvetica » Il blog di Daniele Minotti
@ Minotti
Poco sopra hai detto che IP + orario è quanto basta. Certo: IP + orario. Non IP e basta. Con il mero IP è impossibile risalire a qualcuno né direttamente né indirettamente. Dire che il mero ip è un dato personale è come dire che il numero civico 5, che chiunque può avere, è un dato personale: è un’assurdità. Non capisco cosaci sia di difficile dacapire in questa precisa e semplice osservazione, alla quale non hai ancora risposto.
@ riccardo
Allora proprio non ci capiamo: “anche indirettamente, mediante riferimento a qualsiasi altra informazione”.
Ribadisco che e’ chiaro che l’IP di per se’ non identifica, ma se a certe condizioni e’ incrociabile, e’ dato personale. La definizione di legge non l’ho scritta io. Rivolgersi a Buttarelli.
@ Minotti
Se dici che l’ip in quanto tale non è dato personale allora siamo d’accordo. Dal tuo post pensavo che ritenessi che il mero ip fosse un dato personale.
Io penso che un IP (non un numero di quattro gruppi qualsiasi) e’ dato persona se, a seguito di incrocio, porta all’identificazione.
Ricordati che c’e’ distinzione tra dato personale e dato identificativo (lett. c) nel senso che il secondo e specie del primo genere.
Altro non ho da dire.
La definizione stessa di dato personale presuppone una *relazione* di un dato con una persona (sia fisica che giuridica).
Se manca questa relazione il dato non è più personale, ma un dato e basta.
Un numero telefonico è composto da una serie di cifre, vogliamo negare che esso sia un dato personale? Cosa lo rende tale se non il fatto che può essere riferito a una persona (fisica o giuridica, si badi)?
Per l’indirizzo IP è la stessa cosa, non qualsiasi sequenza di quattro numeri è un indirizzo IP, e non tutti gli indirizzi IP sono dati personali (127.0.0.1 per fare un esempio). Ma se quella sequenza rappresenta l’indirizzo di una macchina riferibile a una persona, ecco che non può non essere un dato personale. Esattamente come la serie di cifre che corrisponde a un numero di telefono.
s.o.s. essendo ignorante in materia non sò dove rivolgermi, il problema è : mi sono fidata della persona sbagliata lui sà tutto di me,io niente di lui… avendo il suo ip posso risalire al suo numero telefonico? x favore qualcuno che mi aiuti …. vi lascio il mio contatto “janaraa@hotmail.it” GRAZIE!
Ho seguito con molto interesse la discussione. Mi sembra, purtroppo, che l’affermazione di Daniele Minotti non faccia una piega, in relazione alla definizione di dato personale che da la legge.
Mi domando a questo punto se anche l’orario di connessione sia dato personale. Seguendo lo stesso ragionamento usato in precedenza, la risposta dovrebbe essere ASSOLUTAMENTE SI’. Perché anche se l’orario di accesso da solo non dice nulla, in accoppiata con l’IP (e forse qualche altro dato) permette l’idenfificazione di un soggetto!
Questo per rilevare, come qualcuno ha già fatto, che l’applicazione letterale della definizione nella norma di legge citata porta a grottesche assurdità.
Per il gusto della provocazione, voglio scrivere: 28/11/08 10:54:48. Statemi alla larga: io faccio trattamento non autorizzato di dati personali!
Inoltre mi incuriosicono molto gli interventi di mfp e anonimo secondo cui il semplice funzionamento di questo blog fa di Daniele Minotti una persona che tratta dati personali. Mi sento coinvolto anche perché vorrei sapere come devo comportarmi col mio piccolo e insignificante blog, che però esiste. Minotti ha detto che avrebbe segnalato un documento il pomeriggio, io non ne ho trovato traccia. E’ possibile saperne qualcosa? Grazie.
Inoltre, sto scrivendo un messaggio dopo che mi sono stati chiesti nome e indirizzo e-mail, ma non ho visto alcuna informativa. Come è possibile?
Non voglio essere polemico, nel modo più assoluto. Ma l’essermi addentrato nella discussione mi ha fatto sorgere delle domande che vorrei rivolgere e magari discutere con qualcuno più colto ed esperto di me.
Grazie.
Ciao mi trovo a gestire una questione di privacy cioè l’idividuazione dei dati personali della persona fisica partendo dall’indirizzo IP statico alla stessa assegnato…premesso che la giurisprudenza è preponderante sul non considerare dato personale l’indirizzo IP avrei bisogno di capire il meccanismo di assegnazione degli stessi…se non ho capito male è il Ripe che assegna al provider gli indirizzi che a sua volta assegna ai propri clienti….l’assegnazione al cliente deve essere comunicata al Ripe?
grazie mille
Non sono d’accordo sulla premessa secondo cui un IP non sarebbe un dato personale (v. sopra nei commenti).
la premessa è stata poco chiara…volevo dire non è un dato personale se singolarmente considerato e se dinamico….
Per stabilire una connessione con un qualsiasi server su Internet e’ necessario per il server vedere l’IP del client che si connette.
Detto questo qualsiasi server tratta gli indirizzi IP (anche se non li logga nel senso stretto del termine).
Se l’IP fosse un dato personale allora qualsiasi sito web dovrebbe chiedere all’utente il consenso al trattamento dei dati personali con tutta la trafila burocratica che ne consegue.
Altra cosa mi sembra di aver letto in giro che se un utente di sua spontanea volontà senza che nessuno glielo chieda scrive i suoi dati personali su un forum, commenti, chat, quest’ultimo non può dopo pretendere che chi gestisce il sito diventi responsabile del trattamento dei suoi dati personali.
Cmq anche questo caso mi sembra ambiguo.
L’IP, alle condizioni di cui sopra, e’ un dato personale. Non c’e’ spazio per il dubbio.
Quanto alla partecipazione a forum e simili, distinguiamo tra consenso, informativa e titolarita’ del trattamento, altrimenti si fa parecchio confusione.