IP dato personale?
Pubblicato da Daniele
Quinta si chiede (e non e’ il solo) se un indirizzo IP e’ dato personale. Ho la mia (nota) opinione, giuridica.
L’art. 4 d.lgs. 196/2003 (T.U. dati personali) cosi’ recita.
b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Del resto, senza voler sembrare antipaticamente tranchant, l’equazione IP=dato personale (pur nell’incrocio di altri dati) sta alla base della giurisprudenza sul caso Peppermint.
33 Commenti »
Puoi lasciare una risposta, oppure fare un trackback dal tuo sito.
Il sistema di commenti traccia gli indirizzi IP (v. Privacy Policy)
Pubblicato il 26 01 2008 alle 18:29 quota
Un dato pero’ per essere personale non deve esistere in elenchi pubblici regolamentati - specifico’ Rodotà poco dopo la prima legge del 96 - il che significa che esistendo il RIPE… l’IP, secondo la dottrina italiana (per quanto ne possa conoscere io informatico: poco) non e’ personale…
Pubblicato il 26 01 2008 alle 22:58 quota
Considerando che i privati navigano con IP dinamico, questo tout court non può essere considerato dato personale, anche perchè di proprietà del provider.
L’accoppiata IP - ora di utilizzazione può esserlo, ma solo il provider può sapere a chi era assegnato ed in tal senso il garante ha comunicato in questi giorni l’obbligo di cancellare queste informazioni, in quanto sensibili.
Chi acquista un IP pubblico statico lo fa sempre tramite un provider, e nel 99% dei casi il RIPE restituisce il titolare fisico dell’IP, non l’assegnatario, che pur avendolo statico, ha sempre un contratto di fornitura, non lo compra direttamente.
Tabelle con IP e orario di assegnazione è dato sensibile, quattro numeri in fila no…
Pubblicato il 27 01 2008 alle 6:04 quota
@ davidonzo
L’eccezione dell’IP dinamico e’ nota, ma non vincente, se mi e’ consentito.
L’IP da solo non e’ nulla, ma va incrociato. E la legge definisce personale un dato che lo diventa anche con l’incrocio. Per questo ho riportato il testo di legge.
@mfp
Ammetto la mia ignoranza, ma non conosco quella definizione dei registri pubblici. D’altro canto, non compare nella legge.
Credimi, la dottrina sostanzialmente unanime riconosce nell’IP un dato personale (alle condizioni viste).
Pubblicato il 27 01 2008 alle 11:36 quota
A mio avviso l’IP potrebbe essere considerato un dato personale ma solo per un “soggetto giuridico”, come un’azienda. E’ l’azienda che sottoscrive il contratto con l’ISP ed è sempre l’azienda che è responsabile di ciò che i propri dipendenti fanno con la connessione a loro disposizione.
La cosa cambia quando si parla di “soggetto fisico” in quanto non è dimostrabile che chi ha sottoscritto il contratto con l’ISP abbia effettivamente commesso il reato. Proviamo a pensare ad una famiglia dove il contratto con l’ISP è sottoscritto da un genitore ma alla fine sono i figli maggiorenni/minorenni o gli amici che vanno a trovarli che si collegano e infrangono (spesso inconsapevolmente) la legge.
Pubblicato il 27 01 2008 alle 18:41 quota
@vlad
Ok, in punto responsabilita’ ne parliamo (ed hai ragione in alcune cose), ma la definizione di dato personale e’ un’altra cosa.
Pubblicato il 27 01 2008 alle 20:00 quota
sotto un profilo di definizione legale, non dobbiamo dimenticare, inoltre, che anche i dati di imprese sono “dati personali”
buona serata!
l’IP, quindi, purchè sia assegnato, è comunque un dato personale, sia pure del provider
l’IP “dinamico”, combinato con altri due dati (l’ora della trasmissione e i log dei provider) porta ad un legame univoco con un’altro soggetto (l’intestatario di un account) e anche questa informazone è un “dato personale” ancorchè come giustamente nota Vlad, in tema di assunzione di responsabilità (specie penale) al massimo vale come presunzione di responsabilità del titolare dell’account …. ed è da vedere se basti a fondare una responsailità: in tema di responsabilità (civile) da circolazione da autoveicoli il proprietario è responsabile dei danni causati dal veicolo se non prova (ammessa quindi la prova contraria, sia pure ‘vincolata’) che la circolazione è avvenuta contro la sua volontà: questa responsabilità - però - è figlia di una norma espressa del codice civile che manca completamente nel caso in questione (salvo non si voglia stiracchiare anche oltre i limiti dell’analogia - peralto vietata in ambito penale - la norma della legge privacy sulle misure di sicurezza obbligatorie anche per i privati…..)
Bah, sono stato anche troppo pedante
–
hd
Pubblicato il 28 01 2008 alle 13:40 quota
Faccio una considerazione da “non-legale”:
Mettiamo che io, privato cittadino, lavori in ambito telefonico con accesso al database delle connessioni internet dell’ISP (data, ora, IP dei clienti).
Mettiamo che io mi faccia vendere da un sito X il suo database di IP (che per alcuni, non trattandosi di dato personale, risulterebbe quindi loggabile e cedibile senza informativa).
Risultato ?
Come semplice operatore telefonico vengo a sapere con precisione quali siti frequenta il mio cliente, a quali orari, etc…
Con la premessa di cui sopra io detengo:
Nome, Cognome, indirizzo, numero telefonico e abitudini di navigazione (in barba a quanto stabilito recentemente dal Garante) del tizio “sorvegliato”.
Più in generale è dimostrato che l’IP può essere utilizzato CON FACILITA’ per risalire all’intestatario della linea anche con mezzi poco leciti.
Mi pare logico quindi il discorso fatto da Daniele Minotti, secondo cui va considerato (e il caso Peppermint lo dimostra al di fuori di ogni dubbio) un dato personale.
Mi resta una curiosità: i molti siti in rete che loggano l’IP, come i forum, detengono di fatto un database di dati personali senza averne il consenso dell’interessato ?…
Pubblicato il 28 01 2008 alle 16:51 quota
L’IP in sé non può essere dato personale in quanto, essendo un dato dinamico può essere attribuito a chiunque: dire che l’IP è un dato personale è come dire che il numero civico 5 è un dato personale. Non è vero. Il numero civico 5 è un dato personale solo se inserito in un’insieme di altri dati utili ad identificare indirettamente la persona.
IP + ora di connessione può essere considerato, FORSE, un dato personale. Non è certamente un dato personale l’ip in quanto tale.
Pubblicato il 28 01 2008 alle 17:00 quota
@riccardo
temo di dover smentire. Per la norma citata nel post, per quello che pensano in molti (giudici di Roma sul caso Peppermint, Garante, il commentatore Herr Doktor).
So che potrà sembrare strano e/o inaccettabile, ma e’ cosi’.
Esistono dati identificativi e non identificativi. Entrambi sono personali, se ricadono nella definizione.
Pubblicato il 28 01 2008 alle 17:08 quota
Tutti gli hoster hanno l’access log acceso di default sul webserver.
Nell’accesso log finisce ogni request
HTTP fatta, con tanto di ip e querystring (quindi, quando cercate /query?search=donne+nude, rimane tracciato) .
Ad esempio minotti.net è hostato su aruba, è in PHP quindi sotto c’è Apache con access log attivo.
Tutte le volte che visitate minotti.net rimane il vostro IP nell’access log, non so per quanto.
E nessuno però vi chiede il consenso al trattamento di quelo vostro dato personale.
ciao
Pubblicato il 28 01 2008 alle 17:11 quota
@Anonimo
Interessante osservazione, ma devo fare due chiarimenti:
- io non so se l’hosting tenga dei dati (anzi, secondo me non lo puo’ fare perche’ non e’ un provider di connessione);
- personalmente, non effettuo alcun trattamento (eventualmente, rivolgersi ad Aruba).
Un saluto.
Pubblicato il 28 01 2008 alle 19:13 quota
Apache, il web server in uso sul tuo blog, genera vari log… log di accesso e log d’errore di default (o comunque e’ pratica comune; senza quei log non si puo’ correggere gli eventuali errori… e’ cioe’ possibile che Aruba tenga questi log per rispondere alle richieste di assistenza dei sui clienti come te), e questi ultimi visualizzabili da te proprietario dell’hosting tramite l’interfaccia admin di Aruba. E qui siamo ancora a livello applicativo… se scendiamo sul layer del TCP, ogni volta che un tuo lettore carica una pagina del tuo blog… partono 1-5-10-100 sessioni tcp… inoltre ogni pacchetto tcp che viaggia - e per ogni sessione se ne scambiano vari - ha un’etichetta con l’ip di mittente e destinatario… e se non fosse così Internet non potrebbe funzionare… perfino le c.d. darknet o qualunque cosa serva ad anonimizzare, cifrare, etc, si basa su questo meccanismo… pero’ e’ anche vero che se l’IP non e’ in alcun modo riconducibile ad una persona, la privacy e’ salva.
E ogni macchina che sta in mezzo tra il tuo lettore e il tuo web server, riceve queste informazioni e non e’ detto che non ne tenga traccia nel tempo (sono informazioni molto utili). Magari non ne sei responsabile tu… ok… pero’ fare l’enforcement della privatezza dell’IP significa distruggere internet. E se non ne fai l’enforcement come questione di principio, e’ inutile definirlo tale.
Pubblicato il 29 01 2008 alle 2:28 quota
X mfp:
ti sfugge (o stai sviando ?) il punto del discorso:
Qui non si parla di eventuali accorgimenti tecnici da adottare per “offuscare” l’indirizzo IP così che rimanga celato.
Si parla del fatto che l’IP, in quanto dato che indirettamente permette la rintracciabilità fisica dell’utente, sia soggetto alla Legge sulla Privacy.
Un conto è dire: il mio server invia e riceve pacchetti TCP/IP per consentirmi di leggere pagine web.
Altro conto è dire: il mio server, oltre che inviare e ricevere i pacchetti TCP/IP logga l’ora e l’IP per fini che non sono strettamente connessi alla fornitura fisica del servizio, ovvero la visualizzazione della/delle pagine.
Inoltre, ed è giusto parlarne secondo me, è possibile offuscare il proprio IP utilizzando tecniche quali servizi di proxy, darknet, etc… quindi sostenere che “l’enforcement” sia inattuabile non è tecnicamente corretto
Pubblicato il 29 01 2008 alle 3:25 quota
@Minotti
1. La norma citata nel post non parla di ip e un ip in quanto tale non può integrare la fattispecie descritta nella norma (un ip in quanto tale non identifica indirettamente nessuno).
2. Il caso peppermint è un caso di logging completo, non di mera registrazione di ip, altrimenti gli utenti non sarebbero mai stati identificati.
3. Già siamo in un sistema di civil law (per cui una sentenza non è legge), non si pretenda che io prenda per interpretazioni autentiche quelle dei commentatori del blog di Minotti.
Pubblicato il 29 01 2008 alle 9:31 quota
Sulla “provocazione” di minotti.net ovviamente non volevo “accusare” Daniele. “L’ospitato” di un servizio di hosting non ha nessuna colpa.
Se però ammettiamo che la mera acquisizione di un indirizzo ip, + sua elaborazione o salvataggio, sia trattamento di un dato personale, allora il 100% dei servizi di hosting nel mondo lo fanno senza aprire nessun “popup” del tipo “attenzione” sei su http://www.chenesoio123.it , ospitato da Servizio hosting blablabla.it. Ti ricordiamo che il tuo indirizzo ip verrà registrato nell’access log ed error log del webserver. In ottemperanza alla legge 196/2003 i tuoi diritti sono bla bla bla bla … “…
Di fatto, la prassi di gestione tecnica dei servizi di hosting è molto lontana da quanto prevede la normativa in merito.
ciao
Pubblicato il 29 01 2008 alle 9:40 quota
>Di fatto, la prassi di gestione tecnica dei >servizi di hosting è molto lontana da >quanto prevede la normativa in merito.
ed ovviamente, non può essere altrimenti (senza access.log non potrebbero fornirti le statistiche di accesso al tuo sito, senza error log non potrebbero individuare errori presenti sul software ospitato sulle loro farm, causati da request malevole, sofware mal scritto etc etc). Non parialiamo di servizi di hosting dove l’admin paranoico installa mod security: lì l’indirizzo ip viene tracciato, geolocalizzato, analizzato, conservato, le singole request POST e GET vengono analizzate, controllate, matchate con gli ip per controllare ogni comportamento del “visitatore” sul webserver.
Pubblicato il 29 01 2008 alle 13:49 quota
@mfp
Mi hai dato degli spunti intereressanti, ma, ancora, devo ribadire che io non *sapevo* se quei dati veniva conservati. Ora, grazie alle tue osservazioni, apprendo che e’ diverso. Sai che ho gia’ rpedisposto una pagina di informativa, a scanso di equivoci. E’ pronta, la linko oggi pomeriggio.
Pubblicato il 29 01 2008 alle 13:54 quota
@ riccardo (quotando)
1. La norma citata nel post non parla di ip e un ip in quanto tale non può integrare la fattispecie descritta nella norma (un ip in quanto tale non identifica indirettamente nessuno).
** La legge e’ generale e astratta, per definizione. Normale che non parli di IP (ma darei uno sguardo all’art. 132 TU). Per il resto, valgono le considerazioni gia’ fatte.
2. Il caso peppermint è un caso di logging completo, non di mera registrazione di ip, altrimenti gli utenti non sarebbero mai stati identificati.
** C’e’ un IP e un orario, tanto basta (e questi dati sono normalmente a disposizione degli operatori, in alcuni casi devono tenerli).
3. Già siamo in un sistema di civil law (per cui una sentenza non è legge), non si pretenda che io prenda per interpretazioni autentiche quelle dei commentatori del blog di Minotti.
** Nessuno propone un sistema dei precedenti, ma ordinariamente, anche da noi, vi si fa riferimento.
Quanto al commentatore, nessuno lo ha proposto come interprete autentico. Soltanto, sapendo chi e’ e conoscendo la sua cultura giuridica in manteria, l’ho proposto come sponda per le mie conclusioni.
Credimi, pur non da solo (come detto mille volte) l’IP e’ considerato dato personale.
Pubblicato il 29 01 2008 alle 19:59 quota
@ Minotti (quotando)
1. La norma citata nel post non parla di ip e un ip in quanto tale non può integrare la fattispecie descritta nella norma (un ip in quanto tale non identifica indirettamente nessuno).
** La legge e’ generale e astratta, per definizione. Normale che non parli di IP (ma darei uno sguardo all’art. 132 TU). Per il resto, valgono le considerazioni gia’ fatte.
*** Ho detto che dal mero ip non è possibile risalire indirettamente a nessuno: vorrei considerazioni su questo, grazie.
2. Il caso peppermint è un caso di logging completo, non di mera registrazione di ip, altrimenti gli utenti non sarebbero mai stati identificati.
** C’e’ un IP e un orario, tanto basta (e questi dati sono normalmente a disposizione degli operatori, in alcuni casi devono tenerli).
*** E allora non parliamo di mero IP, ma di IP + orario. Dunque?
3. Già siamo in un sistema di civil law (per cui una sentenza non è legge), non si pretenda che io prenda per interpretazioni autentiche quelle dei commentatori del blog di Minotti.
** Nessuno propone un sistema dei precedenti, ma ordinariamente, anche da noi, vi si fa riferimento.
Quanto al commentatore, nessuno lo ha proposto come interprete autentico. Soltanto, sapendo chi e’ e conoscendo la sua cultura giuridica in manteria, l’ho proposto come sponda per le mie conclusioni.
Credimi, pur non da solo (come detto mille volte) l’IP e’ considerato dato personale.
*** Sono disposto a crederti purché tu me ne dia il modo. IP ed orario sono un INSIEME di dati che indirettamente servono a risalire ad una persona. Non così il mero orario o il mero IP. Per cui, non puoi citare il caso peppermint a sostegno alla tesi che il mero IP serve ad identificare indirettamente una persona. O correggi il tiro, come già hai fatto dicendo “IP + orario basta” o il tuo ragionamento resta opinabile.
Pubblicato il 30 01 2008 alle 13:27 quota
@gianni
A me sembra una questione semplicemente paradossale. Poi, all’interno di questo paradosso, le questioni sono tantissime. Ad esempio quello che scrivevo all’inizio (RIPE=elenco pubblico regolamentato) e’ un parere di Rodotà quando era il garante; ora, che questo parere possa valere zero (non e’ una norma, e nemmeno giurisprudenza) e’ probabile… pero’ credo rappresenti comunque un punto di riferimento sia per gli avvocati che si trovano ad affrontare questo problema, sia (ancor di più) per il giudice che deve esprimersi su una materia che magari non conosce nel dettaglio e quindi certamente prendera’ in considerazione il giurista di riferimento (io avvocato dico: “Rodotà ha detto che quello non e’ dato personale”; l’altro avvocato pensa: “Pork, questo mi a ciulato”; il giudice pensa: “Ho capito… andiamo a vedere che hanno detto Rodotà e Pizzetti perche’ se no da qui non ne usciamo Giusti”). E in qualunque modo i giuristi si trovano ad affrontarla, sbagliano: l’ottica con cui si muove il legislatore e’ incompatibile con la natura dell’IP, e’ presuntuoso pensare di regolamentarlo. Non a caso loro giuristi rilevano che la situazione reale e’ moooooolto distante dalle norme in vigore… e loro giuristi si perdono inevitabilmente per strada buona parte della complessità tecnica (informatica)… aggiungendo anche quella (come facevo nel messaggio precedente), beh, credo la distanza aumenti
Vogliamo risolvere questo paradosso? Servono (almeno) 3 step:
- introdurre un’elencazione dei casi in cui il furto d’identità e’ punibile e/o una procedura per rendere il sistema informatico tutelabile dal furto di identità (chi, come una banca, vuole tutelare se e i propri utenti, deve certificare i propri sistemi), il default e’ che non e’ punibile;
- Installare Tor (o simili) e privoxy su tutti i terminali di rete, per fare l’enforcement della privacy;
- Usare tecniche di cifratura/tunneling/etc end-to-end lì dove richiesto per evitare il furto d’identita’.
Non conosco le fattispecie di reato che sarebbero stravolte da questa impostazione (es: ingiuria, diffamazione); e andrebbero tutte adeguate come fatto con il furto d’identita’.
La cosa certa e’ che salterebbero i desideri di controllo sociale che molti politici ignoranti e criminali auspicano costantemente… e anche i rigurgiti di fascismo dei giuristi di cui tutta la categoria dovrebbe vergognarsi…
Insomma, bisogna andare a toccare questioni più macroscopiche e impegnative.
Pubblicato il 30 01 2008 alle 14:39 quota
@ riccardo (e se finiscono gli asterischi
@ Minotti (quotando)
*** Ho detto che dal mero ip non è possibile risalire indirettamente a nessuno: vorrei considerazioni su questo, grazie.
** Pensavo di averle gia’ fatte, probabilmente mi sono espresso male. E’ chiaro che quattro gruppi di numeri non dicono nulla, ma contestualizzati possono portare ad una persona (fisica o giuridica). Non sono io che dico certe cose, e’ la legge.
*** E allora non parliamo di mero IP, ma di IP + orario. Dunque?
** IP + orario portano all’identificazione, ma la definizione di dato personale gia’ il dato prima dell’incrocio.
*** Sono disposto a crederti purché tu me ne dia il modo. IP ed orario sono un INSIEME di dati che indirettamente servono a risalire ad una persona. Non così il mero orario o il mero IP. Per cui, non puoi citare il caso peppermint a sostegno alla tesi che il mero IP serve ad identificare indirettamente una persona. O correggi il tiro, come già hai fatto dicendo “IP + orario basta” o il tuo ragionamento resta opinabile.
** Mi sono gia’ spiegato. Senza presunzione, ma non penso di dover correggere il tiro.
Pubblicato il 30 01 2008 alle 14:42 quota
@ mfp
Certo, riconosco i miei limiti nella tecnica, ma non mi sto inventando io certe definizioni di legge. Come faccio sempre, cito determinati testi. Poi, se sono sbagliati e/o inaccettabili, non e’ colpa mia.
Pubblicato il 30 01 2008 alle 20:39 quota
@ Minotti
Hai già corretto il tiro: sei partito dicendo che il mero IP integra la fattispecie (cosa obiettivamente non vera) per poi dire che per integrarla occorre in realtà anche l’orario e dunque un insieme di dati.
O vogliamo dire che l’IP comprende anche l’orario?
E’ su questo punto che ti chiedo di rispondere, grazie.
Pubblicato il 30 01 2008 alle 22:43 quota
@daniele
E mica sto’ sindacando il tuo parere sul piano giuridico… non potrei, io sono un informatico… all’interno del quadro normativo il tuo ragionamento probabilmente non fa una piega… pero’ il quadro normativo e’ sbajato, tant’e’ che voi giuristi rilevate che e’ largamente disatteso
Pubblicato il 31 01 2008 alle 8:13 quota
@ Anonimo
Se ti leggi bene il post dove ho citato la norma rilevante, capisci che non ho corretto il tiro.
L’IP non comprende l’orario.
Pubblicato il 31 01 2008 alle 8:15 quota
@mfp
Non so se e’ disattteso. Io, come avvocato, mi occupo di leggi e non posso fare a meno di citarle.
Poi, come ho gia’ detto, puo’ anche essere sbagliato o inaccettabile, ma la legge non l’ho scritta io.
Pubblicato il 31 01 2008 alle 14:49 quota
[...] e’ dato personale se rientra nella definizione del TU Privacy (gia’ osservato in altro post, pur con la discussione nei commenti). La Svizzera non e’ UE, pero’ ha una [...]
Pubblicato il 31 01 2008 alle 14:51 quota
@ Minotti
Poco sopra hai detto che IP + orario è quanto basta. Certo: IP + orario. Non IP e basta. Con il mero IP è impossibile risalire a qualcuno né direttamente né indirettamente. Dire che il mero ip è un dato personale è come dire che il numero civico 5, che chiunque può avere, è un dato personale: è un’assurdità. Non capisco cosaci sia di difficile dacapire in questa precisa e semplice osservazione, alla quale non hai ancora risposto.
Pubblicato il 31 01 2008 alle 15:23 quota
@ riccardo
Allora proprio non ci capiamo: “anche indirettamente, mediante riferimento a qualsiasi altra informazione”.
Ribadisco che e’ chiaro che l’IP di per se’ non identifica, ma se a certe condizioni e’ incrociabile, e’ dato personale. La definizione di legge non l’ho scritta io. Rivolgersi a Buttarelli.
Pubblicato il 31 01 2008 alle 18:04 quota
@ Minotti
Se dici che l’ip in quanto tale non è dato personale allora siamo d’accordo. Dal tuo post pensavo che ritenessi che il mero ip fosse un dato personale.
Pubblicato il 31 01 2008 alle 18:12 quota
Io penso che un IP (non un numero di quattro gruppi qualsiasi) e’ dato persona se, a seguito di incrocio, porta all’identificazione.
Ricordati che c’e’ distinzione tra dato personale e dato identificativo (lett. c) nel senso che il secondo e specie del primo genere.
Altro non ho da dire.
Pubblicato il 01 02 2008 alle 18:39 quota
La definizione stessa di dato personale presuppone una *relazione* di un dato con una persona (sia fisica che giuridica).
Se manca questa relazione il dato non è più personale, ma un dato e basta.
Un numero telefonico è composto da una serie di cifre, vogliamo negare che esso sia un dato personale? Cosa lo rende tale se non il fatto che può essere riferito a una persona (fisica o giuridica, si badi)?
Per l’indirizzo IP è la stessa cosa, non qualsiasi sequenza di quattro numeri è un indirizzo IP, e non tutti gli indirizzi IP sono dati personali (127.0.0.1 per fare un esempio). Ma se quella sequenza rappresenta l’indirizzo di una macchina riferibile a una persona, ecco che non può non essere un dato personale. Esattamente come la serie di cifre che corrisponde a un numero di telefono.
Pubblicato il 05 06 2008 alle 5:26 quota
s.o.s. essendo ignorante in materia non sò dove rivolgermi, il problema è : mi sono fidata della persona sbagliata lui sà tutto di me,io niente di lui… avendo il suo ip posso risalire al suo numero telefonico? x favore qualcuno che mi aiuti …. vi lascio il mio contatto “janaraa@hotmail.it” GRAZIE!