L’indirizzo IP è un dato personale? Nella maggior parte dei casi no: non consente di risalire alla persona che si trova dietro lo schermo. È Google a ribadire la propria posizione nel dibattito sorto il mese scorso in seno alla Commissione Europea.
Era stato l’ Article 29 Data Protection Working Party a sollevare la questione: l’indirizzo IP dovrebbe essere considerato alla stregua di un dato personale e come tale dovrebbe essere sottoposto ad appropriate tutele, aveva chiesto il Garante della Privacy tedesco Peter Schaar, in attesa di un report che indirizzerà l’ attività regolatoria della Comunità Europea.
Per tornare a chiarire la propria posizione alla luce del monito di Schaar, Google ha riattizzato il dibattito postando sul proprio Public Policy Blog e intessendo un dialogo con chi in rete ha affrontato l’argomento. BigG ne è convinta: l’indirizzo IP non può essere nemmeno paragonato ad un dato personale, almeno per quanto riguarda l’uso che ne fanno i motori di ricerca.
A chiarire la posizione di BigG è Alma Whitten, software engineer del colosso di Mountain View: “Dire che gli indirizzi IP sono in ogni caso dei dati personali è un’affermazione che suggerisce in maniera non corretta che ogni indirizzo IP possa essere associato ad un determinato individuo”. Lo dimostrano i fatti. In primo luogo i provider che assegnano l’indirizzo IP con cui l’utente viene rappresentato online, sovente attribuiscono indirizzi IP dinamici. Chi si collega a mezzo PDA o laptop e approfitta della connettività in diversi ambienti, inoltre, si mostra online con indirizzi IP diversi a seconda del fatto che si connetta dal lavoro, piuttosto che da un aeroporto, da casa o da un Internet Café. Solo i provider sanno associare l’IP ad un sottoscrittore. Ma nemmeno il provider, ricorda Whitten, ha la certezza di sapere chi agisce dietro l’IP: gli abbonamenti a Internet sono condivisi fra membri di una famiglia.
Nessuna possibilità quindi, per Google, di tracciare i comportamenti degli utenti e di costruire superprofili da bombardare con pubblicità e servizi ad hoc: l’indirizzo IP continuerà ad essere utilizzato per sventare le click fraud, per una blanda personalizzazione dei servizi, per estrarre trend su cui innestare strategie di marketing. Sulla base di queste argomentazioni, Whitten conclude che “gli indirizzi IP registrati da ciascun sito sul Pianeta senza l’aggiunta di alcune informazioni non possono essere considerati dati personali, poiché i siti web non possono identificare le persone che stanno dietro a queste stringhe di numeri”.
Ma c’è chi dissente: un’operazione certosina di composizione del puzzle informativo potrebbe trasformare l’IP in un dato personale, in un anello di congiunzione tra una persona e il proprio comportamento in rete. A sostenerlo è Mark Rotenberg, rappresentante di Electronic Privacy Information Center ( EPIC ), a sottolinearlo è il New York Times : conoscere l’indirizzo IP di qualcuno in un determinato momento sblocca l’accesso ad altre informazioni riguardo alla vita della persona alla quale è assegnato, è una sorta di dato personale parziale .
Ma è questa un’operazione possibile solo per gli ISP , non per un motore di ricerca, ribatte Google attraverso le parole di Matt Cutts : “Ancora tante persone ritengono che la privacy sia minata dai motori di ricerca invece che dagli ISP, anche se alcuni ISP vendono le sessioni online degli utenti a terze parti”.
Sulla stessa linea il commento di Peter Fleischer, responsabile della privacy per il gigante di Mountain View: Google non può risalire alla persona che effettua una ricerca. Non è in grado di farlo perché l’utente potrebbe condividere l’indirizzo IP con altri utenti , con persone che si servono della stessa macchina.
La differenza, chiosa Fleischer, risiede nella differenza tra identificazione e individualizzazione : l’indirizzo IP, per come viene sfruttato da Google, può individualizzare e personalizzare un servizio in base alle informazioni che l’indirizzo IP reca con sé, ma non può in alcun modo identificare una persona. Le leggi sulla privacy, ribadisce Fleischer, dovrebbero regolamentare le situazioni in cui l’identità della persone è esposta. Regolamentare l’individualizzazione, invece, non solo esulerebbe dalla protezione della riservatezza, ma rappresenterebbe un ostacolo all’innovazione.
Gaia Bottà