Detto questo, raccogliere IP con strumenti propri non penso significhi automaticamente fare anche profilazione.
Se registri un indirizzo ip non mascherato stai registrando un dato personale. Che lo usi o no stai comunque facendo profilazione*. Infatti non è da considerare dato personale un dato che ti consente di identificare immediatamente una persona, bensì "
la norma ribadisce che è dato personale anche una informazione che consente di identificare una persona indirettamente, cioè incrociandola con altri dati, come, ad esempio l’orario di connessione, oppure l’accesso ad una postazione controllata (ad esempio in un internet point o in una biblioteca comunale o universitaria, ecc. ). Tali dati, utilizzati insieme, consentono di identificare una persona fisica, grazie ai file di log del fornitore di connessione ad internet ." (Prof. De Vivo, Univ. Camerino)
Lo conferma il D.Lgs. n.196/2003, art. 4, comma 1, lettera b, che recita:
b) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
*NB: Per profilazione dell'utente si intende
l'analisi ed elaborazione di dati relativi a utenti o clienti, al fine di suddividere l’utenza in gruppi omogenei di comportamento (Garzanti) e non il mero riutilizzo di tali dati. Ne consegue che nel momento in cui hai registrato il dato sui tuoi sistemi hai automaticamente effettuato attività di profilazione.
Edit: conoscendo tuttavia la legge italiana, esisterà sicuramente da qualche altra parte un articolo tanto ambiguo da consentire addirittura una lettura assolutamente contraria a quella legiferata dall'art. 4, finendo come sempre col lasciare le dispute giuridiche in balia del caso o, meglio, dell'avvocato più furbo...