ICANN all’UE: moratoria per WHOIS o consultazione dei dati a rischio

icann

Il GDPR è alle porte ma l’ICANN e l’industria dei domini si trovano ancora senza un chiaro programma da seguire. Come abbiamo visto in un precedente post, l’ICANN ha proposto un modello WHOIS ad interim (aperto ad ulteriori modifiche) da adottare in attesa di ulteriori sviluppi ma, all’atto pratico, non si sa ancora bene cosa accadrà dal 25 maggio 2018 in poi. A tracciare un quadro non esattamente positivo ci ha pensato lo stesso CEO ICANN Goran Marby che, nel corso di un’intervista al portale Domain Incite, si è rivolto direttamente all’Unione europea – per la precisione alle data protection authorities (DPA) coinvolte nel processo di attuazione e supervisione del GDPR.

Marby si è dichiarato “cautamente ottimista” circa l’auspicabile cooperazione delle autorità del Vecchio continente ma ha affermato allo stesso tempo che, in assenza di risposte certe, si andrà incontro al peggiore scenario possibile in cui ciascun Registro adotterà differenti politiche di consultazione dei dati WHOIS. Per “cooperazione” il CEO si riferisce in primo luogo ad una precisa richiesta avanzata a fine marzo in una lettera inviata ai 28 stati membri dell’UE ed al Garante europeo della protezione dei dati: delle linee guida che permettano di rendere perfettamente conforme WHOIS al GDPR.

Necessitiamo di specifiche indicazioni dalle autorità europee per la protezione dei dati in modo da venire incontro alle necessità [dell’intera community] inclusi governi, garanti della privacy, forze dell’ordine, detentori di proprietà intellettuali, esperti di sicurezza online, Registri di domini internet, registrar, clienti e semplici utilizzatori della Rete

si legge nel documento visionabile online. Il cosiddetto Cookbook (soprannome del modello provvisorio WHOIS) deve essere ulteriormente “lavorato” perché all’interno dello stesso ICANN vi sono linee di pensiero divergenti: il Governmental Advisory Committee e l’Intellectual Property Constituency (due organi consultivi dell’ICANN nel quale si trovano rispettivamente rappresentanti di Paesi di tutto il mondo ed esperti specializzati in materia di copyright, marchi e problematiche/questioni inerenti la loro interazione con il sistema DNS) hanno ad esempio ritenuto eccessivamente restrittivo il modello proposto dall’ente; è tuttavia presente un nutrito numero di sostenitori della privacy dei clienti (registrant) dai quali, affermano, si dovrebbe raccogliere ed archiviare il minor numero possibile di informazioni. 

Frammentazione e futuro di WHOIS

In secondo luogo Marby ha parlato di una moratoria, un periodo di “sospensione giudiziaria” che consentirebbe ai Registri di implementare, senza alcun rischio, il modello definito in base alle linee guida dell’UE. Il problema, sottolineato anche dalla stampa specializzata, è che il tempo a disposizione dell’ICANN è quasi finito e che le data protection authorities UE sono attualmente “distratte” da altre questioni – come il caso Facebook/Cambridge Analytica.

Marby si aspetta di ricevere una risposta entro poche settimane (è tuttavia il caso di ricordare che il documento è stato spedito ad inizio marzo all’UE), in caso contrario “è altamente probabile che WHOIS si frammenti o che [adotti una sorta di] thin model – [poche informazioni raccolte e consultabili]. Questo è il peggiore degli scenari possibili” ha dichiarato il CEO ICANN al portale Domain Incite.

Nel caso in cui le risposte siano vaghe, occorrerà attendere le già menzionate sentenze delle corti di giustizia, una strada praticabile e sicura dal punto di vista “legislativo” che però necessiterebbe di anni. E nel mentre? Quel che è certo è che, in assenza di un modello definito, tanto le forze dell’ordine quanto i difensori delle proprietà intellettuali online potrebbero andare incontro ad un difficile periodo nel quale la consultazione di WHOIS sarà complessa e differente da quanto visto fino al 24 maggio 2018.

Il GDPR avrà effetto sul sistema WHOIS. Non tutti vi avranno accesso. Non tutti potranno accedervi facilmente come prima. […] Non si tratta di [un imprevisto] ma di una caratteristica della legislazione. Non è colpa dell’ICANN ma è ciò che il legislatore ha pensato quando ha [dato vita] a questa legislazione. E’ nell’interesse dei legislatori assicurarsi che i dati delle persone siano, da ora in poi, gestiti in maniera differente, quindi [il GDPR avrà indubbiamente effetto sul sistema]

ha concluso Marby.

La risposta dell’UE e le osservazioni di Goran Marby

Contrariamente a quanto si diceva nella prima settimana di aprile, l’UE ha risposto prontamente alle sollecitazioni del CEO ICANN. Andrea Jelinek, in rappresentanza dell’ Article 29 Working Party (WP29), ha manifestato l’apprezzamento del WP29 nei confronti del modello ad interim:

[Il WP29] apprezza in particolare la decisione dell’ICANN di proporre un modello ad interim che preveda l’accesso selettivo [layered access ndr], così come il programma di accreditamento per l’accesso ai dati WHOIS [non pubblici]. Il WP29 apprezza la proposta di introdurre metodi alternativi per contattare registrant o [persone inerenti i dipartimenti tecnici o amministrativi] senza che [i loro indirizzi siano resi pubblici (riferimento a “email anonime, web form o soluzioni tecniche simili).

 Jelinek ha inoltre evidenziato le parti in cui il modello necessita di ulteriori modifiche:

  • finalità (purpose) della raccolta dati. “Non tutte le finalità [elencate nel modello] rispettano i requisiti dell’articolo 5(1)b del GDPR”;
  • basi giuridiche e finalità. “E’ chiaro come le basi giuridiche [identificate dall’ICANN] non siano sempre collegate in modo chiaro alle specifiche finalità”;
  • modalità di accesso ai dati WHOIS non pubblici “Detto questo, mancano importanti dettagli [sui casi] in cui sarà possibile accedere ai dati, [sul cosa potrà essere consultato, a quali condizioni e con quali garanzie]”;
  • sicurezza. “Il WP29 esprime le sue preoccupazioni [circa l’accesso ai dati WHOIS non pubblici con la metodologia citata [lista autorizzata di IP custodita in un repository centralizzato ndr)] poichè potrebbe non garantire idonei livelli di sicurezza”;
  • periodo di conservazione dei dati. “Il WP29 [invita] l’ICANN a rivalutare il periodo di conservazione di due anni [nella bozza UE di gennaio 2008 si parla infatti di 60 giorni ndr]”;
  • trasferimenti internazionali dei dati. “[Il modello ad interim non chiarifica come sarà assicurata la legalità dei trasferimenti internazionali]”;
  • codice di condotta ed accreditamento. “Il WP29 incoraggia l’ICANN a valutare molteplici soluzioni e meccanismi che siano in grado di identificare le terze parti che avranno legittimo accesso ai dati WHOIS non pubblici, a quali condizioni e con quali garanzie”.

Goran Marby, che ha replicato a stretto giro, pur ringraziando il WP29 per le raccomandazioni e la celere risposta, ha sottolineato come non vi sia stato alcun cenno circa la moratoria richiesta in una delle precedenti comunicazioni ufficiali.

L’implementazione di tutte le raccomandazioni avanzate dall’UE, sottolinea il CEO ICANN, richiederà molto tempo; la moratoria è importante poiché consentirà di applicare senza alcun rischio il modello ad interim finale. Marby auspica di ricevere novità a breve di continuare l’importante scambio epistolare con il WP29.

Fonti: 1, 2, 3, 4