Andrea Jelinek, presidente dell’European Data Protection Board (EDPB), ha inviato all’ICANN una lettera in cui ha tentato di spiegare le criticità del modello provvisorio WHOIS ed i cambiamenti da apportare. In linea di massima, concordano i siti specializzati, il modello WHOIS e lo stesso ICANN ne escono più indeboliti di prima anche per via di una serie di questioni legali/burocratiche che appaiono ancora insormontabili.
[La lettera dell’EDPB riportava alcune specifiche indicazioni] ma mi è sembrato che il tono generale della missiva [indirizzata al CEO ICANN Goran Marby sia stato]: “Ora sei da solo amico”. Se la domanda dell’ICANN è stata “Come possiamo essere conformi al GDPR?” la risposta, nuovamente, è stata “Conformandovi al GDPR”
è quanto ha commentato l’editorialista del portale Domain Incite.
L’EDPB è il successore dell’Article 29 Working Party che dallo scorso 25 maggio 2018, data in cui è entrato in vigore il GDPR o General Data Protection Regulation, è il referente numero uno dell’ICANN. Ed operandovi al suo interno le autorità per la protezione dei dati di ogni Paese membro, era stato naturalmente sollecitato più volte a fornire chiare indicazioni sul da farsi.
Senza opportune modifiche l’accesso (completo e non) ai dati, e tutte le questioni inerenti, risultano infatti GDPR non-compliant e prive di alcun framework condiviso da tutte le parti chiamate in causa (Registri, registrar, ICANN, associazioni per la protezione dei diritti d’autore, forze dell’ordine etc.).
Osservazioni e principali criticità del modello WHOIS evidenziate dalla lettera dell’EDPB
- I dati di una persona fisica, se presenti tra le informazioni relative ad un dominio registrato da persona giuridica, devono essere tutelati dal GDPR. L’ICANN prevedeva di adottare regole differenti in base alla tipologia di “persona registrante”. In sintesi l’EDPB afferma invece che, sebbene i dati riguardanti le persone giuridiche non siano soggetti al GDPR, quelli delle persone fisiche lo sono: “il fatto che il registrant sia una persona giuridica non giustifica necessariamente la pubblicazione illimitata di dati di persone fisiche che lavorano o rappresentano l’azienda, come [ad esempio] le persone fisiche che si occupano di problematiche tecniche ed amministrative in vece del registrant” si legge nel punto 3 della lettera.
- L’accesso completo ai dati WHOIS può essere accordato a soggetti di terze parti ma con le dovute “salvaguardie”. EDPB concorda sul fatto che la consultazione dei dati non pubblici debba essere consentita a soggetti di terze parti (senza specificare quali e le metodologie per identificarli) con interessi legittimi. I controllori dovranno necessariamente utilizzare un sistema di logging che monitori le procedure di accesso ai dati; la tracciabilità degli accessi non significa tuttavia rendere automaticamente note ai registrant o a terze parti qualsiasi procedura di consultazione perché ciò potrebbe interferire con l’attività di altri soggetti, ad esempio un’indagine delle forze dell’ordine – il rischio sarebbe quello di “rivelare” al registrant l’esistenza di un’indagine a suo carico.
- Conservazione dei dati (data retention). Un altro punto centrale del modello provvisorio viene “smontato” dell’EDPB che chiede spiegazioni in merito al perché i registrar debbano mantenere i dati in archivio per due anni: “la conservazione di due anni proposta [dall’ICANN] deve essere rivista [e la sua utilità dovrà essere esplicitamente giustificata e motivata da una base documentale].”
- Codici di condotta e programmi di accreditamento inadeguati. Nel modello provvisorio si cercavano di definire delle regole in grado di consentire agli avvocati che difendono proprietà intellettuali di accedere a tutti i dati in modo legittimo ma conforme al GDRP. L’EDPB afferma invece che i codici di condotta e i programmi di accreditamento non sono delle misure sufficientemente “robuste”: in caso di abusi i Registri ed i registrar dovranno risponderne direttamente in sede legale.
- L’ICANN è un controllore di dati. Nonostante l’ente abbia cercato di tirarsi indietro delegando il ruolo ai firmatari dei contratti (che dichiarano tra le altre cose di assumere il ruolo di controllori), l’EDPB afferma invece che l’ICANN è e resta in ogni caso un controllore, il che lo espone alle sanzioni previste dal GDPR.
Che misure adotterà l’ICANN per adeguare WHOIS al GDPR? Avremo sicuramente modo di scoprirlo nelle prossime settimane.
Fonti: 1, 2 (lettera dell’EDPB all’ICANN), 3