Il GNSO Council è formato dai rappresentanti di molteplici categorie suddivisi a loro volta in due macro gruppi. Fonte: sito ufficiale ICANN.
L’EPDP (Expedited Policy Development Process), il gruppo di esperti al quale è stato assegnato l’arduo compito di andare oltre il modello provvisorio WHOIS ha infine pubblicato, sebbene con alcune settimane di ritardo (20 febbraio invece del 1 febbraio), il documento con le raccomandazioni finali che porteranno alla nascita di WHOIS 3.0 o RDAP (Registration Data Access Protocol).
Le 29 indicazioni dell’EPDP sono il frutto di un intenso lavoro di studio, mediazione e confronto, anche duro, con le numerose parti chiamate in causa, in particolar modo i rappresentanti del mondo dell’industria (Business Constituency, gli utilizzatori “commerciali” della Rete) e delle proprietà intellettuali (Intellectual Property Constituency).
Le dimissioni del presidente dell’EPDP Kurt Pritz, presentate lo scorso 22 febbraio poco dopo la consegna del report finale, sembrano confermare le ricostruzioni giornalistiche circa l’estenuante processo d’avanzamento delle consultazioni, persino per le procedure considerate sulla carta più semplici, rallentato a più riprese dai rappresentanti delle proprietà intellettuali.
Lo scorso 4 marzo il documento dell’EPDP ha superato il severo giudizio del GNSO, un’assemblea generale in cui sono presenti tutti i gruppi d’interesse in seno all’ICANN (come mostrato dalla figura qui sopra). I membri della Business ed Intellectual Property Constituency hanno definito il lavoro dell’EPDP “un passo indietro rispetto al modello provvisorio” ma i loro voti contrari non sono bastati a bloccarne la corsa che guarda ora alle prossime tappe di maggio ed agosto 2019:
- la prima vedrà, finalmente, l’aggiornamento del modello provvisorio con le raccomandazioni approvate, ed eventualmente modificate in base ai suggerimenti della community nei 30 giorni di “dibattito pubblico”, previsti tra questo mese ed aprile dal Consiglio d’amministrazione dell’ICANN;
- la seconda, per la precisione il 26 agosto, è la dead line entro cui Registri e registrar dovranno implementare e rendere operativo il RDAP, il successore di WHOIS che si baserà appunto sulle raccomandazioni approvate a maggio.
Consultazione dei dati, il caso del campo ORG
In tutti i post di aggiornamento dedicati a WHOIS è emerso più volte il problema di trovare un giusto compromesso tra accessibilità completa ai dati WHOIS (ad esempio indispensabili per le forze dell’ordine) e tutela degli utenti finali (si ricordi che il cortocircuito è avvenuto a causa del GDPR lo scorso 25 maggio 2018). La vicenda relativa al solo campo destinato al nome delle organizzazioni (ORG) mostra quanto sia delicato e complesso riadattare un corpus di regole utilizzato per quasi un ventennio.
Il campo “organizzazione” nel modulo di registrazione di un dominio è stato sempre uno dei principali elementi di distinzione tra due precise categorie: le persone giuridiche, quindi aziende non soggette al GDPR, e le persone fisiche (tutelate invece dalla regolamentazione UE). L’EPDP ha giustamente deciso di non mostrare pubblicamente il nome delle persone fisiche ma di rendere invece visibile quello delle organizzazioni – buona parte delle quali hanno sempre visto come un danno d’immagine l’eventuale assenza del brand nei risultati, ovviamente è sempre possibile non figurare inoltrando un’apposita richiesta.
La diffusa abitudine di privati e registrar d’inserire il nome dell’intestatario del dominio nella casella ORG ha rischiato tuttavia di creare un vero e proprio cortocircuito, poiché la pubblicazione del nome e cognome di una persona fisica avrebbe chiaramente infranto le regole del GDPR. Come è stato risolto il potenziale “conflitto” dall’EPDP? Elaborando un piano in due fasi, nello specifico:
- invio ai clienti di una email in cui si chiede di confermare o meno i dati del campo ORG avvertendo che questi saranno visibili pubblicamente. Si stima che i domini interessati siano circa 190 milioni mentre la finestra temporale d’invio si colloca tra il maggio 2019 (entrata in vigore di RDAP) e il 29 febbraio 2020 (ultima scadenza per l’implementazione delle raccomandazioni EPDP);
- i registrar dovranno passare poi alla modifica delle informazioni in loro possesso: gli intestatari dovranno essere celati alla Rete sia nel caso in cui non rispondano all’email sia nel caso in cui neghino l’autorizzazione alla pubblicazione.
Ultimata la procedura appena descritta, per tutte le nuove registrazioni varrà la regola generale della pubblicazione dei dati inseriti nella casella ORG.
