L’ultima volta che abbiamo parlato di WHOIS e GDPR si era giunti all’ennesima situazione di stallo. Il modello provvisorio proposto dall’ICANN non aveva infatti ottenuto l’approvazione dell’European Data Protection Board (EDPB) che ne aveva anzi suggerito, in sintesi, la riscrittura. La palla è quindi passata all’EPDP (Expedited Policy Development Process), un gruppo di lavoro costituito da 30 volontari della community che, con estrema lentezza, sta pensando ad alcune proposte da adottare nell’immediato futuro.
L’ultimo incontro dell’EPDP si è svolto a fine settembre in quel di Los Angeles dove il giornalista di Domain Incite ha avuto l’occasione di parlare con i vari membri del working group ed ascoltare anche Goran Marby (CEO ICANN). Oltre a stilare una lista delle possibili strade percorribili, ha cercato di capire cosa ne pensassero delle dichiarazioni rilasciate da nel post ICANN GDPR and Data Protection/Privacy Update.E’ stata in particolare modo la frase in cui l’ICANN esprime la volontà di diventare all’occorrenza “autorità coordinatrice” (non uno dei controllori come ipotizzato fino ad ora) del sistema WHOIS a lasciare perplessi i presenti: il passaggio, molto vago ed aperto a molteplici interpretazioni, ha costretto lo stesso Marby a riferire immediatamente all’EPDP (pare che sia stato “bloccato” da alcuni membri dell’EDPB ed invitato ad unirsi alla riunione). Ecco cosa ha scoperto il giornalista.
WHOIS: alla ricerca di un modello d’accesso unificato
Tra le questioni più delicate garantire la fruibilità totale dei dati a soggetti che hanno la necessità di accedervi per ottemperare ai propri compiti – come le forze dell’ordine. Ciò significa creare un sistema in grado di vagliare le richieste di soggetti terzi, capire se queste ultime siano lecite e, dettaglio da non dimenticare, assicurare che la consultazione avvenga nel pieno rispetto del GDPR. Più facile a dirsi che a farsi, tanto è vero che l’ICANN e l’EPDP non hanno ancora trovato un modello che accontenti l’UE.
Tornando alle parole di Marby, queste sono state interpretate da alcuni membri dell’EPDP come un chiaro segnale di scavalcare la community – al fine di accelerare l’iter di approvazione del nuovo modello. Niente di più sbagliato, rassicura il CEO: la nostra intenzione, ha dichiarato, è solo quella di capire se un eventuale modello per l’accesso unico sia legale in ottica GDPR e, se si, come possa essere implementato.
Se il modello debba vedere o meno la luce sarà la community stessa a deciderlo, ha aggiunto Marby. I vertici dell’ICANN stanno piuttosto pensando ad un “framework che sia in grado di alleggerire le responsabilità legali delle parti contraenti [sempre in riferimento al GDPR]”. Secondo Domain Incite le opzioni potrebbero essere le seguenti:
- organo di certificazione. “Autorità coordinatrice” significa semplicemente divenire un organo di certificazione, un’entità (ancora ipotetica) che, dopo aver ottenuto le dovute approvazioni (o dalle autorità nazionali per la protezione dei dati [NDPA] o dall’EPDP), si occuperà di gestire lo schema di accreditamento e certificazioni inerente alle compagnie il cui business è legato al processamento dei dati. Questo ruolo potrebbe essere abbastanza facile da ricoprire per l’ICANN, visto che svolge attualmente funzioni non dissimili (accreditamento di Registri e registrar), ma bisogna vedere come reagirà l’UE che pare spaccata al suo interno (NDPA assolutamente contrari, EDPB scettico ma obbligato a rispettare gli impegni assunti in passato, ovvero la volontà di garantire la consultazione completa dei record WHOIS a soggetti terzi “idonei”).
- ICANN referente unico delle richieste WHOIS. La seconda opzione, che pare sia il frutto di vari incontri tra Marby, Intellectual Property Constituency e Business Constituency (“isolati” dalle trattative per volontà dell’EPDP), vede appunto l’ICANN come referente unico delle richieste WHOIS. In quest’ottica l’ente assumerebbe il ruolo di “controllore” mentre le parti contraenti di “processatori dei dati” (il che li solleverebbe da buona parte delle responsabilità legali). Tuttavia, come sottolinea lo stesso giornalista, Marby ha modificato leggermente l’idea di partenza optando per un ICANN “guardiano” (ovvero colui che concede a soggetti autorizzati la possibilità di procedere alla consultazione) e Registri/registri responsabili del controllo e dell’archiviazione dei dati.
- Bypassare il GDPR. La terza ed ultima opzione è la meno “sensata” anche a detta dello stesso CEO ICANN. L’intenzione sarebbe quella di “appigliarsi” ad una legge di un Paese UE per aggirare il GDPR. Per chiarire meglio il concetto, l’editorialista accenna ad un episodio avvenuto in Danimarca dove il Registro del ccTLD .dk, in base ad una legge statale, ha continuato ad utilizzare il vecchio modello WHOIS ignorando le disposizioni del GDPR. L’editorialista nota che tale opzione porrebbe l’ICANN in una posizione di sudditanza rispetto allo Stato di cui si sceglierebbe di seguire la legge, rendendo sostanzialmente vana la decennale battaglia di “indipendenza” dell’ICANN dalla giurisdizione degli Stati Uniti.