WHOIS e GDPR: quale futuro per il protocollo?

Il rapporto tra WHOIS ed Unione Europea è sempre stato complesso: lo scorso dicembre 2017 il gruppo di lavoro WP29 (Article 29 Working Party), che prende il nome dall’art. 29 della normativa  redatta nel 1995 ed in vigore fino all’arrivo del GDPR, ha ad esempio definito WHOIS non conforme a quanto stabilito dalle direttive del 1995 in termini di tutela dei dati. Il WP29 sostiene che l’obbligo di accettare la pubblicazione dei propri dati online (pena l’impossibilità di acquistare il dominio) in archivi liberamente consultabili da chiunque rappresenta una grave minaccia per la privacy dei cittadini. Come risolvere allora il problema? Il WP29 ha auspicato l’impiego di adeguate misura di controllo degli accessi che siano in grado di mostrare determinate informazioni ai soli soggetti autorizzati per legge (es: forze dell’ordine).

WHOIS sta quindi infrangendo le regole comunitarie da oltre un ventennio, situazione che è stato segnalata più volte all’ICANN ma senza tangibili cambiamenti. Negli ultimi anni l’ente ha in realtà iniziato ad affrontare la questione dell’adeguamento al GDPR, basti ricordare il RDAP (Registration Data Access Protocol, l’eventuale successore di WHOIS che sfoggia tra le proprie caratteristiche anche l’accesso “selettivo” ai registri online) ed a vari tavoli di lavoro interni, ma senza giungere alla stesura di un documento 0 linee guide precise. L’affermazione che Göran Marby (CEO ICANN) ha rilasciato lo scorso ottobre alla convention ICANN di Abu Dhabi rende sicuremente l’idea dell’attuale situazione: per uniformare WHOIS al GDPR, ha osservato, potrebbero essere necessari diversi anni, una finestra temporale nella quale le sentenze emesse dalle corti di giustizia europee in merito al GDPR aiuteranno l’ICANN a capire come e dove intervenire.  Ma nel periodo di transizione come verrà gestita la situazione?

Un futuro incerto

A questa domanda dovrà cercare di dare una risposta Hamilton Advokatbyrå, uno degli avvocati ingaggiati dall’ICANN per sciogliere il nodo dell’adeguamento di WHOIS al GDPR. Il legale, nel meeting tenutosi il 22 dicembre scorso, ha cambiato nuovamente le carte in tavola confermando indirettamente le paure del settore: se ne primi due memorandum pubblicati dall’ICANN aveva suggerito fortemente l’introduzione del controllo degli accessi come possibile soluzione, nel terzo l’ha invece “declassata” a soluzione temporanea in attesa di un perfezionamento dell’accordo tra le parti (ICANN ed UE).

“[Dato il tempo limitato che resta all’entrata in vigore del GDPR, crediamo che la migliore soluzione per continuare a fornire servizi WHOIS ed al contempo rispettare il GDPR sia l’implementazione temporanea di una soluzione che segmenti gli accessi ed assicuri il processamento dei dati WHOIS solo in alcune situazioni specifiche].

Il perchè si tratti di una soluzione temporanea è spiegato successivamente, in sintesi l’applicazione di tale modello creerebbe un’eccessiva pressione amministrativa ed organizzativa sui registrar:

“[in accordo con l’articolo 6.1 (f) del GDPR, un modello del genere richiederebbe ai registrar di effettuare per ogni singola richiesta di accesso ai dati una valutazione degli interessi. Ciò esporrebbe i registrar ad una significativa pressione amministrativa ed organizzativa e richiederebbe a questi ultimi il mantenimento delle competenze necessarie all’espletamento della valutazione ed alla consegna dei dati richiesti in tempi ragionevolmente accettabili]”.

Hamilton ha suggerito all’ICANN, ai registrar ed ai Registri di effettuare una valutazione formale dell’impatto che avrà il GDPR (data protection impact assessment) ed inviarla ad un Dipartimento per gli affari politici (DPA) di uno Paese UE in cui l’ente è presente a livello corporativo. Con questo espediente si riuscirà probabilmente a guadagnare tempo ed a conferire a WHOIS  un vago profilo normativo ma è chiaro che la transizione non potrà durare in eterno e che si dovrà giungere a delle direttive ben definite – magari entro la fine dell’anno?

Fonti: 1, 2