OVH NEWS | INNOVAZIONI E TENDENZE IT


Scopri, comprendi, anticipa









14/11/2017
Condividi

Articolo scritto da Hugo Bonnaffé


Il Whois messo in discussione dal GDPR?


Il Whois, contrazione dell’inglese “Who is”, è un servizio che permette a qualsiasi utente di identificare il titolare di un dominio. L’esistenza di questo database pubblico di Internet, dagli utilizzi molteplici e talvolta discutibili, viene oggi messa in discussione dal nuovo Regolamento Generale sulla protezione dei dati a carattere personale (GDPR). Alcuni Registri come l’Afnic, che gestisce numerose estensioni tra cui il .fr, hanno messo in atto meccanismi di restrizione sulla visibilità dei dati dei titolari di un dominio. Un modello da diffondere? La protezione dei dati personali del registrant deve diventare uno dei criteri di scelta di un’estensione, come avviene per la memorizzazione dell’URL e la sua ottimizzazione per la SEO? Apriamo il dibattito.





Con Yann Lequerler, giurista OVH specializzato nei domini, e Marianne Georgelin, Responsabile delle Politiche del Registro Afnic.



GDPR: perché siamo tutti coinvolti?


Il Regolamento Generale sulla Protezione dei dati, pubblicato nella Gazzetta Ufficiale dell’Unione europea a maggio 2016, verrà applicato a partire dal 25 maggio 2018. Questo testo sarà prevalente sulle legislazioni nazionali e permetterà di armonizzare su scala europea le diverse normative sulla tutela dei dati. Nel quadro del GDPR e nelle applicazioni del Codice di Condotta che ha contribuito a stilare all’interno del CISPE, OVH ha recentemente aggiornato le proprie Condizioni Generali di Servizio rafforzando i propri impegni in questo ambito.



Se questo testo europeo inizia a far parlare di sé e a essere inserito nell’ordine del giorno dei Comitati Esecutivi delle grandi aziende, è perché la definizione di un quadro più rigoroso rispetto alle direttive nazionali precedenti rappresenta una vera e propria rivoluzione nel trattamento digitale dei dati personali. In un contesto di studi d’impatto preventivi sulle operazioni di trattamento (1), portabilità dei dati, raccolta e revoca del consenso e profiling degli utenti, il GDPR spinge numerose aziende, piccole e grandi, a conformare i propri processi alla nuova regolamentazione. Le aziende sono sicuramente dissuase dalle ammende elevate previste in caso di violazione (fino a ben il 4% del fatturato della società!), ma anche e soprattutto dalla propria volontà di apportare maggiori garanzie agli utenti, sempre più interessati alla tutela e all’utilizzo dei propri dati personali.



Trattamento dei dati personali nell’ambito della registrazione dei domini: differenze del concetto europeo e americano di tutela della privacy


È in questo contesto che si inquadra il dibattito giuridico che vede contrapposti i Registrar e i Registry - come OVH (1° Registrar in Francia, 2° a livello europeo) e l’Afnic - all’ICANN, la principale autorità di gestione della rete Internet e di attribuzione dei domini di primo livello (gTLD). L’ente di diritto americano è responsabile anche dell’accreditamento di Registri come VeriSign (.com, .net), Donuts (che gestisce una parte delle nuove estensioni: .social, .media, .email, etc.), Affilias (.info, .pro…) o ancora la Città di Parigi (.paris) e altri Registrar (ad es. OVH).



Tra gli obblighi contrattuali da rispettare per diventare un Registrar riconosciuto dall’ICANN e poter mettere sul mercato le estensioni dei Registry responsabili dei gTLD e dei nuovi gTLD, alcune disposizioni risultano attualmente non allineate al futuro diritto comunitario.



In particolare quelle relative alla condivisione dei dati personali del proprietario di un dominio nel quadro del Whois, che i Registri e i Registrar sono tenuti a fornire (2). Non solo: il trasferimento di questi dati dal Registrar fino all’ICANN passando per il Registro e terze parti apre altre importanti questioni, come la fuga di informazioni al di fuori del territorio europeo e il tempo di archiviazione. Inoltre, solleva criticità connesse alla responsabilità di di tutti i soggetti coinvolti come ad esempio: chi è responsabile del trattamento dei dati? Come vengono ripartite le responsabilità in caso di fuga dei dati? Infine, il GDPR richiede l’obbligo di un’informazione più efficace verso gli utenti relativamente alla modalità e alla finalità del trattamento dei loro dati. Tutto questo prima che il Registrar chieda un consenso esplicito da parte degli utenti. Inutile dire che la strada per allineare le pratiche correnti ai nuovi obblighi del GDPR è ancora lunga.



Perché il Whois può rappresentare un problema?


Il Whois è un database di pubblica consultazione che consente, in particolare, di visualizzare le informazioni del titolare di un dominio: cognome, nome, azienda (se applicabile), numero di telefono, indirizzo postale e di posta elettronica. Questo servizio storico del Web, la cui creazione risale al 1982, all’epoca permetteva di censire e identificare chiunque trasmettesse informazioni attraverso la rete Arpanet, antenata di Internet. In seguito è stato mantenuto da tutti i Registri sulla base di norme più o meno omogenee (RFC), sia nell’ottica di trasparenza propria a tutti i pionieri di Internet, sia per il largo consenso sulla necessità dell’esistenza di un servizio di questo tipo da parte delle diverse parti interessate: Registrar, autorità giudiziarie, detentori di marchi, creatori di opere tutelate dal diritto di proprietà intellettuale, ecc...



Il Whois pone, per sua stessa natura, un problema per la protezione della privacy delle persone. La diffusione pubblica dell’identità o di altre informazioni personali apre la porta a utilizzi non propriamente corretti, come lo sfruttamento commerciale senza preventivo consenso e lo Spam. Alcune società si sono quindi specializzate nell’estrazione dei dati del Whois a intervalli regolari. Il contenuto del database viene archiviato e poi venduto insieme ai file che rivelano la probabile attività del registrant, sulla base delle parole contenute nel label del dominio (cioè quelle che precedono il punto e l’estensione).



Se il Whois trova molte applicazioni legittime, ad esempio la protezione dei marchi (tramite i servizi di anti-cybersquatting e typo squatting o la Trademark Clearinghouse), è anche vero che può essere utilizzato anche per scopi moralmente e legalmente opinabili. È possibile, ad esempio, attivare notifiche non basate sui label ma sul nome del titolare. Questo significa che i competitor possono essere costantemente aggiornati sui nuovi domini che vengono registrati. Adesso lo sappiamo!



L’utilizzo effettuato da parte di questi servizi dei dati contenuti nel Whois si inserisce, oggi, in una falla legislativa che il GDPR sta cercando di contenere. Restano da convincere gli organismi americani, primo fra tutti l’ICANN, in merito ai vantaggi dell’adozione di un modello più protettivo. Soprattutto perché, se da una parte l’anonimato permette a chiunque di registrare domini su cui possono essere pubblicati contenuti discutibili, dall’altra rappresenta una garanzia per la libertà di espressione. Il cyberbullismo, che già in sé è un’esperienza spiacevole, da virtuale può trasformarsi rapidamente in esperienza reale, ad esempio prendendo di mira il proprietario di un sito che rivendica la sua appartenenza a una comunità religiosa, sessuale, politica, ecc...



L’Afnic, precursore nella diffusione limitata delle informazioni del Whois


Le estensioni nazionali (ccTLD) come il .it, .es, .fr, .de, ecc. non sono vincolate contrattualmente all’ICANN allo stesso modo delle estensioni generiche. La loro gestione è di responsabilità diretta dei Paesi interessati, in modo totalmente indipendente. In Francia, ad esempio, l’organismo senza scopo di lucro Afnic è stato designato dallo Stato come Registro del .fr e delle estensioni geografiche d’oltreoceano: .re, .tf, .yt, .pm e .wf.



Legato all’ICANN da un semplice impegno di mutuo riconoscimento, dal 2006 l’Afnic ha introdotto una procedura di anonimato dei dati del Whois, applicata di default a tutti i privati (persone fisiche) che registrano un dominio con estensione .fr, .re, .tf, .yt, .pm e .wf. Nella scheda del Whois corrispondente al dominio, le informazioni personali (nome, indirizzo, numero di telefono, ecc...) sono oscurate e sostituite dalla dicitura “diffusione limitata”. I dati sono accessibili su espressa e motivata richiesta alla sezione giuridica dell’Afnic e solo a determinate condizioni, nell’ambito di ciò che viene chiamata “revoca dell’anonimato”. I dati professionali forniti dal rappresentante di una persona giuridica (proprietario, contatto amministrativo, tecnico e di fatturazione, che possono anche essere la stessa persona), restano invece liberamente accessibili.



I procedimenti adottati dall’Afnic sono stati convalidati anche dall’autorità francese CNIL (Commissione Nazione per l’Informatica e le Libertà) e da una decisione della Corte d’Appello di Parigi del 2012. Queste pratiche si sono infatti rivelate all’avanguardia e fonte di ispirazione per numerosi Registri responsabili di estensioni nazionali. Il meccanismo opzionale di restrizione della visibilità dei dati personali è attivabile, ad esempio, al momento della registrazione dell’estensione .eu (gestita dall’Eurid) e .cat (creata per la Catalogna).



E’ necessario porre l’accento su alcuni casi: .paris, .alsace, .bzh, .corsica e .ovh, per cui l’Afnic assume il ruolo di Registry Service Provider, non sono estensioni nazionali (ccTLD), ma domini di primo livello generici (gTLD). Sono quindi contrattualmente vincolati all’ICANN e le disposizioni di questo contratto al momento con consentono l’anonimato delle informazioni nel loro Whois. Le possibilità di diffusione limitata di queste informazioni non offrono in questo caso una protezione così elevata, come vedremo più avanti.



I limiti dei servizi di anonimato (privacy services) per i gTLD


Per i gTLD (.com, .org, .net, .ovh, .top, .pro, .xyz, .paris, online, .mobi solo per citarne alcuni tra i più venduti in OVH), l’ICANN regola in modo molto preciso la gestione dei Registri. Le regole non sono uguali per tutti. Se da una parte l’ente autorizza - senza tuttavia incoraggiarli - i procedimenti di “privacy” del Whois, dall’altra non consente il totale anonimato, neanche per le persone fisiche. Il nome e il cognome – o nomi e cognomi nel caso in cui il proprietario e i contatti amministrativi, tecnici e di fatturazione non coincidano – sono visibili.



Alcuni Registri hanno adottato procedure intermedie interessanti anche se non totalmente soddisfacenti, senza ricorrere alla restrizione della visibilità. È il caso del Registro del .amsterdam, che filtra l’accesso al suo server Whois esigendo dai richiedenti la firma di un contratto di utilizzo del servizio. Altri Registri invece non accettano da parte dei Registrar l’attuazione di procedure di anonimato parziale delle informazioni, chiunque essi siano.



Se autorizzata dal Registro dell’estensione, OVH propone un servizio opzionale gratuito di oscuramento di alcuni dati: indirizzo postale, indirizzo email e/o numero di telefono a scelta per le persone fisiche, mentre le persone giuridiche possono nascondere solo il proprio indirizzo email. Con il servizio OWO, OVH reindirizza i messaggi di posta elettronica da un indirizzo email appositamente creato e protetto contro lo Spam e rispedisce eventuali messaggi, ad esempio, una messa in mora. Tutto questo avviene senza che i dati vengano divulgati o rivenduti. È un servizio che apporta una protezione minima ma non garantisce né l’anonimato del titolare né una protezione totale contro operazioni di marketing non richieste. I controlli incrociati dei dati da parte di terzi, anche se illegali, non sono impossibili.



Un suggerimento a coloro che fossero tentati di inserire informazioni false durante la registrazione di un dominio: la truffa può costare caro. L’ICANN, che esegue controlli regolarmente, può richiedere tramite il Registrar la copia dei documenti che attestano l’identità del titolare… e ha il potere di domandare la sospensione del dominio in caso di frode. Proprio per garantire l’esattezza e la validità delle informazioni, ogni anno i Registrar devono inviare un’email a tutti i titolari di un dominio generico (gTLD), chiedendo la conferma dei dati inseriti al momento della registrazione. Fornire informazioni false costituisce anche una violazione delle Condizioni Particolari di Servizio stipulate con OVH al momento della sottoscrizione dei servizi. Lo stesso vale per i titolari del .fr, i cui dati sono oggetto di oltre 25.000 verifiche all’anno da parte dell’Afnic e che i Registrar hanno la responsabilità di tenere aggiornati.



L’unica opzione restante è il “Proxy Registration Service”: pagare una terza persona per inserire nel Whois le proprie informazioni personali. Questo servizio è però molto costoso – commisurato al rischio di conseguenze legali a cui va incontro colui che si assume la responsabilità di essere titolare – ed è già stato portato in tribunale in particolare dalle società degli aventi diritto, per cui i procedimenti di oscurazione dei titolari complicano notevolmente la formalizzazione dei ricorsi.



Qual è il futuro del Whois?


L’avvicinarsi della data di applicazione del GDPR, tra meno di un anno, accelera un po’ le cose. L’ICANN deve prendere in considerazione le raccomandazioni dei Registrar e dei Registry europei, costituiti in Gruppo di lavoro. Questo Gruppo, all’interno del quale l’Afnic e OVH hanno i propri rappresentanti, stanno lavorando oggi alla definizione di un modello accettabile per tutte le parti interessate, tramite l’adattamento delle pratiche dell’ICANN al diritto comunitario. Le discussioni, che si prospettano appassionate, riguardano i procedimenti di oscurazione delle informazioni del Whois e, più generalmente, l’insieme del ciclo di vita dei dati raccolti nel quadro delle attività di Registry e Registrar. Dove vengono salvati queste informazioni e per quanto tempo vengono conservate dopo la scadenza di un contratto? Grazie al GDPR, tutti questi interrogativi avranno risposte precise.



Questo potrebbe anche portare a una maggiore chiarezza sui diversi livelli di protezione offerti dai Registri ai dati personali dei Registrant. Un elemento che potrebbe complicare un po’ la scelta del tuo prossimo dominio… ma adesso ne sei consapevole: è per una buona causa! Ritorneremo in dettaglio su questi argomenti e sulle loro conseguenze, in particolare in occasione del Comitato di preparazione dell’Afnic che si è tenuto lo scorso 12 ottobre ed eccezionalmente aperto a tutti per discutere dell’impatto del GDPR sulle nostre attività e su quelle dei nostri clienti. Alla prossima puntata...



(1) Lo studio di impatto è obbligatorio in caso di trasferimento dei dati personali esternamente all’UE o di operazioni che presentano rischi.



(2) Per alcune estensioni, sono gli stessi Registrar ad avere la responsabilità di pubblicare il Whois. È la differenza tra Thick e Thin Whois. Ad esempio, attualmente il <.com> è Thin Whois, il che significa che è il Registrar a pubblicare il Whois. Questo sistema cambierà. L’ICANN ha pubblicato una nuova politica che imporrà a tutti i Registri che gestiscono i gTLD di passare al Thick Whois. Questo significa che il responsabile della pubblicazione del Whois è il Registro.