Pronti, partenza... GDPR! (Parte 1: domini)

A pochi giorni dall’entrata in vigore del GDPR, o Regolamento Generale sulla Protezione dei Dati, tutte le figure coinvolte sono già sulla linea di partenza. Non solo le aziende e le organizzazioni interessate, ma anche i Registrar come OVH che si sono confrontati con alcune zone grigie tra le volontà dell’Unione Europea e gli impegni di alcune organizzazioni come l’ICANN.

L’Unione Europea ha adottato il Regolamento Generale sulla Protezione dei Dati per garantire che tutti i cittadini europei possano scegliere se i propri dati personali siano pubblicati e trattati su Internet o meno. Il recente scandalo di Cambridge Analytica ha d’altronde permesso di rilevarne l’importanza. Due visioni politiche dei dati pubblicati su Internet si sono confrontate, quella dell’Unione Europea e quella dell’ICANN, l’autorità dei domini con sede negli Stati Uniti. La questione dei nomi di dominio coinvolge numerosi attori, privati e pubblici, tra Registrar, Registrant e Registry. La sfida da affrontare era quindi di dimensioni tali da garantire la tutela dei dati personali dei titolari dei domini, di siti Web o degli storage dell’hosting, conformandosi agli obblighi degli organismi internazionali.

Un "Calzone Model" ibrido

Mentre tale regolamento è conosciuto dal momento che è stato adottato dal Parlamento Europeo a partire dal 2016, l’ICANN ha esitato a reagire. Il 28 febbraio 2018, è stato proposto un modello provvisorio dall’altra parte dell’Atlantico affinché tutta la regolamentazione in materia di domini potesse essere in conformità con il GDPR europeo. Soltanto il 14 maggio è stato ufficializzato dall’intera comunità. Con il nome di "Calzone Model" racchiude, come il celebre piatto italiano, numerosi ingredienti, provenienti per la maggior parte da proposte di attori europei rilasciate da molto tempo. "Questo modello è un importante passo avanti nella messa in conformità delle regole di domini con il GDPR", spiega Rémi Loiseau, Registry Liason Manager di OVH.

Il Whois in questione

In primo luogo si pone la questione del Whois. Qualsiasi persona fisica o entità che registra un dominio ha l’obbligo di inserire un certo numero di informazioni di carattere personale fino ad ora accessibili a tutti. Un obbligo oggi messo a rischio dalle ingiunzioni del GDPR. Secondo Suzanne Carranca, Registry Liason Manager di OVH, "il gruppo era già un passo avanti con il suo servizio gratuito OWO, che permette di oscurare certe informazioni nel Whois. Attualmente tutta la complessità è soltanto in funzione delle estensioni, in particolare per il gTLDs, il Whois dipende da attori pubblici, semi-pubblici, privati, nazionali e internazionali. Da più di un anno OVH ha quindi moltiplicato gli incontri, le formazioni, i supporti informatici presso la grande quantità di questi interlocutori affinché tutto sia in conformità con il GDPR".

Il trasferimento in terra sconosciuta

Rimane da risolvere il problema del trasferimento. Come, in qualità di Registrant, trasferire un nome di dominio da un organismo di registrazione a un altro con il mascheramento dei dati sui Whois? La questione è rimasta a lungo irrisolta nel "Calzone Model". Un comitato di Registrar, di cui OVH fa parte, ha proposto dei suggerimenti all’ICANN per proporre delle soluzioni. Oggi queste disposizioni - confermate dall’ICANN - serviranno da riferimento per tutti gli attori. L’idea è quella di basarsi sull’Auth-Code, una chiave di sicurezza che alla stregua del codice RIO per le linee telefoniche, autentica ciascun nome di dominio. Inoltre, rendere il FOA (Form Of Approval) opzionale. Il titolare del dominio dovrà inserire di nuovo le sue informazioni personali presso un nuovo Registrar. Secondo Rémi Loiseau, "Su tutti questi importanti argomenti, la posta in gioco per OVH è quella di garantire a tutti i titolari di un dominio lo stesso livello di servizio, sicurezza e protezione dei propri dati personali".

I principi fondamentali del nuovo modello ICANN

-   Il fondamento logico della raccolta, dell’utilizzo e della pubblicazione dei dati personali nel Whois sarà fondato sulla missione di armonizzazione dell’ICANN e lo specchio dei diritti dei titolari dei domini.

-   Il nome di dominio, alcune informazioni sui server dei nomi primari o secondari (DNS) per il dominio registrato, alcune informazioni sull’organismo di registrazione nonché la data di creazione e di scadenza della registrazione diventeranno pubblici. Forse potranno apparire alcune informazioni aggiuntive: il nome del titolare non sarà pubblico, ma la società alla quale questa persona appartiene dovrà esserlo; l’indirizzo esatto del titolare non sarà pubblico, ma il relativo Stato/regione potrà esserlo; l’indirizzo email e i contatti telefonici del titolare non saranno pubblici, ma un indirizzo anonimo o un modulo permetterà di contattarlo; sarà lo stesso per i contatti amministrativi e tecnici.

-   La durata di conservazione dei dati non cambierà (1 anno dopo la scadenza del dominio presso OVH).

-   Il modello si applicherà a tutti i Registrar accreditati presso l’ICANN e ai registri di gTLDs.

Questo modello non si applica ai Registry dei ccTLDs, che potranno scegliere di seguire il modello oppure no. Per quanto riguarda .it, l’Afnic protegge già l’identità di persone fisiche, rivelando soltanto quella delle persone giuridiche.