A quindici giorni dall’entrata in vigore del Regolamento generale sulla protezione dei dati (Gdpr), una falla nel sistema giuridico rischia di mettere fuori legge il registro pubblico dei nomi a dominio. Mantenuto dall’Internet corporation for assigned names and numbers (Icann), ente che assegna e coordina gli indirizzi su Internet, il cosiddetto “Whois” (letteralmente “chi è”) è il servizio che consente di conoscere l’identità di qualunque titolare di un indirizzo Internet nel mondo. Ma “i dati contenuti nel registro sono personali e dal 25 maggio, giorno dell’entrata in vigore del Gdpr, l’Icann sarà soggetto a tale normativa in quanto tratta anche dati di cittadini europei”, come spiega Carlo Blengino, avvocato penalista specializzato nel diritto delle nuove tecnologie.
“La legge degli Stati Uniti impone all’Icann la pubblicazione delle informazioni per ragioni di trasparenza, ma per la normativa europea l’ente dovrà giustificare la base giuridica per la diffusione di dati personali. Dal punto di vista europeo, quello dell’Icann non è un pubblico registro e non c’è una legge che lo autorizzi o che imponga la pubblicazione di quei dati. Quindi sia l’ente negli Stati Uniti, sia le agenzie che gestiscono i registri nazionali europei, e che all’Icann trasmettono i dati, compiono un trattamento che non trova apparentemente copertura legale, e dunque rischia di apparire illecito alla luce del Gdpr”.
Qual è lo scopo del servizio Whois?
È evidente che la finalità di Whois sia la trasparenza, che tutela gli stessi utenti del web. Il fatto che il registro dei nomi a dominio sia pubblico assolve di fatto la stessa funzione del registro automobilistico. La targa delle auto è un dato personale, perché si riferisce a un soggetto identificabile, ma nessuno potrebbe pretendere di circolare senza solo perché esiste la tutela della privacy. Una legge impone che quei dati siano resi pubblici, ma per i nomi a dominio questa legge in Europa non c’è. Quindi la pubblicazione non trova apparente legittimità.”
In pratica l’Europa vorrebbe rendere opachi i domini web?
“In qualche modo questo è l’effetto che si ottiene applicando il Gdpr. Senza una base giuridica che legittimi la diffusione dei dati, e per ora i Garanti europei non ne hanno ravvisato, quel tipo di diffusione è oggettivamente illecita, anche se risponde a un’esigenza importante. Né chiedendo il consenso ai titolari di un dominio, né valutando un legittimo interesse di Icann. C’è da notare che la Normativa europea sui servizi della società dell’informazione, che è precedente alla Gdpr, prescrive obblighi di trasparenza dei titolari dei siti web. Ma questi non coincidono necessariamente con i titolari di nomi a dominio, che potrebbero possedere un indirizzo Internet anche senza fornire alcun servizio. La lacuna è normativa, ed è dovuta alla struttura di Internet, o meglio alla gestione dei nomi a dominio nel web.”
L’Icann ha proposto al Garante europeo di limitare l’accesso al Whois a categorie specifiche, come giornalisti e polizia. Risolverebbe il problema?
“Sarebbe una soluzione inaccettabile. L’Icann è un ente privato: a che titolo dovrebbe stabilire chi può leggere i registri e chi no? Questa vicenda è paradossale. Nessuno dubita dell’utilità di una totale trasparenza nelle registrazioni dei nomi a dominio, ma giuridicamente la diffusione di quei dati di cui sono co-titolari le agenzie di registrazione nazionali europee e l’Icann in America, è incompatibile con la prossima normativa europea. L’incompatibilità è solo formale, perché evidentemente non c’è una reale ragione di privacy nell’oscurare il servizio Whois.”
Quindi cosa si potrà fare?
“La questione è banale ma difficilmente risolvibile: non c’è ragione che un registro come quello dell’Icann sia riservato. E la trasparenza vince su possibili ragioni di tutela dei possessori dei nomi a dominio. Ma l’Europa non ha alcuna giurisdizione su un ente statunitense. È la dimensione globale e a-territoriale del web a generare lacerazioni nel diritto, ancora una volta. Anche se una legge europea imponesse quella diffusione sarebbe inefficace. Con una direttiva in tal senso da parte dell’Europa si potrebbe risolvere l’illegalità del trattamento dei dati da parte di Icann rispetto alla Gdpr, ma sempre senza vincolare l’ente americano. Se l’Icann decidesse di non fornire più il servizio, l’Europa non avrebbe strumenti per imporlo. E sarebbe davvero un pasticcio per tutti. Le stesse agenzie statuali sarebbero costrette a ricorrere a complesse rogatorie per accedere a dati fondamentali e che finora sono sempre stati pubblici sul web.”