WHOIS: le nuove linee guida arriveranno a Febbraio

ICANN logo 2018-2019

Nel post “WHOIS e GDPR: quali proposte sul tavolo dell’ICANN”, pubblicato ad ottobre 2018, si era parlato dell’EPDP (Expedited Policy Development Process), il gruppo di lavoro al quale è stato assegnato l’impegnativo compito di superare il modello provvisorio WHOIS bocciato dall’UE, e di alcune delle possibili soluzioni ai problemi più spinosi correlati al GDPR.

In quello che sarà probabilmente l’ultimo aggiornamento dell’anno, si analizzeranno invece i progressi dei quattro mesi di lavoro serrato dell’EPDP – quasi 5000 ore di teleconferenze ed oltre 1000 messaggi in mailing list.

Quel che tende immediatamente a sottolineare Domain Incite, portale che segue ormai da diversi mesi le vicende di WHOIS, è che a dispetto degli sforzi dell’EPDP restano ancora diversi ambiti in cui non si è riusciti a trovare la cosiddetta “quadra” o un compromesso in grado di accontentare le molteplici anime della community.

La descrizione che lo stesso EPDP ha dato al documento pubblicato nell’ultima settimana di novembre, un “accordo provvisorio” costituito da 22 raccomandazioni, spiega perfettamente quanto sia complessa la situazione. Eppure le prossime scadenze si avvicinano: il 1 febbraio il gruppo di lavoro dovrà infatti consegnare un documento finale (non uno provvisorio) che si tradurrà ottimisticamente in un WHOIS 3.0 entro maggio 2019, mese in cui cesserà la validità del modello provvisorio imposto dal consiglio di amministrazione dell’ICANN.

Le novità più importanti

Tra i problemi irrisolti, e causa principale del ritardo dei lavori, resta quello di definire un sistema di accesso standardizzato che consenta a soggetti terzi (es: ricercatori di sicurezza, investitori di domini, associazioni che tutelano i diritti d’autore etc.), in totale sicurezza e nel rispetto del GDPR, di accedere legittimamente ai dati WHOIS non consultabili pubblicamente come in passato. Piuttosto che trovare una soluzione, l’accordo provvisorio propone una serie di domande in base ai cui feedback si articolerà il discorso dei mesi successivi:

“[…] il team EPDP si impegna a considerare un sistema per l’accesso standardizzato ai dati di registrazione [privati] una volta che [si risponderà alle seguenti domande]. Ciò prevede [la risoluzione di] questioni come:

  • Quali sono i fini legittimi [in base ai quali soggetti terzi possono accedere ai dati]?
  • Quali sono i criteri elegibili [in base ai quali è possibile accedere alle informazioni non pubbliche]?
  • Questi gruppi sono costituiti [a loro volta da molteplici categorie] di richiedenti terzi?
  • A quali [informazioni dovrebbe avere accesso ogni utente/gruppo]?”

Vi sono invece direttive più concrete in merito ad aspetti riguardanti la raccolta dei dati e la loro consultazione pubblica (si parla quindi delle informazioni visibili da ogni utente con una semplice ricerca WHOIS):

  • cancellazione del campo “Admin” dalla sezione contatti. La decisione è stata voluta in primo luogo perché i tre campi presenti nella sezione contatti (oltre a quello menzionato abbiamo Tech e Registrant, ovvero il titolare) riportano di frequente il medesimo nome – trattasi di una “semplificazione”. L’Admin sarà eliminato ed i registrar (provider come Hosting Solutions che consentono di registrare varie estensioni di dominio) non raccoglieranno più alcun dato relativo a quest’ultimo;
  • modifiche al campo “Tech” della sezione contatti. Fornire nome, recapito telefonico ed indirizzo di posta elettronica del contatto “Tech” sarà ora facoltativo per il cliente (registrant): questi saranno poi gli unici dati “archiviabili” dal provider – se presenti. Nei risultati pubblici non sarà mostrata alcuna delle informazioni menzionate in questo punto;
  • nei risultati pubblici saranno mostrati solo i campi stato/provincia e nazione. Tutti gli altri dati non saranno visibili;
  • il campo “Organizzazione” potrebbe essere nascosto. In merito all’oscuramento di questo campo non è stato ancora raggiunto un accordo. Dietro a tale scelta vi sarebbe la non rara abitudine dei clienti di inserire il proprio nome nel campo “Organizzazione”, rendendo quindi vani gli omissis presenti nelle ricerche pubbliche. Lo stesso GDPR non prevede inoltre alcuna tutela per i dati delle persone legali (aziende). Si punta anche ad un’opera di “sensibilizzazione” dei clienti;
  • i provider dei servizi di ricerca WHOIS dovranno consentire agli utenti di contattare in modo “anonimo” i registrant. Per evitare che gli utenti rivelino informazioni personali e contemporaneamente tutelare l’indirizzo email del registrant e degli utenti, si ricorrerà a strumenti come gli indirizzi di posta “anonimi” o i classici form da compilare.

Fonti: 1, 2 (documento EPDP, versione Word)