Con l’applicabilità del GDPR , l’ICANN (Internet Corporation for Assigned Names and Numbers, l’ente internazionale che ha anche il compito di coordinare il sistema dei nomi a dominio) si è trovata a dover gestire con rinnovata urgenza la questione della compatibilità dell’WHOIS con la normativa sulla protezione dei dati personali.

L’WHOIS è un protocollo di rete che consente di ottenere i dati di registrazione di un nome a dominio o di un indirizzo IP, quali, ad esempio, la data di creazione e di scadenza o dati di contatto del titolare. Tali informazioni, in realtà, non sono contenute in un database unico ma sono amministrate da una pluralità di soggetti, quali Registry e Registrar, i quali adottano ciascuno le proprie convenzioni seppure nei limiti degli accordi stipulati con l’ICANN. L’WHOIS costituisce uno strumento fondamentale per il contrasto degli abusi in materia di proprietà intellettuale e violazione dei marchi o in materia di comunicazioni commerciali indesiderate e riveste pertanto un’importanza fondamentale nel perseguimento della missione dell’ICANN.

Il rapporto tra WHOIS e normativa in materia di protezione dei dati personali aveva precedentemente attirato l’attenzione dell’Article 29 Working Party che, con riferimento alla Direttiva 95/46/CE, aveva espresso all’ICANN le proprie perplessità già a partire dal 2003. I principali problemi derivano dal fatto che, come sottolineato dal WP29, la pubblicazione indiscriminata di dati personali dei titolari di nomi a dominio si pone in contrasto con i principi di adeguatezza, minimizzazione e rilevanza dei dati.

La necessità di adeguare il sistema WHOIS al GDPR, nonché l’esigenza di evitare un quadro frammentario in assenza di un registro dei dati unico e gestito a livello centrale, hanno indotto l’ICANN ad adottare la Temporary Specification for gTLD Registration Data del 17 maggio 2018, applicabile dal 25 maggio 2018 e rinnovata per un anno il 23 agosto successivo, ad integrazione e parziale modifica sul punto degli accordi tra ICAAN e Registry/Registrar accreditati.

Con essa, l’ICANN individua un quadro di requisiti necessari per accedere alle informazioni dei titolari di nomi a dominio (Registrant), fondato su un modello di accesso a più livelli (c.d. layered/tiered access). Tale modello, sottolinea l’ICANN, rappresenta un meccanismo per bilanciare i diritti e le libertà fondamentali dell’interessato con l’interesse legittimo di cui siano titolari i terzi, minimizzando il rischio di trattamenti illegittimi.

In linea di principio e come regola generale, la Temporary Specification prevede che, a partire dal 25 maggio 2018, i dati di WHOIS potranno contenere dati personali esclusivamente previo consenso degli interessati, conformemente all’art. 6, paragrafo 1, lett a) del GDPR, con conseguente obbligo per Registrar e Registry di oscurare dal WHOIS i dati (quali nome, indirizzo, numero di telefono ed altri) di Registrant, contatti amministrativi e tecnici ove manchi uno specifico consenso alla pubblicazione.

Tuttavia, è stato altresì previsto che i Registrar e Registry competenti debbano consentire ai terzi un accesso ragionevole ai dati personali sulla base di un legittimo interesse da questi vantato, sempre a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali del titolare del nome a dominio, ai sensi dell’articolo 6, paragrafo 1, lettera f) del GDPR. A titolo esemplificativo, costituiscono ipotesi di legittimo interesse del terzo i casi in cui sia necessario notificare al Registrant un errore o un problema tecnico relativo al nome registrato, ovvero per predisporre un meccanismo per risolvere le questione relative alle registrazioni dei nomi a dominio, incluse, tra le altre, la protezione dei consumatori, le indagini riferite a crimini informatici e la protezione dei diritti di proprietà intellettuale.

La valutazione in merito alla sussistenza del legittimo interesse spetta ai Registry ed ai Registrar, ma in caso di mancato rilascio dei dati e/o di mancata risposta in tempi ragionevoli del Registry/Registrar competente, al terzo è concessa la possibilità di un reclamo all’ICANN.

La stessa ICANN suggerisce inoltre a Registrar e Registry l’adozione di strumenti che favoriscano la comunicazioni tra titolari di nomi a dominio e terzi che vantino legittimi interessi senza che siano forniti i dati personali del titolare, quali la pubblicazione nel Whois di indirizzi e-mail anonimi.

È chiaro quindi che l’adeguamento al GDPR operato dall’ICANN con le Temporary Specification, per quanto necessario, abbia comportato un notevole aggravio della procedura di accesso ai dati non pubblici dei Registrant. Aggravio che ricade inevitabilmente su quei soggetti terzi che richiedano l’accesso ai dati per fini legittimi, quali la tutela dei diritti di proprietà intellettuale o dei diritti dei consumatori, che avrebbero bisogno di una procedura più immediata.