Con l’entrata in vigore del GDPR inizia un periodo nel quale molte consuetudini saranno messe alla prova del nuovo regolamento. Tra queste emerge anche il cosiddetto ” Whois “, ossia quel servizio che consente di capire chi siano gli utenti che hanno registrato un dominio. Tale servizio, noto da tutti coloro i quali hanno già cercato se un dominio sia libero o meno, mette a disposizione vari dati relativi a quanti ne abbiano registrato uno, informazioni utili a verificare tanto la registrazione, quanto l’eventualità di una transazione per il passaggio di proprietà del dominio stesso.
Con l’entrata in vigore del GDPR, l’ICANN ha voluto adeguarsi inviando a tutti i registrar affiliati alcune ” specifiche temporanee ” – discusse anche con l’autorevole Art.29 Working Party – con le quali si indicano nuove regole nella pubblicazione dei dati: ad ogni Whois gli elementi offerti dal registar sarebbero molti meno, con particolari restrizioni soprattutto sui dati personali. Tali specifiche avrebbero dovuto rappresentare il nuovo protocollo valido con tutti i paesi coinvolti dal regolamento, modificando semplicemente il numero e la tipologia dei dati dati in pasto a chi effettua le ricerche del tipo “Whois”, ma una nuova e più seria questione si è posta all’ICANN a seguito della segnalazione dell’ EPAG .
L’EPAG è un registrar tedesco di proprietà Tucows. DAll’EPAG è giunta all’ICANN una segnalazione: per ottemperare appieno al GDPR, il registrar sarebbe pronto a non raccogliere del tutto alcuni specifici dati relativi a chi registra un nome a dominio. Così facendo, però, tali dati non potrebbero essere condivisi con l’ICANN. L’EPAG, insomma, si troverebbe nell’imbarazzo di dover effettuare l’ impossibile scelta tra le regole dell’ICANN (che impongono la raccolta dei dati) e le regole dell’Unione Europea (che ad una lettura restrittiva del GDPR vieterebbe la raccolta dei dati stessi).
Di qui la mossa dell’ICANN, azione che non è da escludersi possa essere stata orchestrata ad arte proprio assieme all’EPAG: agire presso la corte tedesca per avere un chiarimento definitivo su questo fronte, ossia se ai registrar possa essere consentita al raccolta dei dati fondamentale all’ICANN per mantenere un sistema distribuito di registrazione dei nomi a dominio.
Se la risposta fosse positiva, le specifiche temporanee al regolamento potrebbero essere adottate in modo permanente; se la corte si pronunciasse negativamente, invece, si aprirebbe sicuramente un tavolo di trattativa molto più serio e pericoloso: un eccessivo irrigidimento attorno al GDPR potrebbe infatti mettere in crisi il funzionamento dell’istituzione internazionale che regola un aspetto delicato quale quello dei nomi a dominio. Nel nome della privacy, insomma, l’UE potrebbe mettere in discussione una entità di garanzia di cui non si può certo fare a meno.
Difficile pensare ad un inasprimento degli attriti: più facilmente la corte tedesca sarà il luogo in cui si definiranno modalità e termini del compromesso che possa consentire a registrar europei e ICANN di dialogare. Ma il tavolo è aperto, ennesima sfida che il GDPR apre all’interno di questo nuovo modo di pensare la tutela dei dati personali.