Privacy e WHOIS (era Re: Data di scadenza dei domini)

Vittorio Bertola vb a BERTOLA.EU.ORG
Mar 21 Gen 2003 09:18:47 CET


On Mon, 20 Jan 2003 14:11:32 +0100 (MET), you wrote:

>> privacy. Che io sappia, nessun rivenditore di domini, ne' il registro,
>> chiedono il consenso dell'interessato alla pubblicazione dei suoi dati
>> in un database accessibile anonimamente a livello mondiale... consenso
>> che dovrebbe anche poter essere negato :-)
>
>Per i rivenditori non so, ma per le regole e procedure SI PUO' chiedere di
>non venire inseriti. Ok, e' il cosidetto consenso esplicito che non c'e'
>in modo cosi' chiaro, e c'e' invece l'ozione di non inserimento su
>richiesta esplicita.

Mah, io ho provato a tentare la registrazione di un dominio .it su un
paio dei maggiori rivenditori online italiani. A un certo punto si
arriva alle condizioni di contratto e ad una informativa sulla privacy
molto generica, che non menziona da nessuna parte il fatto che i miei
dati saranno pubblicati nel WHOIS. Certo, si autorizza il maintainer a
cedere i dati a terzi (quindi anche alla RA) per la realizzazione del
servizio, ma continua a sembrarmi opinabile che il WHOIS sia parte
integrante e inscindibile della realizzazione del servizio.

Ora, si puo' anche sostenere che quanto sopra sia un potenziale
problema legale tra consumatore e maintainer, e che non riguardi la RA
(e quindi la NA). Pero' e' la RA che poi ripubblica i dati nel WHOIS,
a questo punto potenzialmente (qui bisogna sentire i legali) senza
autorizzazione. Credo che dovrebbe esserci una richiesta di consenso
opzionale, specifica e separata dal resto, per il WHOIS, o fatta dal
maintainer che gira poi l'indicazione al registro (questo e' quello
che probabilmente succedera' prima o poi con i gTLD), oppure
direttamente sul contratto tra il consumatore e il registro (ossia
sulla LAR o quello che la sostituira'). Attualmente nella LAR c'e' il
punto e) che dice "autorizzo a inserire nel database..." - ma quella
IMHO e' tutt'altro che una informativa + richiesta di consenso valida
ai fini 675 :-/

In generale, per quanto come dicevo si puo' presumere che l'uso che la
RA fa dei dati sia coperto almeno in parte dalle informative sulla
privacy fatte dai maintainer, credo che anche sulla LAR ci vorrebbe
una informativa sulla privacy con le varie opzioni di consenso: al di
la' delle questioni legali, mi sembra la soluzione piu' chiara per il
consumatore.

(Tra l'altro: mi punti al paragrafo delle nostre regole e procedure
che dispone la possibilita' di opt-out, e alla spiegazione di come
farlo? Onestamente l'ho cercato per un po', sia nelle regole di naming
che nelle procedure di registrazione che sul sito RA, ma non ho
trovato nulla.)

>> Non sarebbe male se si creasse un
>> gruppo di lavoro congiunto NA/RA/Garante per arrivare ad una
>> definizione delle politiche di privacy connesse al WHOIS e ai dati
>> sull'assegnazione dei domini.
>
>Anche se mi sembra che ne avevamo gia' discusso a suo tempo, con vari
>pareri tutti indicanti che i dati del registrante associati al dominio NON
>erano dati sensibili e come tali pubblici (e quindi che bastava l'opt-out
>che c'e' gia'),

Tipo che alla fine delle query WHOIS ci aggiungiamo "rispondi REMOVE
se non vuoi piu' essere inserito in questo database"? A me questa
sopra, con tutto il rispetto, sembra una politica da spammer
giustificata con argomentazioni da spammer ("il tuo indirizzo di
e-mail non e' privato perche' l'ho trovato su un newsgroup"...). Una
politica seria, nonche' obbligatoria per legge, e' chiedere un
consenso preventivo (indipendentemente dal fatto che i dati siano
"sensibili" o meno).

> mi sembra sensato "controllare due volte".

...per questo proponevo di affrontare l'argomento una volta per tutte
coinvolgendo anche alcuni legali e il Garante.
--
vb.                  [Vittorio Bertola - vb [at] bertola.eu.org]<---
-------------------> http://bertola.eu.org/ <-----------------------



Maggiori informazioni sulla lista ita-pe