WHOIS e rischi

Griffini Giorgio grunz a TIN.IT
Ven 24 Gen 2003 01:16:09 CET


Eseguo il repost del messaggio originale integrale a cui ha dato seguito
V.Bertola e che per un errore di indirizzamento non e' stato recapitato a ITA-
PE cui era destinato per conoscenza.

------- Forwarded Message Follows -------
To:                     Vittorio Bertola <vb a bertola.eu.org>
Subject:                WHOIS e rischi
Copies to:              ITA_PE a NIC.IT
Date sent:              Thu, 23 Jan 2003 03:34:31 +0100

Una piccola premessa e quindi commento alcuni passaggi di V.Bertola.

Il problema della visibilita' dei contatti nel WHOIS e' un problema ricorrente e
diffuso a livello mondiale  perche' - dal punto di vista dell'universo privato
'internet' - ci sono solamente dei 'best-pratice'  e raccomandazioni e non dei
'requirement' stringenti.
Ci sono argomentazioni assolutamente ragionevoli sia a favore della
pubblicazione che della riservatezza totale.   E'  ovvio che in tale situazione
si tende ad adottare un variegato spettro di soluzioni intermedie in funzione
sia della sensibilita' all'argomento del target locale che in ottemperanza delle
normative locali.
Nel caso italiano, seppure in presenza di una normativa della privacy di
rilievo, questo non significa che una applicazione 'as-is' sia la migliore
soluzione da adottare. Per intenderci, vi sono una serie di casi speciali e
relative eccezioni (e' il difetto principale dell'approccio di questa legge
specifica) che servono per far si che tale legge sia uno strumento di tutela e
non di impedimento oneroso tecnico-gestionale.
Allo stato attuale la soluzione piu' efficace e' quella di chiedere un espresso
parere del Garante sull'argomento specifico (con la 675 e' l'unico modo di
avere una fonte certa del diritto)  e per certi versi sono sicuro che la
situazione attuale e' almeno carente almeno nella segnalazione che alcuni
dati del registrante vengono resi di dominio pubblico a mezzo 'diffusione'.
E dire che nel final report di WIPO first process ben 4 anni fa dava una
raccomandazione (la n.90) che rimane ragionevole ancora adesso
considerato sopratutto che e'  venne formulata con l'intento di preservare
l'utilita' del WHOIS senza pero' aprire la strada agli abusi....

Detto questo proseguo commentando alcuni passaggi del messaggio di
V.Bertola.

>
> Supponi che io sia l'assegnatario di "associazionesieropositivi.it",
> di "parrocchie.torino.it" o di "no-alla-pena-di-morte.it". Ti sembra
> che il WHOIS non stia esponendo a tutti le mie convinzioni politiche o
> religiose?
>

Il DNS system  (e quindi anche il namespace del .it) rientra prevalentemente
nella categoria 'diffusione' (con alcune varianti in forma di 'comunicazione' se
si vuole pignolare sui zone-transfer) e quando si richiede l'assegnazione di un
nome lo si fa proprio perche' sia 'reso visibile'.
 Il fatto che , per 'best-pratice' (88% circa dei ccTLD), il registro renda
disponibile pubblicamente l'elenco che associa il registrante al nome scelto
dal registrante stesso (indipendentemente dal contenuto semantico del
nome) non implica che questa 'diffusione'  sia la causa determinante di
possibili discriminazioni di gusti sessuali , stato di salute, fede politica o
religiosa che sia possibile determinare dalla associazione nome-registrante
andando ad analizzare il valore 'semantico' di tale nome.
Nella fattispecie la capacita' di poter perpetrare discriminazioni e'
conseguenza diretta del nome prescelto dal registrante stesso cui il registro
non fa, attualmente , alcuna considerazione 'discrezionale' .
E' evidente che il discorso vale se il registrante e' a conoscenza che
l'associazione nome-registrante diventa di dominio pubblico e su questo
sono d'accordo con V.Bertola che la cosa sarebbe opportuno evidenziarla in
maniera particolarmente esplicita ma non sono cosi' convinto che una
applicazione 'tout-court'  (tipo quando i primi tempi i bancomat che ti davano
tre schermate di warning sulla 675) sia la cosa migliore da fare .

> >gli ambiti di applicazione della legge
> >675 sul database whois siano piuttosto limitati, anche in
> >considerazione del fatto che la firma della lettera di assunzione di
> >responsabilita', necessaria alla registrazione del dominio, configura
> >comunque la presa di coscienza da parte dell'assegnatario delle
> >implicazioni a livello di pubblicita' che questo tipo di operazione
> >comporta.
>
> Ehm... non sono un legale, ma a me risulta tutto il contrario; che
> indipendentemente dalla sensibilita' o meno dei dati (che pure, come
> detto, in certi casi sono piu' che sensibili) sia comunque sempre
> necessario un consenso separato, che il consumatore finale puo'
> concedere o negare. In altre parole non basta scrivere nel contratto
> "con il presente contratto accetto la pubblicazione dei miei dati", ma
> bisogna offrire l'opzione di accettare o non accettare il trattamento
> dei dati, separando il trattamento che e' strettamente necessario per
> il funzionamento del servizio (in mancanza del quale non si puo'
> procedere al contratto) da quello che non e' necessario, in cui il
> consenso deve essere opzionale.
>

Anche qua,... dipende... ci sono casi in cui non e' richiesto il consenso, altri
in cui deve essere data comunicazione al soggetto a valle della raccolta altri
in cui e' il garante a decidere se e' il caso o meno... Se si vuole si puo'
invece discutere sul fatto se la pubblicazione nel WHOIS sia funzionale alla
gestione del DNS system o meno. (Tenendo presente che bisogna
combattere il cybersquatting privilegiando, ove possibile forme di risoluzione
delle dispute alternative alla giurisdizione ordinaria etc.etc.)

> Io invece trovo la situazione del WHOIS gravissima, ma e' questione di
> sensibilita'. Pero' vorrei evitare che Internet finisca ancora una
> volta sui giornali perche', ad esempio, il titolare di un dominio
> "sensibile" viene atteso sotto casa da simpatici giovanotti della
> fazione opposta, che lo riempiono di botte dopo aver trovato
> l'indirizzo sul WHOIS. Puo' darsi che sia fantascienza, ma ad ogni
> modo c'e' una legge e andrebbe rispettata.
> --

Francamente la situazione del WHOIS non mi sembra 'gravissima'  anche se
concordo ci sarebbe da lavorarci su per giungere ad un compromesso
ragionevole tra la tutela ed il non provocare impedimenti onerosi (ad esempio
contatti pubblici per 'aziende' e su opt-out per privati (conoscibile su richiesta
esplicita al registro con notifica o meno  all'interessato) seguendo la traccia
ad esempio delle norme sulla comunicazione elettronica a distanza)
Sul discorso del rischio del nome 'sensibile' non vedo un rischio
qualitativamente diverso rispetto alla stessa persona che va in giro per la
citta' con una t-shirt con in bella mostra lo stesso nome o frase 'sensibile'.

Se la NA non fosse nell'avanzato stato di decomposizione in cui si trova
adesso si potrebbe forse analizzare e affrontare la situazione con la dovuta
calma   Pazienza...vorra' dire che, ammesso che sia o diventi un problema
'critico',  se ne occupera'  forse la Fondazione o molto piu' probabilmente il
Garante.

Cordiali saluti
Giorgio Griffini



Maggiori informazioni sulla lista ita-pe