Whois (era Re: riunione CR di aprile)

Vittorio Bertola vb a BERTOLA.EU.ORG
Dom 19 Giu 2005 11:53:51 CEST


emilio brambilla ha scritto:
> [whois]
>
>> Qualcuno ha voglia di lavorarci su con me?
>
> non credo di essere sufficientemente esperto di diritto e di codice
> della privacy, ma, visto che nella lar si firma che si accetta di far
> pubblicare i dati nel whois, non si puo` semplicemente pubblicarli? se
> qualcuno non accetta l'informativa gli si pubblicano i dati castrati, ma
> di default i dati si mettono!

Veramente la legge sulla privacy prevede una serie ben precisa di
informazioni che devono essere contenute (separatamente, ossia in una
apposita informativa) e firmate appositamente dall'individuo. Insomma, a
frasetta che tradizionalmente c'era nelle LAR era del tutto invalida ai
fini della legge.

Detto questo, la prima bozza della nuova versione della LAR prevedeva
semplicemente una manifestazione di consenso alla pubblicazione dei
dati, senza la quale non si sarebbe potuto procedere alla registrazione.
Tuttavia, la legge prevede anche che l'individuo deve poter negare il
consenso a tutti quei trattamenti dei dati che non siano strettamente
necessari alla fornitura del servizio, senza per questo pregiudicare la
sua possibilità di ottenere il servizio; nel caso del Whois, esiste un
parere scritto dell'art. 29 Working Party (il consiglio dei Garanti
europei) che dice esplicitamente che, per gli individui, la
pubblicazione dei dati deve poter essere negata senza impedire la
registrazione.

Per questo motivo, alla fine si dovrebbe optare per due caselline
separate, la prima riguardante il trattamento dei dati necessario alla
fornitura del servizio (ad esempio, la memorizzazione nei database
privati del registro), e "obbligatoria" (cioè, negando il consenso non
si ottiene il dominio); la seconda, facoltativa, per la pubblicazione
nel Whois.

L'unica questione aperta era se la pubblicazione di un insieme minimo di
dati (in particolare, il nome del registrant e/o almeno una forma di
contatto tra email, indirizzo e telefono) potesse essere considerata
necessaria per la fornitura del servizio, per permettere la
contattabilità in caso di problemi. Ci sono varie interpretazioni a
livello europeo (ad esempio, molti ritengono che la contattabilità,
ammesso che sia veramente necessaria al punto da non permettere al
registrant di scegliere liberamente se vuol essere contattabile via
Whois in caso di problemi o no, sia soddisfatta pubblicando i dati del
contatto tecnico e permettendo di nascondere completamente quelli
dell'individuo admin-c) ma noi avevamo risolto di discutere la questione
specifica con il garante.

Dopo aprile non ho più avuto aggiornamenti in merito, finchè non sono
uscito dalla Commissione.

> tra l'altro, la legge sulla privacy vale anche per le aziende?
> tech a azienda.tld e` un dato sensibile e come tale non puo` essere
> pubblicato sul whois?!?!?

No, la legge sulla privacy regolamenta il trattamento dei dati
*personali* (ossia, degli individui).
--
vb.             [Vittorio Bertola - v.bertola [a] bertola.eu.org]<-----
http://bertola.eu.org/  <- Prima o poi...



Maggiori informazioni sulla lista ita-pe