07/05/2018 di Redazione

L'identità potrà diventare un mistero sul Web per colpa del Gdpr

Il nuovo regolamento sulla protezione dei dati nasce per uniformare la materia a livello Ue. Ma se scomparirà il Whois, come si teme, sarà più dfficile tutelare marchi e clienti da frodi, pirateria. Ce ne parla un esperto di MarkMonitor.

immagine.jpg

Il Gdpr è progettato con le migliori intenzioni, a partire da quella di uniformare sul territorio europeo una materia complessa come la tutela dei dati personali e della privacy. Ma il nuovo regolamento, pronto a entrare pienamente in vigore (sanzioni incluse, fino a un massimo del 4% del fatturato dell'azienda inadempiente) dal 25 maggio, potrebbe avere un effetto collaterale spiacevole: la scomparsa del Whois, o del Whois così come lo conosciamo. Questo servizio di Icann, disponibile fin dagli albori di Internet, permette a chiunque di verificare identità e informazioni di recapito dei titolari dei domini Web: nomi, indirizzi fisici e email, numeri telefono.

Tali informazioni sono attualmente accessibili al pubblico, a meno che il proprietario del sito non paghi un extra per renderle private. Improntato alla trasparenza e inteso a fornire un servizio al pubblico, il modello del Whois non è però compatibile con il Gdpr. E si prefigura il rischio di una sospensione temporanea (se non di una cancellazione), che causerebbe un indebolimento del potere di verifica sull'autenticità di un marchio, un prodotto, un servizio. Ce ne parla Statton Hammock, vice president for Global Policy & Industry Development di MarkMonitor, software house di San Francisco specializzata in tutela del marchio, gestione del domini e lotta alla contraffazione digitale

 Statton Hammock, vice president for Global Policy & Industry Development di MarkMonitor

 

La privacy digitale è un problema che riguarda ogni singola persona presente sul Web. Che si stia chattando con un amico tramite una piattaforma social, inviando una mail al lavoro o effettuando un acquisto attraverso un sito e-commerce, dovremmo essere in grado di sapere se i dati personali che stiamo condividendo con queste organizzazioni saranno al sicuro e se saranno utilizzati esclusivamente per gli scopi per i quali abbiamo dato la nostra autorizzazione. Ci piace dare per scontato che le aziende con le quali interagiamo e da cui acquistiamo siano abbastanza coscienziose a livello morale da rispettare i principi della privacy, ma numerose vicende delle ultime settimane hanno dimostrato che non è sempre così: i colpevoli in questione vanno dai grandi conglomerati globali ai dipartimenti di polizia locale. Lentamente, ci stiamo sensibilizzando al problema e rendendo conto che i nostri dati personali non sono così “sacri” come ci piacerebbe credere.

Il forte aumento di questi casi è esattamente il motivo per cui le autorità europee hanno introdotto il Regolamento Generale sulla Protezione dei dati (General Data Protection Regulation, Gdpr) nel 2016. Questo regolamento è sostanzialmente progettato per rimuovere la complessità di avere molteplici leggi sulla privacy in diversi Paesi, creando invece un insieme di leggi uniforme, molto più facile da comprendere, seguire e far rispettare. Di conseguenza, con l’avvento della data di applicazione del Gdpr il prossimo 25 maggio dovrebbe essere possibile fornire una protezione aggiuntiva per i cittadini dell’Ue, garantendo al tempo stesso la gestione sicura e protetta dei dati dei clienti da parte delle aziende.

Tuttavia, nonostante le buone intenzioni dell’Ue, l’applicazione del Gdpr renderà effettivamente più difficile la protezione complessiva degli stessi consumatori e clienti. Più ci avviciniamo ai termini temporali per la conformità, più diventa chiaro che il regolamento avrà un impatto significativamente negativo sugli sforzi di prevenzione degli abusi online, come la distribuzione illegale di farmaci, la tratta degli esseri umani, gli attacchi informatici e la violazione dei diritti di proprietà intellettuale. 

 

Whois in trasformazione
La conseguenza più significativa dell’applicazione del Gdpr è l’incombente blackout di tutte le informazioni di contatto del registrante nel database Whois. Quest'ultimo attualmente svolge un ruolo enorme in tutti i tipi di attività per la tutela dei consumatori: non solo le azioni legate alla proprietà intellettuale, alla lotta alla contraffazione e alla pirateria o alla protezione del brand, ma anche la difesa da tutte le forme di abuso che avvengono su Internet. Whois è altrettanto importante al di fuori di questa sfera. Viene utilizzato dai giornalisti per scopi investigativi e per contattare potenziali intervistati. Inoltre è usato dai consumatori per verificare la legittimità di un sito da cui intendono acquistare. Viene persino impiegato da individui interessati all’acquisto o alla vendita di nomi a dominio, in modo che possano mettersi in contatto per iniziare la negoziazione.

A vvicinandoci al 25 maggio, è probabile che vedremo cessare completamente l’attività del Whois che abboamo finora conosciuto. Gli esperti legali hanno stabilito che nella sua forma attuale il database non è conforme al Gdpr perché attualmente mostra una grande quantità di dati personali identificabili relativi al registrante, contatti amministrativi e tecnici, che includono nomi, indirizzi mail, indirizzi postali e altro.

In questo modo il settore dei domini è stato costretto a identificare la nuova veste del Whois nel post-Gdpr, e creare una proposta di modello provvisorio che permetta a Whois di rimanere in qualche modo attivo. Il modello provvisorio sviluppato dall’Icann e Gdpr Suggerisce che tutti i dati Whois relativi ai registranti attualmente disponibili siano protetti dall’accesso pubblico, a eccezione del nome dell’organizzazione, dello stato/provincia e del Paese. Propone inoltre un indirizzo email anonimizzato che dovrebbe essere utilizzato per inviare comunicazioni al registrante.

Se questa versione post Gdpr del Whois verrà implementata, la protezione del brand diverrà molto più difficoltosa: infatti, se la maggior parte delle informazioni resteranno collocate dietro un muro, le aziende non saranno più in grado di identificare gli individui celati dietro le attività illecite. Questo è il motivo per cui attualmente si sta sviluppando e cercando di attuare un modello di accreditamento e accesso che consenta a determinate entità, con uno scopo legittimo, di accedere ai dati Whois completi. Nonostante questo lavoro sia in corso, non sarà completato prima del 25 maggio.

 

 

 

A rischio blackout
All’inizio di aprile il Gruppo di Lavoro ex Articolo 29, l’autorità indipendente dell’Unione Europea per la protezione dei dati, ha espresso preoccupazioni sul fatto che il modello Icann Whois proposto non includesse una specificità sufficiente riguardo alle finalità di raccolta e trattamento dei dati personali, né disponesse di un processo dettagliato per l’accreditamento e l’accesso. 

Senza alcun segno di una moratoria sull’applicazione da parte dell’Autorità per la Protezione dei Dati, i registrar saranno obbligati a prendere le proprie decisioni in merito alla visualizzazione dei dati Whois. Questo si tradurrà in un sistema Whois frammentato fino a quando verrà finalizzato e implementato un modello provvisorio, un processo che potrebbe durare dai nove ai dodici mesi. Durante questo periodo, si prevede che la maggior parte dei registrar sceglierà semplicemente di non pubblicare nessun dato del registrante nel Whois, costringendo il sistema a “oscurarsi”.

Non solo l’effettiva chiusura di Whois sarebbe catastrofica in termini di protezione del brand, ma sembrerebbe anche una conseguenza totalmente involontaria del Gdpr. Se l’impatto sulla protezione del marchio fosse stato preso in considerazione fin dall’inizio, le autorità europee avrebbero certamente lavorato a stretto contatto sia con il Gruppo di Lavoro ex Articolo 29 sia con Icann per permettere a Whois di rimanere attivo nella sua forma attuale. È semplicemente controintuitivo sopravvalutare la privacy al punto da mettere a repentaglio l’interesse pubblico che sta proteggendo quegli stessi cittadini.

 

Bloccati nelle sabbie mobili
Non sarà solo Whois a causare gravi complicazioni. Le dimensioni e la scala del Gdpr hanno fatto sì che i brand rimanessero tanto impantanati nei cavilli della conformità normativa da non essere in grado di concentrarsi sui fondamenti della protezione del brand. In poche parole, il
Gdpr interesserà qualsiasi azienda che raccolga informazioni sui propri consumatori, e questo vale quasi per ogni organizzazione in tutti i mercati o settori.

La conformità Gdpr non può essere raggiunta semplicemente attraverso alcune piccole modifiche al proprio sistema esistente, ma richiede un cambiamento radicale nei flussi di lavoro, nei processi e nell’archivio dei dati e ha già dimostrato di essere un notevole dispendio di denaro e risorse per molte aziende. Uno studio EfficientIP X Day ha rilevato che nel mondo le organizzazioni spendono ciascuna una media di 1,5 milioni di dollari per essere conformi al Gdpr.

Il conseguente effetto a catena è che le aziende non hanno più le risorse per mantenere le attività basilari di protezione del brand e dei consumatori, o semplicemente dimenticano di farlo a fronte dell’urgenza del problema. In un mondo ideale, le aziende dovrebbero disporre di ulteriori risorse interamente dedicate al Gdpr, mentre il personale esistente potrebbe continuare a monitorare e gestire i tradizionali metodi di protezione del brand e dei consumatori. 

 

 

La tutela del marchio nel post-Gdpr
Senza dubbio la protezione del brand cambierà considerevolmente una volta applicata il Gdpr, e in mancanza di una risoluzione ufficiale del problema Whois in vista non c’è modo di prevedere che cosa succederà. Tuttavia, tenendo a mente l’attuale scenario, gli esperti di protezione del brand online di MarkMonitor hanno evidenziato alcuni elementi che i marchi possono tenere d’occhio per cercare di minimizzare l’impatto.

Innanzitutto, vedremo sicuramente un’evoluzione della tecnologia di protezione del brand che schivi la necessità del Whois raccogliendo informazioni di contatto dai siti Web per aiutare le attività di controllo. A questo punto è impossibile predire la portata di queste informazioni ma con la possibile chiusura di Whois, anche se temporanea, una qualsiasi informazione è meglio di niente.

In secondo luogo, aumenterà la mole di lavoro manuale richiesto se i brand vorranno mantenere la protezione. Senza una soluzione tecnologica su cui fare affidamento, le risorse dovranno essere incaricate a setacciare ogni sito Web illecito e identificare le informazioni necessarie per mettersi in contatto con esso. Mentre alcune aziende avranno a disposizione il personale necessario per farlo subito, alcune potrebbero non avere altra scelta se non quella di assumere più risorse dedicate a questo scopo. 

Infine, è probabile anche un aumento dei costi di contenzioso, in particolare se vi è una lotta per implementare e finalizzare un modello Whois di accreditamento e accesso. Senza questo, i brand che desiderino accedere alle informazioni del registar o dell’iscritto non avranno altra scelta se non rivolgersi al tribunale per ottenere un mandato di comparizione o un’ordinanza del tribunale. Con l’aumento di queste istanze, di conseguenza aumenteranno anche i costi. 

 

ARTICOLI CORRELATI