CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Parere 2/2003
sull'applicazione dei principi di tutela dei dati agli elenchi Whois - wp76

Adottato il 13 giugno 2003

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito a seguito della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 19951,

visti gli articoli 29 e 30, paragrafi 1, lettera a), e 3, di tale direttiva, e l'articolo 14, paragrafo 3, della direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997,

visto il regolamento interno, in particolare gli articoli 12 e 14,

ha adottato il presente parere:

1. Introduzione:

Gli elenchi Whois pongono vari problemi dal punto di vista della tutela dei dati. I dati Whois si riferiscono alle persone che hanno registrato un nome di dominio e contengono in particolare informazioni sul nome del punto di contatto del nome del dominio, inclusi numero di telefono, indirizzo e E-mail e altri dati personali. Inizialmente tali dati sono stati pubblicati per consentire alle persone che effettuano attività in rete di contattare la persona tecnicamente responsabile di un'altra rete o di un altro dominio, in caso di problema. Di per se stesso, tale obiettivo è legittimo.

Il gruppo è consapevole dell'importanza crescente assunta dal dibattito su Whois per il fatto che un numero sempre maggiore di individui (privati) registrano i loro nomi di dominio e che sono state sporte denunce per l'uso improprio dei dati Whois in vari paesi. La registrazione di nomi di dominio da parte di singoli pone considerazioni giuridiche diverse da quelle di società o di altre persone giuridiche che registrano nomi di dominio, come verrà chiarito nel presente parere.

Il gruppo ha quindi seguito con interesse i lavori della Task Force ICANN Whois riguardanti tali elenchi Whois nonché i lavori svolti in questo campo dal gruppo internazionale per la protezione dei dati nelle telecomunicazioni2.

Il gruppo è consapevole del fatto che gli elenchi Whois saranno discussi nel quadro della conferenza ICANN/GAC che si terrà a Montreal alla fine del mese di giugno. Il gruppo gradirebbe contribuire alla discussione presentando il suo parere, mirante a sottolineare un certo numero di questioni fondamentali che sorgono con l'applicazione dei principi di protezione dei dati agli elenchi Whois. Il parere riguarda gli elenchi Whois ma, nella misura in cui le stesse circostanze o circostanze simili vi si riferiscano, le stesse considerazioni si applicano anche ad altri registri di nomi di dominio e di indirizzi IP a livello regionale, ad esempio RIPE in Europa, AP-NIC in Asia, ecc.

2. L'applicazione dei principi della protezione dei dati agli elenchi Whois:

• Dal punto di vista della tutela dei dati, è indispensabile determinare in termini estremamente chiari quale sia l'obiettivo degli elenchi Whois e quali obiettivi possano considerarsi legittimi e compatibili con l'obiettivo originale. Le relazioni della Task Force Whois non hanno trattato questi aspetti. Si tratta di una questione estremamente delicata, dato che l'obiettivo degli elenchi Whois non può essere esteso ad altri obiettivi per il semplice fatto che possano essere ritenuti convenienti da certi potenziali utilizzatori degli elenchi. Alcuni obiettivi che potrebbero sollevare problemi connessi con la tutela di dati (compatibilità) sono ad esempio l'utilizzazione di dati da parte di operatori del settore privato nell'ambito di attività autonome di polizia privata connesse con presunte violazioni dei loro diritti, ad esempio nel campo della gestione dei diritti digitali.

• L'articolo 6, lettera c) della direttiva impone chiari limiti quanto alla raccolta e all'elaborazione di dati personali nel senso che essi debbono essere pertinenti e non eccessivi per i fini cui sono destinati. In questa prospettiva è indispensabile limitare la quantità di dati personali da raccogliere e elaborare. Di ciò si dovrebbe tener particolarmente conto al momento di discutere il desiderio di alcune parti interessate di aumentare l'uniformità dei vari elenchi Whois.

La registrazione di nomi di dominio da parte di singoli pone considerazioni giuridiche diverse da quelle di società o di altre persone giuridiche che registrano nomi di dominio.

- Nel primo caso, la pubblicazione di determinate informazioni circa la società o l'organizzazione (ad esempio, identificazione e indirizzo fisico) è frequentemente un requisito legale nell'ambito delle attività commerciali o professionali svolte.

Occorre peraltro osservare che, anche nel caso di società o di organizzazioni che registrano nomi di dominio, i singoli non possono essere obbligati a fornire il loro nome da pubblicare come punto di contatto, dato che possono esercitare il loro diritto di opposizione.

- Nel secondo caso, ove un singolo registri un nome di dominio, la situazione è diversa e, quantunque sia chiaro che l'identità e il contatto debbano essere conosciuti dal fornitore del servizio, non esiste giustificazione giuridica alla pubblicazione obbligatoria dei dati personali di tale persona. Una tale pubblicazione di dati personali di persone, ad esempio i loro indirizzi e numeri di telefono, verrebbe a scontrarsi con il diritto di tali persone di decidere se i dati di carattere personale loro relativi, e quali di tali dati, debbano figurare in un elenco pubblico3. Peraltro l'obiettivo originale di tali elenchi Whois può essere ugualmente raggiunto, in quanto i particolari della persona sono noti al fornitore di servizi Internet che può, in caso di problemi connessi con il sito, contattare la persona4.

Alla luce del principio della proporzionalità, è necessario cercare metodi meno invasivi in grado di raggiungere gli obiettivi degli elenchi Whois senza rendere tutti i dati direttamente disponibili on-line per chiunque. Come già menzionato nell'introduzione, i fornitori di servizi Internet possono svolgere, e di fatto lo fanno in alcuni paesi, un ruolo importante in questo campo. In ogni caso dovrebbero essere elaborati meccanismi di filtraggio per garantire una limitazione degli obiettivi nelle interfacce per accedere agli elenchi.

• Il fatto che dati personali sono resi pubblici non significa che i requisiti della direttiva sulla tutela dei dati non si applicano a tali dati. Al contrario, come si è già affermato nei precedenti pareri del gruppo5, è perfettamente chiaro, dalla formulazione della legislazione in merito alla tutela dei dati, che le disposizioni si applicano anche ai dati resi pubblici: anche dopo essere stati resi pubblici, i dati restano tuttora personali e, di conseguenza, le persone interessate non possono essere private della protezione cui hanno diritto per quanto riguarda il trattamento dei loro dati.

• Il gruppo è particolarmente preoccupato delle proposte relative a dispositivi Whois dotati di maggiori possibilità di ricerca. In questo contesto esso gradirebbe menzionare le conclusioni del suo parere 5/2000 sull'utilizzazione degli elenchi telefonici pubblici per servizi di ricerca inversa o multicriterio (elenchi invertiti)6: l'elaborazione di dati personali in elenchi invertiti e in servizi di ricerca multicriterio senza il consenso chiaro e informato della persona interessata è sleale e illecita.

• Il gruppo desidera esprimere il suo sostegno alle proposte relative alla precisione dei dati (che è altresì uno dei principi della direttiva europea sulla tutela dei dati7) e alla limitazione dell'accesso massiccio a fini di marketing diretto.

L'utilizzazione intensiva dei dati Whois per il marketing diretto è totalmente in contraddizione con i fini per i quali sono stati allestiti e vengono gestiti gli elenchi. Alla luce delle disposizioni della direttiva sulle comunicazioni elettroniche8 qualsiasi utilizzazione di indirizzi E-mail per il marketing diretto deve basarsi unicamente sul consenso della persona interessata.

Il gruppo invita l'ICANN e la comunità Whois ad esaminare modalità per aumentare la protezione della vita privata nella gestione degli elenchi Whois, in modo sia da raggiungere l'obiettivo originale sia da proteggere i diritti delle persone. Dovrebbe essere comunque possibile, per persone singole, registrare nomi di dominio senza che sia necessario che i loro dati personali figurino in un registro pubblico.

Per il gruppo
Il presidente
Stefano RODOTÀ

 

NOTE

1 Gazzetta ufficiale L 281 del 23/11/1995, pag. 31, disponibile su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
2 Posizione comune sugli aspetti della vita privata e della tutela dei dati della registrazione dei nomi di dominio su Internet, adottata in occasione della 27ª riunione del gruppo di lavoro il 4/5 maggio 2000 a Rethymnon / Creta, disponibile su: http://www.datenschutz-berlin.de/doc/int/iwgdpt/dns_en.htm
3 Articolo 12, paragrafo 2, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
4 Un sistema del genere è stato istituito in vari paesi europei, ad esempio in Francia (attraverso l'AFNIC) e nel Regno Unito. Nel Regno Unito, ad esempio, le persone singole che registrano nomi di dominio ('tag-holders') possono registrarsi negli elenchi Whois a cura del loro FSI, il che significa che, in caso di problema con un sito web, si può contattare il proprietario attraverso l'FSI senza che l'indirizzo della persona in questione figuri in una base dati aperta.
5 Parere n. 3/99 relativo alle informazioni del settore pubblico e alla protezione di dati personali, WP 20.
6 http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_2k.htm
7 Cfr. articolo 6, lettera d) della direttiva.
8 Direttive 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).