La privacy digitale è un problema che riguarda ogni singola persona presente sul web. Che si stia chattando con un amico tramite una piattaforma social, inviando una mail al lavoro o effettuando un acquisto attraverso un sito e-commerce, dovremmo essere in grado di sapere se i dati personali che stiamo condividendo con queste organizzazioni saranno al sicuro, e utilizzati esclusivamente per gli scopi per i quali abbiamo dato la nostra autorizzazione. Ci piace dare per scontato che le aziende con le quali interagiamo e da cui acquistiamo siano abbastanza coscienziose a livello morale da rispettare i principi della privacy, ma ci sono state numerose vicende nelle ultime settimane che hanno dimostrato che non è sempre così, i colpevoli in questione vanno dai grandi conglomerati globali ai dipartimenti di polizia locale. Lentamente, ci stiamo sensibilizzando al problema e rendendo conto che i nostri dati personali non sono così “sacri” come ci piacerebbe credere. Il forte aumento di questi casi è esattamente il motivo per cui le autorità Europee hanno introdotto il Regolamento Generale sulla Protezione dei dati (General Data Protection Regulation - GDPR) nel 2016. In sostanza, questo regolamento è progettato per rimuovere la complessità dell’avere differenti leggi sulla privacy in diversi paesi, creando invece un insieme di leggi uniforme, molto più facile da comprendere, seguire e far rispettare. Di conseguenza, con l’avvento della data di applicazione del GDPR il prossimo 25 maggio, dovrebbe essere possibile fornire una protezione aggiuntiva per i cittadini dell’UE, garantendo al tempo stesso la gestione sicura e protetta dei dati dei clienti da parte delle aziende. Tuttavia, nonostante le buone intenzioni dell’UE, l’applicazione del GDPR renderà effettivamente più difficile la protezione complessiva degli stessi consumatori e clienti. Più ci avviciniamo ai termini per la conformità, più diventa chiaro che il regolamento avrà un impatto significativamente negativo sugli sforzi per prevenire gli abusi online, tra cui la distribuzione illegale di farmaci, la tratta degli esseri umani, gli attacchi informatici e la protezione dei diritti di proprietà intellettuale.

Il problema del WHOIS dopo il GDPR
La conseguenza più significativa dell’applicazione del GDPR è l’incombente blackout di tutte le informazioni di contatto del registrante nel database WHOIS. Attualmente
WHOIS svolge un ruolo enorme in tutti i tipi di attività per la tutela dei consumatori. Questo include non solo le azioni legate alla proprietà intellettuale, anti contraffazione, anti pirateria e protezione del brand, ma tutte le forme di abuso che avvengono su Internet.
WHOIS è altrettanto importante al di fuori di questa sfera. Viene utilizzato dai giornalisti per scopi investigativi e per contattare potenziali intervistati. Inoltre è usato dai consumatori per verificare la legittimità di un sito da cui intendono acquistare. Viene persino impiegato da individui interessati all’acquisto o alla vendita di nomi a dominio, in modo che possano mettersi in contatto per iniziare la negoziazione. Tuttavia, avvicinandoci al 25 maggio, è probabile che vedremo WHOIS, così come lo conosciamo, cessare completamente l’attività. Gli esperti legali hanno stabilito che, nella sua forma attuale, WHOIS non è conforme al GDPR. Questo perché attualmente mostra una grande quantità di dati personali identificabili relativi al registrante, contatti amministrativi e tecnici, che includono nomi, indirizzi mail, indirizzi postali e altro. In questo modo il settore dei domini è stato costretto a identificare la nuova veste del WHOIS nel post GDPR, e creare una proposta di modello provvisorio che permetta a WHOIS di rimanere in qualche modo attivo. Il modello provvisorio sviluppato dall’ICANN e dal settore dei domini suggerisce che tutti i dati WHOIS relativi ai registranti attualmente disponibili siano protetti dall’accesso pubblico, a eccezione del nome dell’organizzazione, dello stato/provincia e del paese. Propone inoltre un indirizzo email anonimizzato che dovrebbe essere utilizzato per inviare comunicazioni al registrante. Se questa versione post GDPR del WHOIS verrà implementata, la protezione del brand diverrà molto più difficoltosa, infatti, con la maggior parte delle informazioni collocate dietro un muro, le aziende non saranno più in grado di identificare gli individui celati dietro le attività illecite. Questo è il motivo per cui attualmente si sta sviluppando e cercando di attuare un modello di accreditamento e accesso che consenta a determinate entità, con uno scopo legittimo, di accedere ai dati WHOIS completi. Nonostante questo lavoro sia in corso, non sarà completato prima del 25 maggio.

Blackout totale
All’inizio di aprile, il Gruppo di Lavoro ex Articolo 29, l’autorità indipendente dell’Unione Europea per la protezione dei dati, ha espresso preoccupazioni sul fatto che il
modello ICANN WHOIS proposto non includesse una specificità sufficiente riguardo alle finalità di raccolta e trattamento dei dati personali, né disponesse di un processo dettagliato per l’accreditamento e l’accesso. Senza alcun segno di una moratoria sull’applicazione da parte dell’Autorità per la Protezione dei Dati, i registrar saranno obbligati a prendere le proprie decisioni in merito alla visualizzazione dei dati WHOIS. Questo si tradurrà in un sistema WHOIS frammentato fino a quando verrà finalizzato e implementato un modello provvisorio, un processo che potrebbe durare dai nove ai dodici mesi. Durante questo periodo, si prevede che la maggior parte dei registrar sceglierà semplicemente di non pubblicare nessun dato del registrante nel WHOIS, costringendo il sistema a “oscurarsi”. Non solo l’effettiva chiusura di WHOIS sarebbe catastrofica in termini di protezione del brand, ma sembrerebbe anche una conseguenza totalmente involontaria del GDPR. Se l’impatto sulla protezione del brand fosse stato preso in considerazione fin dall’inizio, le autorità Europee avrebbero certamente lavorato a stretto contatto sia con il Gruppo di Lavoro ex Articolo 29 che con l’ICANN per permettere a WHOIS di rimanere attivo nella sua forma attuale. È semplicemente contro-intuitivo sopravvalutare la privacy al punto da mettere a repentaglio l’interesse pubblico che sta proteggendo quegli stessi cittadini.

Bloccati nelle sabbie mobili
Non sarà solo WHOIS a causare gravi complicazioni. Le dimensioni e la scala del GDPR hanno fatto sì che i brand rimanessero così impantanati con i cavilli della conformità normativa da non essere in grado di concentrarsi sui fondamenti della protezione del brand.
In poche parole, il GDPR interesserà qualsiasi azienda che raccolga informazioni sui propri consumatori, e questo vale quasi per ogni organizzazione in tutti i mercati o settori. La conformità GDPR non può essere raggiunta semplicemente attraverso alcune piccole modifiche al proprio sistema esistente, richiede un cambiamento radicale nei flussi di lavoro, nei processi e nell’archivio dei dati e ha già dimostrato di essere un notevole dispendio di denaro e risorse per molte aziende. Uno studio EfficientIP X Day ha rilevato che le organizzazioni a livello mondiale spendono singolarmente una media di 1,5 milioni di dollari per essere conformi al GDPR. Il conseguente effetto a catena è che le aziende non hanno più le risorse per mantenere le attività basilari di protezione del brand e dei consumatori, o semplicemente dimenticano di farlo a fronte dell’urgenza del problema. In un mondo ideale, le aziende dovrebbero disporre di ulteriori risorse interamente dedicate al GDPR, mentre il personale esistente può continuare a monitorare e gestire i tradizionali metodi di protezione del brand e dei consumatori.

Assicurare la protezione del brand dopo il GDPR
Senza dubbio, la protezione del brand cambierà considerevolmente una volta applicata il GDPR, e senza una risoluzione ufficiale del problema WHOIS in vista, non c’è modo di prevedere cosa succederà. Tuttavia, tenendo a mente l’attuale scenario, gli esperti di protezione del brand online di MarkMonitor hanno evidenziato alcuni elementi che i brand possono tenere d’occhio per cercare di minimizzare l’impatto.
Innanzitutto, vedremo sicuramente un’evoluzione della tecnologia di protezione del brand che schivi la necessità del WHOIS raccogliendo informazioni di contatto dai siti web per aiutare le attività di controllo. A questo punto è impossibile predire la portata di queste informazioni ma, con la possibile chiusura di WHOIS, anche se temporanea, una qualsiasi informazione è meglio che nessuna informazione.
In secondo luogo, aumenterà la mole di lavoro manuale richiesto se i brand vorranno mantenere la protezione. Senza una soluzione tecnologica su cui fare affidamento, le risorse dovranno essere incaricate a setacciare ogni sito web illecito e identificare le informazioni necessarie per mettersi in contatto con esso. Mentre alcune aziende avranno a disposizione il personale necessario per farlo subito, alcune potrebbero non avere altra scelta se non quella di assumere più risorse dedicate a questo scopo.
Infine, è probabile anche un aumento dei costi di contenzioso, in particolare se vi è una lotta per implementare e finalizzare un modello WHOIS di accreditamento e accesso. Senza questo, i brand che desiderano accedere alle informazioni del registar o dell’iscritto non avranno altra scelta che rivolgersi al tribunale per ottenere un mandato di comparizione o un’ordinanza del tribunale. Con l’aumento di queste istanze di conseguenza, aumenteranno anche i costi.

Conclusioni
A prima vista, l’applicazione del GDPR sarà l’alba di una nuova era, in cui i consumatori potranno navigare su Internet senza paura che le proprie informazioni personali possano essere usate in modo illecito.
Tuttavia, gli effetti indesiderati del regolamento potrebbero effettivamente rendere più difficile per i brand e i consumatori stessi proteggersi da frodi, pirateria, contraffazione e non solo. Con i brand che impiegano incredibili quantità di tempo e sforzi nel raggiungere e mantenere la conformità, e l’eventualità molto probabile che WHOIS venga oscurato, società, forze dell’ordine, organizzazioni no profit e aziende per la protezione del brand dovranno trovare nuovi metodi per affrontare queste minacce una volta che le acque si saranno calmate sul coraggioso mondo del post GDPR.

Statton Hammock, Vice President for Global Policy & Industry Development, MarkMonitor, un brand di Clarivate Analytics