L'ambito di applicazione del GDPR è talmente vasto che l'entrata in vigore del nuovo Regolamento andrà a toccare anche elementi a cui pochi probabilmente hanno pensato. Una delle "vittime" del GDPR sarà il servizo Whois, uno degli elementi "storici" del web che consente l'identificazione di chi ha registrato un particolare dominio Internet. Whois non è GDPR-compliant, il problema è che al momento non esiste una soluzione alternativa o, quantomeno, una che veda d'accordo tutte le parti coinvolte.

Oggi Whois funziona in modo molto semplice, mostrando le informazioni utili a contattare chi ha registrato e chi gestisce direttamente un dominio Internet. Ma per il GDPR questo funzionamento non può restare in essere, perché occorre un consenso specifico alla pubblicazione dei dati personali di chi ha registrato il dominio. Consenso che di fatto non esiste per la grande maggioranza dei domini.

Il servizio Whois fa capo all'organizzazione statunitense ICANN e non è mai stato sostanzialemnte modificato dalla nascita, o quasi, del web. ICANN apprentemente ha ignorato la questione sino a quando alcuni gestori europei di TLD (i TopLevel Domain come .it, che è gestito dal CNR) hanno comunicato che non offriranno più il servizio Whois, essendo in conflitto con il GDPR.



A questo punto è iniziato un confronto tra ICANN e Commissione Europea che, però, non sta portando a una soluzione. L'organizzazione americana ha delineato tre modelli di possibili per il funzionamento di Whois che sarebbero in teoria in linea con il GDPR. Ma la risposta della Commissione, a cui i tre modelli sono stati presentati, non è stata incoraggiante.

I tre modelli - in realtà quattro, perché uno ha due varianti - sono stati giudicati talmente astratti che "è difficile valutarne il raggio d'azione e gli impatti". Inoltre differiscono per elementi importanti, come il lasso di tempo in cui i dati personali sono conservati o i criteri di accesso ai dati stessi, "senza alcuna particolare giustificazione".

Secondo la Commissione c'è insomma ancora da lavorare e ICANN dovrebbe prendersi tempo sino al suo meeting del prossimo marzo. A quel punto dovrebbe decidere quale strada seguire e metterla velocemente in atto. Il tempo che manca all'entrata in vigore del GDPR non è molto, senza una soluzione univoca c'è il rischio che il servizio Whois non copra più i domini europei perché i loro gestori non vorranno rischiare pesanti multe.