Uno dei temi principali dell'odierno dibattito sviluppatosi intorno ai problemi della Rete, è certamente quello dei nomi a dominio, che presenta aspetti di tale delicatezza da aver sollevato l'attenzione del mondo politico, prima a livello governativo (con l'istituzione della commissione presieduta dal sen. Passigli, la quale ha ultimato i suoi lavori presentando un apposito DDL), poi a livello parlamentare (allo stato delle cose, il Senato ha licenziato il testo del DDL Passigli, che, in questo scorcio di legislatura, attende pertanto di essere esaminato dalla Camera).

La rilevanza dei nomi a dominio nasce dal fatto che, come è noto, ciascun computer connesso alla Rete dispone di un indirizzo IP (Internet Protocol) costituito da un numero a trentadue bit, al quale viene abbinato un nome (domain name), essenziale ai fini dell'individuazione e del riconoscimento del singolo sito.
Il domain name ha struttura complessa, essendo costituito da una parte "individualizzante" scelta autonomamente dall'utente (Second Level Domain, o SDL) e da una abbreviazione standard (Top Level Domain, o TLD), che vale a marcarne la caratterizzazione tipologica (ad esempio, ".com"), oppure lo stato ove ha avuto luogo la registrazione (ad esempio, ".it" per Italia).

L'assegnazione del nome a dominio avviene, ad opera della c.d. Registration Authority italiana, seguendo l'ordine cronologico delle richieste (first come, first served), quale definito dalle procedure tecniche di registrazione (c.d. regole di naming). Questo criterio è stato preferito perché - analogamente a quanto sembra opinare la gran parte della giurisprudenza statunitense  - a domain name tells people where they can find a particolar web page, much lijke a street address tells people where they can find a particolar business", cfr. U.S. Court of Appeals, Fourth Circuit, 22 gennaio 2001, 6 ILR (P&F) 3136 - anche secondo la Naming Authority i nomi a dominio non hanno altra funzione se non quella di identificare univocamente gruppi di oggetti (servizi, macchine, caselle postali, ecc.) presenti sulla rete.

Intorno ai nomi a dominio si è rapidamente creato un fitto contenzioso, in particolare con riferimento al fenomeno del cybersquatting, vale a dire dell'accaparramento di nomi a domini relativi a cognomi di persone e/o a nomi generici, nonché a quello del domain grabbing, consistente nella registrazione di nomi a dominio per scopi di concorrenza sleale.

Per la risoluzione delle controversie inerenti alla registrazione e all'uso di nomi a dominio il regolamento di naming contempla una particolare procedura arbitrale. Presupposto per l'attivazione della procedura è che un terzo (i.e.: un soggetto che non vanti la titolarità del nome a dominio) affermi, rispetto a tale segno, che il nome a dominio contestato è identico o tale da indurre confusione rispetto ad un marchio su cui egli vanta diritti, o al proprio nome e cognome, e che l'attuale assegnatario non abbia alcun titolo o diritto in relazione al nome a dominio contestato, nonché, infine, che la registrazione e l'uso del nome a dominio registrato siano avvenute in mala fede. A fronte di ciò, per andare esente da responsabilità il resistente dovrà dimostrare di aver titolo all'uso del dominio allorché sia conosciuto, personalmente o come ente, con il nome corrispondente al nome a dominio, anche se non ha registrato il relativo marchio; ovvero che, prima della contestazione, ne abbia fatto uso o si sia preparato oggettivamente a farne uso per offerta al pubblico di beni e servizi; oppure, che sta facendo del nome un legittimo uso non commerciale, ovvero anche commerciale, ma senza l'intento di sviare la clientela del ricorrente o di violarne il marchio registrato.

L'art. 16. 7 delle regole di naming prevede poi, tra le circostanze che dimostrano l'avvenuta registrazione e l'uso del dominio in mala fede, la registrazione con lo scopo primario di vendere, cedere in uso o in altro modo trasferire il nome a dominio al ricorrente (che sia titolare dei diritti sul marchio o sul nome) o ad un suo concorrente, per un corrispettivo che sia superiore ai costi ragionevolmente sostenuti dal registrante/resistente; la registrazione effettuata allo scopo di impedire al titolare di identico marchio di registrare in proprio tale nome a dominio, e per utilizzarlo in attività concorrenziale a quella del ricorrente; la registrazione effettuata allo scopo primario di danneggiare gli affari di un concorrente o di usurpare nome e cognome del ricorrente; infine, l'utilizzo del nome a dominio per attrarre, a scopo di profitto, utenti Internet, creando motivi di confusione con il marchio del ricorrente.

A fronte di tali indici interpretativi, la giurisprudenza italiana, più volte sollecitata a pronunciarsi, specie in sede cautelare, ha ritenuto maggiormente proficuo ispirarsi, in modo più o meno coerente, alla normativa recata dalla legge marchi, estesa, sic et simpliciter, alla materia dei nomi a dominio. I risultati non sono stati immuni da incertezze applicative; inoltre, i giudici hanno proposto motivazioni contraddittorie, talvolta persino nell'ambito dello stesso provvedimento, fornendo nel complesso una sensazione di forte imprevedibilità (oltre che opinabilità) dei risultati ottenibili in sede giudiziale, con la dominante comune dell'ossequio, motivato in misura non sempre soddisfacente, alle ragioni dei titolari del marchio maggiormente rinomato (si vedano, in particolare, le ordinanze dei Tribunali di Milano, Roma, Viterbo, risalenti ai primi mesi del 2000).

Ciò in gran parte deriva, a mio avviso, dall'oggettiva impossibilità di adottare una prospettiva rigorosamente industrialista nella materia dei nomi a dominio, i quali, se non sono certo riducibili a meri indirizzi di reperibilità, difficilmente possono condividere la struttura (e, vorremmo dire, almeno in parte anche la funzione) dei segni distintivi d'impresa, a meno di non adottare un'inaccettabile ottica riduzionista del web, quasi che si tratti di uno spazio deputato in via esclusiva all'incontro della domanda e dell'offerta : in altri termini, di una proiezione "virtuale" del mercato, quale entità organizzativa e ordinatrice tuttora caratterizzata, in prevalenza, dall'elemento della "fisicità".

In realtà, relativamente alla questione che ne occupa, al di là delle apparenze il ricorso alla normativa sui marchi non rappresenta, tra le opzioni allo stato attuale delle cose complessivamente offerte dal nostro ordinamento, né la soluzione più semplice, né quella più lineare (poiché presuppone una cosa che non è, e più precisamente la pacifica identificabilità, in primo luogo dal punto di vista concettuale, tra marchio e domain name). A ben vedere, infatti, ai fini di una rapida risoluzione del contenzioso relativo ai nomi a dominio, almeno in un certo numero di casi è possibile utilizzare un paradigma diverso, più inconsueto per la giurisprudenza ma non per questo meno intrigante, e con tutta probabilità maggiormente flessibile: la ricostruzione in termini di trattamento dei dati personali.

Ai sensi dell'art. 1 della legge 675/96, infatti, è noto che deve considerarsi dato personale qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, e quindi - a certe condizioni - anche il nome a dominio. La nozione di trattamento, inoltre, ben può includere la (stessa operazione di) registrazione del nome a dominio, oltre che l'utilizzo (successivo) di questo.

E' parimenti noto che, in linea di principio, la liceità del trattamento dei dati personali è subordinata dalla L. 675/96 all'esistenza del consenso (libero, specifico e documentato per iscritto) dell'interessato, al previo adempimento dell'obbligo di informativa (teso a rendere "informato" il consenso anzidetto), nonché al rispetto dei canoni (liceità, correttezza, pertinenza, non eccedenza, etc.) indicati nell'art. 9 della medesima legge. Per quanto qui rileva, interessante è notare che, anche nei casi in cui non è necessario il consenso al trattamento (perché, ad esempio, i dati provengono da pubblici registri, elenchi, atti o documenti accessibili a chiunque), l'obbligo di informativa e quello di rispettare i suddetti criteri (liceità, correttezza, pertinenza, non eccedenza, etc.) restano comunque fermi, a carico del soggetto che intende utilizzare le informazioni personali delle quali sia entrato in possesso in modo corretto.

Che l'acquisizione (la "raccolta", secondo il lessico della L. 675/96) dei dati personali sia avvenuta lecitamente è, infatti, circostanza che di per sé non comporta anche l'automatica liceità di qualsivoglia trattamento successivo (come tale, distinto rispetto alla "raccolta" medesima). La liceità dei trattamenti successivi alla raccolta, in particolare, è in funzione degli scopi che si intendono con essi perseguire e che devono risultare identificati (o almeno identificabili, se in rapporto di correlazione con altri trattamenti : v. art. 7, comma 1) già all'atto della raccolta"dei dati, tanto da dover trovare riscontro (v. il riferimento alle finalità) nella notificazione di cui al già citato art. 7, quando obbligatoria.

Nella parte (artt. 9 e 13) in cui la L. 675/96 stabilisce che i dati oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza, e l'interessato conserva il diritto di reagire  - persino ove manchi un illecito in senso proprio: v. art. 13, comma 1, lett. d), il punto di riferimento assunto dal legislatore sono infatti proprio le finalità, quali identificate già all'atto della raccolta, che si intendono perseguire attraverso la raccolta medesima e le forme di trattamento diverse e successive rispetto a questa.

E' proprio su questa identificazione che occorre, allora, porre l'accento.
A ben vedere, l'identificazione degli scopi cui tende il trattamento è funzionale alla realizzazione di due essenziali adempimenti :

1. l'indicazione di siffatte "finalità" nella notificazione di cui all'art. 7 (quando obbligatoria), e in relazione a ciò è utile rammentare che essa deve aver luogo prima che il trattamento venga iniziato (comma 1) ;
2. la specificazione degli scopi, in modo che essi risultino "determinati, espliciti e legittimi", all'atto della registrazione dei dati  - v. artt. 7, comma 5-bis, lett. c), 9, comma 1, lett. b), 13, comma 1, lett. c), n. 1 - vale a dire dell'operazione del trattamento che per sua natura segue invariabilmente, in senso sia logico che cronologico, la raccolta, e altrettanto invariabilmente precede qualsivoglia forma di trattamento diversa e successiva rispetto a questa (questa "registrazione" non ha ovviamente nulla a che vedere con la "registrazione" del nome a dominio presso la RA, esaurendosi in un'operazione che rimane interna alla sfera di disponibilità giuridica del titolare del trattamento).

Sicché, non soltanto è chiaro che - accanto alla identificazione - è distinguibile un momento, importante, di "ufficializzazione" esternativa, per così dire, degli scopi cui tende il trattamento, ma è parimenti evidente che esso comporterà una specificazione degli stessi di grado comunque pari a quello presupposto dall'art. 9, comma 1, lett. b), quando puntualizza che in sede di registrazione dei dati personali occorre individuare gli scopi "determinati, espliciti e legittimi" che si intendono perseguire per il tramite del trattamento.

In rapporto al problema dei nomi a dominio, proprio la identificazione e ufficializzazione delle finalità del trattamento - in forme, quali quelle secondo le quali si attuano la notificazione e la registrazione di cui dall'art. 9, comma 1, lett. b), che comportano una sorta di preventiva cristallizzazione degli scopi in parola - possono consentire una piena e univoca valutazione del comportamento (successivo) del soggetto che (presso la RA) avesse registrato, ad esempio, un domain name corrispondente al nome e cognome altrui.
Dando per presupposto che l'accaparramento di nomi a dominio allo scopo di trarne profitto (ad esempio, cedendolo a titolo oneroso a chi abbia diritto e interesse ad usarlo), o di recare danno a terzi, sia da considerare finalità non legittima, delle due l'una : o in sede di registrazione di cui all'art. 9, comma 1, lett. b), siffatto scopo viene effettivamente indicato (e allora il trattamento sarà illecito e la registrazione costituirà evidentemente prova diretta di ciò), oppure la finalità legittima eventualmente indicata, da un punto di vista formale, all'atto della registrazione dei dati, non viene in concreto perseguito. E allora, ferma restando l'illiceità del trattamento preordinato al cybersquatting e al domain grabbing, la registrazione costituirà prova soltanto indiretta di ciò, in quanto termine univoco di raffronto comportamentale.

Dunque, la finalità indicata nella notificazione (se obbligatoria) del trattamento, nonché (comunque) in sede di registrazione, ai sensi dell'art. 9, comma 1, lett. b), si atteggia per sua natura a fondamentale cartina di tornasole per la valutazione della condotta (successiva) del soggetto che abbia registrato presso la RA un nome a dominio coincidente - per rimanere all'esempio fatto - con l'altrui nome e cognome.

Si consideri, inoltre, che se un simile dato personale non è raccolto presso l'interessato (ad esempio, è tratto da un documento conoscibile da chiunque), il soggetto che lo raccoglie è per legge obbligato (art. 10, comma 3) a dare l'informativa, e quindi a rendere nota all'interessato medesimo non soltanto l'avvenuta raccolta delle informazioni, ma anche la finalità perseguita "all'atto della registrazione dei dati" (oppure, laddove di essi sia prevista la "comunicazione", non oltre la prima comunicazione, che ben può coincidere con quella effettuata nei confronti della RA in sede di registrazione del domain name). Sicchè, la triade "notificazione/registrazione/informativa (ex post)" vale per un verso a ufficializzare, rendendole immodificabili, le finalità che si intendono perseguire per effetto del trattamento, e, per altro verso, a rendere edotto l'interessato di quanto sta accadendo, onde porlo in condizione di reagire utilizzando gli strumenti allo scopo adoperabili (nell'ambito dei quali riveste certamente un ruolo di primo piano la procedura di ricorso di cui all'art. 29, che in tempi record - 30 giorni - conduce ad una pronuncia motivata del Garante per la protezione dei dati personali).

Ove rispettata, pertanto, questa sequenza procedimentale risulta in astratto idonea a consentire all'interessato di contrastare l'abuso persino ove questo fosse ancora in fieri, facendo valere i diritti previsti dall'art. 13 tra il momento della registrazione dei dati personali e quello, evidentemente successivo (ma pur sempre anteriore rispetto alla fase - ulteriore ed eventuale - del "ricatto" o della realizzazione di un danno), nel quale ha luogo il trattamento che la stessa operazione di registrazione del nome a dominio presso la RA necessariamente implica.

Le sintetiche considerazioni che precedono evidenziano, allora, che il fenomeno del cybersquatting può interpretarsi anche come un trattamento di dati personali altrui, rispetto al quale l'interessato dispone del potere di opporsi al trattamento per motivi legittimi (quali, ad esempio, la volontà di registrare egli stesso il proprio nome e cognome), nonché, in particolare quando sia evidente l'intento di accaparramento, della facoltà di chiedere il blocco del trattamento, in quanto illecito, oppure, ancora, di chiedere la cancellazione dei dati in questione.

Analogamente è a dirsi nel caso del domain grabbing, laddove evidentemente dovrà farsi riferimento alla effettiva identificabilità del titolare tramite il nome a dominio registrato, con particolare attenzione agli indici atti a far ritenere che la registrazione e l'uso sono avvenute in mala fede (specifica utilità avrà la considerazione che il nome a dominio è stato intenzionalmente utilizzato per attrarre utenti Internet, allo scopo di ricavarne profitto, creando confusione con il marchio del ricorrente).

In questa prospettiva, naturalmente, la questione principale da risolvere diventa non più quella dell'allocazione dei diritti sul marchio-nome a dominio, ma la possibilità di considerare questo, nei singoli casi, come un autentico dato personale, posto che non tutti i domain name sono per la loro natura tali (v. art. 1, comma 2, lett. c). Il problema finisce, all'evidenza, per toccare in via diretta anche la sfera di competenza della RA, che non sembra potersi esimere da una simile valutazione, e in particolare dalla verifica, all'atto del ricevimento di un'istanza di registrazione di un domain name coincidente con nome e cognome diversi da quelli del richiedente, dell'avvenuto adempimento dell'obbligo di informativa nei confronti dell'interessato, ciò che avrà l'effetto di instaurare - in via naturale, e soprattutto ex ante - una situazione di contraddittorio tra le parti utilmente atta a condurre ad una legittima registrazione, con consequenziale sgravio della RA da improbabili oneri di autonoma ricerca della verità, nonché da forme non giustificate di responsabilità che talvolta si vorrebbe addossarle.