Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Nomi a dominio

La legge sui dati personali e il WhoIs
di Alessia Ambrosini e Andrea Monti - 10.05.01

Per gentile concessione degli autori e dell'editore Hops Libri pubblichiamo un brano del libro "Trademark Online", a giorni in libreria.

Attualmente, le interrogazioni che possono essere eseguite sul database della RA consentono a chiunque di sapere:
- chi ha registrato un certo nome a dominio
- che attività dichiara di svolgere il registrante
- quanti domini sono stati registrati da un certo soggetto
- quali sono i NIC-HANDLE (con i relativi dati personali) dei referenti tecnici
- quali sono i nameserver impiegati
- qual è il maintainer
- quando è stato creato il record
- chi e quando ha effettuato l'ultima modifica sul record
Questi dati vengono forniti alla RA con l'invio da parte del richiedente della lettera di assunzione di responsabilità e del modulo tecnico senza nessun riferimento alla disciplina del trattamento dei dati personali. È soltanto richiesta (nella LAR) una generica autorizzazione per l'inserimento delle informazioni in questione nel database pubblico gestito dalla RA. Sicuramente troppo poco rispetto alle prescrizioni normative.
La legge 675/96 impone infatti - salve limitate eccezioni - di fornire all'interessato tutte le informazioni relative al cosa si fa con i dati che lo riguardano, all'identità del titolare del trattamento, all'ambito territoriale di comunicazione o diffusione e le conseguenze del rifiuto di rispondere.
Richiede inoltre, in determinati casi fra i quali quelli di trattamento di dati "sensibili", di acquisire il consenso dell'interessato e l'autorizzazione del Garante per i dati personali prima di procedere oltre. Con l'eccezione dei trattamenti obbligatori per legge o derivanti dall'esecuzione di obblighi contrattuali che non sono soggetti a questa formalità.
Nulla di tutto questo è presente nelle procedure applicate dalla RA.
Manca innanzitutto l'informativa sul trattamento dei dati, dalla quale sarebbe possibile desumere la necessità o meno della manifestazione del consenso. Se, infatti, i dati fossero trattati solo ed esclusivamente ai fini della registrazione del dominio non ci sarebbe necessità di una specifica "autorizzazione" in tal senso, secondo quanto stabilito dall'art. 12 L.675/96. Ma se l'informativa rivelasse ulteriori finalità diverse dallo stretto adempimento dell'obbligazione in questione allora saremmo in presenza di un trattamento di dati personali non conforme alla legge.
Inoltre, mancando l'esplicita e obbligatoria indicazione del titolare del trattamento (cioè del soggetto che ha "potere di vita o di morte" sui dati in questione) l'interessato non ha modo di esercitare i diritti attribuitigli dalla legge. Fra i quali spicca quello di opporsi al trattamento, di chiedere la cancellazione o la rettifica dei dati non corretti e di sapere a chi altri questi siano stati comunicati.
Quest'ultima inadempienza rileva in modo particolare rispetto alla quantità e qualità delle informazioni liberamente disponibili nel database della RA. Se per ragioni tecniche è indispensabile che di ciascun soggetto sia possibile conoscere nome, indirizzo e-mail e NIC-HANDLE meno giustificabile (specie per le persone fisiche) è mostrare "in chiaro" recapiti e indirizzi. Che dovrebbero essere noti solo al Registro e da questi comunicati a terzi solo dietro precise necessità o ordine dell'autorità giudiziaria.

Solo per completezza di informazione si accenna ad una possibile - ma allo stato soltanto teorica - applicazione della L. 675/96 in materia di cibersquatting se il nome a dominio coincide con un dato personale. La registrazione di un nome a dominio configurerebbe in questo caso un trattamento ai sensi dell'art. 2, c. II lett. B) L.675/96 succ. modo e int. perché consiste nella raccolta e nel successivo inserimento dei dati personali di un soggetto nel database del Registro. Il trattamento sarebbe illecito in quanto compiuto contro la legge e senza il preventivo consenso di cui all'art. 11 L.675/96, nonché al fine di trarne profitto o di recare danno ("estorcere" una somma di denaro o altra utilità in cambio della "restituzione" del dominio). Con ciò integrando la fattispecie penale di cui all'art. 35 L.675/96, o comunque quella di cui all'art.18 della stessa legge.
La legge sulla tutela dei dati personali definisce infatti all'art.1 comma I lett. c) "dato personale"
qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Poiché in concreto la registrazione e l'utilizzo di un nome a dominio corrispondente alle generalità di un soggetto possono essere univocamente ed indiscutibilmente diretti ad associarlo con la persona in questione, esso nome a dominio è da considerarsi a tutti gli effetti "dato personale" secondo la definizione normativa sopra riportata.
Come potrebbe verificarsi nel caso, ad esempio, di un finto fanclub "nomefamoso.it" che maschera in realtà un intento speculativo. In questo caso le attività svolte dall'assegnatario in malafede (la registrazione del nome a dominio, la raccolta e diffusione di notizie e immagini sulla vita del "nomefamoso") rientrano sicuramente nella nozione di "trattamento" di cui all'art. 1 comma I lett. b) L.675/96, che viene definito come
qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.
Il trattamento effettuato dallo squatter è diretto in questo caso a procurargli un doppio ingiusto profitto. Quello derivante dalla "vendita" del dominio e quello derivante dalla notorietà di "nomefamoso.it" per attirare i suoi ammiratori e - ad esempio - lucrare sulle inserzioni pubblicitarie appositamente inserite nel sito.
Inoltre questo stato di fatto provocherebbe sicuramente un danno alla nostra "celebrità" che non può utilizzare in rete le proprie generalità. Il tutto senza che le sia stato richiesto tipo di consenso e in particolare quello di cui all'art.11 l.675/96. In sintesi, quindi, la registrazione di un dominio corrispondente ad un "nomefamoso" sarebbe punita anche ai sensi dell'art.35 l.675/96, in quanto trattamento di dati personali (il nome a dominio in relazione al personaggio), illecito (privo di consenso ex art. 11 L.675/96) finalizzato a trarre profitto ("vendere" il nome a dominio o comunque sfruttarne economicamente la notorietà).