OVH NEWS | ATUALIDADE, INOVAÇÃO E TENDÊNCIAS TI


Descobrir, compreender e antecipar









30/11/2017
Partilhe

Artigo redigido por Hugo Bonnaffé


A UE aprovou um novo Regulamento para a Proteção de Dados. Será que o Whois está em risco?


O Whois é um serviço público, uma ferramenta de pesquisa que permite saber quem são os titulares dos domínios. Porém, graças ao novo Regulamento Geral para a Proteção de Dados (RGPD) da União Europeia, o futuro deste serviço parece agora incerto. Muitos registries como o Nic.br, que gere os domínios .br no Brasil, seguem as práticas tradicionais de divulgação dos dados Whois. Mas as entidades europeias como o DNS.pt em Portugal, e a AFNIC em França, já permitem a ocultação dos dados dos titulares dos domínios. Deverão outros países seguir este exemplo? E quando estivermos a registar um domínio, a garantia de proteção dos dados pessoais deverá ser um fator tão importante quanto a escolha de um URL sonante e adequado à pesquisa orgânica (SEO)? As dúvidas são muitas.





Este artigo teve o contributo de Yann Lequerler, jurista e especialista da OVH em domínios, e Marianne Georgelin, responsável pelas Registry Policies da Afnic (Association Française pour le Nommage Internet en Coopération).



Quais serão as consequências do RGPD?


O Regulamento Geral para a Proteção dos Dados (RGPD), publicado no Jornal Oficial da União Europeia em Maio de 2016, irá entrar em vigor a 25 de maio de 2018. Este texto vem harmonizar a legislação sobre a proteção de dados em toda a União Europeia (UE), e irá sobrepor-se às leis nacionais de proteção de dados. Recentemente, a OVH alterou as Condições Gerais do Serviço para afirmar o seu compromisso com o RGPD e o Código de Conduta da Associação Cloud Infrastructure Service Providers in Europe (CISPE), um documento desenvolvido com o contributo da OVH.



Com efeito, o RGPD está tornar-se numa questão central para as grandes empresas, e o seu caráter vinculativo terá um impacto sobre todo o tipo de organizações, incluindo pequenas e médias empresas (PME). Este diploma vem reforçar o enquadramento legal ao nível da proteção dos dados pessoais, e as suas inovações exigem uma série de ajustamentos em termos da avaliação do impacto da proteção de dados (1), da concessão e revogação da autorização para o tratamento de dados, ou da portabilidade dos mesmos. Naturalmente, as empresas têm todo o interesse em evitar as pesadas multas resultantes do incumprimento do Regulamento (que podem ir até 4% da faturação anual), e em garantir a privacidade dos seus utilizadores, cada vez mais preocupados com o uso e a proteção dos dados pessoais. Contudo, a questão é mais complexa do que parece.



Processamento de dados pessoais, uma componente essencial do registo de domínios: dissonância entre as abordagens europeia e americana relativamente à proteção da privacidade


O novo regulamento contribuiu para uma discussão de caráter jurídico entre registries de domínios europeus, agentes de registo como a OVH (o registrar nº1 em França e o 2º maior na Europa), e a Internet Corporation for Assigned Names and Numbers (ICANN), uma entidade americana vinculada à lei dos EUA. A ICANN é a maior entidade reguladora da Internet. A sua responsabilidade abrange a gestão do registo dos domínios de nível superior, os chamados Top-Level Domains (gTLDs), e a acreditação de agentes de registo ou de registries (autoridades responsáveis por domínios top-level), como a VeriSign (.com, .net), a Donuts (que gere algumas das novas extensões como .social, .media, .email,.etc), Affilias (.info, .pro), ou a cidade de Paris (.paris).



O problema é que existe uma dissonância entre a nova legislação europeia e os requisitos da ICANN para a atribuição da acreditação que permite aos agentes de registo exercerem a sua atividade, ou seja, a venda de domínios top-level, tradicionais ou novos (new gTLDs).



Os requisitos da ICANN, que exigem a divulgação dos dados dos titulares de domínios, uma divulgação que permite o funcionamento do Whois, chocam com as normas do RGPD em matéria de privacidade (2). Além disso, a transferência de dados de um agente de registo (registrar) para a ICANN, através de um registry nacional ou de terceiros, levanta outras questões relacionadas com a transferência não autorizada de dados pessoais para fora do território da UE; com o período de retenção dos dados; ou com a determinação da responsabilidade das partes envolvidas no tratamento ou na fuga de dados. Por último, o RGPD exige que os utilizadores sejam devidamente informados sobre a forma como os dados pessoais irão ser tratados, e para que fins serão usados, antes de avançarem com o registo de um domínio. Por outras palavras, o ajustamento entre as práticas atuais e os requisitos do RGPD não será fácil.



WHois, um problema para a privacidade


O Whois é um serviço de acesso livre que fornece informação sobre o proprietário de um domínio, como o nome, a empresa (se for o caso), o endereço postal, o e-mail e o número de telefone. Esta ferramenta foi criada em 1982 com intuito de registar e identificar os utilizadores da ARPANET - o sistema precursor da Internet. Desde então, tem sido mantida de forma conjunta por todos os registries com base em padrões mais ou menos uniformes (i.e. RFC’s). Esta colaboração tem como fundamento não só o espírito de transparência que inspirou os pioneiros da internet, mas também a utilidade do serviço para diferentes intervenientes: agentes de registo (registrars), autoridades responsáveis pela gestão de domínios (registries), autoridades legais, proprietários de marcas, criadores de obras protegidas por direitos de propriedade intelectual, entre outros.



Todavia, o Whois representa um problema para a privacidade individual. A divulgação pública dos dados dos titulares permite o uso não autorizado da informação para fins comerciais e para práticas de spam. Algumas empresas recolhem, organizam e vendem a informação disponibilizada pelo Whois por áreas de interesse (definidas a partir das palavras contidas no domínio). Atualmente, até existem serviços que enviam alertas aos seus subscritores para informar sobre o registo de novos domínios por parte de concorrentes.



Resumindo, apesar de o Whois ser muito útil para garantir a proteção de marcas registadas (através de serviços associados a anti-cybersquatting ou anti-typosquatting, ou prestados pela Trademark Clearinghouse), este acaba por servir para usos menos legítimos.



O RGPD vem tentar colmatar os vazios legais aproveitados para fins menos lícitos. Contudo, os agentes americanos, e em particular a ICANN, não estão convencidos sobre a necessidade do novo modelo de proteção da privacidade. A situação é complexa. O anonimato no registo dos domínios tanto protege a publicação de conteúdo controverso ou falso, como a liberdade de expressão, por vezes vítima do cyber-bullying - por exemplo, exercido sobre o proprietário de um site que exprime determinadas orientações religiosas, sexuais ou políticas. É preciso lembrar que este assédio virtual pode degenerar facilmente para uma situação de perseguição na vida real.



AFNIC: pioneira na ocultação dos dados divulgados através do Whois


As regras da ICANN para as extensões genéricas e para as extensões nacionais (ccTLD), como .pt, .br, .fr, .ao ou .mz, são diferentes. Estas últimas são geridas de forma autónoma por cada país. A AFNIC, uma organização sem fins lucrativos, foi escolhida pelo estado francês para ser a entidade responsável pela extensão nacional (.fr), e pelas extensões dos territórios ultramarinos (.re, .tf. .yt, .pm, .wf).



Ora, como a relação entre a ICANN e a AFNIC assenta apenas num acordo de reconhecimento mútuo, a entidade francesa decidiu adotar em 2006 mecanismos de anonimização para pessoas individuais que registem domínios com as extensões .fr, .re, .yt, .pm ou .wf. Com estas medidas, os dados não ficam disponíveis para consulta pública no Whois. O levantamento do anonimato só é possível sob condições muito restritas e mediante ordem judicial enviada ao departamento legal da AFNIC. Já os contactos profissionais do representante de uma pessoa coletiva (titular do domínio, contactos do administrador, do técnico ou de faturação, que podem ser a mesma pessoa) continuam acessíveis no Whois.



As práticas da AFNIC foram validadas pela Autoridade Francesa para a Proteção de Dados e por uma decisão da Cour d’Appel de Paris em 2012 (tribunal de recurso equivalente aos nossos tribunais da relação). Neste sentido, França foi precursora de uma tendência que acabou por ser adotada noutros países, como Portugal. Esta medida opcional para limitar a divulgação de dados pessoais foi alargada aos domínios .eu, geridos pelo EUrid, e aos domínios .cat, uma extensão criada para a Catalunha.



Contudo, os domínios de regiões francesas (.paris, . alsace, .bzh), geridos e disponibilizados pela AFNIC, são considerados domínios genéricos de nível superior, e não extensões nacionais. Como tal, estas extensões estão sob a alçada da ICANN, cujas normas impedem o anonimato dos titulares dos domínios. Nestes casos, as opções para restringir a divulgação da informação são bem mais limitadas, como iremos verificar abaixo.



Os limites às opões de privacidade para gTLDS


A ICANN é responsável pela gestão dos domínios de nível superior, que incluem algumas das extensões mais vendidas pela OVH: .com, .org, .net, .ovh, .top, .pro, .xyz, .paris, .online ou .mobi. E embora aquela organização permita (mas não incentive) algumas opções de privacidade para o Whois, a anonimização completa, até para pessoas singulares, está fora de questão. O primeiro e último nome - de uma ou várias pessoas, no caso de os contactos do titular, do administrador, do técnico ou de faturação corresponderem a pessoas diferentes - são sempre mostrados no Whois



Algumas autoridades gestoras de registos, apesar de não recorrerem à ocultação ou restrição dos dados, adotaram práticas interessantes mas não inteiramente satisfatórias. Este é o caso da entidade que gere a extensão .amsterdam, que optou por condicionar o acesso ao Whois com a necessidade de aceitação de um contrato de utilização. Por último, alguns registries nem a anonimização parcial autorizam.



Como agente de registo, a OVH disponibiliza a opção de ocultação para alguns campos da informação apresentada no Whois, de acordo com as regras previstas para cada extensão: endereço postal, e-mail, e/ou número de telefone (esta opção só está disponível para pessoas singulares; para pessoas coletivas, só é possível ocultar o e-mail). O serviço OWO da OVH disponibiliza o reencaminhamento de e-mail e de correio postal, para que os endereços postal e de e-mail reais fiquem ocultos. O e-mail fica protegido contra spam, o correio postal continua ser entregue(3), e o risco de uso ou comercialização não autorizada dos dados é mais reduzido. Esta serviço oferece alguma proteção, mas não garante o total anonimato do titular do domínio, ou total proteção contra marketing indevido - apesar de ilegal, o cruzamento de dados é sempre possível.



Ainda assim, o fornecimento de informação falsa durante o registo de um domínio não é alternativa. Esta prática pode sair cara. A ICANN realiza verificações regulares e chega até a pedir cópias de documentos ao agente de registo para confirmar a identidade dos titulares. Em caso de fraude, tem toda a autoridade para solicitar a suspensão de um domínio. Para garantir o rigor e a validade da informação, os agentes de registo têm que enviar um e-mail a todos os proprietários de domínios de nível superior para solicitar a confirmação dos dados das pessoas (contactos) associadas ao domínio. O mesmo acontece para os titulares dos domínios .fr. A AFNIC efetua mais de 25 000 verificações anuais, para além das que os agentes de registo são obrigados a realizar. No caso da OVH, a violação dos contratos devido ao fornecimento de dados falsos durante o registo de um domínio terá consequências negativas



A solução proxy registration service mantém-se - pagar a um terceiro para fornecer os dados de registo. Mas este serviço tem bastantes riscos legais para a pessoa que assume a responsabilidade por um domínio. Esta opção também já foi contestada em tribunal, em particular por right holders (empresas detentoras de direitos), devido às complicações criadas pela anonimização ao nível dos processos de recurso.



Qual será o futuro do Whois?


O prazo reduzido (meses) para a entrada em vigor do GDPR irá precipitar algumas alterações. A ICANN terá que tomar em consideração as recomendações das autoridades e dos agentes de registo europeus, que irão integrar o grupo de trabalho sobre esta matéria. Este grupo, que conta com a participação da AFNIC e da OVH, irá tentar criar um compromisso aceite por todo as partes, baseado no ajustamento das práticas da ICANN à legislação europeia. As discussões serão acesas e irão concentrar-se não só no Whois e nos métodos de anonimização, mas também em todo o processo de recolha e tratamento de dados por parte de todas as entidades intervenientes no registo de domínios. Onde serão guardados os dados e durante quanto tempo depois de expirado um contrato? O GDPR irá dar respostas mais claras a estas e outras questões.



De facto, espera-se que a entrada em vigor da nova legislação europeia leve a uma clarificação dos níveis de proteção da privacidade garantidos pelas autoridades de registo. Com estas alterações, a escolha do próximo domínio pode tornar-se um pouco mais complicada...mas será tudo por uma boa razão. Em breve voltaremos abordar estes assuntos, explorando outros ângulos de forma mais detalhada.



(1) A avaliação do impacto é obrigatória no caso de os dados serem transferidos para fora da UE, ou em situações que coloquem a proteção da privacidade em risco.



(2) Para algumas extensões, a publicação da informação Whois é da responsabilidade do registrar (agente de registo). Este facto gera uma distinção entre Thick e Thin entries. Por exemplo, atualmente o domínio <.com> é um Thin Whois, i.e., cabe ao registrar publicar a informação Whois. Este sistema vai mudar. A ICANN adotou uma nova orientação que obriga todos os registries responsáveis por domínios de nível superior (gTLDS) a adotarem o Thik Whois. Isto significa que os registries passarão a ser responsáveis pela publicação de toda a informação Whois.

(3) Em Portugal, serviço OWO não inclui o reencaminhamento postal.