Privacidade e Nomes de Domínio: Quem mexeu no meu Whois?

icann60logo

A Internet tem uma lista telefônica? Se queremos entrar em um site, geralmente uma rápida consulta em um provedor de busca resolve a questão. Debaixo de qual nome de domínio o site está registrado não é algo com o qual o usuário necessariamente vai se preocupar. 

Em tempos de redes sociais e aplicativos, com a rápida expansão da Internet móvel, a preocupação em conhecer o nome de domínio debaixo do qual se encontra o conteúdo que vemos todos os dias parece ainda mais distante. Mas só parece. 

Como saber quem é o titular de um nome de domínio na Internet? Imagine o caso de um site no qual ofensas são dirigidas a uma pessoa. A vítima, tomando conhecimento das violações à sua honra ou imagem, por exemplo, procura saber quem é o responsável pelo site.

O primeiro passo, nesses casos, é buscar na base de dados de registro de domínios quem seria o titular do domínio debaixo do qual o site foi desenvolvido. Essa base, acessada por um protocolo chamada Whois, é um dos pilares do sistema de registro de nomes de domínio. Muitos comparam o Whois a uma lista telefônica da Internet.

Mas será que a Internet precisa de uma lista telefônica? Em caso afirmativo, ela deveria ser pública, exibindo os dados de registro de nomes de domínio para que todos possam consultar? Essa característica parece ser bastante importante para a identificação de responsáveis por danos e para a condução de atividades por autoridades investigativas. Por outro lado, esse registro pode ter impactos sobre o discurso na rede. Integrantes da sociedade civil há muito tempo apontam que esse registro restringe a liberdade de expressão online de ativistas em países autoritários. Sem contar nos problemas de segurança envolvidos na exibição pública de uma base de dados pessoais que podem ser usados para uma série de fraudes.

Há mais de quinze anos se questiona sobre a necessidade de reforma do Whois. O tema é uma presença constante nas reuniões públicas da ICANN, a entidade responsável pelas políticas globais de registro de nomes de domínio. Depois de tantos debates, não faltava quem imaginasse que uma efetiva reforma no modo de operação dessa lista telefônica jamais aconteceria. O que seria preciso para que finalmente o debate sobre a revisão do Whois realmente avançasse?  

Entra em cena a Regulação Geral sobre Dados Pessoais (General Data Protection Regulation, GDPR), aprovada na União Europeia em 2016. A Regulação representa uma enorme mudança para a forma pela qual dados pessoais são coletados, armazenados e tratados ao redor do mundo. Criando regras estritas sobre como dados podem ser coletados, a GDPR avança a regulação europeia na direção da figura do consentimento do titular dos dados sobre as utilizações que podem ser feitas a partir desses dados.

A entrada em vigor da Regulação foi afixada para maio de 2018. Será que a publicação de uma “lista  telefônica” com dados dos titulares de nomes de domínio está em acordo com as disposições da GDPR? Aparentemente não. Então o que pode ser feito para adequar o Whois à regulação europeia?

De início é importante entender o quanto a discussão se encontra atrasada na ICANN. Sendo parte integrante da forma pela qual se compreende o registro de nomes de domínio, para muitos pareceu que a entidade viveu um longo de período de negação, recusando a avançar no debate sobre um tema cuja mudança seria inevitável.

Com alterações cosméticas aqui e ali, o modelo do Whois permaneceu basicamente da forma como foi concebido. A cada nova reunião pública da ICANN os interesses opostos no debate ficavam mais claros. Entidades comerciais e titulares de propriedade intelectual historicamente defenderam a manutenção do Whois como uma plataforma de registro público, garantindo o acesso à informação sobre responsáveis pelos domínios. A razão aqui seria a preservação de meios rápidos que permitissem a identificação do titular do domínio em caso de violações de direitos, especialmente relacionados à concorrência e à propriedade intelectual.

De outro lado, como dito, integrantes da sociedade civil manifestaram oposição ao sistema, apontando como um registro público entregaria aos governos dados dos responsáveis por domínios debaixo dos quais fossem desenvolvidos sites com discursos potencialmente contrários aos interesses governamentais.

Com a entrada em vigor da GDPR, passos concretos começam a ser tomados na direção de se reformar o Whois. Dois registradores de nomes de domínio, dot Amsterdan e FLR Registry, responsáveis pelos registro de domínios geográficos relacionados à cidade de Amsterdã e à região de Friesland, na Holanda, se recusaram a publicar os dados dos titulares dos domínios registrados por elas. As empresas alegaram que ao publicar os dados elas estariam violando a lei de proteção de dados da Holanda e, no futuro, não estariam adequadas às regras da GDPR.

Como esperado, a ICANN enviou uma notificação aos registradores avisando que os mesmos estavam infringindo os termos do contrato de registro de nomes de domínio, celebrado com a entidade norte-americana. As empresas alegaram em sua resposta que a cláusula do contrato que obriga a publicação dos dados seria nula frente à regulação europeia.

A mudança pode vir mais rapidamente do que se imagina. Alguns pilotos de versões alteradas de registro começam a ser testadas por registradores de nomes de domínio. A Verisign, responsável pelo registro dos domínios “.com”, está experimentando um novo modelo. O Registration Data Access Protocol (RDAP) permite que alguns dados sejam acessados apenas por pessoas autorizadas. Dessa forma, autoridades investigativas poderiam continuar tendo acesso a dados de registro, embora os mesmos não estivessem mais disponíveis para o público em geral.

A necessidade de se criar categorias autorizadas de acesso aparece como uma das sugestões para adaptar o Whois à regulação europeia em parecer contratado pela ICANN.

A adoção de novos modelos, como o RDAP, evidencia que uma mudança efetiva na operação do Whois pode estar próxima. O tema é um dos mais contenciosos na reunião pública da ICANN que acontece essa semana em Abu Dhabi, nos Emirados Árabes Unidos. Acompanhe uma das sessões dedicadas ao tópico aqui.