Il 30 maggio del 2018 la Regional Court of Bonn si è pronunciata sul Whois, il servizio attraverso il quale un utente qualsiasi è in grado di identificare il titolare di un dominio.
Il nuovo Regolamento Generale sulla protezione dei dati ha messo in discussione l’esistenza del Whois in quanto database pubblico nel quale vengono mostrate informazioni sensibili quali il nome dell’intestatario, la data di registrazione e la data di scadenza di un dominio, tanto che alcuni registri, come l’Afnic (Association française pour le nommage Internet en coopération) già dal 2006 hanno messo in atto meccanismi di restrizione sulla visibilità dei dati dei titolari di un dominio introducendo una procedura di anonimato dei dati del Whois applicata di default a tutti i privati (persone fisiche) che registrano un dominio con determinate estensioni, ad esempio “.fr”.
Il sistema Whois è coordinato a livello mondiale dall’ICANN, la principale autorità di gestione della rete Internet e di attribuzione dei domini di primo livello che, tra le altre attività, si occupa dell’attribuzione dei nomi di dominio e degli indirizzi IP e delle politiche di stabilità e sicurezza della Rete.
Un primo caso legato ai dati provenienti dalla rete è stato preso in carico dalla Regional Court of Bonn, che si è espressa in ordine al contenzioso sorto tra L’ICANN e il registrar EPAG: mentre l’amministratore di sistema tedesco si è adeguato alle disposizioni contenute nel GDPR, l’ICANN il 17 maggio 2018 ha emanato le sue “Temporary Specification for gTLD Registration Data”, nelle quali ha specificato i termini di durata della conservazione dei dati raccolti imponendo ad ogni registrar di adeguarsi alla sua policy relativa alla quantità, modalità e termini di durata della conservazione dei dati raccolti.
La Regional Court of Bonn, nell’obbiettivo di cercare di imporre delle regole semplici generali ma efficaci per ottenere un’ effettiva e sostanziale tutela dei soggetti/utenti, si è pronunciata a favore di EPAG, rigettando le istanze della ICANN in base al principio fondamentale di minimizzazione della raccolta dei dati stabilito dal GPDR, alla luce del quale gli obblighi che ICANN intendeva imporre in ordine alla raccolta di dati anche di soggetti terzi con ruoli prettamente tecnici, apparivano del tutto non necessari.
La corte di Bonn ha quindi ritenuto sufficiente il solo contatto del registrar, ovvero del soggetto che si occupa (a catena) degli altri aspetti concernenti la gestione del nome di dominio ritenendo il proprietario del dominio del tutto in grado di gestire ogni questione ad esso relativa. (Landgericht Bonn, 30 maggio 2018, documento n. 10 O 171/18).