[ICANN 62]

ICANN| 62 – PANAMÁ - Dia 3

27/06/2018

Por Nivaldo Cleto*

A atualização do modo de funcionamento do banco de dados WHOIS1 tem sido um desafio, talvez o maior desafio histórico da ICANN2. Ao longo de mais de uma década, grupos variados trabalharam em revisões possíveis desse sistema, mas os esforços até então tinham falhado em gerar diretrizes possíveis de implantar, pois não se chegou a um consenso sobre quais dados deveriam constar no banco, quem poderia acessar os dados e como se daria esse acesso tanto do ponto de vista legal como técnico.

62Icann

Na ICANN 62 se iniciou o primeiro Express Policy Development Process (EPDP3) da instituição, um projeto com limite de um ano buscando chegar a uma conclusão funcional de como estruturar o Registration Data Directory Services (RDDS), Política de Exibição e Rotulagem Consistentes dos Serviços do Diretório de Dados de Inscrição de Registros, o sucessor do atual banco de dados. Após a data em que o GDPR4 se tornou ativo, o WHOIS passou a operar dentro de uma pouco previamente discutida "temp spec", uma diretriz que respeita a General Data Protection Regulation (GDPR) de um modo bastante conservador, basicamente tendo todos os dados sensíveis redatados, impossíveis de serem acessados de modo normal.

O WHOIS é anacrônico, um artefato de tempos diferentes nos quais a Internet era composta por programadores e acadêmicos que atuavam dentro de um espaço restrito. Muito mudou desde então. A Internet se expandiu de maneira não planejada, e junto dela foram sendo criadas leis e recomendações relativas a privacidade, de modo que era apenas uma questão de tempo até que esse banco de dados tão aberto fosse forçado a mudar.

62Icann

As duas sessões "cross-community" que ocorreram neste terceiro dia da ICANN 62 foram dedicadas a debater os princípios que devem orientar o grupo que avançará o EPDP. Todos reconhecem que no centro dessa discussão existe um conflito totalmente legítimo entre segurança e liberdade, um tema que ouvimos ecoando de maneira intensa nas mais diversas áreas nos dias de hoje. A questão é como encontrar a medida certa e não gerar custos ou responsabilidades exageradas para um ator específico.

Elliot Noss, da Tucows, falou em nome dos registries a respeito de como o WHOIS estava sendo usado para todo tipo de atividades ilegais e invasivas. Havia chegado a um ponto que aqueles que incluíam seus dados no banco de dados sem contratar um serviço de anonimidade, acabavam por receber spam por e-mail, telefone e até correio, de toda natureza, inclusive propaganda não solicitada de produtos por vezes legítimos para seus websites.

A representante da Business Constituency (BC) destaca que já existem problemas sobre como proceder dentro da temp spec por parte dos registrars, descrevendo uma confusão geral sobre como responder a pedidos por dados. Muitos não sabem para que setor encaminhar o pedido internamente, e mesmo assim não existe claridade sobre se os dados podem ser repassados. Destacou, portanto, a necessidade de regras firmes e claras.

O representante da Microsoft exemplificou a importância do bom uso do WHOIS no caso de sua batalha contínua contra o Fancy Bear, um grupo hacker russo que provavelmente é financiado pelo governo. Destacou que foi essencial o uso do WHOIS para catalogar os 397 milhões de IPs sendo usados em uma ação maliciosa do grupo. Esse não é um caso isolado, mas sim parte de um uso sistemático do recurso.

Foi destacado pela representante da sociedade civil que não há nada tão novo em termos de proteção de dados no GDPR, e sim que a ICANN não estava compatível com os padrões internacionais vigentes. Isso não é muito verdadeiro, pois diferencial do GDPR é exatamente a inclusão de mecanismos agressivos de coerção por parte da União Europeia.

Em outro momento, chamou a atenção para a existência de 126 leis de proteção de dados existentes no mundo, e perguntou sobre o que significava o fato de que tanta atenção está sendo dada para a GDPR quando na realidade a ICANN necessita funcionar de acordo com todas elas devido a sua natureza global.

O CEO Göran Marby afirmou de modo absoluto que as Data Protection Authorities (DPAs), que regulamentam o uso de dados em diversas jurisdições, possuem maior força de influência que o GAC5, e que em casos de conflito entre um e o outro, o GAC sempre teria uma prioridade menor. Também aproveitou para lembrar que a ICANN só possui legitimidade e notabilidade devido ao processo multistakeholder, então a participação de todos os atores continua sendo essencial.

Foi mencionado que a acreditação que define aqueles que podem ou não acessar os dados cai fora do escopo da ICANN, e que o GAC seria importante em ajudar a coordenar isso, encontrando o mecanismo adequado para tal. As partes do governo europeu envolvidas mais intensamente no processo são a Article 29 Working Party, European Data Protection Board, e Comissão Europeia. Os governos são também considerados individualmente.

Em termos de privacidade, alguns pontos importantes que não são muito óbvios foram discutidos. Um ponto não muito evidente é que no novo modelo, a anonimidade daquele que quer consultar os dados do WHOIS acabou; em tese todos esses atores terão de se indentificar. Outra pergunta: seria o registrar ou registry aquele em posição para guardar os dados completos? Não está claro, e há controvérsia, mas se pensarmos em demandas crescentes de países por localização de dados, os registrars estão mais aptos.

Outra questão importante que não está muito destacada é que se discute uma taxa para acessar o futuro WHOIS, algo que poderia impedir parte do uso ilegítimo do serviço, introduzindo uma barreira de acesso, conceito esse puxado da economia. A teoria é que mesmo uma taxa pequena desestimula o uso malicioso casual, pois o investimento é maior do que somente tempo.

A conclusão geral é de que existe uma cadeia de perguntas a ser respondida e mecanismos para responder a elas terão de ser desenvolvidos pelo grupo do EPDP. Primeira pergunta: quem quer acessar os dados contidos no novo WHOIS? Segunda: por qual motivo esse acesso está sendo requisitado? Terceira: quais dados devem ser enviados ou não em resposta a pedidos legítimos diferentes?

Esse desafio é considerado por alguns membros da comunidade como o maior teste do modelo multistakeholder até agora. Se a Transição IANA era algo de grande magnitude, ela ao menos ocorria praticamente numa posição de comunidade ICANN contra governo dos Estados Unidos e alguns membros do GAC. Dessa vez, existem interesses legítimos competindo em diversos níveis e por motivos variados, criando uma sequência de decisões que, uma vez decididas, devem mais ou menos funcionar de modo permanente dentro da Internet como a entendemos.

______________________

  • WHOIS é um protocolo de consulta / resposta baseado em TCP que é amplamente usado para consultar um banco de dados a fim de determinar o proprietário de um nome de domínio, um endereço IP ou um número de sistema autônomo na Internet.
  • ICANN, or the Internet Corporation for Assigned Names and Numbers ou a Corporação da Internet para Atribuição de Nomes e Números, é uma organização global de múltiplas partes interessadas criada pelo governo dos EUA e seu Departamento de Comércio. Ele coordena o DNS da Internet, os endereços IP e os números do sistema autônomo, o que envolve um gerenciamento contínuo desses sistemas em evolução e os protocolos subjacentes a eles.
  • EPDP – Expedited Policy Development Process – Processo Acelerado de Desenvolvimento de Politicas - procedimento estatutário que obriga o Board da ICANN a acelerar o processo de decisão das propostas no prazo máximo de doze meses.
  • O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento concebido para modernizar e harmonizar as leis de proteção de dados em toda a União Europeia (UE), dando aos cidadãos e residentes da UE mais controle sobre seus direitos. dados e fornecer um quadro regulamentar mais consistente para as emptresas. A aplicação do GDPR entrou em vigor em 25 de maio de 2018.
  • O Comitê Consultivo para Assuntos Governamentais (GAC) é um órgão consultivo formal que fornece conselhos importantes sobre as implicações de políticas públicas da ICANN.

Qual é a diferença entre registro, registrador e registrante?

Existem três funções diferentes que participam do processo para registrar um nome de domínio: registro, registrador e registrante. As informações a seguir descrevem cada função e como elas funcionam uma com a outra:

  • Registro: REGISTRY - é uma organização que gerencia a base de dados de um determinado nome de domínio de nível superior. O registry cria extensões para o nome de domínio, define as regras para esse nome de domínio e colabora com os registradores (registrará) para vender nomes de domínio ao público. Por exemplo, a Verisign gerencia o registro de nomes de domínio .com e seu sistema de extensoes de domínio no DNS da Internet. Para obter mais informações sobre DNS, consulte O que é DNS?
  • Registrador: REGISTRAR - é uma organização credenciada junto à ICANN, que vende nomes de domínio para o público. Alguns têm a capacidade de vender nomes ou extensões de domínios como .com, .net e .org, ou nomes de domínios em códigos de países (ccTLDs), como .us, .ca e .eu.
  • Registrante: é a pessoa ou empresa que registra/compra um nome de domínio para uso. Os registrantes podem gerenciar a configuração de seu nome de domínio por meio de seu registrador. Quando houver alterações no domínio, o registrador enviará as informações ao registro para atualizá-las e salvá-las no banco de dados do registro. Quando você registra um nome de domínio, você se torna um registrante!

______________________

*Nivaldo Cleto é conselheiro do CGI.br membro da ICANN Business Constituency