ICANN| 62 – PANAMÁ - Dia 3
27/06/2018
Por Nivaldo Cleto*
A atualização do modo de funcionamento do banco de dados WHOIS1 tem sido um desafio, talvez o maior desafio histórico da ICANN2. Ao longo de mais de uma década, grupos variados trabalharam em revisões possíveis desse sistema, mas os esforços até então tinham falhado em gerar diretrizes possíveis de implantar, pois não se chegou a um consenso sobre quais dados deveriam constar no banco, quem poderia acessar os dados e como se daria esse acesso tanto do ponto de vista legal como técnico.
Na ICANN 62 se iniciou o primeiro Express Policy Development Process (EPDP3) da instituição, um projeto com limite de um ano buscando chegar a uma conclusão funcional de como estruturar o Registration Data Directory Services (RDDS), Política de Exibição e Rotulagem Consistentes dos Serviços do Diretório de Dados de Inscrição de Registros, o sucessor do atual banco de dados. Após a data em que o GDPR4 se tornou ativo, o WHOIS passou a operar dentro de uma pouco previamente discutida "temp spec", uma diretriz que respeita a General Data Protection Regulation (GDPR) de um modo bastante conservador, basicamente tendo todos os dados sensíveis redatados, impossíveis de serem acessados de modo normal.
O WHOIS é anacrônico, um artefato de tempos diferentes nos quais a Internet era composta por programadores e acadêmicos que atuavam dentro de um espaço restrito. Muito mudou desde então. A Internet se expandiu de maneira não planejada, e junto dela foram sendo criadas leis e recomendações relativas a privacidade, de modo que era apenas uma questão de tempo até que esse banco de dados tão aberto fosse forçado a mudar.
As duas sessões "cross-community" que ocorreram neste terceiro dia da ICANN 62 foram dedicadas a debater os princípios que devem orientar o grupo que avançará o EPDP. Todos reconhecem que no centro dessa discussão existe um conflito totalmente legítimo entre segurança e liberdade, um tema que ouvimos ecoando de maneira intensa nas mais diversas áreas nos dias de hoje. A questão é como encontrar a medida certa e não gerar custos ou responsabilidades exageradas para um ator específico.
Elliot Noss, da Tucows, falou em nome dos registries a respeito de como o WHOIS estava sendo usado para todo tipo de atividades ilegais e invasivas. Havia chegado a um ponto que aqueles que incluíam seus dados no banco de dados sem contratar um serviço de anonimidade, acabavam por receber spam por e-mail, telefone e até correio, de toda natureza, inclusive propaganda não solicitada de produtos por vezes legítimos para seus websites.
A representante da Business Constituency (BC) destaca que já existem problemas sobre como proceder dentro da temp spec por parte dos registrars, descrevendo uma confusão geral sobre como responder a pedidos por dados. Muitos não sabem para que setor encaminhar o pedido internamente, e mesmo assim não existe claridade sobre se os dados podem ser repassados. Destacou, portanto, a necessidade de regras firmes e claras.
O representante da Microsoft exemplificou a importância do bom uso do WHOIS no caso de sua batalha contínua contra o Fancy Bear, um grupo hacker russo que provavelmente é financiado pelo governo. Destacou que foi essencial o uso do WHOIS para catalogar os 397 milhões de IPs sendo usados em uma ação maliciosa do grupo. Esse não é um caso isolado, mas sim parte de um uso sistemático do recurso.
Foi destacado pela representante da sociedade civil que não há nada tão novo em termos de proteção de dados no GDPR, e sim que a ICANN não estava compatível com os padrões internacionais vigentes. Isso não é muito verdadeiro, pois diferencial do GDPR é exatamente a inclusão de mecanismos agressivos de coerção por parte da União Europeia.
Em outro momento, chamou a atenção para a existência de 126 leis de proteção de dados existentes no mundo, e perguntou sobre o que significava o fato de que tanta atenção está sendo dada para a GDPR quando na realidade a ICANN necessita funcionar de acordo com todas elas devido a sua natureza global.
O CEO Göran Marby afirmou de modo absoluto que as Data Protection Authorities (DPAs), que regulamentam o uso de dados em diversas jurisdições, possuem maior força de influência que o GAC5, e que em casos de conflito entre um e o outro, o GAC sempre teria uma prioridade menor. Também aproveitou para lembrar que a ICANN só possui legitimidade e notabilidade devido ao processo multistakeholder, então a participação de todos os atores continua sendo essencial.
Foi mencionado que a acreditação que define aqueles que podem ou não acessar os dados cai fora do escopo da ICANN, e que o GAC seria importante em ajudar a coordenar isso, encontrando o mecanismo adequado para tal. As partes do governo europeu envolvidas mais intensamente no processo são a Article 29 Working Party, European Data Protection Board, e Comissão Europeia. Os governos são também considerados individualmente.
Em termos de privacidade, alguns pontos importantes que não são muito óbvios foram discutidos. Um ponto não muito evidente é que no novo modelo, a anonimidade daquele que quer consultar os dados do WHOIS acabou; em tese todos esses atores terão de se indentificar. Outra pergunta: seria o registrar ou registry aquele em posição para guardar os dados completos? Não está claro, e há controvérsia, mas se pensarmos em demandas crescentes de países por localização de dados, os registrars estão mais aptos.
Outra questão importante que não está muito destacada é que se discute uma taxa para acessar o futuro WHOIS, algo que poderia impedir parte do uso ilegítimo do serviço, introduzindo uma barreira de acesso, conceito esse puxado da economia. A teoria é que mesmo uma taxa pequena desestimula o uso malicioso casual, pois o investimento é maior do que somente tempo.
A conclusão geral é de que existe uma cadeia de perguntas a ser respondida e mecanismos para responder a elas terão de ser desenvolvidos pelo grupo do EPDP. Primeira pergunta: quem quer acessar os dados contidos no novo WHOIS? Segunda: por qual motivo esse acesso está sendo requisitado? Terceira: quais dados devem ser enviados ou não em resposta a pedidos legítimos diferentes?
Esse desafio é considerado por alguns membros da comunidade como o maior teste do modelo multistakeholder até agora. Se a Transição IANA era algo de grande magnitude, ela ao menos ocorria praticamente numa posição de comunidade ICANN contra governo dos Estados Unidos e alguns membros do GAC. Dessa vez, existem interesses legítimos competindo em diversos níveis e por motivos variados, criando uma sequência de decisões que, uma vez decididas, devem mais ou menos funcionar de modo permanente dentro da Internet como a entendemos.
______________________
Qual é a diferença entre registro, registrador e registrante?
Existem três funções diferentes que participam do processo para registrar um nome de domínio: registro, registrador e registrante. As informações a seguir descrevem cada função e como elas funcionam uma com a outra:
______________________
*Nivaldo Cleto é conselheiro do CGI.br membro da ICANN Business Constituency