Attualmente, gli estratti Whois sono molto scarni, limitandosi, spesso, alla mera indicazione delle date di registrazione e di scadenza, del registrar coinvolto e dello “status” del nome di dominio (c.d. thin whois data) mentre i dati riguardanti l’identità ed i contatti del titolare del dominio e del contatto amministrativo (c.d. thick whois data) non sono più presenti (anche se il registrante è una persona giuridica, quindi al di fuori dell’ambito applicativo del GDPR).
Questa mancanza di informazioni complica, e non poco, le attività di online brand protection: con particolare riferimento alle procedure di riassegnazione di nomi di dominio, ad esempio, non sapere chi ha registrato il dominio, rende molto difficile provare la registrazione e l’uso in malafede dello stesso, che è un requisito essenziale per poterne ottenere il trasferimento o la cancellazione.
Il tema è stato affrontato nel recente workshop organizzato dalla WIPO Arbitration and Mediation Center, fortemente incentrato sull’impatto avuto dal GDPR nelle procedure di riassegnazione dei nomi di dominio (UDRP).
La prima domanda a cui occorre dare una risposta è la seguente: dopo l’entrata in vigore della nuova normativa in tema di privacy, è ancora possibile utilizzare lo strumento delle procedure di riassegnazione per ottenere il trasferimento o la cancellazione di nomi di dominio abusivi?
A tale quesito, occorre dare una risposta certa ed univoca: il GDPR non è, e non deve essere considerato, un impedimento all’avvio di procedure di riassegnazione di nomi di dominio. Ed infatti, già prima dell’entrata in vigore del GDPR, chi voleva registrare un nome di dominio e non voleva rendere pubblici i propri dati, poteva farlo attraverso i c.d. privacy service providers. In tal modo, l’identità del registrante rimaneva protetta in quanto il titolare del nome di dominio era formalmente il privacy service provider. Di fatto, mentre prima la non diffusione dei dati personali era una facoltà del titolare del dominio, con l’entrata in vigore del GDPR è diventata automatica, salvo, ovviamente una espressa autorizzazione contraria da parte del registrante.
Questa prassi è pienamente legittima, e non è mai stata considerata un impedimento per gli UDRP. Lo stesso approccio è stato adottato per le procedure di riassegnazione post-GDPR. Pertanto, l’interessato potrà depositare il ricorso avverso un dominio abusivo, sulla base delle informazioni, pressoché nulle, presenti nell’estratto Whois. Di fatto, l’interessato depositerà un ricorso “anonimo” e dai contenuti molto scarni. A questo punto, gli enti accreditatati alla risoluzione di queste controversie (WIPO, fra tutte) inviteranno il registrar (ovvero il soggetto presso il quale il titolare ha registrato il dominio, ad esempio GoDaddy) a fornire i dati completi del titolare del nome di dominio. I registrar sono obbligati a fornire queste informazioni pena l’eventuale ritiro del proprio accreditamento alla ICANN, e quindi il rischio di non poter più svolgere la propria attività di intermediari tra la rete e gli utenti. I dati completi del Whois, verranno poi trasmessi all’interessato, che nell’arco di pochi giorni, avrà facoltà (e non l’obbligo) di emendare il proprio ricorso alla luce delle nuove informazioni sulla titolarità del nome di dominio.
Certamente, il meccanismo descritto dilata i tempi di decisione della procedura, ma consente al ricorrente di avere tutte le informazioni per poter provare il requisito fondamentale della registrazione e dell’uso in malafede.
Dunque, nell’era post GDPR sarà sempre possibile poter depositare procedure di riassegnazione, sebbene, questa opzione presenti delle oggettive criticità in più rispetto a prima.
La prima, di carattere procedurale, riguarda la c.d. consolidation, ossia la possibilità di includere nello stesso ricorso più nomi di dominio registrati dallo stesso titolare o sottoposti ad un controllo comune. Questa opzione consente all’interessato di poter usufruire di sensibili riduzioni dei costi. Infatti, le tasse della procedura sono le medesime per scaglioni prestabiliti di nomi di dominio (ad esempio, alla WIPO, 1500 USD da 1 a 5 nomi di dominio; 2000 USD da 6 a 10; ecc). Pertanto, riunire in unico ricorso più domini registrati dallo stesso soggetto, è molto più conveniente rispetto all’avvio di più procedure separate per ciascun nome di dominio.
L’avvento del GDPR ha reso estremamente difficoltoso poter ricorrere alla consolidation in quanto non è possibile conoscere in anticipo l’identità del registrante e quindi sapere se tale soggetto ha registrato più domini da poter includere in un unico ricorso. Come ovviare a questo problema? È estremamente difficile, salvo che non si riesca a dimostrare che i domini siano sottoposti ad un controllo comune in quanto, ad esempio, sono reindirizzati sul medesimo sito web, sono stati registrati lo stesso giorno ed hanno lo stesso registrar.
Non conoscere l’identità del titolare del nome di dominio porta con sé una altra conseguenza che riguarda il merito del ricorso, e quindi, la stessa possibilità di poter vincere nella procedura.
Può capitare infatti che chi registra un nome di dominio, abbia tutto il diritto di farlo, in quanto autorizzato dal titolare del marchio. Si pensi a distributori, rivenditori, agenti, o licenziatari che siano stati espressamente o in modo implicito autorizzati a registrare nomi di dominio composti dal marchio.
Può capitare altresì che il titolare del dominio abbia le possibilità di resistere con successo all’eventuale procedura di riassegnazione, anche se non è stato espressamente o implicitamente autorizzato ad utilizzare il marchio. Si pensi all’ipotesi in cui il Registrante sia titolare di un marchio o di una denominazione sociale uguale o simile al nome di dominio e che quindi possa giustificare la registrazione dello stesso.
Si ricorda che per poter vincere in una procedura di riassegnazione è necessario che il titolare del dominio non vanti alcun diritto o interesse legittimo sul dominio stesso; il fatto di essere titolare di un marchio o di una denominazione sociale uguale o simile al dominio è una delle tipiche ipotesi in cui il registrante può sostenere di avere un diritto o interesse legittimo alla registrazione del dominio. Per ovviare a questo genere di problemi, è opportuno e consigliabile effettuare delle ricerche sulle banche dati disponibili, prima di avviare una procedura di riassegnazione.
Tuttavia, nell’era post-GDPR queste ricerche non si possono più fare in quanto, al momento del deposito del ricorso, non si conosce chi è il titolare del dominio che si intende recuperare. Come occorre comportarsi, allora? Anche in questo caso, non è agevole rispondere. È sempre utile effettuare delle ricerche in rete allo scopo di reperire il maggior numero di informazioni possibili sul titolare del dominio. Ad esempio, una ricerca sulle banche dati disponibili che rilevi l’esistenza di un marchio identico al nome di dominio (anche se non si sa chi ne sia il titolare), può far scattare un campanello d’allarme per il Ricorrente.
Altra opzione, è quella di tentare di contattare il titolare del dominio attraverso il registrar. Ed infatti, i registrar sono tenuti ad inserire dei meccanismi attraverso i quali si può contattare il registrante senza diffondere dati personali (ad esempio, attraverso indirizzi email anonimi).
Laddove, non si riesca ad ottenere le informazioni necessarie sulla titolarità del dominio, si può procedere lo stesso con il ricorso accettando tuttavia il rischio che il registrante possa sostenere di avere qualche diritto o interesse legittimo alla registrazione del dominio.
A dire il vero, si tratta di un rischio “calcolato” che non va enfatizzato, e che non deve scoraggiare l’avvio di procedure di riassegnazione da parte dei brand owners. È infatti molto raro che chi vende merce contraffatta su un sito internet, abbia preventivamente registrato un marchio o costituito una società al solo scopo di difendersi da una futura procedura di riassegnazione.
Più probabile, anche se rimane rara, è l’ipotesi in cui il dominio sia utilizzato da un soggetto che è stato espressamente o implicitamente autorizzato ad utilizzare il marchio dal brand owner. In tali ipotesi, ovvero quando l’identità del titolare del dominio (che ricordiamo viene comunicata dopo l’avvio del ricorso) pregiudichi il buon esito della procedura (ad esempio perché licenziatario del marchio), la WIPO consente al ricorrente di poter ritirare il ricorso ed ottenere il rimborso delle tasse corrisposte.
In conclusione, sebbene il GDPR abbia sollevato delle criticità e dei temi prima sconosciuti, le procedure di riassegnazione sono e resteranno una valida ed efficace opzione per tutelare il marchio contro l’abusiva registrazione di nomi di dominio.