<div><div dir="auto">The publication cites GDPR exactly twice.  The citation to “recital 32” is actually to Article 32. (If one actually looks at the recitals, one will see that recital 32 deals with “consent.”). So, while the statement that the piece only cites GDPR recitals is superficially correct, it’s substantively incorrect.  (The citation to “recital 49” is a citation to Recital 49, so to be charitable, it’s half-correct.). </div><div dir="auto"><br></div><div dir="auto">I assume this was the basis for the statement the publication is “dependent on ... the GDPR’s recitals.”  Having established that this basis gone, I’ll go on to assume that this statement is similarly invalid, unless there is some actual substantive analysis that shows that the publication is only “dependent” on the GDPR recitals and not its Articles.</div><div dir="auto"><br></div><div dir="auto">Implicitly, I think this dismissiveness underplays the importance of the Recitals.  Recital 49 is instrumental in interpreting Article 6 (Lawfulness of Processing); an interpretation of Article 6 that failed to take into account Recital 49 to the extent applicable would be incorrect and inappropriate.  </div><div dir="auto"><br></div><div dir="auto">It will be interesting to see if use of the recitals to interpret the articles is similarly dismissed in other circumstances, regardless of the outcome.</div><div dir="auto"><br></div><div dir="auto">I find the idea that one cannot interpret the GDPR without conducting a Human Rights Impact Assessment to be both amusing and troubling.  An HRIA is a major, multi-step undertaking, typically involving an identification phase, an extensive stakeholder engagement phase, an assessment phase, and the issuance of a report.  One I grabbed at random on the Internet was 23 pages long, replete with charts and graphs, reflecting a great deal of underlying effort.  Another I couldn’t look at because it was 16MB zip file and it was blocked by my firewall.  Conducting an HRIA can’t be the “minimum buy-in” to discuss GDPR.  <i>Claiming</i> that it is, however, is a convenient way of dismissing someone’s analysis without actually dealing with that analysis.</div><div dir="auto"><br></div><div dir="auto">Perhaps I’m looking at this too rigidly.  It’s possible that what was meant was not a formal HRIA, but a simpler “seat-of-the-pants” exercise of trying to figure out the human rights impacts of a given data processing activity.  Iif that’s all that was meant, the term human rights impact assessment should not be invoked and abused in this manner.  </div><div dir="auto"><br></div><div dir="auto">Or maybe what was meant was a Data Protection Impact Assessment under Article 35 — a completely different Impact Assessment.  I suppose this confusion could be forgiven.  This seems most likely, since the “assessment” seems to be limited to “the privacy rights of a domain name registrant”, which roughly parallels Article 35.7(c).  An HRIA, in contrast, would look at human rights impacts across all stakeholders (including those affected by the “claimed” security risks (which would likely include the registrant)) and across all relevant human rights.</div><div dir="auto"><br></div><div dir="auto">Predicting the outcome of an HRIA (or DPIA, if that’s what was meant) without conducting one would be folly.  It would be interesting to know what, other than a “belief in human rights”, provided the confidence in the particular cited outcome.  (It would also be interesting to know what Impact Assessment was being referred to....)</div><div dir="auto"><br></div><div dir="auto">And it would be <i>extremely</i> interesting to conduct an HRIA (or less formal analysis) of the <u>human rights impacts of substantially crippling WHOIS</u>.  We’ve had the last two decades to conduct a “field exercise” in the “claimed” human rights impacts of WHOIS.  I don’t know if there is a rigorous and comprehensive analysis of the human rights impacts of losing most of WHOIS — but I’m afraid that we will soon be engaged in a “field exercise” on that impact without that understanding.  That strikes me as a huge and reckless risk to take, especially since so much of what is in the “Interim Model” is outside the scope and reach of GDPR.</div><div dir="auto"><br></div><div dir="auto">Greg</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><br><div class="gmail_quote"><div>On Fri, Apr 13, 2018 at 4:20 PM Ayden Férdeline <<a href="mailto:icann@ferdeline.com">icann@ferdeline.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>This publication is dependent on, and only cites, the GDPR's recitals. While the recitals may inform the interpretation of the GDPR's articles, they are not legally binding. Only the GDPR's articles are binding instruments. I would also like to note that no human rights impact assessment appears to have been conducted in the preparation of this publication. If one had been, I am confident we would have seen that the protection of the privacy rights of a domain name registrant outweigh the claimed security risks.<br></div><div><br></div><div>Ayden Férdeline <br></div><div class="m_2965839410801777029protonmail_signature_block"><div class="m_2965839410801777029protonmail_signature_block-proton m_2965839410801777029protonmail_signature_block-empty"><br></div></div><div><br></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On 12 April 2018 7:47 PM, John Bambenek via gnso-rds-pdp-wg <<a href="mailto:gnso-rds-pdp-wg@icann.org" target="_blank">gnso-rds-pdp-wg@icann.org</a>> wrote:<br></div><div> <br></div><blockquote class="m_2965839410801777029protonmail_quote" type="cite"><div>A good read from a European entity on why open and free access to whois data is both essential AND legal under GDPR. And its coming from a state sponsored entity. <br></div><div><br></div><div><div><a href="https://www.circl.lu/pub/tr-53/" target="_blank">https://www.circl.lu/pub/tr-53/</a><br></div><div><br></div><div id="m_2965839410801777029AppleMailSignature"><div>--<br></div><div>John Bambenek<br></div></div></div></blockquote><div><br></div>_______________________________________________<br>
gnso-rds-pdp-wg mailing list<br>
<a href="mailto:gnso-rds-pdp-wg@icann.org" target="_blank">gnso-rds-pdp-wg@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-rds-pdp-wg" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-rds-pdp-wg</a></blockquote></div></div>