Titular del dominio, admin-c y tech-c: ¿qué cambia con el RGPD?
Al registrar un dominio, las directrices de RED.ES obligan a proporcionar cierta información al registro sobre el dominio y sobre su titular o propietario, así como sobre las diversas personas de contacto. Una entrada en la base de datos Whois solía componerse de los datos personales del titular del dominio, de su administrador general (admin-c), de su contacto técnico (tech-c) y de su gestor de zona (zone-c). Con la entrada en vigor el 25 de mayo de 2018 del controvertido Reglamento General de Protección de Datos cambian también las políticas de privacidad en el registro de dominios.
Cómo afecta el RGPD al registro WHOIS
Desde el 25 de mayo de 2018 se ha de aplicar consecuentemente en España el nuevo Reglamento General de Protección de Datos (RGPD) europeo tras un periodo de dos años de adaptación desde su entrada en vigor en 2016, si bien ya desde hace meses ha venido siendo objeto de acaloradas discusiones entre los defensores de la protección de la privacidad y los representantes financieros, que ven peligrar sus modelos de negocio. Tampoco está claro cómo los juristas van a interpretar el nuevo reglamento en el futuro y qué consecuencias reales tendrá en la economía y en otros aspectos de la vida cotidiana.
En el caso que nos ocupa, si bien el nuevo RGPD no prescribe medidas explícitas para la gestión de los dominios, sí lo hace para la recopilación y el almacenamiento de datos privados. Entre la espada y la pared (a pesar de haber tenido un plazo de dos años para adaptar sus políticas), la americana ICANN, máxima autoridad en Internet para la asignación de nombres y responsable de la gestión de la base de datos Whois, intentó lograr una moratoria elaborando en enero de 2018 una “Especificación temporal para los datos de registración de los gTLD” con el objetivo de mantener los contratos vigentes con los registradores de los dominios genéricos de nivel superior (.com, .net) sin comprometer las nuevas especificaciones europeas en políticas de privacidad. La iniciativa, aunque fue bien recibida, no superó las reticencias del Grupo de Trabajo del Artículo 29 (grupo europeo especializado en protección de datos), que rechazó finalmente la moratoria. Esto significa que la ICANN no podrá seguir recopilando ni almacenando los datos privados de los titulares de los dominios como venía haciendo hasta ahora y que tendrá que aplicar medidas concretas para adaptarse al reglamento europeo.
En ese documento se especifica que, si bien no cambian sus políticas de registro en lo esencial, sí se ve modificada la forma en que se accede a los datos, que estará escalonada en función de la legitimidad de la consulta. Concretamente para el registro Whois, esto significa que los datos personales y de contacto de los titulares de los dominios y sus administradores ya no estarán disponibles públicamente como hasta ahora. En lugar de ello, se establece un formulario de contacto o un correo general al que dirigir la consulta. Estas medidas, que el GT29 ve positivas, no resuelven el problema de fondo pese a todo. Con Estados Unidos oponiéndose al RGPD, el conflicto sigue abierto porque, según esta nueva normativa, la ICANN no podría siquiera guardar esa información. La supervivencia del Whois, tal como se conoce hasta ahora, estaría en peligro.
¿Qué ocurre, entonces, con RED.ES, el organismo responsable de gestionar el dominio de nivel superior .es y cuyo trabajo podría verse comprometido desde el punto de vista de la protección de los datos personales? En este sentido también se han visto cambios: recientemente RED.ES ha informado a los agentes registradores que los admin-c y tech-c dejarán de ser públicos y solo serán accesibles a quien solicite la información por formulario.
Estos cambios podrían provocar reacciones diversas entre los usuarios de la base de datos. El nuevo sistema no obstaculiza el propósito primario de las consultas Whois, que es precisamente la toma de contacto con los administradores de un dominio en el caso de consultas generales, técnicas o legales. Para aquellos interesados en la compra de un dominio, sin embargo, ya no es posible obtener tan fácilmente la información sobre su disponibilidad o sobre la probable fecha de expiración del contrato. También para los investigadores en seguridad o los periodistas, los detallados registros de la base de datos internacional constituían una excelente fuente de información.
Para el común de los mortales, las ventajas de las nuevas directrices en el contexto de la protección de la privacidad es indudable, puesto que las empresas y organizaciones menos profesionales ya no podrán obtener los datos privados de los titulares de los dominios, del admin-c, del tech-c o del zone-c sin consentimiento para utilizarlos con fines publicitarios o delictivos.
A continuación repasamos qué datos serán necesarios a partir de ahora para registrar un dominio y cuáles estarán visibles.
Titular del dominio: los datos se registran pero no se publican
El titular de un dominio es el socio del contrato que cierra con un agente registrador cuando registra un dominio. Cuando se registra una dirección web, se obtiene la titularidad (propiedad) de un dominio. Esta figura no tiene que ser una persona natural: si se registra una dirección web para una empresa, esta puede registrarse como titular del dominio, así como añadir una persona natural o una compañía como copropietarios. El resto de datos obligatorios incluye el código postal, el número de teléfono y la dirección de correo electrónico. No es suficiente con indicar un apartado postal.
Si bien RED.ES sigue recogiendo estos datos personales tras la entrada en vigor del RGPD, ya no los muestra públicamente en una consulta Whois. Desde la introducción del RGPD, en los campos de Whois los datos con información personal se mostrarán como “no divulgados” y solo se mostrarán datos no personales, como la fecha de vencimiento del registro, el estado o provincia, el código postal, el país y datos de contacto (correo electrónico, teléfono), entre otros.
Se parte también de la suposición de que habrá registrantes que no querrán mostrar ninguna información y otros que sí, así que se prevén ambas variantes.
Qué ha pasado con admin-c, tech-c y zone-c
Antes del 25 de mayo de 2018, al registrar un dominio era obligatorio nombrar a una persona de contacto para fines administrativos. Igual que para el titular del dominio, la información de contacto también incluía el nombre, la dirección, la dirección electrónica y un número de teléfono y se clasificaba como admin-c. Como consecuencia del nuevo reglamento, esta información ya no puede guardarse y por lo tanto no puede mostrarse. Por ello, el agente registrador se encarga ahora de añadir a los datos del titular dos direcciones de correo no personales que se encarguen de recibir todas las consultas de índole técnica por un lado, y las que denuncien un mal uso del dominio, por el otro. Es así como los datos que se guardaban bajo la rúbrica de tech-c también desaparecen de la base de datos. Si además se delegaba a un servidor de nombres para el dominio se tenía que comunicar al registro el gestor de zona (zone-c). Con el nuevo reglamento desaparece esta obligación sin reemplazo por el momento.
Excepciones
Con el final del plazo de adaptación al RGPD, los agentes registradores de dominios de nivel superior ya no enviarán datos personales sobre los titulares, sus administradores y sus técnicos o gestores de zona a terceros, si bien persiste el deber de informar a ciertos individuos o sectores, entre los que se cuentan los órganos y las instituciones de seguridad, los reclamantes en procesos civiles de embargo de derechos contractuales y los propietarios de derechos de marca bajo la sospecha de que un determinado dominio infringe sus derechos vigentes.
Para acceder a los datos personales será necesario, incluso en estos tres casos excepcionales, justificar un “interés legítimo”. Para reconocer si hay derecho a acceder a la información o no, se decidirá cada caso en particular. Esto hará necesario automatizar parcialmente algunos sistemas y procesos para que sean capaces de lidiar con los varios miles de consultas diarias al Whois.
Los titulares de los dominios y los organismos certificadores tendrán que identificarse con el código postal o la dirección de correo electrónico con que se registraron cada vez que tengan que consultar la base de datos para validar el dominio o publicar un certificado digital. En el caso de otros grupos de interesados, como las instituciones o los propietarios de derechos de marca, la identificación y acreditación se hará manualmente –si bien no se descarta algún tipo de automatización. En el caso de las peticiones por parte de investigadores de seguridad o periodistas, el registro ya no proporcionará más información.
¿Quieres saber a quién le pertenece un dominio? Obten información WHOIS gratuita a través de la caja de búsqueda IONOS.
Repaso final a las nuevas reglas del juego
En la siguiente tabla resumimos los datos que se van a registrar a partir de ahora y los que van a estar visibles de forma abierta. Aquellos datos que antes eran obligatorios pero que ya no son necesarios desaparecen.