Titular del dominio, admin-c y tech-c: ¿qué cambia con el RGPD?

Al registrar un dominio, las di­re­c­tri­ces de RED.ES obligan a pro­po­r­cio­nar cierta in­fo­r­ma­ción al registro sobre el dominio y sobre su titular o pro­pie­ta­rio, así como sobre las diversas personas de contacto. Una entrada en la base de datos Whois solía co­m­po­ne­r­se de los datos pe­r­so­na­les del titular del dominio, de su ad­mi­ni­s­tra­dor general (admin-c), de su contacto técnico (tech-c) y de su gestor de zona (zone-c). Con la entrada en vigor el 25 de mayo de 2018 del co­n­tro­ve­r­ti­do Re­gla­me­n­to General de Pro­te­c­ción de Datos cambian también las políticas de pri­va­ci­dad en el registro de dominios.

Desde el 25 de mayo de 2018 se ha de aplicar co­n­se­cue­n­te­me­n­te en España el nuevo Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD) europeo tras un periodo de dos años de ada­p­ta­ción desde su entrada en vigor en 2016, si bien ya desde hace meses ha venido siendo objeto de aca­lo­ra­das di­s­cu­sio­nes entre los de­fe­n­so­res de la pro­te­c­ción de la pri­va­ci­dad y los re­pre­se­n­ta­n­tes fi­na­n­cie­ros, que ven peligrar sus modelos de negocio. Tampoco está claro cómo los juristas van a in­te­r­pre­tar el nuevo re­gla­me­n­to en el futuro y qué co­n­se­cue­n­cias reales tendrá en la economía y en otros aspectos de la vida cotidiana.

En el caso que nos ocupa, si bien el nuevo RGPD no prescribe medidas ex­plí­ci­tas para la gestión de los dominios, sí lo hace para la re­co­pi­la­ción y el al­ma­ce­na­mie­n­to de datos privados. Entre la espada y la pared (a pesar de haber tenido un plazo de dos años para adaptar sus políticas), la americana ICANN, máxima autoridad en Internet para la asi­g­na­ción de nombres y re­s­po­n­sa­ble de la gestión de la base de datos Whois, intentó lograr una moratoria ela­bo­ra­n­do en enero de 2018 una “Es­pe­ci­fi­ca­ción temporal para los datos de re­gi­s­tra­ción de los gTLD” con el objetivo de mantener los contratos vigentes con los re­gi­s­tra­do­res de los dominios genéricos de nivel superior (.com, .net) sin co­m­pro­me­ter las nuevas es­pe­ci­fi­ca­cio­nes europeas en políticas de pri­va­ci­dad. La ini­cia­ti­va, aunque fue bien recibida, no superó las re­ti­ce­n­cias del Grupo de Trabajo del Artículo 29 (grupo europeo es­pe­cia­li­za­do en pro­te­c­ción de datos), que rechazó fi­na­l­me­n­te la moratoria. Esto significa que la ICANN no podrá seguir re­co­pi­la­n­do ni al­ma­ce­na­n­do los datos privados de los titulares de los dominios como venía haciendo hasta ahora y que tendrá que aplicar medidas concretas para adaptarse al re­gla­me­n­to europeo.

En ese documento se es­pe­ci­fi­ca que, si bien no cambian sus políticas de registro en lo esencial, sí se ve mo­di­fi­ca­da la forma en que se accede a los datos, que estará es­ca­lo­na­da en función de la le­gi­ti­mi­dad de la consulta. Co­n­cre­ta­me­n­te para el registro Whois, esto significa que los datos pe­r­so­na­les y de contacto de los titulares de los dominios y sus ad­mi­ni­s­tra­do­res ya no estarán di­s­po­ni­bles pú­bli­ca­me­n­te como hasta ahora. En lugar de ello, se establece un fo­r­mu­la­rio de contacto o un correo general al que dirigir la consulta. Estas medidas, que el GT29 ve positivas, no resuelven el problema de fondo pese a todo. Con Estados Unidos opo­nié­n­do­se al RGPD, el conflicto sigue abierto porque, según esta nueva normativa, la ICANN no podría siquiera guardar esa in­fo­r­ma­ción. La su­pe­r­vi­ve­n­cia del Whois, tal como se conoce hasta ahora, estaría en peligro.

¿Qué ocurre, entonces, con RED.ES, el organismo re­s­po­n­sa­ble de gestionar el dominio de nivel superior .es y cuyo trabajo podría verse co­m­pro­me­ti­do desde el punto de vista de la pro­te­c­ción de los datos pe­r­so­na­les? En este sentido también se han visto cambios: re­cie­n­te­me­n­te RED.ES ha informado a los agentes re­gi­s­tra­do­res que los admin-c y tech-c dejarán de ser públicos y solo serán ac­ce­si­bles a quien solicite la in­fo­r­ma­ción por fo­r­mu­la­rio.

Estos cambios podrían provocar reac­cio­nes diversas entre los usuarios de la base de datos. El nuevo sistema no ob­s­ta­cu­li­za el propósito primario de las consultas Whois, que es pre­ci­sa­me­n­te la toma de contacto con los ad­mi­ni­s­tra­do­res de un dominio en el caso de consultas generales, técnicas o legales. Para aquellos in­te­re­sa­dos en la compra de un dominio, sin embargo, ya no es posible obtener tan fá­ci­l­me­n­te la in­fo­r­ma­ción sobre su di­s­po­ni­bi­li­dad o sobre la probable fecha de ex­pi­ra­ción del contrato. También para los in­ve­s­ti­ga­do­res en seguridad o los pe­rio­di­s­tas, los de­ta­lla­dos registros de la base de datos in­te­r­na­cio­nal co­n­s­ti­tuían una excelente fuente de in­fo­r­ma­ción.

Para el común de los mortales, las ventajas de las nuevas di­re­c­tri­ces en el contexto de la pro­te­c­ción de la pri­va­ci­dad es indudable, puesto que las empresas y or­ga­ni­za­cio­nes menos pro­fe­sio­na­les ya no podrán obtener los datos privados de los titulares de los dominios, del admin-c, del tech-c o del zone-c sin co­n­se­n­ti­mie­n­to para uti­li­zar­los con fines pu­bli­ci­ta­rios o de­li­c­ti­vos.

A co­n­ti­nua­ción repasamos qué datos serán ne­ce­sa­rios a partir de ahora para registrar un dominio y cuáles estarán visibles.

El titular de un dominio es el socio del contrato que cierra con un agente re­gi­s­tra­dor cuando registra un dominio. Cuando se registra una dirección web, se obtiene la ti­tu­la­ri­dad (propiedad) de un dominio. Esta figura no tiene que ser una persona natural: si se registra una dirección web para una empresa, esta puede re­gi­s­trar­se como titular del dominio, así como añadir una persona natural o una compañía como co­pro­pie­ta­rios. El resto de datos obli­ga­to­rios incluye el código postal, el número de teléfono y la dirección de correo ele­c­tró­ni­co. No es su­fi­cie­n­te con indicar un apartado postal.

Si bien RED.ES sigue re­co­gie­n­do estos datos pe­r­so­na­les tras la entrada en vigor del RGPD, ya no los muestra pú­bli­ca­me­n­te en una consulta Whois. Desde la in­tro­du­c­ción del RGPD, en los campos de Whois los datos con in­fo­r­ma­ción personal se mostrarán como “no di­vu­l­ga­dos” y solo se mostrarán datos no pe­r­so­na­les, como la fecha de ve­n­ci­mie­n­to del registro, el estado o provincia, el código postal, el país y datos de contacto (correo ele­c­tró­ni­co, teléfono), entre otros.

Se parte también de la su­po­si­ción de que habrá re­gi­s­tra­n­tes que no querrán mostrar ninguna in­fo­r­ma­ción y otros que sí, así que se prevén ambas variantes.