La llegada del Reglamento General de Protección de Datos provoca cambios relevantes en la publicación de la información relativa a los titulares de los dominios genéricos gestionados por la Corporation for Assigned Names and Numbers (ICANN).
Recientemente la ICANN ha comunicado la adaptación del sistema de dominios a través de WHOIS al Reglamento General de Protección de Datos. La adaptación al RGPD ha provocado que los datos de los titulares de los dominios dejen de ser públicos por defecto. Esta medida supone un gran obstáculo en relación a las reclamaciones de dominios usurpados ya que habitualmente cuando a una empresa le han usurpado un dominio, lo habitual es que se requiera al titular para solicitar el cese en el uso del dominio y para solicitarle la reivindicación de la titularidad.
En muchas ocasiones estos requerimientos son efectivos, de manera que la empresa puede evitar el pago de las tasas de recuperación de dominios, así como los honorarios de los abogados especializados en ciberocupación. Las no publicaciones de los datos de contacto impedirán iniciar estas negociaciones extrajudiciales de manera sencilla.
La ICANN propone una solución transitoria por la que únicamente quienes puedan demostrar interés legítimo, podrían solicitar al agente registrador los datos personales de los titulares de los dominios potencialmente infractores. La ICANN propone que esta comunicación se realice bien a través de un correo electrónico anónimo o bien a través de un formulario web.
Es obvio que estos cambios eran necesarios ya que el sistema de publicación de los datos del WHOIS no cumplía con los principios del RGPD y por tanto se debía tomar alguna medida, a pesar de los perjuicios que esto puede provocar en la tutela judicial efectiva de una empresa que ha podido sufrir una ciberocupación.
La ICANN ha establecido esta medida, temporal, tras las comunicaciones mantenidas con el Grupo de Trabajo del Artículo 29 (el Grupo Europeo especializado en Protección de datos, en lo sucesivo G29). El G29 considera adecuada la medida de contacto con los titulares a través de otros medios que no sean la publicación de los datos. Pincha aquí para acceder a la carta.
Además, esta medida no solo se ha limitado a ocultar los datos de los titulares personas físicas, sino que la medida ha provocado que también se oculten los datos relativos a titulares personas jurídicas, que en ningún caso se verían afectados por el RGPD.
Respecto a la gestión de los nombres de dominio .es gestionados por el RED.ES, también se han realizado cambios en las políticas, adaptándose al RGPD. Recientemente RED.ES ha comunicado a los agentes registradores que los datos correspondientes a las personas de contacto técnico y administrativo dejarán de ser públicos, proporcionándose un formulario para quien solicite la información dichos contactos.
Además, RED.ES ha comunicado a todos los agentes las nuevas normas, remitiendo contratos específicos respecto al tratamiento de datos personales, considerando a los agentes como encargados del tratamiento.
Volviendo al asunto de WHOIS, las medidas temporales para poder obtener la información de los titulares de dominios esperemos que sean efectivas y que no sean un trámite complejo que impidan a la larga contactar con los titulares de dominios. Si bien, además, se dará la circunstancia de que se tenga que solicitar la autorización para que el agente registrador facilite los datos y cuando estos hayan sido facilitados el usurpado se encuentre con que dichos datos eran falsos, es decir que pueda resultar imposible contactar con el titular del dominio, por lo que las acciones de solicitud de la información no habrán servido para nada.
Trasladando esta problemática a otros ámbitos, ¿Qué ocurrirá con la publicación de los datos de los titulares de marcas o de patentes o de los datos de los inventores de una patente, o los datos del Registro Mercantil?, ¿Se aplicarán las mismas medidas?, ¿Se considerarán exceptuaciones a la publicación sin consentimiento de los datos personales? Obviamente en estos casos contamos con leyes que permiten que estas tipologías de datos sean públicos, pero el RGPD debería suponer una revisión en profundidad de la publicación de los datos en los Boletines Oficiales.
Confiemos en que las medidas y las obligaciones que establece el RGPD se apliquen con lógica, ya que es un Reglamento complejo que afecta a cualquier empresa, ubicada en cualquier país del mundo (siempre que se traten datos personales de europeos) y cuya aplicación estricta puede suponer grandes obstáculos para las empresas.
En mi opinión el Reglamento se aprueba para limitar el tratamiento de datos que de un tiempo a esta parte estaban realizando las grandes empresas GOOGLE, FACEBOOK respecto de la que los usuarios teníamos una sensación de no tener el control sobre nuestros datos y sin embargo el RGPD, que creo que sí consigue este objetivo, provoca que cualquier empresa, cualquiera, la frutería de debajo de mi casa o la enfermera autónoma que asiste a pacientes a domicilio, tenga que cumplir con el RGPD, lo que puede suponer que tenga que realizar un esfuerzo económico elevado para adaptarse a esta normativa.