Titular del dominio, admin-c y tech-c: ¿qué cambia con el RGPD?

Al registrar un dominio, las directrices de RED.ES obligan a proporcionar cierta información al registro sobre el dominio y sobre su titular o propietario, así como sobre las diversas personas de contacto. Una entrada en la base de datos Whois solía componerse de los datos personales del titular del dominio, de su administrador general (admin-c), de su contacto técnico (tech-c) y de su gestor de zona (zone-c). Con la entrada en vigor el 25 de mayo de 2018 del controvertido Reglamento General de Protección de Datos cambian también las políticas de privacidad en el registro de dominios.

Desde el 25 de mayo de 2018 se ha de aplicar consecuentemente en España el nuevo Reglamento General de Protección de Datos (RGPD) europeo tras un periodo de dos años de adaptación desde su entrada en vigor en 2016, si bien ya desde hace meses ha venido siendo objeto de acaloradas discusiones entre los defensores de la protección de la privacidad y los representantes financieros, que ven peligrar sus modelos de negocio. Tampoco está claro cómo los juristas van a interpretar el nuevo reglamento en el futuro y qué consecuencias reales tendrá en la economía y en otros aspectos de la vida cotidiana.

En el caso que nos ocupa, si bien el nuevo RGPD no prescribe medidas explícitas para la gestión de los dominios, sí lo hace para la recopilación y el almacenamiento de datos privados. Entre la espada y la pared (a pesar de haber tenido un plazo de dos años para adaptar sus políticas), la americana ICANN, máxima autoridad en Internet para la asignación de nombres y responsable de la gestión de la base de datos Whois, intentó lograr una moratoria elaborando en enero de 2018 una “Especificación temporal para los datos de registración de los gTLD” con el objetivo de mantener los contratos vigentes con los registradores de los dominios genéricos de nivel superior (.com, .net) sin comprometer las nuevas especificaciones europeas en políticas de privacidad. La iniciativa, aunque fue bien recibida, no superó las reticencias del Grupo de Trabajo del Artículo 29 (grupo europeo especializado en protección de datos), que rechazó finalmente la moratoria. Esto significa que la ICANN no podrá seguir recopilando ni almacenando los datos privados de los titulares de los dominios como venía haciendo hasta ahora y que tendrá que aplicar medidas concretas para adaptarse al reglamento europeo.

En ese documento se especifica que, si bien no cambian sus políticas de registro en lo esencial, sí se ve modificada la forma en que se accede a los datos, que estará escalonada en función de la legitimidad de la consulta. Concretamente para el registro Whois, esto significa que los datos personales y de contacto de los titulares de los dominios y sus administradores ya no estarán disponibles públicamente como hasta ahora. En lugar de ello, se establece un formulario de contacto o un correo general al que dirigir la consulta. Estas medidas, que el GT29 ve positivas, no resuelven el problema de fondo pese a todo. Con Estados Unidos oponiéndose al RGPD, el conflicto sigue abierto porque, según esta nueva normativa, la ICANN no podría siquiera guardar esa información. La supervivencia del Whois, tal como se conoce hasta ahora, estaría en peligro.

¿Qué ocurre, entonces, con RED.ES, el organismo responsable de gestionar el dominio de nivel superior .es y cuyo trabajo podría verse comprometido desde el punto de vista de la protección de los datos personales? En este sentido también se han visto cambios: recientemente RED.ES ha informado a los agentes registradores que los admin-c y tech-c dejarán de ser públicos y solo serán accesibles a quien solicite la información por formulario.

Estos cambios podrían provocar reacciones diversas entre los usuarios de la base de datos. El nuevo sistema no obstaculiza el propósito primario de las consultas Whois, que es precisamente la toma de contacto con los administradores de un dominio en el caso de consultas generales, técnicas o legales. Para aquellos interesados en la compra de un dominio, sin embargo, ya no es posible obtener tan fácilmente la información sobre su disponibilidad o sobre la probable fecha de expiración del contrato. También para los investigadores en seguridad o los periodistas, los detallados registros de la base de datos internacional constituían una excelente fuente de información.

Para el común de los mortales, las ventajas de las nuevas directrices en el contexto de la protección de la privacidad es indudable, puesto que las empresas y organizaciones menos profesionales ya no podrán obtener los datos privados de los titulares de los dominios, del admin-c, del tech-c o del zone-c sin consentimiento para utilizarlos con fines publicitarios o delictivos.

A continuación repasamos qué datos serán necesarios a partir de ahora para registrar un dominio y cuáles estarán visibles.

El titular de un dominio es el socio del contrato que cierra con un agente registrador cuando registra un dominio. Cuando se registra una dirección web, se obtiene la titularidad (propiedad) de un dominio. Esta figura no tiene que ser una persona natural: si se registra una dirección web para una empresa, esta puede registrarse como titular del dominio, así como añadir una persona natural o una compañía como copropietarios. El resto de datos obligatorios incluye el código postal, el número de teléfono y la dirección de correo electrónico. No es suficiente con indicar un apartado postal.

Si bien RED.ES sigue recogiendo estos datos personales tras la entrada en vigor del RGPD, ya no los muestra públicamente en una consulta Whois. Desde la introducción del RGPD, en los campos de Whois los datos con información personal se mostrarán como “no divulgados” y solo se mostrarán datos no personales, como la fecha de vencimiento del registro, el estado o provincia, el código postal, el país y datos de contacto (correo electrónico, teléfono), entre otros.

Se parte también de la suposición de que habrá registrantes que no querrán mostrar ninguna información y otros que sí, así que se prevén ambas variantes.