El Whois y la normativa de protección de datos de carácter personal

Posted by Jorge Campanillas Ciaurriz
Febrero 20, 2008

Hace unas semanas la Entidad Pública Empresarial Red.es envió una comunicación a los Agentes Registradores sobre “Consideraciones Generales acerca del cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal”. En la comunicación Red.es recordaba a los Agentes Registradores los principios de calidad de los datos, cancelación y demás obligaciones de la normativa. Seguramente dicha comunicación se ha haya producido por algún incumplimiento de la normativa de protección de datos y algún exceso realizado con los datos públicos del Whois. ¿Cómo afecta la normativa de protección de datos al Whois?

Primeramente debemos explicar para los no iniciados que por “whois” se entiende actualmente la base de datos de acceso más o menos pública (dependiendo de la entidad registradora y del tipo de dominio al que nos estemos dirigiendo) en la que aparecen los datos del titular del nombre de dominio, así como los datos de contacto técnico, administrativo y de facturación de dicho nombre de dominio. En la actualidad continuamos con la discusión sobre la necesidad de su acceso público o no, pero eso lo dejamos para otros comentarios. Lo importante es la regulación que se ha dado al whois para los nombres de dominio “.es”.

A falta de una regulación específica sobre el Whois del “.es”, nos puede servir el aviso legal que deben incluir los Agentes Registrdores según el contrato firmado con Red.es:

Esta Entidad observará en el tratamiento de los datos personales del solicitante lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y normativa de desarrollo, sin utilizarlos para finalidades distintas de las previstas en las normas que rigen la asignación de nombres de dominio bajo el “.es” y en el presente contrato. Se le informa de que la asignación del nombre de dominio requiere necesariamente que los datos personales del solicitante sean publicados en la Base de Datos del Registro de nombres de dominio bajo “.es” accesible al público a través de Internet. Con la firma del presente documento, el solicitante presta su consentimiento para dicha comunicación y tratamiento, incluyendo la publicación de sus datos personales en la Base de Datos del Registro de nombres de dominio bajo “.es”.

Por consiguiente, existe un fichero denominado Base de Datos del Registro que será accesible al público a través de Internet, si hacemos una búsqueda en la aplicación de la Agencia Española de Protección de Datos nos encontramos que Red.es ha creado una Base de Datos:

Nombre del fichero: FICHERO DE DEPARTAMENTO DE DOMINIOS
Descripción de la finalidad: GESTION DE LA RELACIONES PARA LA ASIGNACION DE NOMBRES DE DOMINIO Y RELACION CON LOS CONTACTOS DE LOS TITULARES DE DICHOS NOMBRES DE DOMINIO Y AGENTES REGISTRADORES AUTORIZADOS
Tipificación de la finalidad: PROCEDIMIENTO ADMINISTRATIVO;FINES HISTÓRICOS, ESTADÍSTICOS O CIENTÍFICOS ;

Una vez detectado el fichero, se debe aclarar si el término accesible al público se acoge al término de fuente accesible al público de la LOPD, Art. 3 (no haremos referencia a la definición que recoge el real Decreto 1720/2007, puesto que no aporta nada nuevo, exceptuando el tema de las guías de servicios de comunicaciones electrónicas, está por ver si realmente no vulnera la Ley Orgánica):

j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Por ello la base de datos del Whois no se puede considerar una fuente accesible al público, su única finalidad es conocer la titularidad de un dominio, con lo que para realizar cualquier acción de envío de comunicaciones comerciales, cesión de los datos, etc. deberemos en todo momento contar con el consentimiento del afectado e informarle sobre la finalidad de la utilización de los datos, la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.

Agencia Proteccion Datos, Dominios, Protección de Datos, Red.es

If you enjoyed this post, please consider to leave a comment or subscribe to the feed and get future articles delivered to your feed reader.

Comments
comentario por Javier Prenafeta on 20 Febrero 2008 @ 14:12

Pregunto, a tí que sabes más, ¿existe obligación legal de consentir la publicación de tus datos en un Whois?. Caso contrario, ¿los agentes registradores solicitan el consentimiento para ello?.

Para mí que no (a las dos)…

comentario por Jorge Campanillas Ciaurriz on 20 Febrero 2008 @ 14:52

Buenas Javier

La respuesta a la primera es no… a no ser que haya alguna ley que obligue y que se me haya pasado

La segunda, yo conozco algún registrador que si lo hace…

saludos

comentario por David on 20 Febrero 2008 @ 16:34

¿Se pueden usar esos datos para demandar al responsable de una web?

Es un tratamiento, y no hay consentimiento del titular de los datos para el mismo, o en este caso derivaría de las obligaciones de la LSSICE de poner a disposición del usuario de la web los datos identificativos?

Creo que no, porque no tienen porque coincidir titular del dominio y responsable de la web, pero ¿dice algo la agencia?

Un saludo.

comentario por Jorge Campanillas Ciaurriz on 20 Febrero 2008 @ 16:40

Buenas David

Está claro que uno es el titular del dominio y otro puede ser el titular de la web (la de veces que el nombre de dominio está a nombre de la empresa que ha desarrollado la web… de eso ya hablaremos). Por lo que entiendo que los datos del whois sólo se pueden utilizar para ponerse en contacto con el titular del dominio, pero no para ninguna otra actividad.

Creo que la Agencia está estudiando el tema y próximamente nos deleitará…

Saludos

comentario por Miguel A. Mata on 20 Febrero 2008 @ 16:54

Buenas tardes,

espero como agua de mayo la “interpretación” de la AEPD en este sentido.

Hoy estuve en un Desayuno sobre el Reglamento de desarrollo de la LOPD y el Director de la AEPD, al que quería preguntar unas cuantas cosas, al final canceló su asistencia. ¡ Lástima !

La próxima vez será…

Un saludo,

Miguel A. Mata

comentario por David Fernández Mena on 20 Febrero 2008 @ 17:34

Segun yo, consientes contratualemnte, de tal forma que la LOPD lo permitiria….

comentario por Sergio Carrasco on 21 Febrero 2008 @ 11:45
comentario por Sergio Carrasco on 21 Febrero 2008 @ 11:58

Uy, me confundí, quería decir por supuesto el artículo 3.7.7.1

“The Registered Name Holder shall provide to Registrar accurate and reliable contact details and promptly correct and update them during the term of the Registered Name registration”

Otro tema es lo que están desarrollando al respecto de protección de datos (y siempre hablando del ICANN)

comentario por Pennylane on 21 Febrero 2008 @ 12:21

En relación a la obligatoriedad de proporcionar datos personales durante el proceso de registro de un dominio, legalmente no existe ley en españa que imponga esta obligación, no obstante, la normativa de ICANN a este respecto es muy clara tanto ante el acuerdo de acreditación con cada Registrador autorizado como cara al usuario final titular de un dominio.

Los datos han de ser verdaderos y certeros, así como comprobables, de lo contrario ICANN se reserva el derecho a cancelar de forma unilateral el nombre de dominio. De ahí que los Registradores autorizados obliguen a sus clientes a proporcionar estos datos y a reclamar su consentimiento de publicidad para los mismos.

No os fiéis de los Registros privados, es un buen negocio para esas empresas pero el propietario real del dominio está legalmente desamparado ya que nada le vincula al dominio en cuestión…… hay que ir con mucho ojo.

PD: en la práctica, son esos datos del whois los que habilitan y facilitan las demandas en cuestión de controversias entre marcas y nombres de dominio…. así pues se utilizan los datos del whois para fines legales ya que en el acuerdo de registro, el titular del dominio consiente éste tratamiento.

Trackbacks por meneame.net on 23 Febrero 2008 @ 13:52

El Whois y la normativa de protección de datos de carácter personal…

[...] La base de datos del Whois no se puede considerar una fuente accesible al público, su única finalidad es conocer la titularidad de un dominio, con lo que para realizar cualquier acción de envío de comunicaciones comerciales, cesión de los da…

Pingback por El Whois de los dominios ¿Es una fuente accesible al público? on 2 Marzo 2008 @ 22:58

[...] ¿Se pueden recoger datos del Whois y utilizarlos como si fuera una fuente accesible al público? O en la práctica, ¿podemos recoger datos del Whois y hacer envíos postales o por e-mail con ellos? La respuesta es NO y puedes leer una extensa explicación de porque no en un artículo de Jorga Campanillas de iurismatica. [...]

Pingback por El Whois y la normativa de protección de datos de carácter personal - TodoNoticiasLOPD on 10 Mayo 2008 @ 10:55

[...] http://www.iurismatica.com Tags: AGPD, apd aepd, normativa, proteccion de datos, proteccion de datos de caracter personal, [...]

Deja un comentario

(requerido)

(requerido)