Iurismatica - Derecho TICs

Al estilo culebrón televisivo cada día nos levantamos con una decisión diferente en la guerra que parece que ha emprendido el Principado de Asturias por conseguir la mayor cantidad de nombres de dominio posibles. Recapitulando las diferentes decisiones nos encontramos que (en caso de que se me haya pasado alguna, estimado lector, háznosla llegar para así tener la historia completa):

Dominios NO RECUPERADOS:

1. asturies.biz
2. asturias.com
3. asturias.org
4. asturias.net

Dominios RECUPERADOS:

1. asturies.es (spain is different)

En el caso de asturies.es, la decisión publicada hoy por la OMPI viene a contradecir todas las decisiones anteriores (que si bien, debe quedar claro que nos encontramos ante políticas de registro diferentes), y de una forma un tanto rocambolesca (si me permiten la expresión), el experto decide que al Demandante lo debemos considerar como la propia administración pública Asturiana y, por tanto, reconocible regularmente bajo el término “Asturias” y como tal se encuentra obligada a propiciar el conocimiento del asturiano, es decir, a hacerse conocer bajo el término “Asturies”. En definitiva, que los términos “Asturias” y “Asturies” constituyen un Derecho Previo de la Demandante. Perfecto, los nombres geográficos pertenecen ahora a nuestras instituciones, si ya lo decía yo que el término de España sólo lo puede utilizar el Gobierno de España, los demás ni se os ocurra mentarlo!!!

El siguiente párrafo dejo a los lectores juristas para que opinen, por que yo, llegado a este punto, ya no entiendo nada:

En todo caso, el uso del nombre de dominio constituye una actuación especulativa en tanto en cuanto impide a la administración asturiana dar cumplimiento debido a las obligaciones que le impone la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos por la que se reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos y regula los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica. En este caso, parece razonable que los ciudadanos que por diversos motivos se deban relacionar con la administración asturiana esperen acceder a sus servicios a través del nombre de dominio verían desatendidos sus derechos si este no corresponde a la administración asturiana.

La Entidad Pública Empresarial red.es e INTECO han publicado un procedimiento para hacer frente al “phishing” que puede servir siempre y cuando se produzcan bajo nombres de dominio con el código correspondiente a España “.es”. Dichas entidades informan que:

Con el objeto de actuar contra el fraude electrónico que se produzca en nombres de dominio bajo el “.es”, la entidad pública empresarial Red.es (en adelante, “Red.es”) en connivencia con el Instituto Nacional de Tecnologías de la Información (en adelante, “INTECO”), organismo que presta atención a todos los tipos de fraude electrónico, centrándose sobre todo en los casos relacionados con nombres de dominio bajo el “.es”, pone de manifiesto lo siguiente:

• Siempre que se detecte un posible caso de phishing, los usuarios pueden remitir el caso a INTECO, a través del buzón de correo electrónico fraude@cert.inteco.es. Una vez recibida la información en INTECO y, una vez caracterizado el caso, INTECO contacta con todas las entidades implicadas para facilitar la detección temprana del phishing de forma que cada agente tome las medidas que estime oportunas y, según lo establecido en el Protocolo “.es”, comunica a Red.es el caso a efectos de iniciar un procedimiento de cancelación de oficio respecto a los nombres de dominio afectados.

• Las denuncias a las Fuerzas y Cuerpos de Seguridad del Estado (en adelante, “FSCE”), las han de presentar los afectados, indicándoles INTECO el procedimiento a seguir. No obstante, INTECO colabora con las FSCE proporcionando información complementaria a sus investigaciones cuando así lo requieren.

• Red.es no tiene atribuidas más competencias que las señaladas anteriormente para actuar contra casos de phishing, ya que se trata de una modalidad de estafa, delito tipificado en el Código Penal, por lo que es la jurisdicción penal la que tiene atribuidas mayores competencias al respecto.

• Dicho procedimiento tiene por objeto bloquear el nombre de dominio durante el transcurso del mismo y comprobar si se está produciendo un incumplimiento de las condiciones de asignación y de uso del nombre de dominio bajo “.es”, emitiéndose Resolución estimatoria o desestimatoria. Si la Resolución es estimatoria, se cancela el nombre de dominio a su titular, quedando en situación de libre asignación.

• Una vez recibida en Red.es la comunicación de uno o varios casos de phishing contenidos en páginas web bajo el código de país “.es”, la Autoridad de Asignación inicia, en vía administrativa, un procedimiento de cancelación de oficio, regulado en el Capítulo V de la Instrucción del Director General de la entidad pública empresarial Red.es, por la que se desarrollan los procedimientos aplicables a la asignación y a las demás operaciones asociadas al registro de nombres de dominio bajo el “.es”.

En este caso no podemos sino que aplaudir y apoyar tanto al INTECO como a la Entidad Pública Empresarial Red.es por la labor y el esfuerzo (que me consta) que realizan con la intención de luchar contra este tipo de actos.

Vía Isabel Vázquez, he podido observar las estadísticas publicadas por la Entidad Pública Empresarial Red.es sobre los registros de dominios bajo el “.es”. Este mes de febrero la cifra de registros se queda en 885.879, cerca ya de la tan deseada cifra del millón de dominios anhelada por red.es. Si observamos los crecimientos desde el pasado mes de noviembre vemos que los registros han dado un tirón (leve pero tirón) propiciado seguramente por los diferentes planes puestos en marcha por la entidad ya sea por el “programa new” ya sea por la promoción de un dominio gratis, veremos a ver que repercusión tendrá el programa “Jóvenes en Red“. Este último programa se puso ya en funcionamiento el pasado 15 de marzo una vez que fueron seleccionados los Agentes Registradores ganadores del concurso público: Hostinet, Hostalia, Acens y Arsys. ¡Enhorabuena a todos ellos!

Está claro que cuando te dedicas a una “especialidad” en cualquier sector profesional lo mejor es observar las diferentes ofertas de trabajo o concursos para provisión de plazas en las instituciones de referencia en la especialidad. Esta temporada ha habido diferentes propuestas para Licenciados en Derecho con algún Máster en Derecho Informático o similar o con amplios conocimientos en Protección de Datos:

- La Agencia Española de Protección de Datos convoca la provisión de puestos de libre designación.

- La Entidad Pública Empresarial Red.es publicó el concurso para la convocatoria para la contratación de servicios profesionales de dos asesores jurídicos.

- Inteco publicó la convocatoria para la contratación de un técnico jurídico.

Hace unas semanas la Entidad Pública Empresarial Red.es envió una comunicación a los Agentes Registradores sobre “Consideraciones Generales acerca del cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal”. En la comunicación Red.es recordaba a los Agentes Registradores los principios de calidad de los datos, cancelación y demás obligaciones de la normativa. Seguramente dicha comunicación se ha haya producido por algún incumplimiento de la normativa de protección de datos y algún exceso realizado con los datos públicos del Whois. ¿Cómo afecta la normativa de protección de datos al Whois?

Primeramente debemos explicar para los no iniciados que por “whois” se entiende actualmente la base de datos de acceso más o menos pública (dependiendo de la entidad registradora y del tipo de dominio al que nos estemos dirigiendo) en la que aparecen los datos del titular del nombre de dominio, así como los datos de contacto técnico, administrativo y de facturación de dicho nombre de dominio. En la actualidad continuamos con la discusión sobre la necesidad de su acceso público o no, pero eso lo dejamos para otros comentarios. Lo importante es la regulación que se ha dado al whois para los nombres de dominio “.es”.

A falta de una regulación específica sobre el Whois del “.es”, nos puede servir el aviso legal que deben incluir los Agentes Registrdores según el contrato firmado con Red.es:

Esta Entidad observará en el tratamiento de los datos personales del solicitante lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y normativa de desarrollo, sin utilizarlos para finalidades distintas de las previstas en las normas que rigen la asignación de nombres de dominio bajo el “.es” y en el presente contrato. Se le informa de que la asignación del nombre de dominio requiere necesariamente que los datos personales del solicitante sean publicados en la Base de Datos del Registro de nombres de dominio bajo “.es” accesible al público a través de Internet. Con la firma del presente documento, el solicitante presta su consentimiento para dicha comunicación y tratamiento, incluyendo la publicación de sus datos personales en la Base de Datos del Registro de nombres de dominio bajo “.es”.

Por consiguiente, existe un fichero denominado Base de Datos del Registro que será accesible al público a través de Internet, si hacemos una búsqueda en la aplicación de la Agencia Española de Protección de Datos nos encontramos que Red.es ha creado una Base de Datos:

Una vez detectado el fichero, se debe aclarar si el término accesible al público se acoge al término de fuente accesible al público de la LOPD, Art. 3 (no haremos referencia a la definición que recoge el real Decreto 1720/2007, puesto que no aporta nada nuevo, exceptuando el tema de las guías de servicios de comunicaciones electrónicas, está por ver si realmente no vulnera la Ley Orgánica):

j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Por ello la base de datos del Whois no se puede considerar una fuente accesible al público, su única finalidad es conocer la titularidad de un dominio, con lo que para realizar cualquier acción de envío de comunicaciones comerciales, cesión de los datos, etc. deberemos en todo momento contar con el consentimiento del afectado e informarle sobre la finalidad de la utilización de los datos, la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.