El «whois» de los nombres de dominio .es y la normativa de protección de datos personales.
publicado el 10 febrero 2009
Categorías: .es / Agencia Proteccion Datos / Dominios / INTECO / LOPD / Protección de Datos / Red.es
Ayer Samuel Parra publicaba una entrada muy interesante en el blog de INTECO en la que comentaba una resolución de la Agencia Española de Protección de Datos, donde ésta archiva el procedimiento sancionador abierto contra la Entidad Pública Empresarial Red.es. Para una mejor comprensión del caso y de lo que realmente se está hablando debemos acudir a la propia resolución:
Con fecha 17 de diciembre de 2007, tuvo entrada en esta Agencia escrito de D. R.R.R. (en lo sucesivo el denunciante) en el que declara que es titular del dominio de Internet www…..X…., que fue contratado con ARRAKIS BT la cual registro dicho dominio en el registro del Ministerio de Industria y Turismo sin que se le advirtiera que dicho registro es público y por tanto fueran accesibles sus datos de nombre, dirección completa, número de teléfono y dirección de correo electrónico. El acceso a dichos datos se realiza a través de Internet lo que el denunciante considera que facilita la captura de los mismos. El denunciante manifiesta su disconformidad con el hecho de que para poder tener disponible el citado dominio sus datos personales deban ser públicos.
La denuncia pone de manifiesto una de las muchas quejas que nosotros mismos hemos recibido y que no es otra sobre la publicación de datos en el whois que , según la «jerga» de la normativa de protección de datos, estaríamos hablando de una cesión de datos, para la cuál se necesitaría el consentimiento del afectado. Pues bien según lo publicado por Samuel siguiendo la resolución de la Agencia, no es necesario el consentimiento del afectado para la cesión de datos, puesto que existiría la excepción del artículo 11 de la LOPD, al existir una ley que autoriza o prevea la cesión de datos:
Por tanto, cabe preguntarse si existe alguna ley que autorice o prevea esta cesión de datos que está realizando Red.es con la información de su registro de dominios. La respuesta a esa pregunta debe ser afirmativa, y es la argumentación utilizada por la propia Agencia para archivar el expediente. La Ley 14/2000, de 29 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, en su disposición adicional decimoctava, Procedimiento de asignación de nombres y direcciones de dominio de Internet bajo el código de país correspondiente a España (.es), establece que: «[…] La Entidad pública empresarial Red.es dará publicidad a los procedimientos de asignación y registro que se adopten, los cuales estarán disponibles al público por medios electrónicos y de forma gratuita.». De esta forma, al existir una ley que autoriza la cesión, no es necesario el consentimiento de los afectados; la denuncia presentada por R.R.R. queda archivada.
En su día ya hablamos en este mismo blog sobre el «Whois y la normativa de Protección de Datos Personales» donde a nuestro entender y en cierta forma lo refrenda la mencionada resolución:
Por ello la base de datos del Whois no se puede considerar una fuente accesible al público, su única finalidad es conocer la titularidad de un dominio, con lo que para realizar cualquier acción de envío de comunicaciones comerciales, cesión de los datos, etc. deberemos en todo momento contar con el consentimiento del afectado e informarle sobre la finalidad de la utilización de los datos, la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.
Otra cosa será si en cumplimiento del artículo 7 del RD 1720/2007 se podría entender el «whois» como una fuente accesible al público al considerarse el mismo como «guía de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica» con lo que ello implicaría a la hora de poder utilizar esos datos para finalidades de marketing, etc. siempre en cumplimiento de la propia normativa y con las reglas establecidas para este tipo de fuentes.