Publicado el 15-10-2019
Luis Arancibia
Nic .cl, Miembro del Consejo Directivo de LACTLD

Nombres de dominio, Whois y datos personales. Novedades desde Chile.

El año 2018 ciertamente será recordado como un año decisivo en la protección de datos en todo el mundo. A partir de enero de 2018, más de 100 países promulgaron sus legislaciones de protección de datos, y alrededor de 40 países estaban tramitando proyectos de leyes en la materia. Chile no está ajeno a dicho proceso. El 15 de mayo de 2018 se aprobó una reforma a la Constitución Política por la cual se estableció explícitamente el derecho a la protección de datos personales como un derecho de rango constitucional. Al mismo tiempo, se encuentra en discusión actualmente el proyecto de ley para una nueva ley de datos personales, que sustituirá el régimen establecido por la ley 19.628 sobre Protección de Datos de Carácter Personal de agosto de 1999.

En este contexto se despliega – si es que acaso no es el gatillador de dicho proceso- el Reglamento de Protección de Datos de la Unión Europea, también conocido como GDPR, el cual se ha convertido claramente en un modelo para el resto del mundo. El GDPR es, sin duda, el desarrollo regulatorio más importante en materia de protección de datos personales vigente hasta la fecha. Basado en un mecanismo detallado y protector, está influyendo en el uso de los datos personales y a muchas legislaciones en todo el mundo. Entendido correctamente, el GDPR alentará a las empresas a desarrollar marcos precisos y explícitos de gestión de la información, a utilizar los datos personales en base a una práctica que las obligará a mantener a los titulares de los datos informados sobre la toma de decisiones respecto de ellos. Para alcanzar estos objetivos, el GDPR utiliza criterios y herramientas jurídicas y procedimentales, que serán los factores estructurales que facilitarán la comprobación de violaciones y brechas, a la vez que pondrá en tela de juicio a algunos modelos de negocio concebidos en base al uso intensivo de información de personas.

Si bien se trata de una norma europea, su alcance se ha extendido mucho más allá, porque se aplica en todos los casos en que se procesan los datos personales de personas naturales que permanezcan en la Unión Europea, independiente del lugar del mundo en el que se hace dicho procesamiento.

Lo anterior ha obligado a muchos servicios de Internet a actualizar sus políticas de privacidad para adecuarse a dicha norma. En el ámbito de nombres de dominio, muchos Registros y empresas registradoras del mundo han tenido que cambiar sus políticas para los servicios de consulta -lo que se denomina WHOIS- que son los que proveen acceso a los datos de registro de los dominios, limitando la información que se publica.

En el caso de NIC Chile, solo una muy pequeña fracción de sus usuarios estarían cubiertos por las disposiciones de GDPR. No obstante lo anterior, dado que el GDPR se ha transformado en un importante referente mundial en el ámbito de protección de datos personales, NIC Chile decidió voluntariamente efectuar a contar del 25 de mayo de 2018 adecuaciones a su política de acceso a los datos de registro, elevando el nivel de protección reconocido a todos sus usuarios.

A través de establecer una Política sobre publicación de datos del Registro de Nombres de Dominio .CL, se fijó las condiciones bajo las cuales la información de los nombres de dominio están disponibles para su consulta pública en la base de datos de nombres de dominio bajo .CL. La referida Política se ocupa de fijar limitaciones al uso de la información que proporciona, por cuanto los datos asociados a un dominio .CL se proveen exclusivamente para fines relacionados con la gestión del servicio de nombres de dominio .CL, la operación del DNS y la resolución de controversias por nombres de dominio.

Junto a lo expresado, la Política se hace cargo de reducir los datos disponibles de los nombres de dominio, determinando que el conjunto que publicará estará acotado al nombre de dominio, el estado del registro, la fecha de creación y expiración de la inscripción, el agente registrador, nombre o razón social del titular y el nombre de los servidores DNS. Se eliminó información de contacto del titular, contacto administrativo y técnico, entre otros. Tomando como referencia recomendaciones de ICANN, se diseñó un formulario para que los interesados que se identifiquen debidamente puedan comunicarse con los contactos de un dominio. NIC Chile se hace cargo de enviar la comunicación a los contactos correspondientes y será decisión de ellos responder a dicha comunicación. Con la finalidad de evitar los abusos en la utilización del formulario, se obliga a todo interesado en utilizarlo a declarar que no hará uso del servicio para el envío de correos no solicitados (spam), ni cualquier otro uso contrario a las condiciones señaladas en la Política. Sin perjuicio de lo anterior, los datos de inscripción de un dominio podrán ser entregados a requerimiento formal de cualquier autoridad judicial o administrativa facultada legalmente para requerirla y de conformidad con las leyes de la República de Chile. Adicionalmente y para asegurar el uso adecuado y pertinente de la información del servicio de publicación de datos de nombres de dominio, NIC Chile podrá adoptar todas las medidas que estime necesarias para el resguardo y uso legítimo de la información de la que es depositario. Podrá decidir, entre otras, que los usuarios deban leer y aceptar los Términos de uso de la información; introducir el uso de captcha, poner límites a las consultas para evitar la extracción indebida de datos; fijar un plazo a partir de la cual la información podrá estar disponible, etcétera, así como proveer un mecanismo para que los destinatarios de estas comunicaciones puedan reportar eventuales abusos.

A más de un año de vigencia de los cambios en el servicio de información de los dominios, se ha podido constatar una reducción sustancial de los reclamos de los clientes de NIC Chile por abuso de la información que se hacía por spam u otros usos no consentidos por ellos. Asimismo, los cambios están sintonizados con los resultados del estado del proceso de discusión sobre el servicio de Whois que estaba teniendo lugar en la industria de los nombres de dominio con ocasión del GDPR, y seguimos atentos a la evolución de ese proceso, que aún continúa. En paralelo, se ha puesto la protección de los datos personales de los usuarios de NIC Chile como centro de las preocupaciones del Registro, a la espera de las futuras adecuaciones que podrían tener lugar con la nueva legislación en la materia.