es

Actualización sobre iniciativas de la ICANN relacionadas con el GDPR

23 de diciembre de 2020

Göran MarbyGöran Marby, President and Chief Executive Officer (CEO)

Al acercarnos a final del año, me gustaría dedicar un momento para presentar una reseña sobre las iniciativas de la ICANN en relación con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), y sobre lo que podemos esperar en este 2021.

Recomendaciones de la Fase 2 del EPDP

Como mencioné en octubre, el equipo responsable de la Fase 2 del Proceso Expeditivo de Desarrollo de Políticas (EPDP) presentó su informe final ante el Consejo de la Organización de Apoyo para Nombres Genéricos (GNSO), que lo aceptó y lo envió a la Junta Directiva de la ICANN para su consideración. Cuando la GNSO decide sobre una política y la Junta Directiva de la ICANN nos indica que la implementemos, el trabajo de la organización de la ICANN es lograr que eso suceda.

En el Informe Final de la Fase 2 del EPDP, se esbozan 22 recomendaciones, 18 de las cuales se refieren a un Sistema Estandarizado de Acceso/Divulgación (SSAD) para los datos de registración de los dominios genéricos de alto nivel (gTLD) sin carácter público. En su respuesta, la Junta Directiva indicó que tiene la intención de iniciar una fase de diseño operativo (ODP) para evaluar el impacto operativo de estas 18 recomendaciones del SSAD, que se pondrá en marcha a principios de 2021. Esta ODP, al igual que las evaluaciones de factibilidad que la organización de la ICANN preparó previamente para la Junta Directiva antes de considerar las recomendaciones de políticas, tiene por objeto informar a la Junta Directiva mediante un análisis minucioso de los posibles riesgos, costos, requisitos de recursos y plazos de implementación. He solicitado a las Organizaciones de Apoyo y Comités Asesores que nos proporcionen sus comentarios sobre la ODP propuesta antes del 22 de enero de 2021.

Las cuatro recomendaciones restantes se refieren a cuestiones respecto de las cuales el EPDP no pudo llegar a una conclusión durante la Fase 1, como el período de retención de datos para los datos de registración y la presentación de información sobre privacidad y representación (proxy). Estas cuatro recomendaciones de "Prioridad 2" han sido publicadas para comentario público y los animo a que envíen sus opiniones y comentarios antes del cierre del período, el 22 de enero de 2021.

Mientras la Junta Directiva de la ICANN considera el Informe Final de la Fase 2 del EPDP, el EPDP continuará con su trabajo de la Fase 2A, que tiene como objetivo resolver dos temas pendientes. El primer tema es la cuestión de si la política de datos de los registratarios debe distinguir entre los datos de personas jurídicas y los de personas físicas, teniendo en cuenta el estudio realizado por la organización de la ICANN, el asesoramiento jurídico y la información recibida durante el período de comentario público. El segundo tema refiere a la factibilidad de los contactos únicos para tener una dirección de correo electrónico anonimizada uniforme en todas las registraciones. El equipo examinará el asesoramiento jurídico recibido sobre cada tema y evaluará más a fondo estas cuestiones para determinar si se debe recomendar algún otro requisito o asesoramiento jurídico sobre estos temas.

Esta iniciativa ha sido posible únicamente gracias a la comunidad de la ICANN. Quisiera agradecer a todos los que han participado en este proceso increíblemente importante por su continua dedicación a la búsqueda de una solución que permita que los servicios de directorio de datos de registración se ajusten a la normativa del GDPR.

Participación y avances en Europa

Mientras tanto, han continuado las iniciativas de participación de la organización de la ICANN con la Comisión Europea (CE), las autoridades europeas de protección de datos y el Comité Europeo de Protección de Datos (EDPB). En los días 15 y 16 de diciembre de 2020, se dieron a conocer varias iniciativas importantes de la Unión Europea de interés para el Sistema de Nombres de Dominio (DNS), incluidos los datos de registración de nombres de dominio y los proveedores de servicios del DNS. Los invitamos a obtener más información sobre estas iniciativas en este blog de nuestro equipo de Participación Gubernamental.

Entre estas iniciativas, destaca especialmente la propuesta de una Directiva revisada sobre la Seguridad de las redes y los sistemas de información (Directiva NIS2). Esta propuesta exigiría a los Estados miembros de la Unión Europea que se aseguren de que los registros y registradores de nombres de dominio "recopilen y mantengan datos exactos y completos sobre registraciones de nombres de dominio" y "faciliten el acceso a datos específicos sobre registraciones de nombres de dominio ante la petición lícita y debidamente justificada de los solicitantes de acceso", conforme a las leyes de protección de datos de la Unión Europea. En su más reciente carta a la organización de la ICANN, la Comisión Europea (CE) destacó la pertinencia de la Directiva NIS2 y señaló el hecho de que la propuesta "deja abierta la posibilidad de utilizar una interfaz, un portal u otras herramientas técnicas para proporcionar un sistema eficiente de solicitud y acceso a los datos de registración".

La Directiva NIS2 se suma al debate de la comunidad acerca de cómo el GDPR puede aplicarse a la exactitud de los datos de registración. La CE ha reiterado en repetidas ocasiones la opinión que señala que la actual obligación del GDPR, que exige que los responsables del tratamiento de datos adopten medidas razonables para garantizar la exactitud de los datos personales para los que se procesan, ya genera un riesgo de incumplimiento del GDPR en relación con los datos de registración en caso de que dichas medidas no sean adecuadas. Por lo tanto, resulta interesante que la Directiva NIS2 propuesta por la CE explicite la exactitud de los datos de registración.

Si bien, en esta etapa, la Directiva NIS2 es una propuesta legislativa que, una vez acordada y consecuentemente adoptada, requerirá otros 18 meses para su implementación en las leyes nacionales de los Estados miembros de la UE, la legislación de protección de datos de la UE actualmente aplicable plantea una serie de desafíos para la implementación oportuna del SSAD. Esto incluye la incertidumbre sobre la legalidad de las transferencias de datos desde la UE y el Espacio Económico Europeo (EEE) a terceros países tras la decisión del caso Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), así como la aún incierta interpretación de los conceptos de responsable del tratamiento y encargado del tratamiento, especialmente en modelos técnicamente complejos de múltiples partes interesadas como el SSAD.

La organización de la ICANN ha expresado su preocupación a este respecto ante las autoridades pertinentes de la UE, incluidos el EDPB y la CE. También ha comentado recientemente las medidas propuestas por el EDPB que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE, las cláusulas contractuales estándar actualizadas de la CE para la transferencia de datos personales a países no pertenecientes a la UE, así como la consulta del EDPB sobre las directrices para los conceptos de responsable del tratamiento y encargado del tratamiento.

Se necesita más claridad y orientación por parte de las autoridades pertinentes de la Unión Europea para fomentar la capacidad de la organización de la ICANN para desarrollar e implementar un modelo de acceso viable. Sus continuos aportes son fundamentales para determinar si la solución esbozada en el informe final puede implementarse de conformidad con el GDPR. La CE ha asegurado a la organización de la ICANN en su carta más reciente que sigue comprometida a facilitar las interacciones sobre este asunto con las Autoridades Europeas de Protección de Datos y también está debatiendo con ellas la oportunidad de consultar formalmente al EDPB para obtener una opinión. Para la organización de la ICANN, como organización técnica, será fundamental recibir dicha orientación para desarrollar e implementar un sistema viable que proporcione un método estable, predecible y factible para que los solicitantes con un interés legítimo puedan acceder a los datos de registración de gTLD sin carácter público. El desafío sigue siendo: equilibrar el interés público global, al que responde el acceso a los datos de registración de los nombres de dominio, con los derechos de privacidad de los titulares de nombres de dominios. Esta es una cuestión de política pública. Cuando una ley que protege los datos de los ciudadanos parece obstaculizar inadvertidamente los esfuerzos por protegerlos del fraude en línea o de un ataque informático, corresponde a los legisladores resolver este problema.

Para obtener más información, actualizaciones y documentos relevantes, los invito a visitar nuestra página dedicada a cuestiones de privacidad y protección de datos. Les deseo a todos unas saludables y felices fiestas en todo el mundo y espero con ansias volver a trabajar con ustedes el próximo año.

Göran Marby
Göran Marby
President and Chief Executive Officer (CEO)

Göran Marby

Read biographyRead biography