Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

Actualización sobre el Acuerdo de Acreditación de Registradores (RAA) 2013 y el Proceso de Exención sobre la Retención de Datos.

28 de febrero de 2014
Por Cyrus Namazi

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

Requisitos sobre Retención de Datos en el RAA 2013

En mi reciente publicación en el Blog de la ICANN destaqué el RAA 2013 y algunas de sus mejoras más notables cuyo objetivo es proteger a los registratarios y al público usuario de Internet. Otra actualización incluida en el RAA 2013 es la Especificación sobre Retención de Datos.

Dicha Especificación actualiza y aclara las obligaciones con respecto a la retención de datos que se incluyeron en el RAA 2009 (y en la versiones anteriores del RAA). El RAA 2013 generalmente requiere que los registradores retengan más elementos de datos que en el pasado, pero divide los elementos de datos en grupos que se deben conservar durante un plazo de dos años luego de la registración, o bien, durante 180 días - en ambos casos, el plazo es más breve de lo que se requería en la versiones anteriores del RAA.

Cumplimiento de las Leyes.

Los requisitos de retención de datos del RAA se construyeron sobre la base de recomendaciones ampliamente avaladas por los gobiernos del mundo a través del Comité Asesor Gubernamental de la ICANN. Sin embargo, algunos registradores expresaron sus inquietudes respecto de que la protección de datos a nivel local y otras leyes sobre privacidad podrían dificultarles el cumplimiento de estos nuevos requisitos. La ICANN reconoce que las leyes varían según cada país y que algunos de los nuevos requisitos para la retención de datos en el RAA 2013 podrían estar en conflicto con ciertas regulaciones europeas sobre la privacidad y la protección de datos. Para ser claros, las leyes vigentes preceden a los términos del RAA.

El RAA 2013 configura una nueva disposición de "divisibilidad" que establece un mecanismo para los casos en los que la disposición de un acuerdo se considera inexigible según la legislación vigente. Además, se incorporó una disposición específica referente a las exenciones en la Especificación sobre Retención de Datos a fin de dar tratamiento a aquellos casos en los que el cumplimiento de los requisitos de retención / recopilación de datos podría verse impedido por la ley vigente.

Elegibilidad para Obtener una Exención de Cumplimiento Según el RAA 2013

El primer RAA 2013 entró en vigencia en el mes de agosto de 2013 y en septiembre la ICANN publicó un "Proceso para Manejar las Solicitudes de Exención sobre la Retención de Datos de los Registradores". Para ser elegible para obtener una exención de cumplimiento con respecto a los requisitos sobre retención de datos, los registradores deben presentar ante la ICANN un dictamen de un estudio jurídico, o fallo o pauta emanada de algún órgano gubernamental con jurisdicción competente en la que se indique que la recopilación o retención de uno o más elementos de datos en la forma requerida por la especificación viola la ley vigente. Una aseveración general y amplia de que la recopilación de datos y los requisitos de las Especificaciones sobre Retención de Datos son contrarios a la ley resultará insuficiente, dado que no se identifica el requisito dentro del RAA 2013 que es problemático. En su lugar, la solicitud de exención debe especificar la ley vigente, el/los requisito(s) de recopilación de datos y / o retención de datos que se presume se encuentra en oposición y la forma en la que la recopilación y / o retención de datos incumple con la ley. Esta especificidad ayuda a la ICANN a determinar los límites adecuados respecto del alcance y la duración de los requisitos de recopilación y retención de datos al momento de conceder una exención.

El RAA 2013 requiere que la ICANN y el registrador discutan las solicitudes de exención de buena fe y en un esfuerzo por logar una resolución que sea aceptable para ambas partes. Si la ICANN concuerda con la decisión del registrador de que la recopilación o retención de algún elemento de dato viola la ley vigente, entonces la ICANN puede suspender la obligación de cumplimiento y aplicación de las disposiciones en cuestión y otorgar una exención (luego de publicar online, primeramente, su decisión preliminar de otorgar la exención durante 30 días). La ICANN contempla el hecho de que las exenciones deban efectuarse a la medida de cada caso, a fin de limitar el alcance y/o la duración de la retención y recopilación de los datos, según sea necesario, para cumplir con la ley local, pero no eliminará en su totalidad todos los requisitos referidos a la retención y recopilación de datos.

Las Leyes sobre Privacidad dan lugar a la Retención de Datos

En países con leyes sobre privacidad de datos vigentes para los registradores, la ICANN ha observado que las restricciones generalmente permiten la retención de los datos de registración, pero sólo con un propósito legítimo y durante un plazo no mayor al necesario para el propósito para el cual se han recopilado dichos datos o durante el plazo de su posterior procesamiento. Qué constituye un propósito legítimo y durante cuánto tiempo se pueden retener los datos son preguntas complicadas y las respuestas pueden variar de un país a otro, incluso dentro de la Unión Europea (UE), sujeta a la misma directiva en materia de privacidad de datos en todos sus estados miembros.

La postura de la ICANN es que existen importantes propósitos para la protección pública y de los registrantes que avalan los requisitos que exigen a los registradores mantener un registro de las registraciones de los dominios, incluso durante algún tiempo luego de la expiración de un nombre de dominio. Por ejemplo, los datos de registración serían necesarios para intentar revertir la apropiación (hijacking) de un nombre de dominio, aún cuando el registrador pueda considerar finalizado el acuerdo de registración al momento de efectuarse una transferencia (no autorizada). 1 De igual modo, una víctima de robo de identidad puede objetar el cargo de una tarjeta de crédito por una registración que fue eliminada por el registrador debido al uso de un nombre de dominio para suplantar una identidad (phishing), efectuar la distribución de software malicioso (malware) en violación de su acuerdo de servicio; el mantenimiento de datos de registración básicos sería requerido para facilitar la resolución de la cuestión. Los Registradores pueden, también, necesitar datos de registración para resolver errores o conflictos de facturación, tales como la imposición de una tarifa de renovación luego de que el dominio fue transferido o ha sido eliminado. Estos son sólo algunos ejemplos en la vida real que constituirían una razón legítima para que los registradores mantengan los registros de transacción y registración durante algún tiempo luego de la eliminación o transferencia de una registración.

Estado de las Solicitudes de Exención Presentadas

La complejidad y diversidad de las leyes de privacidad nacional han dado como resultado considerables inversiones de tiempo y recursos por parte de la ICANN y los registradores por igual. Hasta el momento, se han presentado 15 solicitudes de exención provenientes de registradores dentro de la Unión Europea. El Grupo de Trabajo del Artículo 29 de la UE también ha escrito a la ICANN para expresar sus inquietudes sobre la legalidad de los requisitos sobre retención de datos establecidos en el RAA 2013 dentro de la UE. Dado que cada país puede interpretar sus requisitos sobre la privacidad de datos de manera diferente, la ICANN está analizando cada una de las solicitudes presentadas, país por país.

El 24 de enero de 2014, la ICANN publicó la primera "Notificación de Determinación Preliminar para Otorgar una Solicitud de Exención para la Retención de Datos del Registrador al Registrador OVH SAS en Francia. La exención propuesta permitiría a OVH SAS mantener cierta información especificada en parte de la Especificación sobre Retención de Datos durante el período de su patrocinio de cada registración y durante un plazo de un año adicional, posteriormente (en lugar de 2 años, posteriormente). La ICANN y su asesor externo han participado en charlas con varios otros registradores en relación a sus solicitudes de exención. Somos optimistas en cuanto a que estos debates permitirán a la ICANN conceder exenciones adicionales en breve.

Procedimiento sobre Conflictos de Leyes en relación al WHOIS

Los procedimientos para la obtención de una exención de las obligaciones en relación a la retención de datos, según lo dispuesto en el RAA 2013 difieren de aquellos que se aplican según el Procedimiento sobre Conflictos de Leyes en relación al WHOIS que fue desarrollado por la comunidad de la ICANN y adoptado por la Junta Directiva. Somos conscientes de los desafíos que podrían plantear los dos enfoques existentes sobre el procedimiento y hemos escuchado la sugerencia de algunos registradores respecto de que el umbral requerido para invocar el procedimiento sobre Conflictos en relación al WHOIS podría ser muy elevado. En un esfuerzo para tratar de resolver estas preocupaciones, la ICANN pronto anunciará una revisión pública del procedimiento sobre Conflictos en relación al WHOIS, que incorporará un aporte sustancial de la comunidad. En las próximas semanas se publicarán más detalles sobre esta revisión.

La ICANN continúa con su compromiso de proteger a los registratarios y al público y de que los registradores cumplan con las leyes vigentes. Esperamos seguir debatiendo con los registradores, gobiernos y otras partes interesadas sobre estas cuestiones, incluso durante las próximass reuniones de la ICANN del 23 al 27 de marzo de 2014 en Singapur.

Authors

Cyrus Namazi