PUBLICIDAD
PUBLICIDAD

[Opinión] Nombres de dominio y protección de datos: ¿A quién estamos realmente protegiendo?

Fernando Martínez Sanz, catedrático de Derecho Mercantil y socio director de Martínez Sanz Abogados.
| | Actualizado: 12/01/2021 13:13

El objeto de este artículo es traer a la atención de los lectores una problemática -en absoluto desdeñable, como veremos- generada por el impacto que el Reglamento General de Protección de Datos*  (generalmente citado por las siglas inglesas GDPR) ha tenido sobre la accesibilidad a la identidad de los titulares de nombres de dominio.

A estas alturas, probablemente no haga falta explicar qué son los nombres de dominio (o “dominios”).

Técnicamente son una forma de vincular la dirección IP propia de cada ordenador (formada por una sucesión de dígitos) y facilitar así su “memorización” por los usuarios.

En suma, facilita al titular que los clientes interesados en ponerse en contacto con su empresa no tengan que memorizar una larga serie de números. Todo ello a través de unos servidores encargados de vincular o “traducir” estos nombres de dominio a direcciones IP, que son los denominados servidores DNS.

PUBLICIDAD
PUBLICIDAD

Lo bien cierto es que hoy en día los dominios funcionan de facto como una suerte de marca o identificación de un origen empresarial (se conocen como las “marcas de internet”).

Ninguna empresa, pequeña, mediana o grande, quiere renunciar a tener su nombre de dominio, a través del cual es conocido habitualmente en el mercado por los consumidores; en definitiva, éstos acuden a los escaparates virtuales que son las páginas web, a través de su nombre de dominio.

Pues bien, tradicionalmente, resultaba posible acceder a la identidad de los titulares de los dominios, a través de protocolos o bases de datos, el más famoso de los cuales es “WHOIS”.

Nada tenía de extraño: si los dominios hemos dicho que funcionan de hecho como marcas, es lógico poder conocer quién está detrás de ellos, de la misma forma que podemos saber quién es el titular de una marca registrada en la Oficina Española de Patentes y Marcas (OEPM).

PUBLICIDAD

EL RGPD IMPIDE SABER QUIÉN ES EL TITULAR DE LOS DOMINIOS EN INTERNET

Esto fue así hasta la aprobación del RGPD en 2016, pues a partir de la entrada en vigor de este Reglamento Europeo (25 de mayo de 2018), y como quiera que ello podía colisionar con datos personales (pues estas bases de datos recogían el nombre, dirección y teléfono de los propietarios de un dominio), el interesado en registrar un nombre de dominio puede hacer constar su voluntad de no desvelar su identidad públicamente.

De hecho, se prohíbe que tales datos aparezcan si no es con consentimiento expreso del interesado.

Como en el caso de un número de teléfono, podríamos pensar, donde el titular no quiere que se difundan sus datos. De esta forma, se decía, se protegía mejor la identidad de las personas y su privacidad.

PUBLICIDAD

De hecho, si uno accede hoy al protocolo WHOIS podrá observar que los campos relativos a los datos personales del titular de los dominios aparecen con la leyenda “GDPR Masked” (lo que vendría a ser datos “ocultados por el RGPD”).

La pregunta que nos podemos hacer es ¿qué interés (legítimo) puede tener alguien en esconder su identidad, especialmente cuando de lo que se trata es de registrar un dominio “punto com”, que como su propio nombre indica, por definición está destinado a funcionar en el tráfico económico?

PUBLICIDAD

Ahora veamos las consecuencias prácticas que ha tenido este celo protector.

Lo que ha sucedido es que se está fomentando la comisión de delitos cibernéticos, que -podría decirse- han venido jaleados por el RGPD.

Piénsese, sin ir más lejos, en la clonación de páginas web con registro de un nombre de dominio similar (“ciberocupación”) con la finalidad de atraer a personas con la intención de estafarles.

PUBLICIDAD

Se comprueba cómo por esta vía se facilita la comisión de delitos como el de las “cartas nigerianas”, amparándose en páginas web idénticas a la suplantada, con un dominio similar que induce a confusión.

Repárese en que la protección de datos implica en caso de comisión de delitos por esta vía, dejar a los cuerpos de seguridad del Estado absolutamente inermes, pues ni la Policía podría obtener en sus investigaciones la identidad de quienes registraron el dominio fraudulento – si no es previa obtención de una orden judicial (que, además, no se sabría contra quién dirigir, lo que sin duda dificultaría la instrucción de la causa).

O piénsese en actividades de agitación de masas y revoluciones populares (de todos los colores), amparándose en dominios “opacos” y las posibilidades que con ello se abren de subvertir el orden constitucional de un determinado Estado sin que se pueda saber quién está detrás de las revueltas.

PREGUNTAS ESENCIALES SIN RESPUESTA

Una vez más, la normativa vigente ampara o da cobertura a este tipo de actuaciones.

Y yo me pregunto: si toda norma legal ha de proteger un interés, ¿cuál es el perseguido por el RGPD en este caso?

¿Realmente los políticos europeos no fueron capaces de vislumbrar lo que se venía encima y los riesgos que ello entrañaba?

¿Qué miedo puede tener alguien que opta por un dominio “punto com”, “punto es” o el que sea, a que se desvele su identidad?

Hemos sacrificado la transparencia en el altar de la protección de datos sin ser muy conscientes de que con ello se abría una vía (una “autopista”, en realidad) para la comisión de delitos.

Y es que cualquiera con unos mínimos conocimientos en la materia -y hay que suponérselos a los autores del Reglamento europeo- debería haberse dado cuenta de los peligros que ello entrañaba y los delitos cuya persecución se dificultaba.

La alternativa es aún más sombría: que se fuera perfectamente consciente del riesgo y aun así, se legislase de la manera en que se hizo.

Y si no hacemos algo significará que entre todos lo estamos tolerando, y cuando queramos reaccionar será ya tarde.

————————-

* Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)