El Reglamento General de Protección de Datos y la histeria colectiva

Resulta de lo más difícil separar el grano de la paja cuando hay tan poco de este y tanta de aquella. Si se añade que no hacer bien esta separación puede terminar en una multa del 4% de la facturación en un sector en que muchos participantes del mismo se toman grandes molestias en tratar de recortar medio desayunobar del precio anual de un registro de dominio, el clima en seguida empieza a parecerse al de un refugio antiaéreo recién estrenado.

Vaya por delante que el RGPD (GDPR en inglés) no es el coco y, de hecho, está siendo sumamente positivo para los usuarios – por el momento, al menos. Los ordenados eurócratas pusieron una web y otros han hecho otras intentando aclarar el asunto, con preguntas frecuentes y todo. En resumen, con unas pocas sencillas adaptaciones no hay nada malo que temer de la aplicación del Reglamento, siempre que no haya nada que las impida.

Donde está escociendo más es en la gestión de dominios, en la cual suceden varias cosas contradictorias y además con interrelaciones del estilo de la del amoniaco y la lejía. Es decir: Que aquí sí que hay algo que las impide.

Cuando se registra un dominio en Internet, los datos personales (y recalco personales: El nombre y la organización son campos separados) son facilitados al Registrador, que los guarda en su base de datos y, siguiendo el procedimiento que lleva en vigor una pila de años, los publica en Internet, donde quedan disponibles a demanda de cualquier interesado anónimo a través del protocolo whois (que también se puede acceder por web con toda facilidad).

ICANN, el organismo que vela por los nombres en Internet y responsable de dicho procedimiento, conoce la redacción final del RGPD desde hace no menos de dos años. En un singular imitación de las grandes avestruces australianas, sus esfuerzos para cumplir el Reglamento desde entonces han consistido en correr mucho, hacer poco y enterrar la cabeza un tanto.

¿Consecuencias? Divertidas. Por ejemplo: Cuando se transmite un dominio entre Registradores, la normativa indica que se ha de recabar el consentimiento del titular. ¿Y cómo? Bueno, se le envía un correo. ¿A dónde? A la dirección que figura en el whois… Ese dato que, ahora mismo, es básicamente ilegal puesto que no se ha recabado el consentimiento informado del titular de dichos datos personales.

En el momento de escribir este artículo, los Registradores, que según el propio Reglamento ni siquiera son más que procesadores de datos, andan corriendo como pollos sin cabeza. Aconsejados, además, por asesores legales a los que también ha pillado el toro, muchos de los cuales han decidido curarse en salud, aprovechar su momento de gloria para significarse, o ambas cosas a la vez, para gran irritación de los que, al final, tienen que cumplir el Reglamento de una u otra manera. Algunos Registradores incluso han retirado los datos de whois, eligiendo el que consideran menos malo de dos incumplimientos: El acuerdo de ICANN, o el RGPD. Tecnocrática ha adoptado este remedio “menos malo”, al menos temporalmente. Otros Registradores han decidido seguir insistiendo por correo a los titulares de dominios que consientan en su publicación, para que el sistema de Registro (y en especial, las transferencias y verificaciones) pueda seguir funcionando. Todos hemos trasladado nuestras oficinas al refugio antiaéreo.

Motivos sobran para preocuparse, pero no para tanta histeria. ICANN, en un intento de huida hacia delante, remitió una carta a la Comisaria de Información de la Unión Europea dos meses antes de la entrada en vigor diciendo, en resumen, que se había hablado mucho, avanzado poco, y que qué podemos hacer.

El sistema, en realidad, dispone de un mecanismo para cumplir el Reglamento de un día para otro: Los registros por proxy y los anónimos. Pero aunque los Registradores los llevamos ofreciendo desde prácticamente siempre, la acreditación oficial para los mismos lleva dos años de proceso y aún está a medio camino.

En resumen, el amigo americano no ha hecho los deberes. En parte, por presiones de su propio Gobierno, que no ve con buenos ojos tanta privacidad: “The United States would encourage revisions to the model that would permit access to the most amount of registration data as possible. We think there is more that can be done to achieve this.” Dicho por David Redl, Assistant Commerce Secretary, en la conferencia de ICANN en Puerto Rico. El título de quien así habló, aquí lo llamaríamos algo así como asesor del Ministro de Comercio, Industria y Turismo. Y eso que la UE lleva avisando específicamente a ICANN al menos desde 2003 sobre sus problemas con la protección de datos.

Mientras ICANN se levanta del sofá y finalmente consigue hacer algo, los Registradores miramos el asunto con preocupación. Algunos usuarios empiezan a demandar el ejercicio de sus derechos según el RGPD. Para ello, cuentan con la herramienta de privacidad, pero no es sin problemas el activarla por defecto: va contra varios puntos de la normativa en vigor de ICANN. Así que, el mundo al revés, en muchos Registradores son ahora mismo los titulares y contactos de dominios los que han de “desconsentir” en el uso de sus datos personales, o sea, lo contrario que el RGPD pretende conseguir. Y, en un futuro, es de esperar que conseguirá.