Europa está en contra del plan de privacidad del Whois
Los reguladores de datos europeos han negado la última propuesta de la ICANN para cumplir la GDPR con su servicio de datos Whois, enviando a la organización a buscar una nueva solución por tercera vez.
En una carta [PDF] a la ICANN, el presidente de la Junta Europea de Protección de Datos (EDPB) deja en claro que incluso el plan "interino" de la organización es fundamentalmente defectuoso.
A pesar de existir únicamente para desarrollar reglas para la infraestructura subyacente de Internet y poseer un presupuesto anual de 100 millones de dólares, la ICANN se ha colocado en una posición en la que ha externalizado las decisiones sobre el servicio Whois a un grupo de burócratas en Bruselas.
Y en varios asuntos críticos, los burócratas de datos han ido directamente en contra de las posiciones declaradas tanto de la ICANN como de sus miembros más influyentes, incluidos sus constituyentes comerciales, constituyentes de propiedad intelectual y miembros externos, incluido el gobierno de los EE.UU. y la International Trademark Association (INTA).
En lo que quizás sea el mayor golpe a la credibilidad de la ICANN, EDPB socava el recurso legal de ICANN a una sentencia que perdió el mes pasado en un tribunal alemán, afirmando claramente que no puede obligar a la gente a proporcionar contactos "administrativos" y "técnicos" adicionales para un dominio "X", esto es algo que algunos esperaban que podría actuar como una solución efectiva a la ley de privacidad.
Esa apelación ahora parece muertas, lo que contribuye a una serie de sentencias vergonzosas por parte de ICANN para recuperar el control de su autoridad sobre el servicio Whois.
Además, el EDPB derribó el argumento de la ICANN de que se aplican diferentes reglas cuando un nombre de dominio es registrado por un individuo o una entidad legal como una corporación. No es así, dijo el EDPB, indicando que si se proporciona una dirección de correo electrónico personal para un sitio web corporativo, aún está bajo la legislación de privacidad de la GDPR.
Además de eso, la carta pone un gran signo de interrogación sobre la afirmación de ICANN de que puede retener datos de dominio por mucho más tiempo que el límite de dos años requerido, diciendo que la organización tendría que "justificar y documentar explícitamente por qué es necesario retener" los datos personales para este período de tiempo".
Para crear un modelo de acceso que otorgue a los abogados de propiedad intelectual el derecho de ver todos y cada uno de los datos de Whois al señalar que los "códigos de conducta" y los "modelos de acreditación" no son un modelo suficientemente sólido para acceder a los datos personales que la ICANN guarda en sus registros y registradores. Sin contar que serán legalmente responsables de cualquier uso posterior de los datos.
De manera crítica, sin embargo, la carta deja en claro que no tiene tiempo para que la ICANN afirme que no es un "controlador de datos". La ICANN ha intentado argumentar que, al incluir el lenguaje en sus contratos que obliga a los que lo firman a decir que son controladores de datos, que de alguna manera levanta las obligaciones legales sobre la ICANN.
No es así, la carta de EDPB lo aclara, por lo que la ICANN también está atrapada por millones de dólares en multas si se determina que no cumple con GDPR.
En resumen, por tercera vez consecutiva, los esfuerzos de ICANN para retener su sistema existente al basarse en argumentos legalmente cuestionables, incluso ridículos, han fallado. Nada de esto debería haber sido una sorpresa para la organización sin fines de lucro con sede en California, pero por alguna razón sí lo ha hecho.
Este no es un problema nuevo para la ICANN
Los reguladores europeos advirtieron a la ICANN hace no menos de 15 años que su servicio Whois debía actualizarse para tener en cuenta la privacidad de las personas. Pero la ICANN ha fallado constantemente en la actualización del servicio, basándose en el hecho de que opera bajo las leyes estadounidenses y durante mucho tiempo existió bajo la protección directa del gobierno de los EE.UU.
Sin embargo, la aprobación del Reglamento General de Protección de Datos (GDPR) en la UE y la decisión del gobierno de los Estados Unidos de conceder autonomía a la ICANN han cambiado esa dinámica.
La GDPR fue diseñada para lidiar con el mercado masivo en la venta de datos personales por gigantes de internet como Facebook y Google, e impone multas enormes a las compañías que no obtienen el permiso de sus usuarios antes de vender datos personales.
Debería haber sido obvio que la legislación también afectaría el servicio Whois, que requiere que cualquiera que compre un nombre de dominio proporcione su nombre, dirección y detalles de contacto personal, y luego lo publica todo en Internet para que cualquiera lo vea.
No fue hasta que un registro europeo bajo contrato con la ICANN se negó a proporcionar un servicio Whois, a pesar de las amenazas del equipo legal de la organización, que la organización finalmente se despertó con este problema sobre la mesa.
El registrador en cuestión le dijo a la ICANN que consideraba que la cláusula Whois en su contrato era "nula y sin efecto" porque violaba la legislación europea.
Eso fue en octubre de 2017, dejando a la ICANN con solo seis meses hasta la presentación de la nueva ley.
Aún convencido de que la ley europea no podía afectarlo, la ICANN contrató a un bufete de abogados europeo para informar sobre el impacto potencial de GDPR en el servicio Whois. La ICANN se quedo aturdida al descubrir que enfrentaba multas multimillonarias si no hacía cambios a su servicio.
¡Que no cunda el pánico!
Con solo seis meses para idear una solución y su proceso promedio de elaboración de políticas tomó 18 meses, la organización se embarcó en una serie de esfuerzos fallidos para retener de manera efectiva su sistema existente mientras reclamaba el cumplimiento de la nueva ley.
Ninguno de ellos funcionó, lo que condujo a la absurda situación en la que el personal y el consejo de la ICANN solicitaron una excepción especial de un año a la ley: una solicitud de que la ICANN se convenciera de sí misma y comenzó a insistir agresivamente incluso cuando se hizo evidente que el concepto no era más que fantasía legal.
Cuando se desestimó la solicitud especial de "moratoria" (los reguladores de datos no tienen el poder de rescindir o ignorar la legislación existente), la junta de la ICANN decidió imponer una política "interina" desarrollada por el personal que había sido rechazada universalmente solo dos meses antes.
Cuando varios grandes registradores optaron por ignorar esa política aplicada e implementaron sus propias políticas para cumplir con la nueva ley, ICANN respondió demandando a uno de ellos en un tribunal alemán en lo que esperaba sirviera como un caso de prueba y estampó su autoridad sobre el servicio Whois.
Pero ese enfoque también resultó contraproducente cuando el tribunal alemán rechazó los argumentos de la ICANN, socavando de hecho su capacidad de imponer su contrato.
Después de haber intentado y no pudo crear su versión del "campo de distorsión de la realidad" de Steve Jobs, la ICANN no tuvo más remedio que pedirle a los reguladores de datos europeos que hagan cumplir la ley cuáles son sus puntos de vista sobre Whois y cómo encaja con GDPR.
Esos reguladores han respondido. Sin duda, el personal y el consejo de la ICANN tratarán de pintar la aniquilación de casi todas las posiciones que han adoptado como parte de un proceso de política saludable, pero la verdad es que las gallinas finalmente han llegado a casa para descansar.
Como señaló EDPB en su resumen de la carta: "El predecesor de EDPB, WP29, ha estado ofreciendo orientación a la ICANN sobre cómo hacer que Whois cumpla con la ley europea de protección de datos desde 2003".