Nuestro trabajo en esta área comenzó cuando solicitamos a la comunidad casos de usuarios y creamos una matriz de estos casos de uso diferentes sobre los datos personales que los Registros y Registradores de gTLD recopilan, transmiten o publican de conformidad con los acuerdos o políticas de la ICANN. En ausencia de una política de WHOIS, las historias de los usuarios son esenciales para describir los diferentes usos del sistema de WHOIS. La matriz informó las discusiones sobre la existencia de posibles problemas de cumplimiento en virtud de los acuerdos de la ICANN con los Registros y Registradores debido a la nueva ley, y asistió en nuestra interacción con las autoridades de protección de datos.
El 2 de noviembre de 2017, publicamos una Declaración de Cumplimiento Contractual que indicaba que la organización de la ICANN aplazaría la adopción de medidas de cumplimiento contra cualquier Registro o Registrador por incumplimiento de las obligaciones contractuales relacionadas con el manejo de los datos de registración. Para ser elegible para este aplazamiento, solicitamos a las partes contratadas y partes interesadas de la ICANN que sigan este proceso para presentar modelos provisionales propuestos de cumplimiento.
Además, contratamos a la firma de abogados europea Hamilton para que proporcione su análisis legal de estos problemas. La evaluación de tres partes encontró en su primer memorando que el servicio de WHOIS en su forma actual debe cambiar. En la segunda parte, Hamilton respondió preguntas de la comunidad sobre la aplicabilidad y el alcance de la ley. En su tercer análisis, Hamilton describió cómo el procesamiento de datos dentro del alcance de WHOIS podría modificarse para cumplir con el GDPR.
En diciembre, escribí que estábamos trabajando para desarrollar modelos provisionales para recopilar datos de registración e implementar servicios de directorio de registración que puedan cumplir tanto con la ley como con los acuerdos contractuales de la ICANN. Para ser claros, estos modelos propuestos están destinados a facilitar la discusión y la decisión de un modelo final como solución provisional. No reemplazan ningún trabajo de desarrollo de políticas o política existente en la ICANN.
Hoy publicamos esos tres modelos de discusión propuestos para recopilar datos de registración e implementar servicios de directorio de registración, para recibir aportes de la comunidad. Estos modelos reflejan las discusiones de toda la comunidad y con las autoridades de protección de datos, los análisis legales y los modelos propuestos que hemos recibido hasta la fecha. Por favor, brinde su opinión sobre estos modelos. Los aportes de la comunidad contribuirán a evaluar la viabilidad de cada uno de los modelos. A partir de estos aportes y a fines de enero, se identificarán variaciones o modificaciones a uno de estos modelos como camino a seguir. Para ayudar a informar esto, por favor envíe su retroalimentación antes del 29 de enero de 2018. Por favor, envíe sus comentarios a gdpr@icann.org.
A continuación, se resumen los tres modelos a alto nivel. Los modelos difieren en base a qué información de contacto se muestra en el WHOIS público, su aplicabilidad, la duración de la retención de datos y qué datos no se muestran en un WHOIS público:
El Modelo 1 permitiría la visualización de datos de registración amplios, con la excepción del número de teléfono y la dirección de correo electrónico del titular, y el nombre y la dirección postal de los contactos técnico y administrativo. Para obtener acceso a estos elementos de datos no públicos, se requerirá que los terceros interesados certifiquen sus intereses legítimos para acceder a los datos. Este modelo se aplica si el Registratario es una persona física, y el Registratario, el Registro, el Registrador y/o quien procesa los datos se encuentra en el Área Económica Europea.
El Modelo 2 permitiría la visualización de datos de registración breves, así como las direcciones de correo electrónico de los contactos técnico y administrativo. Para acceder a la información no pública, los Registros y Registradores deberán proporcionar acceso sólo para un conjunto definido de terceros solicitantes, certificados bajo un programa formal de acreditación/certificación. Existen dos variaciones sobre cómo este modelo sería aplicado. El modelo 2A se aplica a los Registratarios que sean tanto personas físicas como jurídicas, y el Registratario, el Registro, el Registrador y/o quien procesa los datos se encuentra en el Área Económica Europea. El modelo 2B se aplica a los Registratarios que sean tanto personas físicas como jurídicas, y sin importar dónde se encuentra el Registratario, el Registro, el Registrador y/o quien procesa los datos, es decir, en forma global.
El Modelo 3 permitiría la visualización de datos de registración breves y cualquier otro dato de registración no personal. Para acceder a la información no pública, un solicitante proporcionaría una citación u otra orden de una corte u otro tribunal judicial de jurisdicción competente. Este modelo se aplicaría a todos los registros de forma global.
Fuente: ICANN
