Cualquiera que visite un sitio web que integre servicios de terceros, como Cookiebot o Google Maps, puede averiguar fácilmente si los datos de sus propios visitantes pueden estar expuestos a terceros países inseguros. Una consulta al Whois muestra inmediatamente si es probable que haya algún problema con la protección de datos.
A partir del fallo de la Directiva Privacidad del TJUE ("Schrems II") es importante saber quién es el propietario de una dominio. Un dominio es una dirección internet simbólica. En particular, para dominios extranjeros, conocer al propietario es muy relevante.
¿Quién es el propietario de un dominio?
Esta pregunta puede responderse con una consulta Whois.
Quien transmite datos a los EE.UU. o utiliza servicios de procesamiento de datos de empresas estadounidenses, debería hacerlo solo después de la autorización del usuario. De esta manera quedan excluidos todos los servicios de Google para el propietario de la página web que valora una alta seguridad jurídica. Actualización: La autorización para el traslado de datos a EE.UU. está condicionada a las normas del Artículo 49 RGPD.
Al emplear estas herramientas, se corre el riesgo de que se divulguen datos personales (como la dirección de red) más allá de las normativas estadounidenses como el Cloud Act, el FISA Law (especialmente Sección 702) o la Executive Order 12333. Esto va en contra, entre otras cosas, de lo establecido en artículos 44ff RGPD.
Una persona afectada que visita una página web puede descubrir rápidamente a quién está asignada una determinada dominio o dirección IP. Para ello se utiliza una búsqueda Whois ejecutable y gratuita en cualquier momento.
Una llamada de Whois (también denominada WHOIS-Lookup) proporciona información sobre el Registrant, que ha registrado la dominio. Para los servicios de Whois hay numerosos proveedores que permiten consultas gratuitas. Aquí están algunos de estos proveedores y Administraciones para direcciones de Internet:
WHO.IS
Este servicio está disponible en la dirección https://who.is.
La consulta es posible mediante la entrada del nombre de dominio. Un nombre de dominio es por ejemplo google-analytics.com
El texto www. o https:// al principio se omite aquí!
ICANN
La ICANN es la Internet Corporation for Assigned Names and Numbers. Coordina la asignación de nombres y direcciones únicas en Internet. Para ello coordina el Sistema de Nombres de Dominio (DNS) y asigna direcciones IP. El DNS tiene como función asignar a un nombre simbólico (el nombre de dominio) la dirección técnica del red correspondiente. Esta asignación se realiza mediante un servidor de nombres (Name Server), que representa el servicio DNS.
El servicio WHOIS de ICANN está disponible en la dirección https://lookup.icann.org/. Con él se puede buscar tanto un nombre de dominio (solo Dominio de Nivel Superior) como cookiebot.com como una dirección IP como 184.86.103.220.
Si alguien quiere llegar a una subdominio como consent.cookiebt.com, debe encontrar la dirección IP correspondiente. Esto se puede hacer con un navegador como Mozilla Firefox de manera bastante sencilla. Para ello, llama a una página web que utilice el tool Cookiebot para contactar con la dirección en cuestión. Antes de llamar a la página web, abre la consola de desarrollador con la tecla F12. En la consola de desarrollador abre la análisis de red, llama a la página web, mueve el ratón sobre la dirección simbólica y verá la IP correspondiente.
La cifra mencionada al final de la dirección, 443, separada del número IP por dos puntos, se refiere al Puerto. Este es irrelevante para la consideración actual.
Si una dirección no está administrada por ICANN, el resultado de la consulta indicará qué registro es el responsable.
En la imagen se puede ver, además del servidor WHOIS responsable, el propietario de la dirección (en este caso, Akamai).
La ICANN es la organización mundial que se ocupa de los nombres de dominio y direcciones. Se sirve de cinco agencias regionales, que, simplificando, son responsables cada una de un continente.
Las agencias regionales, por otro lado, se valen de registros locales, como DENIC para nombres de dominio alemanes. Cada registro local trabaja con socios que hacen que los dominios sean registrables – generalmente a cambio de dinero -. A estos socios se les llama Registrare.
| Plazo | Significado | Ejemplo |
|---|---|---|
| Regístrese en | Permite registrar nombres de dominio | All-Inkl.com |
| Regístrese en | Gestiona los nombres de dominio, también llamado registro | DENIC |
| Registrante | Persona u organización que registra un dominio | Empresa que tiene una dirección de Internet |
| Registrador regional de Internet | Una de las cinco organizaciones mundiales que gestionan las direcciones IP | RIPE NCC |
| ICANN | Organización global para la administración de dominios y direcciones de Internet | ICANN |
ARIN y otras oficinas regionales
ARIN significa Registro Americano de Números para Internet. La ARIN es una subdivisión del ICANN y representa una registrar regional de Internet, a la que también pertenece RIPE. La ARIN es responsable, entre otras cosas, de los Estados Unidos, mientras que RIPE es responsable, entre otras cosas, de Europa. Además, existen APNIC, AFRINIC y LACNIC:
- ARIN: América del Norte, Canadá, EE.UU., partes del Caribe
- Europa**, Oriente Medio, Asia Central
- APNIC: Asien, Pazifikraum
- LACNIC: América Latina y parte del Caribe
- AFRINIC: África
La consulta WHOIS de ARIN muestra qué empresa estadounidense tiene asignada una dirección de Internet.
Por ejemplo, se puede descubrir que al integrar el SoundCloud servicio de audio en una página web se establece un transferencia de datos a un servidor de Amazon, Seattle/USA. Esto sería obligatorio según Artículo 44 ss RGPD. De manera similar, se puede descubrir que la dominio consent.cookiebot.com, que entre otras cosas muestra la dirección IP 184.86.103.220, está registrada en la siguiente empresa:
Se puede establecer que la integración de Cookiebot en una página web para realizar una solicitud de consentimiento implica un tráfico de datos que está en manos de Akamai como empresa estadounidense. En este caso, Akamai probablemente actuará como proveedor de infraestructura de servidores utilizando el Akamai CDN para distribuir los scripts de Cookiebot. Un CDN es una red de entrega de contenido y representa un tipo de red descentralizada, altamente disponible y rápida. Al establecerse en todo el mundo, las CDNs plantean cuestiones de privacidad. Por lo tanto, se deben preferir los proveedores de CDN europeos si se pretende evitar problemas con la privacidad.
RIPE NCC
RIPE NCC significa RIPE Network Coordination Center y es una registraduría de Internet que también es responsable para Europa. RIPE significa Réseaux IP Européens (Redes IP Europeas).
La WHOIS-consulta está disponible en la página de inicio.
Si introduce una dirección en la consulta de direcciones de RIPE que no está gestionada por RIPE, aparecerá la siguiente pantalla:
Por lo tanto, RIPE remite directamente a los demás registros desde los que se puede gestionar la dirección buscada.
DENIC
DENIC significa Centro de Información de Red Alemana. Es una cooperativa registrada (DENIC eG). DENIC gestiona las dominios con la extensión .de, es decir, los dominios principalmente utilizados por sitios web alemanes. Las dominios de nivel superior específicas de país se llaman también ccTLD. ccTLD significa Dominio de Nivel Superior de Código de País. Los dominios transfronterizos, como .com, son gestionados por instancias específicas, por lo que cada Dominio de Nivel Superior es gestionado por una registratura determinada.
DENIC es miembro de RIPE y representa, según su propia afirmación, en las grupos de trabajo de ICANN los intereses de la comunidad de Internet alemana.
DENIC_ ofrece una búsqueda de dominios directamente en la página principal. A través de ella, se puede encontrar el propietario de un dominio.
La consulta muestra detalles técnicos, incluido el servidor de nombres del dominio. Suele tratarse del servidor del proveedor (alojamiento web) en el que se almacena el contenido del dominio.
No se puede acceder directamente a la información sobre el titular del dominio. Como titular de un dominio, puede ver los datos a efectos de verificación. Por lo demás, el acceso sólo es posible por motivos legales, como por ejemplo para un proceso penal.
Intermediarios: proveedores de nombres de dominio
Quiere alguien mantener una página web o enviar correos electrónicos desde su propia dominio, debe reservar el dominio correspondiente. Un dominio es una dirección como por ejemplo spiegel.de. En realidad, dichos nombres de dominio están compuestos por un primer elemento (".de", también llamado Top Level Domain o TLD) y un segundo elemento ("spiegel", también llamado Second Level Domain o SLD o 2LD).
Existen varios proveedores para el registro de este tipo de dominios. Desde el punto de vista de la protección de datos, debería utilizarse un proveedor alemán o europeo.
Como ejemplos negativos, se mencionan dos proveedores que es mejor no utilizar si la seguridad jurídica es un factor importante. Estos proveedores actúan como intermediarios y también se les conoce como Registro.
Namecheap
Namecheap es un proveedor popular de nombres de dominio. A quien siempre ha querido saber dónde está la sede de Namecheap, le convendría llevar mucho tiempo para buscar o aquí mirar.
Namecheap, Inc. is a US-based company.
Namecheap Inc.
4600 East Washington Street
Suite 305
Phoenix, AZ 85034
EE.UU
Fuente: https://www.namecheap.com/support/knowledgebase/article.aspx/490/5/where-is-your-company-located/
MarkMonitor Inc.
MarkMonitor_ es conocido por ofrecer nombres de dominio. Por ejemplo, MarkMonitor como registrar de la domenio google-analytics.com se menciona y opera su propio servidor Whois bajo whois.markmonitor.com.
La web es que MarkMonitor es una marca de Clarivate Analytics. Después de buscar durante mucho tiempo, el entusiasta defensor de la privacidad descubre dónde está la sede de la empresa de Clarivate o MarkMonitor Inc. Probablemente nadie más se interesa por eso, porque de lo contrario habría sido una información que no hubiera estado tan bien escondida.
La siguiente dirección de contacto es ambigua:
Friars House 160 Blackfriars Road Londres SE1 8EZ United Kingdom
Clarivate Analytics (US) LLC Calle Spring Garden 1500 Filadelfia, PA 19130 United States
Quelle: https://clarivate.com/privacy-center/notices-policies/privacy-policy/ (Abschnitt How you can contact us for privacy questions)
Las dos direcciones son exactamente iguales. ¿Cuál es relevante para Alemania?
También las ubicaciones clave revelan que hay dos ubicaciones más en China y Japón.
Lau Wikipedia por lo menos tiene MarkMonitor Inc. con sede en San Francisco, EE.UU. Por lo tanto, un transferencia de datos allí es crítico y solo debería ocurrir después del consentimiento del usuario.
Conclusión
Si se produce una transferencia de datos a EE.UU., y por tanto a un tercer país a menudo calificado de inseguro, puede determinarse con ayuda de una consulta Whois.
Siempre que se produce una transferencia de datos a EE.UU. o una empresa estadounidense es el registrante o registrador de una dirección o dominio, surgen problemas de protección de datos. El registrante es el propietario de un dominio, el registrador es el intermediario que ofrece y gestiona técnicamente un dominio.
Para ciertos herramientas no se necesita ni siquiera una consulta Whois para aceptar o demostrar un traslado de datos a los Estados Unidos. Para Google Analytics Google ha admitido oficialmente que todas las datos de análisis siempre se procesan en EE.UU.. Para el Google Tag Manager se puede mostrar mediante las condiciones de uso que un traslado de datos tiene lugar a través de una empresa estadounidense y los datos también se procesan en centros de cómputo estadounidenses.
Mensajes clave
Puedes usar la herramienta Whois para averiguar quién es el propietario de un sitio web y así saber si tus datos podrían estar en riesgo al visitar ese sitio.
Para encontrar la dirección IP de un subdominio, como consent.cookiebt.com, puedes usar un navegador y la consola de desarrollador para ver la información de red.
Si quieres proteger la privacidad de tus usuarios, es mejor usar proveedores de servicios europeos para tu página web.
Es importante elegir proveedores alemanes o europeos para registrar dominios, ya que los proveedores estadounidenses pueden transferir datos a Estados Unidos, donde la protección de datos no es tan estricta.
Google Tag Manager puede transferir tus datos a empresas estadounidenses y procesarlos en centros de datos de Estados Unidos.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
