Todo esfuerzo de sistematización de información siempre es útil para poder establecer lineas de base y ver como se avanza en diversos espacios. La encuesta sobree Protección de Datos Personales de LACTLD es sin duda de estos instrumentos. 

Realizada en el medio de la pandemia del Covid-19 nos permite ver como esta la región de américa latina y el caribe en materia de regulación de protección de datos personales y su incidencia sobre la operación de los diversos ccTLDs vinculados a LACTLD.

Si bien casi 75% de la muestra presenta legislación vigente o en cambio, tan solo poco mas del 12% indica que no habría ninguna regulación. Si bien en general es que no exista una legislación específica, la misma declaración universal de derechos humanos ya contempla regulaciones en tema de privacidad y la totalidad de constituciones de la región refleja dicha posición, ademas de estar ligadas al Pacto de San Jose. Si es importante señalar que la cifra de legislación específica vigente ha aumentado desde 1999 que Argentina desarollara legislación particular de protección de datos personales.

A contrapartida de la primera pregunta, poco mas del 50% indica la existencia de una Autoridad Gubernamental específica en materia de protección de datos personales, pero la mitad de estas entidades es autonóma mientras la otra mitad es dependiente de otra entidad gubernamental. Cabe destacar que en América Latina, parte del diseño de dichas autoridades es del tipo híbrido: ven tanto protección de datos personales como acceso a la información pública.

Un tema importante en el registro es que el mismo sea realizado por cualquier usuario, en esta libertad se ha incorporado la facilitación del registro por medios automáticos, lo cual hace que no siempre se identifique al usuario registrante; siendo que tan solo en 23.5% de las respuestas indicaban una verificacion de la totalidad de solicitudes, mientras que 58.8% lo hace en algunos casos (esto es sobre todo en registros del tipo restringido, por ejemplo bajo subdominios para entidades gubernamentales).

Casi 90% de la respuestas indicaron que poseen una política de privacidad, esto implica un seguimiento normativo aún cuando no haya una ley explícita, y es que la ausencia de una norma ad-hoc no impide el reconocimiento de una buena práctica internacional ligada a la protección de datos personales. En contrapartida solamente un poco mas del 50% tiene un protocolo de seguridad de datos, y esto se debe entre otras cosas a la falta de legislación específica en materia de ciberseguridad en muchos países de la región, siendo entonces parte del reto específico generar, cual si fuere buena práctica, el seguimiento de estandares mínimos en el resguardo de los datos, tomando en consideración por ejemplo el ISO 27001.

Esta falta de protocolo va alineado con la ausencia de un oficial encargado de protección de datos, que tan solo aparece presente en 11.8% de las respuestas, con un oficial encargado (probablemente requerido por normatividad explícita), pero tambien hay que reconocer un 35.3% de las respuestas que vsan enfocadas en que hay alguien que se encarga de la función aunque no este explícita en su organización.

Un servicio que ha ido tomando espacio en los pasados años ha sido el de Whois Privacy y Proxy Services, la muestra en un 58.8% informa que se cuenta con este tipo de servicios. De los casos que han respondido que no ofrecen estos servicios, añadimos que si bien no se promueven desde el cctld, en casos de registradores internacionales estos si cuentan con estos servicios que pueden estar al alcance, indirecto, por parte de los solicitantes.

De los datos solicitados, en su mayoria de casos esta enfocado en el contacto del registrante y en los contactos administrativos. Es curioso que de los datos presentados los datos de fax e identificación son los que menos se solicitan. De los datos solicitados en general tras la eliminación de un dominio se eliminan (un 35.6% de las respeustas van en este sentido), el resto de los casos se guardan entre 10 años y menos de un año.

Los datos que no se publican en el whois público son en su gran mayoría solicitables por autoridad pública, tanto casos de ordenes judiciales como de entidad administrativa en materia de propiedad intelectual.

Finalmente, la encuesta preguntaba sobre la relación del cctld con la GDPR, 58.8% ha introducido o piensa hacer cambios en relación o vinculados con la GDPR, sobre todo entendemos en relación a titulares de nombres de dominio bajo jurisdicción europea. Un 41.2% de los casos aún no ha hecho ninguna modificación.