El Director General de la Entidad Pública Empresarial Red.es, M.P., y el Director General de S.M.E. Instituto Nacional de Ciberseguridad de España M.P., SA, han suscrito, con fecha 5 de abril de 2024, convenio entre la entidad pública empresarial Red.es y el Instituto Nacional de Ciberseguridad de España para colaborar en el proceso de depuración de la base de datos del registro de nombres de dominio «.es».
Para generar conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, se dispone la publicación del citado convenio.
Madrid, 25 de abril de 2024.–El Director General de la Entidad Pública Empresarial Red.es, M.P., Jesús Herrero Poza.
CONVENIO ENTRE LA ENTIDAD PÚBLICA EMPRESARIAL RED.ES Y EL INSTITUTO NACIONAL DE CIBERSEGURIDAD DE ESPAÑA PARA COLABORAR EN EL PROCESO DE DEPURACIÓN DE LA BASE DE DATOS DEL REGISTRO DE NOMBRES DE DOMINIO «.ES» (C005/23-DM)
En Madrid, en fecha 5 de abril de 2024.
De una parte, la entidad pública empresarial Red.es, M.P. (en adelante, «Red.es»), con domicilio en Madrid, Plaza de Manuel Gómez Moreno s/n, código postal 28020 y NIF Q2891006-E, representada por su Director General, don Jesús Herrero Poza, nombrado por el Consejo de Administración en su sesión de 28 de noviembre de 2023 y facultado para este acto en virtud de las facultades delegadas a su favor de acuerdo con lo dispuesto en el artículo 14.1. k) del Real Decreto 164/2002, de 8 de febrero, por el que se aprueba el Estatuto de Red.es, y
De otra parte, don Félix Antonio Barrio Juárez, mayor de edad, en su calidad de Director General de S.M.E. Instituto Nacional de Ciberseguridad de España M.P., SA (en lo sucesivo, INCIBE), con NIF A24530735 y domicilio social en Avenida José Aguado, 41 (Edificio INCIBE), 24005 León, en su condición de Director General, facultado para este acto conforme consta en la escritura pública con número de protocolo 3062 otorgada el 7 de julio de 2022 por el Notario del Ilustre Colegio de Madrid, doña Ana María López-Monis Gallego,
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir y
EXPONEN
Primero.
La Sociedad de la Información es un estadio de desarrollo social caracterizado por el empleo masivo de las nuevas tecnologías para el acceso, transacción y difusión de la información. Su desarrollo representa un importante instrumento para superar las desigualdades consecuencia de las barreras geográficas, sociales y económicas que tradicionalmente han restringido el acceso a multitud de servicios, ofreciendo un ilimitado potencial para promover la igualdad de oportunidades entre los ciudadanos.
Las nuevas tecnologías juegan ya un papel clave en la mejora de la eficiencia, siendo la causa de importantes mejoras de la productividad y un poderoso motor para el crecimiento, la competitividad y el empleo.
Por ello, la implantación de la Sociedad de la Información constituye un factor clave para el aumento del bienestar económico y social, y es, por tanto, una herramienta estratégica y objetivo de primer nivel para el desarrollo de los países.
Segundo.
Que Red.es es una entidad pública empresarial adscrita al Ministerio de Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, que tiene legalmente encomendadas, con carácter general, una serie de funciones con el objeto de contribuir al fomento y desarrollo de la Sociedad de la Información en nuestro país.
Sus funciones aparecen legalmente atribuidas en la disposición adicional decimosexta de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, que en su apartado 3.a) establece que corresponde a la entidad pública empresarial Red.es la gestión del registro de los nombres y direcciones de dominio de internet bajo el código de país correspondiente a España (.es), de acuerdo con la política de registros que se determine por el Ministerio de adscripción (Ministerio de Economía y Empresa). Dicha política de registros está constituida en la actualidad por la Disposición Adicional Sexta de la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de Comercio Electrónico, por el Plan Nacional de Nombres de Dominio bajo el código de país correspondiente a España, aprobado por la Orden ITC/1542/2005, de 19 de mayo, y por las normas de procedimiento que dicte el Presidente de Red.es, en virtud de la disposición adicional decimoctava de la Ley 14/2000, de 29 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.
Tercero.
Que INCIBE es una sociedad mercantil estatal adscrita al Ministerio de Transformación Digital a través de la entidad pública empresarial Red.es, que posee el 100 % de su capital social. Su actividad se orienta, de acuerdo con lo establecido en sus Estatutos, a la gestión, asesoramiento, promoción y difusión de proyectos tecnológicos en el marco de la Sociedad de la Información. Dentro de este ámbito INCIBE promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. En concreto, INCIBE trabaja en mecanismos para la prevención y reacción a incidentes de seguridad de la información, y promueve el avance de la cultura de la seguridad de la información a través de la concienciación, la sensibilización y la formación.
Cuarto.
La experiencia acumulada en la gestión de nombres de dominio por parte de Red.es, así como la práctica internacional, han demostrado la necesidad de reforzar las políticas de comprobación de la veracidad y exactitud de los datos obrantes en la base de datos del Registro de nombres de dominio «.es». En aras de establecer un equilibrio entre la flexibilidad del sistema de registro actual (en el que no existe una verificación ex ante de la corrección y exactitud de los datos asociados a los nombres de dominio) y la seguridad jurídica ineludible en un registro público, Red.es procedió a reforzar los mecanismos de comprobación de oficio de la exactitud y corrección de los datos que obran en el Registro, poniendo en marcha un proceso de depuración y corrección de datos. Mediante este proceso se localizan, contrastan y corrigen los datos incorrectos detectados en el Registro.
En este sentido y desde la aprobación de la Instrucción del Director General por la que se establece el procedimiento especial de cancelación en el marco del proceso de depuración de datos el 24 de junio de 2015, se ha constatado la necesidad de colaborar con toda una serie de entidades públicas que en el desarrollo de sus funciones apoyen a Red.es en la localización de los nombres de dominio «.es» cuyos datos asociados tengan alta probabilidad de revelarse inexactos o de carecer de veracidad. De esta forma, dichas entidades sumarán a la hora de seleccionar mediante criterios objetivos los nombres de dominio «.es» que se someterán al proceso de depuración y corrección de datos.
Entre las entidades anteriormente descritas, cabe destacar el Instituto Nacional de Ciberseguridad de España, M.P., SA, en adelante INCIBE, quien coordina los actores clave a nivel nacional e internacional en materia de ciberseguridad y del que, tal y como se ha mencionado en el exponendo tercero, dentro de sus actividades tiene el objetivo de promover servicios en el ámbito de la ciberseguridad así como la puesta en marcha de mecanismos para la prevención y reacción a incidentes de seguridad de la información.
Por lo expuesto, las partes acuerdan suscribir el presente convenio que se regirá por las siguientes
CLÁUSULAS
Primera. Objeto del convenio.
El objeto del convenio es establecer las bases de colaboración entre Red.es e INCIBE para colaborar en la depuración de la Base de datos del Registro de nombres de domino «.es».
Segunda. Naturaleza del convenio.
El presente convenio tiene naturaleza administrativa y se encuadra dentro de los establecidos en el artículo 47.2.a) de la Ley 40/2015, de 1 de octubre, de régimen Jurídico del Sector Público (en adelante, «Ley 40/2015») quedando sometido al régimen jurídico de convenios previsto en el capítulo VI del título preliminar de la citada Ley.
Tercera. Aportaciones de las partes.
La materia objeto de colaboración entre ambas partes comprende, en particular, las siguientes áreas de interés:
– Intercambio de Información. En el desarrollo de sus cometidos, tanto Red.es como el INCIBE manejan información que puede ser de utilidad para la otra parte.
En este sentido, se intercambiará información entre ambos organismos en los siguientes campos:
● Red.es compartirá el acceso a la base de datos WHOIS del Registro de dominios «.es» que gestiona, de tal forma que INCIBE podrá conocer el listado de dominios activos, de las nuevas altas, y los datos completos vinculados a cada dominio «.es»
● INCIBE remitirá información sobre los nombres de dominios «.es» que se identifiquen como maliciosos (con carácter general, se considerarán como tales aquellos desde los que se estén realizando actividades constitutivas de delito) así como sobre aquellos en los que identifique inexactitud y/o falsedad en los datos facilitados por sus titulares para su registro, con el fin de que Red.es pueda iniciar procedimientos de verificación de los datos aportados al Registro. INCIBE informará sobre los criterios que utilicen para determinar tanto la consideración de maliciosos como la existencia de indicios fehacientes de inexactitud y/o falsedad en los registros de los mismos. Red.es informará del resultado de los procedimientos y controles iniciados en base a la información dada por INCIBE e instados en el marco del presente convenio. INCIBE, compartirá con Red.es el volumen de los nombres de dominio de otros indicativos diferentes al «.es» considerados como maliciosos.
● INCIBE y Red.es compartirán información de interés mutuo sobre los incidentes de seguridad que identifiquen como relevantes.
● INCIBE y Red.es desarrollarán iniciativas de ciberseguridad conjuntas, para mejorar la capacidad de respuesta a los retos que se plantean en este ámbito, y para incrementar la concienciación y las buenas prácticas a implementar para minimizar los riesgos existentes en este ámbito.
● INCIBE transmitirá la información más arriba referida siempre en el momento y la forma que no pueda resultar perjudicial para las investigaciones o procedimientos en curso.
Cuarta. Compromisos y obligaciones de INCIBE.
INCIBE en el marco de esta colaboración se obliga a:
– Realizar análisis y segmentación de los nombres de dominio «.es» registrados con el fin de detectar y reportar a Red.es aquellos respecto de los cuales existan indicios fehacientes de inexactitud y/o falsedad de sus datos de registro.
– Evolucionar y mejorar en la medida de lo posible los métodos para detectar nombres de dominio con datos falsos o inexactos.
INCIBE se obliga a facilitar a Red.es:
– Información sobre los métodos usados para detectar los listados de nombres de dominio «.es» sospechosos, así como los cambios o ajustes que dichos métodos puedan tener a lo largo del tiempo.
– Información estadística derivada de los listados de nombres de dominios «.es» implicados en esta colaboración.
Quinta. Compromisos de Red.es.
Los compromisos que adquiere el Red.es en relación al presente convenio son los que se relacionan a continuación:
– Iniciar el procedimiento de cancelación especial para la depuración de las bases de datos previsto en la Instrucción del Director General de la entidad pública empresarial Red.es por la que se establece el Procedimiento Especial de Cancelación en el marco del proceso de depuración de datos del registro de nombre de dominios «.es», en los términos establecidos en su apartado primero u otros procedimientos de cancelación que tengan entre sus objetivos la depuración de datos incorrectos. Para iniciar dichos procedimientos será requisito indispensable que INCIBE formule notificación en la que se haga constar, o de la que claramente resulte, la existencia de indicios de inexactitud y/o falsedad de los datos facilitados por los titulares de dominios. Recibida la notificación e información asociada, Red.es aplicará los correspondientes controles objetivos sobre los datos asociados para continuar y ultimar el procedimiento de verificación de la corrección de los datos que constan en el Registro.
– Adicionalmente, Red.es, en el contexto de colaboración del presente convenio facilitará a INCIBE acceso a la información de la Base de Datos de los registros que se realicen de nombres de dominio «.es» (WHOIS), facilitando el acceso online a esa información.
Sexta. Financiación.
Las actividades que resulten necesarias para el desarrollo de las acciones previstas en este convenio generarán gasto específico directo para las Partes firmantes, de conformidad con lo establecido en el artículo 7.3 de la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera, resultando así del mismo el coste cero para las Partes firmantes, no comportando obligaciones económicas ni financieras para quienes lo suscriben.
El incumplimiento de las obligaciones y compromisos asumidos en el presente convenio no generará indemnización entre las Partes al tratarse de un convenio que no genera obligación financiera o contraprestación económica alguna para las Partes.
Séptima. Medidas de control y comisión de seguimiento.
Se establece una Comisión de Seguimiento del presente convenio, constituida por cuatro miembros y el secretario. Cada parte designará expresamente a dos miembros para actuar en su nombre y representación. Los miembros de esta Comisión podrán ser sustituidos por las personas que estos designen. La sustitución, con carácter definitivo o temporal, de cualquiera de los miembros de la Comisión de Seguimiento, será anunciada en la convocatoria de la reunión correspondiente, y quedará debidamente reflejada en el acta de la misma.
La presidencia de la Comisión de Seguimiento corresponderá a Red.es quien, además del representante anteriormente citado, designará también al Secretario, que actuará con voz pero sin voto.
A las reuniones de la Comisión de Seguimiento podrán asistir invitados de cada una de las partes, que actuarán con voz pero sin voto.
La Comisión de Seguimiento tiene atribuidas las funciones de seguimiento, vigilancia y control del convenio previstas en el artículo 49 de la Ley 40/2015. La Comisión de Seguimiento resolverá los problemas de interpretación y cumplimiento que se deriven del mismo. Asimismo, podrá proponer la tramitación de adendas al presente convenio, con mejoras y modificaciones de las actuaciones previstas en el mismo. Cualquier propuesta que se acuerde en este sentido deberá reflejarse por escrito en un acuerdo de Comisión de Seguimiento que se someterá a la firma de todos sus miembros.
La Comisión de Seguimiento se reunirá en sesión constitutiva en el plazo de un mes desde la firma del convenio y podrá reunirse cuantas veces lo solicite cualquiera de las partes. En todo caso, se reunirá como mínimo dos veces al año.
En todo lo no previsto, se sujetará al régimen jurídico que para los órganos colegiados se establece en la sección tercera, del capítulo segundo, del título preliminar de la Ley 40/2015, de Régimen Jurídico del Sector Público.
Octava. Vigencia y modificación.
De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, el presente convenio resultará eficaz una vez sea inscrito, en el plazo de cinco días desde su formalización, en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal. Será obligatoria su publicación en el «Boletín Oficial del Estado» en el plazo de diez días hábiles desde su formalización.
Tendrá una vigencia de cuatro años y, conforme con lo dispuesto en el artículo 49 de la Ley 40/2015, en cualquier momento antes de la finalización de dicho plazo, los firmantes del convenio podrán acordar unánimemente su prórroga por un periodo de hasta cuatro años adicionales o su extinción.
El convenio podrá modificarse por mutuo acuerdo cuando resulte necesario para la mejor realización de su objeto siguiendo los mismos trámites establecidos para su suscripción. Toda modificación del convenio deberá formalizase mediante adenda, conforme a los requisitos legalmente establecidos, previa autorización prevista en el artículo 50 de la Ley 40/2015, de 1 de octubre. Dicha adenda de modificación surtirá efectos con su inscripción en REOICO antes de la fecha de extinción del convenio. Asimismo, la adenda será publicada en el «Boletín Oficial del Estado».
Novena. Extinción.
El presente convenio podrá extinguirse por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.
Serán causas de resolución las contempladas en el artículo 51.2 de la Ley 40/2015:
– El acuerdo unánime de las Partes.
– El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga o término del plazo de vigencia de la prórroga en su caso. En cualquier caso, transcurridos 8 años desde la inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación.
– El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes y establecidos en el presente convenio.
– Por decisión judicial declaratoria de la nulidad del convenio.
– Por cualquier otra causa distinta de las anteriores prevista en otras leyes.
No obstante, y en la medida de lo posible, las Partes, ante una posible resolución, se comprometen a que las actividades que estuvieran en curso puedan ser finalizadas en el periodo establecido.
En cualquier caso, la Comisión de Seguimiento continuará en funciones y deberá hacer constar en el acta correspondiente el cumplimiento o, en su caso, el incumplimiento de las obligaciones recíprocas de cada Parte, resolver las cuestiones que pudieran plantearse en relación con las actuaciones en curso o derivadas del convenio y, asimismo, para el caso de producirse la extinción, hasta que se resuelvan las cuestiones pendientes.
De acuerdo con el artículo 52 de la Ley 40/2015, el cumplimiento y la resolución del convenio dará lugar a la liquidación de este con el objeto de determinar las obligaciones y compromisos de cada una de las Partes.
Décima. Derechos de las partes.
El presente convenio no supone, en ningún caso, la cesión de competencias de una de las partes a la otra, ni tampoco la concesión, expresa o implícita, de derecho alguno respecto a patentes, derechos de autor o cualquier otro derecho de propiedad intelectual o industrial.
Toda la información y documentación intercambiada, en el marco del convenio, será propiedad exclusiva de la parte que la haya generado.
Undécima. Protección de datos personales.
Las Partes se comprometen al intercambio de la información necesaria para el cumplimiento efectivo de todos los términos del presente convenio, con las garantías de confidencialidad que en cada caso sean requeridas.
Ambas Partes se reconocen interés legítimo en el intercambio de información dentro de las actuaciones del presente convenio.
Dentro del marco de este instrumento, se excluye de la categoría de información confidencial toda aquella que haya de ser revelada a terceros o interesados de acuerdo con las leyes, con una resolución judicial o acto de autoridad competente.
Este instrumento no ampara, en ningún caso, el intercambio de información clasificada conforme a la legislación reguladora de aplicación.
Las Partes se obligan al cumplimiento de lo previsto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como cualquier otra norma de desarrollo y/o modificación de las anteriores que sea de obligado cumplimiento.
A estos efectos, las Partes tendrán la consideración de responsables de los tratamientos propios en los que se incorporen datos de carácter personal respectivamente recabados. El acceso a los datos por parte de una de las Partes al tratamiento de la otra Parte, se realizará única y exclusivamente con la finalidad derivada del objeto del presente convenio. Los datos de carácter personal no serán cedidos ni comunicados a terceros, salvo cuando se cedan a otros organismos o Administraciones Públicas conforme a lo previsto legalmente.
En relación con los datos personales necesarios para el cumplimiento del objeto del presente convenio, actuarán como responsables Red.es e INCIBE, legitimados al amparo de lo previsto en el 6.1.a), c), así como e) en relación con el considerando 49 del Reglamento General de Protección de Datos o el artículo 11 de la Ley Orgánica 7/2021, de 26 de mayo. Los responsables del tratamiento cumplirán con las obligaciones de información establecidas en el Reglamento General de Protección de Datos y/o, en su caso, en la Ley Orgánica 7/2021, de 26 de mayo, en relación con aquellos interesados de los que se obtengan datos personales.
Las Partes firmantes están obligadas a implantar, en caso de carecer de ellas, las medidas técnicas y organizativas necesarias que garanticen la seguridad e integridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Las Partes firmantes del convenio quedan exoneradas de cualquier responsabilidad que se pudiera generar por incumplimiento de las obligaciones recogidas en el presente convenio por cualquiera de ellas. En caso de quebrantamiento de las obligaciones asumidas, la Parte responsable responderá de las posibles infracciones en que hubiera incurrido.
Las Partes manifiestan que conocen, cumplen y se someten de forma expresa a la normativa en materia de Protección de Datos de Carácter Personal, comprometiéndose a dar un uso debido a los datos de tal naturaleza que obtengan como consecuencia del desarrollo del presente convenio. Para ello las Partes consienten que los datos personales del presente convenio puedan incorporarse a ficheros de titularidad de cada una de ellas con la única finalidad de proceder a la gestión adecuada del mismo. El ejercicio de los derechos se llevará a cabo en los términos establecidos por la normativa vigente en función de la finalidad del tratamiento y de la autoridad responsable.
Y en prueba de conformidad de cuanto antecede, firman el presente convenio en dos (2) ejemplares originales, igualmente válidos.–Madrid, 5 de abril de 2024, el Director General de la Entidad Pública Empresarial Red.es, Jesús Herrero Poza.–El Director General de INCIBE, Félix A. Barrio Juárez.