Nuevo Reglamento General de Protección de Datos 3
Capítulo 3: Las notificaciones de las violaciones de seguridad
(Haz clic si quieres leer el Capítulo 1, o el Capítulo 2)
En el Capítulo 1, analizamos algunas circunstancias generales de la futura norma (derogación de la normativa vigente, aplicación a partir de 2 años desde su entrada en vigor…), así como el incremento de las posible sanciones en caso de incumplimiento.
En el Capítulo 2, tratamos la posible desaparición de la inscripción de ficheros frente al mantenimiento de la documentación interna.
Continuamos hoy con el análisis del borrador del Reglamento General de Protección de Datos abordando la obligación de notificar los incidentes de seguridad.
a) Situación actual
Se trata de una novedad en todos los sectores, menos en el de las telecomunicaciones.
La Directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE) ya exigía en su artículo 4 (modificado por la Directiva 2009/136/CE) que, “en caso de violación de los datos personales, el proveedor de los servicios de comunicaciones electrónicas disponibles al público notificará, sin dilaciones indebidas, dicha violación a la autoridad nacional competente.”
Y continúa diciendo que “cuando la violación de los datos personales pueda afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el proveedor notificará también la violación al abonado o al particular sin dilaciones indebidas.”
Estas obligaciones fueron incorporadas al Ordenamiento Jurídico Español a través de la modificación del artículo 34 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, gracias al totum revolutum del Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista, (ahí es nada, y con 1 año de retraso, como con el temita de las cookies).
Esta historia legislativa concluye este verano de 2013, con la publicación y entrada en vigor del Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.
b) Situación futura
En esta misma línea, se prevé que el Reglamento General de Protección de Datos exija a todos los responsables de ficheros de datos personales que notifiquen las violaciones de datos personales:
- A la autoridad de control (en España, a la AEPD):
- Objeto de notificación: Violaciones de datos personales, definidas como toda incidencia de seguridad “que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma.”
- Plazo: 24 horas desde que se haya tenido constancia de la violación (se acepta cierto retraso siempre que esté debidamente justificado y motivado).
- Contenido de la notificación:
- describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;
- comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
- describir las consecuencias de la violación de datos personales;
- describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales.
- A los afectados
- Objeto de notificación: Violaciones de datos personales que pudieran suponer un riesgo para los interesados, salvo que el responsable del fichero hubiese conseguido eliminar los riesgos para los afectados a criterio de la Autoridad de Control.
- Plazo: A la mayor brevedad posible tras la notificación a la Autoridad de Control.
- Contenido de la notificación: Como mínimo:
- comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
- recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
En resumen, las empresas que tengan la mala suerte de sufrir una violación de datos personales deberán entonar el mea culpa para su escarnio público… y de prisita, que para mañana ya es tarde.
Áudea Seguridad de la Información
José Carlos Moratilla, Responsable Departamento Legal
www.audea.com
www.cursosticseguridad.com