Reglamento europeo violacion datos


En el Diario Oficial de la Unión Europea de 26 de junio de 2013, se publicaba el Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.

Esta norma se aplica a la notificación de los casos de violación de datos personales por parte de los proveedores de servicios de comunicaciones electrónicas disponibles para el público (artículo 1º del Reglamento).

¿A qué les obliga esta norma?

Pues a notificar a la autoridad nacional competente los supuestos de violación de datos personales, y en plazos muy cortos: a las 24 horas de la detección de del caso, a ser posible.

La notificación se realizará cumplimentando un modelo oficial que se incluye como anexo I en el Reglamento.

¿Y qué quiere decir la norma con eso de “violación de datos personales”? Lo aclara el apartado 2º del artículo 2º, en los siguientes términos:

Se considerará que se ha detectado un caso de violación de datos personales cuando el proveedor tenga conocimiento suficiente de que se ha producido un incidente de seguridad que compromete datos personales…

Para que los proveedores puedan proceder a la notificación del incidente, las autoridades nacionales competentes habrán de poner a disposición de los mismos un soporte electrónico seguro a tal fin.

Además de la notificación a la autoridad nacional, el proveedor tiene que comunicar el incidente de seguridad al abonado o particular afectado, sin dilación (artículo 3). La información que se le proporcionará, será la recogida en el Anexo II de la norma.

No obstante, continua diciendo el artículo 4 de este Reglamento, que la notificación al abonado o particular, no será necesaria si el proveedor prueba debidamente que ha aplicado las medidas tecnológicas de protección convenientes y que estas se han aplicado a los datos afectados por la violación de seguridad. Dichas medidas tienen que convertir los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

La fecha de entrada en vigor de este Reglamento está muy próxima: 25 de agosto de 2013.