Notificacion quiebras seguridad

Si eres un proveedor de servicios de comunicaciones electrónicas, lo más probable es que hayas oído hablar del tema de las notificaciones de quiebras de seguridad que estás obligado a hacerle a la Agencia Española de Protección de Datos.

Y si el tema no te suena, más te vale que empiece a sonarte y prestes atención.

Esta obligación la introdujo el Real Decreto-Ley 13/2012, de 30 de marzo (que tiene un título larguísimo), que modificó el artículo 34 de la Ley 32/2013, de  3 de noviembre, General de Telecomunicaciones. A su vez, la reforma trae causa del mandato establecido por la Directiva 2002/58/CE, que exigía la notificación de los incidentes de seguridad que pudieran afectar a datos de carácter personal, y no sólo a los usuarios del servicio, sino también a las autoridades nacionales competentes.

Así queda redactado finalmente el artículo 34.4 de la LGT, que es lo que aquí nos interesa:

4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.

En la notificación al abonado o al particular se describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación. En la notificación a la Agencia Española de Protección de Datos se describirán además las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.

Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario.

A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

¿Y cómo se lleva a cabo esta notificación a la AEPD, en la práctica? Pues muy fácil: accediendo a la sede electrónica de la Agencia en:

https://sedeagpd.gob.es/sede-electronica-web/

Tendrás que seleccionar la opción NOTIFICACIÓN PRECEPTIVA DE QUIEBRAS DE SEGURIDAD y cumplimentar el formulario.

Y ojo, porque el plazo que tienes para notificar es muy breve: 24 horas.

Reglamento europeo violacion datos


En el Diario Oficial de la Unión Europea de 26 de junio de 2013, se publicaba el Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.

Esta norma se aplica a la notificación de los casos de violación de datos personales por parte de los proveedores de servicios de comunicaciones electrónicas disponibles para el público (artículo 1º del Reglamento).

¿A qué les obliga esta norma?

Pues a notificar a la autoridad nacional competente los supuestos de violación de datos personales, y en plazos muy cortos: a las 24 horas de la detección de del caso, a ser posible.

La notificación se realizará cumplimentando un modelo oficial que se incluye como anexo I en el Reglamento.

¿Y qué quiere decir la norma con eso de “violación de datos personales”? Lo aclara el apartado 2º del artículo 2º, en los siguientes términos:

Se considerará que se ha detectado un caso de violación de datos personales cuando el proveedor tenga conocimiento suficiente de que se ha producido un incidente de seguridad que compromete datos personales…

Para que los proveedores puedan proceder a la notificación del incidente, las autoridades nacionales competentes habrán de poner a disposición de los mismos un soporte electrónico seguro a tal fin.

Además de la notificación a la autoridad nacional, el proveedor tiene que comunicar el incidente de seguridad al abonado o particular afectado, sin dilación (artículo 3). La información que se le proporcionará, será la recogida en el Anexo II de la norma.

No obstante, continua diciendo el artículo 4 de este Reglamento, que la notificación al abonado o particular, no será necesaria si el proveedor prueba debidamente que ha aplicado las medidas tecnológicas de protección convenientes y que estas se han aplicado a los datos afectados por la violación de seguridad. Dichas medidas tienen que convertir los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

La fecha de entrada en vigor de este Reglamento está muy próxima: 25 de agosto de 2013.