Si eres un proveedor de servicios de comunicaciones electrónicas, lo más probable es que hayas oído hablar del tema de las notificaciones de quiebras de seguridad que estás obligado a hacerle a la Agencia Española de Protección de Datos.
Y si el tema no te suena, más te vale que empiece a sonarte y prestes atención.
Esta obligación la introdujo el Real Decreto-Ley 13/2012, de 30 de marzo (que tiene un título larguísimo), que modificó el artículo 34 de la Ley 32/2013, de 3 de noviembre, General de Telecomunicaciones. A su vez, la reforma trae causa del mandato establecido por la Directiva 2002/58/CE, que exigía la notificación de los incidentes de seguridad que pudieran afectar a datos de carácter personal, y no sólo a los usuarios del servicio, sino también a las autoridades nacionales competentes.
Así queda redactado finalmente el artículo 34.4 de la LGT, que es lo que aquí nos interesa:
4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.
La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.
Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.
En la notificación al abonado o al particular se describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación. En la notificación a la Agencia Española de Protección de Datos se describirán además las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.
Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario.
A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.
¿Y cómo se lleva a cabo esta notificación a la AEPD, en la práctica? Pues muy fácil: accediendo a la sede electrónica de la Agencia en:
https://sedeagpd.gob.es/sede-electronica-web/
Tendrás que seleccionar la opción NOTIFICACIÓN PRECEPTIVA DE QUIEBRAS DE SEGURIDAD y cumplimentar el formulario.
Y ojo, porque el plazo que tienes para notificar es muy breve: 24 horas.