Cecilia Álvarez / Reyes Bermejo
Se aprueba un Reglamento Europeo sobre las notificaciones de
violaciones de datos personales por parte de proveedores de servicios de
comunicaciones electrónicas disponibles para el público
La Comisión Europea ha aprobado el Reglamento (UE) Nº 611/2013, de 24
de junio de 2013, relativo a las medidas aplicables a la notificación de
casos de violación (y no en caso de “riesgo particular de violación”) de
datos personales tanto a la autoridad nacional (en nuestro caso, la
Agencia Española de Protección de Datos) como a los abonados.
Este Reglamento, que no entrará en vigor hasta el próximo 25 de
agosto, se dicta al amparo de las competencias que la Directiva
2002/58/CE (modificada por la Directiva 2009/136/CE) atribuye a la
Comisión para la adopción de medidas técnicas de ejecución en relación
con la obligación de notificación a las autoridades competentes y a los
abonados (previstas en los apartados 2, 3 y 4 de su artículo 4 e
implementadas en el artículo 34 de la Ley General de
Telecomunicaciones).
A tales efectos, el Reglamento precisa los requisitos (de fondo y
forma) aplicables a estas notificaciones, del que destacamos:
- Un contenido prefijado del tipo de la información que debe
contener la notificación a las autoridades y a los abonados.
- La necesidad de notificar a la autoridad en 24 horas,
autorizándose una notificación en dos tiempos cuando no se disponga
inicialmente de toda la información requerida.
- La necesidad de que la autoridad nacional ponga a disposición de
los proveedores un soporte electrónico seguro a través del cual
notificar las violaciones así como la información necesaria para su
utilización.
- Una serie de criterios que determinan cuando una violación de
datos personales puede afectar negativamente a los datos personales o
a la intimidad de un abonado.
- La obligación de que el/los subcontratista/s del proveedor de
servicios de comunicaciones electrónicas informen a este (y no a la
autoridad) de manera inmediata de las violaciones de datos personales.
- La exención de notificación de las violaciones a los abonados
cuando pueda demostrarse que se han aplicado medidas tecnológicas de
protección a los datos personales afectados de forma que han
convertido dichos datos en “incomprensibles” (p.ej., mediante cifrados
especiales).
volver
al inicio