Mayo 2014

protección de datos


Cecilia Álvarez / Reyes Bermejo

Brechas de seguridad y evaluaciones de impacto

Brechas de seguridad

La AEPD ha puesto en marcha recientemente en su sede electrónica un sistema de notificación rápido de quiebras de seguridad. El proyecto de Reglamento de protección de datos ya prevé ampliar esta obligación de notificación a todos los operadores (actualmente, únicamente es obligatoria -conforme al artículo 34 de la vigente Ley 32/2003 de Telecomunicaciones, tras la reforma llevada a cabo por el Real Decreto-Ley 13/2012-, para los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público).

Esta iniciativa está relacionada con la Opinión 03/2014 del Grupo del Artículo 29, del que forma parte la AEPD, relativa a la notificación de violación de datos personales. En esta opinión, que va más allá de las obligaciones de notificación del art. 4.3 de la Directiva 2002/58/CE, se propone una lista (no exhaustiva) de supuestos en los que debería notificarse a los interesados la existencia de una violación de seguridad que afecta a sus datos personales. En la explicación de estos supuestos se desarrolla, además, el análisis de impacto que el operador debe efectuar a fin de determinar si la comunicación debe realizarse o no, así como las medidas correctoras que habrían podido adoptarse para minimizar el riesgo. Por otra parte, en la opinión también se identifican los supuestos en los que no será necesario llevar a cabo dicha notificación aun habiéndose producido una violación de datos personales (incluyendo caso de encriptación). Destaca el carácter eminentemente práctico de esta Opinión, que incluye un apartado de “preguntas y respuestas” (Q&A) con el objeto de facilitar la comprensión de las obligaciones derivadas de las violaciones de seguridad.

Evaluaciones de impacto

La AEPD ha preparado asimismo un borrador de guía de evaluación de impacto (PIA en sus siglas en inglés) que puso a disposición del público para recabar comentarios. Esta iniciativa está ligada a las nuevas obligaciones que se establecen al respecto en el proyecto de Reglamento de protección de datos.

Enlaces de interés:

 volver al inicio


La información contenida en esta Circular es de carácter general y no constituye asesoramiento jurídico