Normativa actual y la del futuro Reglamento Europeo de Protección de Datos

ECIXPor Luis Alberto Posado, Asociado Senior del Área de Gobierno, Riesgos y Cumplimiento de ECIX

Entre las principales novedades que pretende incluir el futuro Nuevo Reglamento Europeo de Protección de Datos se encuentra el Data Breach Notification (DBN) o “notificaciones de violación de datos”.

El DBN obligará a las compañías a que, en el caso de que alguien haya quebrantado sus sistemas de información y haya producido una brecha en sus sistemas de seguridad, lo notifique a la autoridad de control competente.

Este sistema de vigilancia tiene como principal objetivo garantizar que la autoridad de control sea informada de la forma más rápida y exhaustiva posible de las brechas detectadas, sin entorpecer en todo caso la resolución de la incidencia por parte del responsable de los datos.

Por otro lado, el próximo 25 de Agosto entrará en vigor el ya aprobado Reglamento 611/2013 relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del consejo sobre la privacidad y las comunicaciones electrónicas.

Este Reglamento cuyo ámbito de aplicación se circunscribe a los proveedores de servicios de comunicaciones electrónicas disponibles para el público, obliga a notificar las violaciones de datos personales a las autoridades de control nacionales competentes, estableciendo el contenido de la comunicación y el sistema de notificación.

Es importante señalar que el Reglamento 611/2013, que ya se encuentra aprobado, ha sido elaborado de forma completamente coherente con la futura medida de notificación del DBN que se propondrá en el futuro Reglamento Europeo de Protección de Datos.

Consecuentemente las disposiciones establecidas en este Reglamento deberían trasladarse de forma similar al texto definitivo del Reglamento Europeo, por lo que el procedimiento y los requerimientos de la notificación, que a continuación desarrollamos, podrán ser en algunos casos idénticos a los que finalmente sean aprobados.

En este sentido el Reglamento considera violación de datos personales a toda transgresión de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados a los datos de carácter personal responsabilidad de una compañía.

El Reglamento 611/2013 regula el plazo de notificación de las brechas de seguridad a la autoridad de control competente, señalando que “en la medida de lo posible” se realizará dentro de las 24 horas siguientes a la detección del caso. El Reglamento recalca que en el supuesto de que el responsable no dispusiera de toda la información en dicho plazo, dentro de los 3 días siguientes a la comunicación inicial deberá notificarse toda la información disponible.

Respecto a la información que deberá incluir la notificación, el Reglamento 661/2013 dispone que la comunicación que se realice a la autoridad competente contendrá:

i. La identificación del responsable, incluyendo los datos del responsable de protección de datos o del Data Privacy Officer (DPO) de la entidad.
ii. La información inicial sobre el caso de violación de datos personales, incluyendo la fecha y hora del incidente, las circunstancias en que se haya producido (pérdida, robo, copia, etc.), la naturaleza de los datos vulnerados, las medidas técnicas y de organización aplicadas y la comunicación que realice el encargado del tratamiento al responsable del fichero.
iii. La información suplementaria sobre el caso de violación de datos personales, incluyendo un resumen del incidente que ha causado la violación, el numero de interesados afectados, las posibles consecuencias y las medidas técnicas y de organización aplicadas para paliar los daños.
iv. La posible notificación adicional a los interesados o afectados, incluyendo el contenido de la comunicación, los medios de notificación utilizados y el número de interesados a los que se les ha remitido.
v. Las posibles cuestiones de carácter transfronterizo, incluyendo la notificación a otras autoridades nacionales competentes en el caso de que se vean afectados personas de otros estados miembros.

Como puede observarse de la información solicitada es posible que se requiera, o que sea facultativo, según señala el Reglamento, el envío de una comunicación a los interesados o afectados cuando se produzca un incidente en la seguridad de sus datos, regulando a su vez el contenido mínimo que deberá contener la comunicación, la cual contendrá:

i. Nombre del Proveedor.
ii. Identidad y datos de contacto del responsable de la protección de datos.
iii. Resumen del incidente que ha causado la violación.
iv. Fecha estimada del incidente.
v. Naturaleza y contenido de los datos personales vulnerados.
vi. Posibles consecuencias de la violación.
vii. Circunstancias en las que se ha producido la violación.
viii. Medidas adoptadas para subsanar la violación.
ix. Medidas recomendadas para paliar los posibles efectos negativos.

Igualmente la notificación podrá tener un carácter transfronterizo lo que implica una comunicación fluida entre las distintas autoridades de control. Por tanto es necesario que todas las autoridades de control dispongan de un canal de comunicación electrónico con los responsables a fin de que pueda efectuarse la notificación de los casos de violación en un formato común, basado por ejemplo en normas tales como el formato XML.

Como principales conclusiones acerca del futuro de la obligación del DBN cabe destacar la necesidad de las empresas de:

– Elaborar e implantar un procedimiento interno que permita detectar y categorizar las incidencias que deben ser comunicadas a la autoridad de control competente.

– Establecer un canal interno que permita recabar toda la información requerida por la normativa.

– Disponer de una solución informática que facilite esa comunicación

– Nombrar un responsable de protección de datos o Data Privacy Officer (DPO) que garantice el cumplimiento de estas nuevas obligaciones, actuando de interlocutor con las autoridades de control.

Datos personales

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.