Nota de Prensa AEPD. Sistema de Notificación Quiebras de Seguridad
Los Proveedores de servicios de comunicaciones electrónicas disponer de un nuevo sistema de notificación electrónica de quiebras de seguridad de su sistema de información que afecten a la vulnerabilidad de los datos de carácter personal que tratan.
La AEPD
amplía su sistema de notificación de quiebras de seguridad
Los proveedores de servicios de comunicaciones
electrónicas están obligados a notificar a la Agencia las quiebras de seguridad
que se produzcan en sus sistemas y que puedan afectar a los datos personales
que tratan
La AEPD ha puesto en marcha un sistema de notificación
rápido y seguro que está disponible a través del apartado ‘Notificación
preceptiva de quiebras de seguridad’ de la Sede Electrónica de la Agencia
El
Reglamento de la Comisión Europea 611/2013, que recoge esta y otras
obligaciones, tiene como objetivo reforzar las garantías de los abonados o
particulares ante la destrucción, pérdida, alteración, revelación o acceso no
autorizado a sus datos personales
(Madrid,
23 de marzo de 2014). La Agencia Española
de Protección de Datos (AEPD) ha puesto en marcha un nuevo sistema para que los
proveedores de servicios de comunicaciones electrónicas notifiquen las
eventuales quiebras de seguridad que se hayan producido en sus sistemas y que
puedan afectar a los datos personales que tratan.
La Directiva
2002/58/CE establece que los proveedores de servicios de comunicaciones
electrónicas disponibles para el público están obligados a notificar las
quiebras de seguridad que puedan afectar a datos personales a las
autoridades nacionales competentes y, en algunos casos, también a los abonados
y particulares afectados, con el fin de reforzar las garantías de su derecho
fundamental a la protección de datos. Esta obligación ha sido incorporada al
Derecho español por la reforma del artículo 34 de la LGT, llevada a cabo por el
Real Decreto-ley 13/2012. Por su parte, el Reglamento de la Comisión Europea
611/2013 fija las normas sobre cómo y cuándo notificar estas quiebras de
seguridad. En el caso español, la competencia para recibir estas comunicaciones
por parte de los proveedores de servicios corresponde a la Agencia Española de
Protección de Datos
El procedimiento que
presenta hoy la AEPD, con el que se facilita el cumplimiento de la
obligación normativa, está disponible a través del apartado “Notificación
preceptiva de quiebras de seguridad” de la Sede Electrónica de la Agencia. El
artículo 2.2 del Reglamento especifica que, en la medida de lo posible, los
proveedores deben comunicar las quiebras de seguridad a la autoridad competente
dentro de las 24 horas siguientes a la detección del incidente.
El protocolo de
actuación puesto en marcha por la Agencia se establece como un canal rápido
y seguro para que los proveedores de servicios de comunicaciones
electrónicas notifiquen a la Agencia los casos previstos en la legislación. Las
quiebras de seguridad están definidas en la misma como “toda violación de la
seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la
alteración, la revelación o el acceso no autorizados, de datos personales transmitidos,
almacenados o tratados de otro modo en relación con la prestación de un
servicio de comunicaciones electrónicas de acceso público”.
Siguiendo las
especificaciones del Reglamento, el formulario habilitado por la AEPD incluye,
entre otros campos, la identificación del proveedor, los datos de contacto del
responsable de protección de datos o de la persona que pueda aportar más
información, las circunstancias en las que se ha producido la quiebra de seguridad,
la naturaleza y el contenido de los datos, el número de afectados, o las
medidas técnicas y organizativas adoptadas por el proveedor para paliar los
posibles efectos negativos.
El objetivo del
Reglamento es reforzar las garantías de los abonados o particulares que
hayan podido verse afectados por la quiebra de seguridad, estableciendo la
obligación de notificar el hecho a la AEPD de la forma más rápida y exhaustiva
posible sin que ello suponga un obstáculo para que el proveedor tome las
medidas para limitar y remediar las consecuencias del incidente.
El
sistema de notificación electrónica de quiebras de seguridad puesto en marcha
hoy es exclusivo para proveedores de servicios de comunicaciones electrónicas
disponibles para el público, sujetos obligados por la Ley 32/2003 General de
Telecomunicaciones. Los ciudadanos siguen teniendo a su disposición en la Sede
Electrónica el apartado “Presentación de denuncias” para poner en conocimiento
de la Agencia posibles vulneraciones de la Ley Orgánica de Protección de Datos.