Nuevo reglamento relativo a las notificaciones en caso de violación de datos personales

El pasado día 24 de junio, se publicó en el Diario Oficial de la Unión Europea, el Reglamento Europeo 611/2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales, en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre privacidad y comunicaciones electrónicas.

Dicho texto legal, que entrará en vigor el próximo día 25 de agosto de 2013, regula cómo, cuándo y ante quién los proveedores de servicios de comunicaciones electrónicas disponibles para el público (empresas de telecomunicaciones) deben notificar los casos de violación de datos personales, entendiéndose por violación, cualquier incidente de seguridad que comprometa datos personales.
Así, el artículo 2 del precitado reglamento establece que los proveedores deberán notificar cualquier violación de datos personales ante la autoridad nacional competente (en el caso de España, la Agencia Española de Protección de Datos) en un plazo máximo de 24 horas desde que se tenga constancia del incidente. Para ello, el propio texto legal, adjunta como Anexo I el contenido que deberá contener la notificación que se presente ante la autoridad nacional competente.
Asimismo, se recoge, artículo 3 del reglamento, que en caso de que la violación de datos personales pueda afectar a la intimidad de un ciudadano, el proveedor además de notificar la incidencia a la autoridad competente, deberá notificársela al titular de los datos que se han visto afectados. Dicha comunicación deberá practicarse en el mismo plazo que la notificación ante la autoridad y el contenido de la comunicación, que también ha sido facilitada por el propio texto legal, se encuentra en el Anexo II.
Eso si, en caso de que el proveedor demuestre a la autoridad competente, que ha aplicado las medidas de seguridad necesarias para proteger los datos personales que se han visto afectados por la incidencia o violación (como por ejemplo, cifrar los datos), no será necesario que el proveedor notifique la incidencia al particular (artículo 4 del reglamento).
Por último, señalar que de aprobarse el reglamento europeo de protección de datos, las notificaciones de violaciones e incidencias de datos personales, no solo serán aplicables a los proveedores de servicios de comunicaciones electrónicas disponibles para el público, sino que serán una obligación que deberá cumplir cualquier empresa que trate datos personales.
La legalidad de tu empresa,
en las mejores manos


93 540 43 32