La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha un nuevo sistema para que los proveedores de servicios de comunicaciones electrónicas notifiquen las eventuales quiebras de seguridad que se hayan producido en sus sistemas y que puedan afectar a los datos personales que tratan.

La Directiva 2002/58/CE establece que los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las quiebras de seguridad que puedan afectar a datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados, con el fin de reforzar las garantías de su derecho fundamental a la protección de datos. Esta obligación ha sido incorporada al Derecho español por la reforma del artículo 34 de la LGT, llevada a cabo por el Real Decreto-ley 13/2012. Por su parte, el Reglamento de la Comisión Europea 611/2013 fija las normas sobre cómo y cuándo notificar estas quiebras de seguridad. En el caso español, la competencia para recibir estas comunicaciones por parte de los proveedores de servicios corresponde a la Agencia Española de Protección de Datos.

El procedimiento que presenta hoy la AEPD, con el que se facilita el cumplimiento de la obligación normativa, está disponible a través del apartado 'Notificación preceptiva de quiebras de seguridad' de la Sede Electrónica de la Agencia. El artículo 2.2 del Reglamento especifica que, en la medida de lo posible, los proveedores deben comunicar las quiebras de seguridad a la autoridad competente dentro de las 24 horas siguientes a la detección del incidente.

El protocolo de actuación puesto en marcha por la Agencia se establece como un canal rápido y seguro para que los proveedores de servicios de comunicaciones electrónicas notifiquen a la Agencia los casos previstos en la legislación. Las quiebras de seguridad están definidas en la misma como 'toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público'.

Siguiendo las especificaciones del Reglamento, el formulario habilitado por la AEPD incluye, entre otros campos, la identificación del proveedor, los datos de contacto del responsable de protección de datos o de la persona que pueda aportar más información, las circunstancias en las que se ha producido la quiebra de seguridad, la naturaleza y el contenido de los datos, el número de afectados, o las medidas técnicas y organizativas adoptadas por el proveedor para paliar los posibles efectos negativos.

El objetivo del Reglamento es reforzar las garantías de los abonados o particulares que hayan podido verse afectados por la quiebra de seguridad, estableciendo la obligación de notificar el hecho a la AEPD de la forma más rápida y exhaustiva posible sin que ello suponga un obstáculo para que el proveedor tome las medidas para limitar y remediar las consecuencias del incidente.

El sistema de notificación electrónica de quiebras de seguridad puesto en marcha hoy es exclusivo para proveedores de servicios de comunicaciones electrónicas disponibles para el público, sujetos obligados por la Ley 32/2003 General de Telecomunicaciones. Los ciudadanos siguen teniendo a su disposición en la Sede Electrónica el apartado 'Presentación de denuncias' para poner en conocimiento de la Agencia posibles vulneraciones de la Ley Orgánica de Protección de Datos.