Notificación de los ISPs a la AEPD de los agujeros de seguridad

por

publicado el 3 abril 2012

Categorías: Derechos Fundamentales / Intimidad / Normativa / Privacidad / Protección de Datos / Seguridad / Tecnología / Telecomunicaciones

Otro de los cambios introducidos (como el comentado ayer sobre el email marketing) por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista hace relación a un tema que siempre ha preocupado a los usuarios y el que temen los ISPs como son los agujeros de seguridad. En la anterior legislatura  ya se tuvo en cuenta el tema insistiendo en la necesidad de notificación del agujero a la Agencia Española de Protección de Datos y al propio usuario, ahora el RD establece el sistema para responder ante los agujeros de seguridad dentro del apartado de “protección de datos de carácter personal”:

En este caso el RD no habla, por supuesto de agujeros de seguridad, sino de “violaciones de los datos personales“, debiéndose entender en este caso la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

Y ¿cómo deben actuar los ISPs ante estas violaciones en la seguridad de los datos?

  1. Los ISPs tendrán que notificar sin dilaciones indebidas a la Agencia Española de Protección de Datos la violación de seguridad que se ha producido. En su caso, parece no obligatorio sino más bien potestativo informar al abonado o particular del hecho acontecido, puesto que si no lo ha hecho, y la Agencia considera que se han aplicado las medidas correctores convenientes, le exonera de la obligación de informar. Asimismo, es la propia Agencia la que puede obligar al ISP a que informe a sus usuarios del problema acontecido con sus datos de carácter personal.
  2. La notificación a la AEPD deberá contener la naturaleza y consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.
  3. En caso de que se notifique al usuario, la notificación detallará la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación.
  4. Los ISPs están obligados a llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación.

En la anterior redacción de la ley se incluía una dura sanción pecuniaria para los ISPs que no cumpliesen con esta obligación que en la actual redacción no se recoge, asimismo, se adelanta a lo que el futuro reglamento europeo de protección de datos pretende y no sólo para los ISPs.

  • http://www.amedeomaturo.com Amedeo Maturo

    En la legislación UK ya existe esta obligación de declaración de incidencia. ¿Una forma más de transparencia?
    Buen resumen, por cierto,
    Amedeo Maturo

  • Álvaro Del Hoyo

    Buenas, Jorge

    Un par de breves comentarios

    a) Obligación de notificar violaciones de los datos personales, aplicable no sólo a ISPs sino que también a cualquier operador de servicios de comunicaciones electrónicas disponibles al público (por ejemplo, operadores telefónicos, OMVs,…) y operadores que sin prestar servicios a usuarios o abonados explotan redes de comunicaciones
    b) Pero también obligación de notificar violaciones de integridad y seguridad de redes y servicios

    Por tanto, el marco de gestión de incidentes ha de establecerse en base a políticas y procedimientos que tengan en cuenta la doble vertiente de la obligación de notificar.

    Es evidente que la obligación de notificar violaciones de integridad y seguridad de redes y servicios ha además de ponerse en relación con las obligaciones establecidos en la legislación de protección de infraestructuras críticas, en especial en el caso de las telcos que siendo en sí mismas operadores de infraestructuras críticas son un proveedor de otros otros operadores de infraestructuras críticas

    Te paso unas cuantas referencias de interés al respecto, aunque hay otras del otro lado del charco

    http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrial-control-systems (trabajo de S21sec)

    http://www.enisa.europa.eu/activities/cert/support/incident-management

    Todo ello, dado el calado del reto, entronca con lo dicho en el considerando 53 de la Directiva 2009/136/CE y que se replica en el considerando 39 de la propuesta de Reglamento de Protección de Datos

    http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:Es:PDF

    http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

    Un saludo