Notificación de los ISPs a la AEPD de los agujeros de seguridad

por Jorge Campanillas Ciaurriz

publicado el 3 abril 2012

Categorías: Derechos Fundamentales / Intimidad / Normativa / Privacidad / Protección de Datos / Seguridad / Tecnología / Telecomunicaciones

Otro de los cambios introducidos (como el comentado ayer sobre el email marketing) por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista hace relación a un tema que siempre ha preocupado a los usuarios y el que temen los ISPs como son los agujeros de seguridad. En la anterior legislatura  ya se tuvo en cuenta el tema insistiendo en la necesidad de notificación del agujero a la Agencia Española de Protección de Datos y al propio usuario, ahora el RD establece el sistema para responder ante los agujeros de seguridad dentro del apartado de «protección de datos de carácter personal»:

En este caso el RD no habla, por supuesto de agujeros de seguridad, sino de «violaciones de los datos personales«, debiéndose entender en este caso la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

Y ¿cómo deben actuar los ISPs ante estas violaciones en la seguridad de los datos?

1. Los ISPs tendrán que notificar sin dilaciones indebidas a la Agencia Española de Protección de Datos la violación de seguridad que se ha producido. En su caso, parece no obligatorio sino más bien potestativo informar al abonado o particular del hecho acontecido, puesto que si no lo ha hecho, y la Agencia considera que se han aplicado las medidas correctores convenientes, le exonera de la obligación de informar. Asimismo, es la propia Agencia la que puede obligar al ISP a que informe a sus usuarios del problema acontecido con sus datos de carácter personal.
2. La notificación a la AEPD deberá contener la naturaleza y consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.
3. En caso de que se notifique al usuario, la notificación detallará la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación.
4. Los ISPs están obligados a llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación.

En la anterior redacción de la ley se incluía una dura sanción pecuniaria para los ISPs que no cumpliesen con esta obligación que en la actual redacción no se recoge, asimismo, se adelanta a lo que el futuro reglamento europeo de protección de datos pretende y no sólo para los ISPs.