martes, 25 de junio de 2013

Agenda Digital: nuevas normas específicas para los consumidores en caso de pérdida o robo de datos personales de telecomunicaciones en la UE


La Comisión Europea está poniendo en marcha nuevas normas que regulan los procedimientos que deben seguir los operadores de telecomunicaciones y los proveedores de servicios de Internet en caso de pérdida o robo de los datos personales de sus clientes, o cualquier otro riesgo para dichos datos. El objetivo de estas «medidas técnicas de aplicación» es garantizar que todos los clientes reciben el mismo trato en la UE en caso de violación de los datos y velar por que las empresas puedan tener un enfoque paneuropeo con respecto a estos problemas si operan en más de un país.

Los operadores de telecomunicaciones y los proveedores de servicios de Internet están en posesión de una serie de datos de sus clientes, como nombre, dirección y datos bancarios, además de información sobre las llamadas telefónicas y sitios web visitados. Estas empresas han estado funcionado desde 2011 con la obligación general de informar a las autoridades nacionales y a los abonados sobre violaciones de datos personales (IP/11/622).http://europa.eu/rapid/press-release_IP-11-622_en.htmhttp://europa.eu/rapid/press-release_IP-11-622_en.htm

Gracias a un Reglamento de la Comisión, las empresas dispondrán de instrucciones más claras sobre la manera de cumplir estas obligaciones y los clientes se beneficiarán de garantías suplementarias sobre cómo debe tratarse su problema. Por ejemplo, las empresas estarán obligadas a:
  • Informar del incidente, en un plazo de 24 horas tras la detección de la violación, a la autoridad nacional competente a fin de reducir al mínimo sus consecuencias. Si la divulgación de todos los elementos no fuera posible durante ese periodo, deben facilitar un conjunto inicial de informaciones en un plazo de 24 horas y transmitir el resto en un plazo de tres días.
  • Ofrecer una breve descripción de la información afectada y de las medidas que han aplicado o tienen previsto aplicar.
  • Evaluar la necesidad de informar a los abonados (es decir, aplicar el test que indica si la violación puede tener un efecto negativo sobre los datos personales o la privacidad), prestar atención al tipo de datos comprometidos, particularmente en el contexto del sector de las telecomunicaciones, informaciones financieras, datos de localización, registros de Internet, historiales de navegación, datos de correo electrónico y listas de llamadas detalladas.
  • Utilizar un formato normalizado (por ejemplo, un formulario en línea que sea el mismo en todos los Estados miembros de la UE) para la notificación a la autoridad nacional competente.
La Comisión desea asimismo incitar a las empresas a cifrar los datos personales. Como tal, y en colaboración con la ENISA, la Comisión también publicará una lista indicativa de medidas tecnológicas de protección, como técnicas de cifrado, que podrían hacer ininteligibles los datos para cualquier persona que no esté autorizada a verlos. Si una empresa que aplica estas técnicas sufre una violación de datos, no estaría obligada a notificarlo al abonado ya que tal violación no revelaría realmente los datos personales del mismo.

La Comisión aplica estas normas tras su consulta pública de 2011, que obtuvo un amplio apoyo de las partes interesadas en favor de un enfoque armonizado en este ámbito. Las normas fueron aprobadas por un comité de Estados miembros y examinadas por el Parlamento Europeo y el Consejo. Fueron adoptadas en forma de Reglamento de la Comisión, que tiene efecto directo y no requiere ninguna transposición a nivel nacional, y entrarán en vigor dos meses después de su publicación en el Diario Oficial de la UE.

Contexto

La Directiva sobre la privacidad y las comunicaciones electrónicas de 2002 (http://europa.eu/rapid/press-release_IP-11-622_en.htmePrivacy Directive) establece que los operadores de telecomunicaciones y los proveedores de servicios de Internet deben garantizar la confidencialidad y la seguridad de los datos personales. Sin embargo, algunas veces los datos son robados o perdidos o acceden a ellos personas no autorizadas. Estos casos son conocidos como «violación de datos personales». En virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas revisada (2009/136/CE), tan pronto como se produzca una violación de los datos personales, el proveedor de servicios debe notificarlo a una determinada autoridad nacional, normalmente la autoridad nacional de protección de datos o la autoridad reguladora de las comunicaciones. Asimismo, el proveedor debe informar al abonado directamente afectado en caso de que la violación pueda afectar negativamente a sus datos personales o a su intimidad. Para garantizar la aplicación coherente de las normas en caso de violación de datos en todos los Estados miembros, la Directiva permite a la Comisión proponer «medidas técnicas de aplicación», es decir, normas prácticas que completan la legislación vigente, sobre las circunstancias, los formatos y los procedimientos aplicables a las exigencias en materia de notificación.

Para preparar las medidas, la Directiva prevé que la Comisión «velará por que participen todas las partes interesadas pertinentes». Esto se hizo mediante una consulta pública celebrada en 2011. Se recibieron respuestas de una amplia gama de sujetos consultados, incluidas las autoridades nacionales, los proveedores de servicios y la sociedad civil. Los resultados mostraron un amplio apoyo de las partes interesadas en favor de normas armonizadas y evidenciaron algunas divergencias en los enfoques nacionales. A la hora de preparar las medidas, la Comisión también consultó a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), al Grupo de trabajo de protección de datos del artículo 29 y al Supervisor Europeo de Protección de Datos (SEPD).


Enlaces útiles

Reglamento de la Comisión relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy Directive).
Hashtags: #eprivacy




No hay comentarios:

Publicar un comentario