Veamos hoy otro de los cambios proyectados en
la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la
protección de las personas físicas en los que respecta al tratamiento de datos
personales y a la libre circulación estos datos (Reglamento general de protección
de datos.
En España, actualmente, existe una regulación
sobre las incidencias de seguridad que afectan a datos de carácter personal.
Así, en el artículo 90 del Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de
Datos, se exige que exista un procedimiento de registro de notificación y
gestión de las incidencias que afecten a datos de carácter personal. El
Reglamento añade algunas exigencias más en el artículo 100 para los datos de
nivel medio.
La cuestión es que se trata de un
procedimiento básicamente de carácter interno, donde se realiza una
comunicación interna de lo ocurrido.
La novedad del Reglamento Europeo de
protección de datos es precisamente que la comunicación de la incidencia se
dirigirá y hará llegar a una Autoridad de control (autoridad pública en materia
de protección de datos: la AEPD, por ejemplo).
Esto es lo que plantea el artículo 31 de la
propuesta de Reglamento:
Artículo 31
Notificación
de una violación de datos personales a la autoridad de control.
1. En caso
de violación de datos personales, el responsable del tratamiento la notificará a
la autoridad de control sin demora injustificada y, de ser posible, a más
tardar veinticuatro horas después de que haya tenido constancia de ella. Si no
se hace en el plazo de veinticuatro horas, la notificación a la autoridad de
control irá acompañada de una justificación motivada.
2. Con
arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado
del tratamiento alertará e informará al responsable del tratamiento
inmediatamente después de que haya constatado una violación de datos
personales.
3. La
notificación contemplada en el apartado 1 deberá, al menos:
a) describir
la naturaleza de la violación de datos personales, en particular las categorías
y el número de interesados afectados, y las categorías y el número de registros
de datos de que se trate;
b) comunicar
la identidad y los datos de contacto del delegado de protección de datos o de
otro punto de contacto en el que pueda obtenerse más información;
c)
recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación
de datos personales;
d) describir
las consecuencias de la violación de datos personales;
e) describir
las medidas propuestas o adoptadas por el responsable del tratamiento para
poner remedio a la violación de datos personales.
(…)
Y la incidencia de seguridad no sólo será notificada
a esa Autoridad de control, sino que también se comunicará al interesado, a la
persona afectada. Así lo propone el artículo 32 de la Propuesta de Reglamento:
Artículo 32
Comunicación
de una violación de datos personales al interesado.
1. Cuando
sea probable que la violación de datos personales afecte negativamente a la protección
de los datos personales o a la privacidad del interesado, el responsable del tratamiento,
después de haber procedido a la notificación contemplada en el artículo 31,
comunicará al interesado, sin demora injustificada, la violación de datos personales.
2. La
comunicación al interesado contemplada en el apartado 1 describirá la
naturaleza de la violación de datos personales y contendrá, al menos, la
información y las recomendaciones previstas el artículo 31, apartado 3, letras
b) y c).
(…)
Llama la atención de entrada, la brevedad
extrema del plazo que se concede para hacer la notificación a la Autoridad de
Control. Habrá que estar al plazo que finalmente se apruebe, pero probablemente
se mantenga ese mismo.
Todo esto implicará la necesidad de que las
empresas cambien su planteamiento de la gestión de incidencias que afecten a
datos personales, con objeto de adecuarla a las nuevas exigencias legales.
No hay comentarios:
Publicar un comentario