TOP

GESTIONAR INCIDENTES EN LA PROTECCIÓN DE DATOS

Sin embargo, al contrario de lo que sucede en Estados Unidos, país donde desde hace años existe una regulación detallada y precisa sobre los denominados security breaches, a nivel europeo se carece de procedimientos que regulen, ex post, la respuesta a las infracciones que afecten a la seguridad de los datos de carácter personal, es decir, cómo actuar una vez que se ha producido el fallo.

Por ello, a pesar de que únicamente aplique a los operadores de telecomunicaciones, es de destacar el esclarecimiento en esta materia introducido recientemente bajo el nuevo Paquete de Telecomunicaciones de la Unión Europea, conjunto de normas reguladoras de las comunicaciones electrónicas a nivel europeo, cuya negociación se ha prolongado durante dos años.

Constituirían, por ejemplo, fallos de las medidas de seguridad aplicables a los datos de carácter personal el extravío por parte de una compañía de un ordenador portátil con datos de clientes; el acceso por parte de un pirata informático al sistema de una compañía o incluso situaciones que se ubican fuera del entorno de la sociedad de la información, como por ejemplo, el abandono en la vía pública de los curriculums de los candidatos a un puesto de trabajo o incluso de expedientes médicos.

Por ahora, las compañías han venido haciendo frente al vacío legal existente en la materia de forma dispar y conforme a su propio criterio. Algunas deciden, por precaución, informar a los titulares de los datos acerca del percance acaecido.

Otras, por su parte, prefieren silenciar el incidente, esto es, no informar sobre ello, especialmente cuando el fallo no trasciende a terceros y/o no se produce un daño real. Y lo hacen por miedo a las represalias que se pudieran tomar contra ellas si se entiende que el fallo ha sido motivado por la falta o por la incorrecta implantación de las medidas aplicables en el caso.

También, determinadas empresas optan por contactar a las autoridades de protección de datos, con vistas a la obtención de un veredicto absolutorio. En cualquier caso, independientemente de cómo se decida afrontar un fallo de seguridad internamente, cuando los medios de comunicación se hacen eco del suceso, suele generarse un gran debate social entorno al mismo.

Con esta nueva normativa europea desaparecen, en principio, las dudas que surgen a la hora de hacer frente a estas situaciones.

Así, y sin perjuicio de que los operadores puedan aplicar voluntariamente medidas más contundentes, los proveedores de comunicaciones disponibles al público deberán notificar, sin dilaciones, la violación o fallo producidos a las autoridades de protección de datos competentes, en nuestro caso, la Agencia
Española de Protección de Datos (AEPD).

Se prevé, además, una obligación de notificación a los titulares de los datos, es decir, los abonados, cuando el fallo afecte a su intimidad (salvo que previamente se hayan aplicado a los datos medidas que los hagan incomprensibles para personas no autorizadas), o simplemente cuando así lo dispongan las autoridades correspondientes una vez evaluado el incidente comunicado.

Estas novedades, que deberán ser implementadas por los Estados Miembros antes del 25 mayo de 2011, han sido aplaudidas por el entorno de la protección de datos, que tanto ha peleado la adopción de medidas específicas a este respecto, pero se consideran insuficientes por limitarse a un único sector.

Se atisba, en todo caso, una tendencia hacia la extensión de las mismas y con este ánimo los estudios progresan en sede europea, por lo que habrá que estar muy atentos a la evolución en esta materia.