Chemin de navigation

Left navigation

Additional tools

Comisión Europea – Comunicado de prensa

Agenda Digital: Consulta de la Comisión sobre las normas prácticas para notificar las violaciones de los datos personales

Bruselas, 14 de julio de 2011 - La Comisión Europea desea recabar las opiniones de los operadores de telecomunicaciones, proveedores de servicios de internet, Estados miembros, autoridades nacionales de protección de datos, organizaciones de consumidores y otras partes interesadas sobre la necesidad de unas normas prácticas complementarias para garantizar que las violaciones de los datos personales se notifiquen de manera coherente en toda la UE. La Directiva revisada sobre la privacidad (2009/136/CE), que entró en vigor el 25 de mayo de 2011 como parte de una nueva normativa sobre telecomunicaciones de la UE, exige que los operadores y los proveedores de servicios de internet informen, sin dilaciones indebidas, a las autoridades nacionales y a sus clientes acerca de las violaciones de los datos personales que poseen (véanse IP/11/622 y MEMO/11/320). La Comisión desea recoger información basada en las prácticas existentes y en la experiencia inicial con la nueva normativa sobre telecomunicaciones, y podría luego proponer unas normas prácticas complementarias para aclarar en qué casos deben notificarse las violaciones, mediante qué procedimientos y en qué formatos. La consulta permanecerá abierta hasta el 9 de septiembre de 2011.

La Vicepresidenta de la Comisión responsable de la Agenda Digital, Neelie Kroes, ha manifestado: «La obligación de notificar las violaciones de los datos constituye una parte importante de la nueva normativa sobre telecomunicaciones de la UE. Pero es preciso que se efectúe de forma coherente en toda la UE, a fin de que las empresas no tengan que vérselas con un complicado abanico de regímenes nacionales distintos. Deseo aportar unas condiciones equitativas, que aporten seguridad a los consumidores y soluciones prácticas a las empresas.».

La consulta se propone recabar información sobre los siguientes aspectos concretos:

  • Circunstancias: cómo cumplen, o se proponen cumplir, las organizaciones con la nueva obligación impuesta por la normativa; tipos de violaciones que deberían ser notificadas obligatoriamente al abonado o a la persona y ejemplos de medidas de protección que puedan hacer ininteligibles los datos.

  • Procedimientos: plazos y medios para la notificación y procedimiento para el caso de una persona.

  • Formatos: contenido de la notificación a la autoridad nacional y a la persona, formatos estándar existentes y viabilidad de un formato estándar para la UE.

Además, la Comisión desea obtener más información sobre las violaciones transfronterizas y el cumplimiento de otras obligaciones de la UE relativas a las violaciones de la seguridad.

Antecedentes

Los operadores de telecomunicaciones y los proveedores de servicios de internet conservan diversos datos sobre sus clientes, tales como el nombre, la dirección o la cuenta bancaria, además de información sobre las llamadas telefónicas y los sitios web visitados. La Directiva sobre la privacidad exige que dichos operadores y proveedores garanticen la confidencialidad y seguridad de estos datos. No obstante, en ocasiones los datos son robados o perdidos, o acceden a ellos personas no autorizadas. Es lo que se denomina una «violación de los datos personales». En virtud de la Directiva revisada sobre la privacidad (2009/136/CE), cuando se produce una violación de los datos personales el proveedor debe notificarlo a una autoridad nacional concreta, usualmente la autoridad nacional de protección de datos o la entidad reguladora de las comunicaciones. Además, el proveedor debe informar directamente a la persona afectada.

Para garantizar que las normas sobre violación de datos se aplican de manera coherente en todos los Estados miembros, la Directiva sobre la privacidad permite a la Comisión proponer «medidas técnicas de ejecución» –normas prácticas que complementan la legislación existente– en relación con las circunstancias, formatos y procedimientos relacionados con obligación de notificación.

Los siguientes pasos

Si, sobre la base de las aportaciones recibidas, la Comisión decide proponer medidas técnicas de ejecución, tendría que consultar con la Agencia Europea de Seguridad de las Redes y de la Información, con el Grupo de trabajo sobre protección de datos del artículo 29 y con el Supervisor Europeo de Protección de Datos. También se consultaría con las entidades reguladoras de las comunicaciones, ya que son las autoridades competentes en materia de violación de datos en algunos Estados miembros.

Las medidas técnicas de ejecución adoptarían la forma de una Decisión de la Comisión adoptada por el «procedimiento de comitología». En virtud de este procedimiento, los Estados miembros tendrían primero de aprobar las propuestas de la Comisión, dentro del Comité de Comunicaciones (COCOM). Luego, el Parlamento Europeo dispondría de tres meses para controlar estas medidas antes de que entraran en vigor.

Esta consulta es independiente y distinta del proceso en curso (véanse IP/10/1462 y MEMO/10/542) relacionado con la revisión de la Directiva general sobre protección de datos (95/46/CE).

Más información

El documento de la consulta está disponible en:

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Sitio web de la Agenda Digital: http://ec.europa.eu/digital-agenda

Sitio web de Neelie Kroes: http://ec.europa.eu/commission_2010-2014/kroes/

Siga a Neelie Kroes en Twitter: http://twitter.com/neeliekroeseu

Personas de contacto:

Jonathan Todd (+32 2 299 41 07)

Linda Cain (+32 2 299 90 19)


Side Bar

Mon compte

Gérez vos recherches et notifications par email


Aidez-nous à améliorer ce site