Jurídico 


Notificación de brechas de seguridad: un sistema paradójico

Security BreachesEn el año 2011 la multinacional de la tecnología SONY sufrió una brecha de seguridad, la cual implicó violaciones de datos de carácter personal, en su plataforma Playstation Network. Los datos personales a los que ilegítimamente tuvo acceso alguien no autorizado abarcaban todo tipo de datos que un usuario de este tipo de plataformas puede facilitar (i.e. contraseñas, nombre, dirección). Si este suceso hubiera tenido lugar respecto a un operador de comunicaciones electrónicas disponibles al público en la actualidad, hubiera resultado de aplicación el sistema de notificaciones de violaciones de datos que prevé la legislación española y europea en materia de telecomunicaciones (Art. 34 de la Ley 32/2003, de 3 de noviembre, general de telecomunicaciones y Reglamento (UE) 611/2013 de la Comisión Europea).

Este sistema establece la obligatoriedad para el operador de comunicaciones electrónicas disponibles al público (principalmente compañías de telefonía) de realizar notificaciones a la autoridad competente, que en España es la Agencia Española de Protección de Datos, y a los propios usuarios cuyos datos hayan sido ilegítimamente accedidos y ello pudiera causarles un perjuicio.

Sin embargo, donde pretendemos poner el acento con este artículo es sobre el “paradójico” sistema establecido por el legislador europeo (fue introducido en la Ley 32/2003 por transposición de una Directiva). Según éste, el operador de comunicaciones electrónicas que detecte que ha tenido lugar una violación de datos personales en sus sistemas deberá proceder a notificar a la AEPD sobre el particular.

Hasta aquí, el sistema no plantearía aparentemente ningún problema, ya que es razonable que la competencia de la protección de los datos de carácter personal, aunque sea en el ámbito de las telecomunicaciones, corresponda a la autoridad nacional competente en la materia. Sin embargo, no se debe pasar por alto que a la AEPD también le corresponde sancionar las infracciones en contra del artículo 9 de la LOPD, la cual vela por la seguridad de los datos personales. Por tanto, los operadores de comunicaciones electrónicas accesibles al público estarían obligados legalmente a “delatarse”. En este punto debemos apuntar que, si bien no existe una infracción clara establecida en la LOPD que castigue la falta de notificación, el número de procedimientos sancionadores basados en la seguridad de los datos de carácter personal ha aumentado y se ve como una línea de acción prioritaria para la AEPD.

Así las cosas, teniendo en cuenta que el sistema de notificaciones de violaciones de datos personales es un sistema que apenas ha dado sus primeros pasos, es de esperar que el legislador europeo siga construyendo un sistema que debe ser eficiente en la lucha contra una problemática de creciente preocupación para el ciudadano de a pie.

Vía| boe.es

Imagen| Security Breaches, Comunicaciones electrónicas

RELACIONADOS