Gestión de brechas de seguridad en el futuro Reglamento General de Protección de Datos de la Unión Europea

Gestión de brechas de seguridad en el futuro Reglamento General de Protección de Datos de la Unión Europea

brechaseuropeas

Por Francisco R. González-Calero Manzanares

En enero de 2012 tras varios años de estudio preliminar, la Comisión Europea presentaba su flamante propuesta de Reglamento Europeo de Protección de Datos. El nuevo sistema normativo pretende superar a la vigente Directiva 95/46/CE cuyo marco jurídico ha quedado obsoleto con el rápido desarrollo de las nuevas tecnologías y no aporta soluciones eficaces para problemas específicos de las TIC, como son la transnacionalidad de los tratamientos, el derecho al olvido, el uso de las TICS por menores o la manera de obtener los consentimientos con los nuevos dispositivos y servicios electrónicos.

Sobre la base de un gran consenso inicial sobre la necesidad de contar con un marco jurídico más acorde con los nuevos tiempos y sistemas tecnológicos, comenzaron los debates en el Consejo de la UE y en el Parlamento Europeo. Trabajos y debates que se han alargado más de la cuenta por dos motivos:

El primero consiste en que como todo texto o propuesta, es susceptible de mejora, máxime cuando trata temas tan complejos y con un alto contenido de transnacionalidad, y rápida evolución y cambio, de ahí la importancia que exista un debate constructivo que mejore la propuesta de la Comisión Europea y nos dote de un buen marco jurídico para los próximos años.

Por otro lado, desde principios del 2013 hemos podido contemplar perplejos como un Lobby como nunca antes se había visto, está intentando descafeinar ciertos aspectos de la propuesta normativa o, incluso llegar a paralizar su aprobación final. Este Lobby encabezado por empresas tecnológicas de EEUU ha logrado que se presenten más de 4000 enmiendas en el Parlamento Europeo lo que ha conllevado que la votación inicial de la Comisión de Libertades, Justicia e Interior (LIBE) del Parlamento Europeo, prevista en un principio para finales de mayo de 2013, se pospusiera primero para junio o julio y posteriormente, para la Sesión del 21 de octubre. En paralelo y desde la presidencia irlandesa del Consejo de la UE  (enero-junio 2013) un grupo de países encabezados por el Reino Unido han plantado cara a determinados aspectos de la propuesta, lo que ha provocado que esta Institución a día de hoy no haya logrado alcanzar una posición común con la que poder iniciar la negociación final a tres bandas con el Parlamento Europeo y la Comisión Europea, aunque eso sí, se han logrado grandes avances y las cuestiones sobre las que no hay acuerdo son de carácter técnico y no político.

Como decíamos anteriormente, tanto la Comisión LIBE como posteriormente el Pleno del Parlamento Europeo el pasado 12 de marzo de 2014, aprobaron por abrumadora mayoría las enmiendas aceptadas por los ponentes del Parlamento Europeo. Cabe decir que las enmiendas aprobadas en materia de seguridad de los datos y comunicación de brechas de seguridad mejoran sensiblemente la propuesta inicial de la Comisión Europea y aunque esperamos aún el texto del Consejo de la UE y el inicio de las negociaciones a tres bandas, podemos razonablemente esperar que el texto del Parlamento Europeo se parezca bastante a la versión final, ya que la comunicación de las brechas de seguridad no es de los asuntos que más expectación y acalorado debate están generando en esta reforma y se elimina la habilitación a la Comisión Europea para dictar actos delegados en desarrollo de determinadas artículos sustituyéndola por la habilitación al futuro Consejo Europeo de Protección de Datos para que lo haga dictando directrices, recomendaciones y mejores prácticas[1], salvando así uno de los puntos de fricción con el Consejo de la UE.

Y esto es así porque en el derecho de la Unión Europea ya existe esta obligación desde la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que establece que los proveedores de servicios de comunicaciones electrónicas tienen la obligación de informar a las autoridades de control, y en algunos supuestos a los propios abonados, de las quiebras de seguridad de los datos personales de los abonados. Por su parte, el Reglamento de la Comisión Europea 611/2013 fija las normas sobre cómo y cuándo notificar estas quiebras de seguridad.

Para finalizar las presentes líneas reproducimos literalmente las enmiendas aprobadas por el Pleno del Parlamento Europeo comparándolas con el texto inicial de la propuesta de la Comisión Europea, en lo que respecta a los artículos 30, 31 y 32 (columna de la izquierda Texto Comisión Europea, columna de la derecha Texto aprobado por el Parlamento Europeo).

Artículo 30

Seguridad del Tratamiento                                           Seguridad del Tratamiento

1.  El responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse , habida cuenta de las técnicas existentes y de los costes asociados a su implementación. 1.  El responsable y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento, tomando en consideración los resultados de una evaluación de impacto relativa a la protección de datos con arreglo al artículo 33, habida cuenta de las técnicas existentes y de los costes asociados a su implementación.
1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su implementación, dicha política de seguridad incluirá:
a) la capacidad de garantizar que se valida la integridad de los datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento de datos personales;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos de manera oportuna en caso de un incidente físico o técnico que afecte a la disponibilidad, integridad y confidencialidad de los sistemas y servicios de información;
d) en caso de tratamiento de datos personales sensibles de conformidad con los artículos 8 y 9, medidas de seguridad adicionales para garantizar el conocimiento de la situación de los riesgos y la capacidad de adoptar medidas preventivas, correctoras y de mitigación casi en tiempo real contra la vulnerabilidad o incidentes detectados que puedan presentar un riesgo para los datos;
e) un proceso para comprobar y evaluar periódicamente la eficacia de las políticas, procedimientos y planes de seguridad establecidos para garantizar la eficacia continúa.
2.  A raíz de una evaluación de los riesgos, el responsable y el encargado del tratamiento adoptarán las medidas contempladas en el apartado 1 a fin de proteger los datos personales contra su destrucción accidental o ilícita, o su pérdida accidental, y de impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizados o la alteración de los datos personales. 2.  Las medidas contempladas en el apartado 1, como mínimo:
a) garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley;
b) protegerán los datos personales almacenados o transmitidos contra su destrucción accidental o ilícita, su pérdida o alteración accidentales y el almacenamiento, tratamiento, acceso o comunicación no autorizados o ilícitos; y
c) garantizarán la aplicación de una política de seguridad con respecto al tratamiento de los datos personales.
3.  La Comisión estará facultada para adoptar actos delegados de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y condiciones aplicables a las medidas técnicas y organizativas contempladas en los apartados 1 y 2, incluida la determinación de cuáles son las técnicas existentes, para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos por defecto, salvo que sea de aplicación el apartado 4 . 3.  Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), para las medidas técnicas y organizativas contempladas en los apartados 1 y 2, incluida la determinación de cuáles son las técnicas existentes, para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos por defecto.
4.  La Comisión podrá adoptar, en su caso, actos de ejecución para especificar los requisitos establecidos en los apartados 1 y 2 en distintas situaciones, en particular a fin de:
a) impedir cualquier acceso no autorizado a datos personales;
b) impedir cualquier forma no autorizada de comunicación, lectura, copia, modificación, supresión o cancelación de datos personales;
c) garantizar la verificación de la legalidad de las operaciones de tratamiento.
Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.
(El apartado 2 del texto de la Comisión pasa parcialmente a ser la letra b) en la modificación del Parlamento.)

Artículo 31

Notificación de una violación de datos personales a la autoridad de control Notificación de una violación de datos personales a la autoridad de control
1.  En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si no se hace en el plazo de veinticuatro horas, la notificación a la autoridad de control irá acompañada de una justificación motivada. 1.  En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada.
2.  Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales. 2.  El encargado del tratamiento alertará e informará al responsable del tratamiento sin demora injustificada después de que haya constatado una violación de datos personales.
3.  La notificación contemplada en el apartado 1 deberá, al menos: 3.  La notificación contemplada en el apartado 1 deberá, al menos:
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate; a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;
b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales; c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
d) describir las consecuencias de la violación de datos personales; d) describir las consecuencias de la violación de datos personales;
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales. e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales y mitigar sus efectos.
Si es necesario, puede facilitarse la información por fases.
4.  El responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo. Solo incluirá la información necesaria a tal efecto. 4.  El responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá ser suficiente para permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo y del artículo 30. Solo incluirá la información necesaria a tal efecto.
4 bis. La autoridad de control mantendrá un registro público de los tipos de violaciones notificadas.
5.   La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales. 5.   Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), a fin de constatar la violación de datos y determinar la demora injustificada contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales.
6.  La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control, los procedimientos aplicables al requisito de notificación y la forma y las modalidades de la documentación contemplada en el apartado 4, incluidos los plazos para la supresión de la información que figura en ella. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

Artículo 32

Comunicación de una violación de datos personales al interesado Comunicación de una violación de datos personales al interesado
1.  Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales. 1.  Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales, a la privacidad, a los derechos o a los intereses legítimos del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales.
2.  La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b) y c). La comunicación al interesado contemplada en el apartado 1 será completa y utilizará un lenguaje claro y sencillo  Describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas en el artículo 31, apartado 3, letras b), c) y d), y la información acerca de los derechos del interesado, incluido el derecho de recurso.
3.  La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos. 3.  La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos.
4.  Sin perjuicio de la obligación del responsable del tratamiento de comunicar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga. 4.  Sin perjuicio de la obligación del responsable del tratamiento de comunicar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga.
5.  La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos en relación con las circunstancias en que es probable que una violación de datos personales afecte negativamente a los datos personales contemplados en el apartado 1. Se encomendará al Consejo Europeo de Protección de Datos la tarea de publicar directrices, recomendaciones y mejores prácticas, de conformidad con el artículo 66, apartado 1, letra b), en relación con las circunstancias en que es probable que una violación de datos personales afecte negativamente a los datos personales, la privacidad, los derechos o los intereses legítimos del interesado contemplados en el apartado 1.
6. La Comisión podrá determinar el formato de la comunicación al interesado contemplada en el apartado 1 y los procedimientos aplicables a la misma. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

[1] Algo similar a la reciente Opinión 3/2014 del Grupo de Trabajo del Artículo 29 sobre notificación de brechas de datos personales (en) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp213_en.pdf