L_2013173ES.01000201.xml
| 26.6.2013 | ES | Diario Oficial de la Unión Europea | L 173/2 |
REGLAMENTO (UE) No 611/2013 DE LA COMISIÓN
de 24 de junio de 2013
relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (1), y, en particular, su artículo 4, apartado 5,
Previa consulta a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA),
Previa consulta al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (2) (denominado en lo sucesivo «Grupo del artículo 29»),
Previa consulta al Supervisor Europeo de Protección de Datos (SEPD),
Considerando lo siguiente:
| (1) | La Directiva 2002/58/CE prevé la armonización de las disposiciones nacionales necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y a la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Unión. |
| (2) | En virtud del artículo 4 de la Directiva 2002/58/CE, los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las violaciones de datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados. Según la definición del artículo 2, letra i), de la Directiva 2002/58/CE, se considera violación de los datos personales toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la Unión. |
| (3) | A fin de garantizar una aplicación coherente de las medidas contempladas en el artículo 4, apartados 2, 3 y 4, de la Directiva 2002/58/CE, el artículo 4, apartado 5, de dicha Directiva confiere a la Comisión competencias para adoptar medidas técnicas de ejecución en relación con las circunstancias, la forma de presentación y los procedimientos aplicables a los requisitos de información y notificación a que se refiere el citado artículo. |
| (4) | La aplicación de distintos requisitos nacionales en este ámbito puede entrañar inseguridad jurídica, procedimientos más complejos y farragosos, así como considerables gastos administrativos para los proveedores que desarrollan actividades transfronterizas. Por lo tanto, la Comisión considera necesario adoptar dichas medidas técnicas de ejecución. |
| (5) | El presente Reglamento se limita a la notificación de los casos de violación de datos personales y, por consiguiente, no establece medidas técnicas de ejecución en relación con el artículo 4, apartado 2, de la Directiva 2002/58/CE, relativo a la información que ha de darse a los abonados en caso de que exista un riesgo particular de violación de la seguridad de la red. |
| (6) | De conformidad con el artículo 4, apartado 3, párrafo primero, de la Directiva 2002/58/CE, los proveedores deben notificar a la autoridad nacional competente todos los casos de violación de datos personales. Por consiguiente, la decisión de efectuar la correspondiente notificación a la autoridad nacional competente o no hacerlo no debe dejarse a discreción del proveedor. No obstante, ello no ha de impedir que la autoridad nacional competente conceda prioridad a la investigación de determinados casos del modo que considere adecuado conforme a la legislación aplicable y adopte las medidas necesarias para evitar la notificación excesiva o insuficiente de violaciones de datos personales. |
| (7) | Es oportuno establecer un sistema para la notificación de los casos de violación de datos personales a la autoridad nacional competente que consista, cuando se cumplan determinadas condiciones, en varias etapas sujetas a ciertos plazos. Este sistema tiene como objetivo garantizar que la autoridad nacional competente sea informada de la forma más rápida y exhaustiva posible, sin que ello entorpezca indebidamente los esfuerzos del proveedor por investigar el caso y tomar las medidas necesarias para limitarlo y remediar sus consecuencias. |
| (8) | Para considerar que se ha detectado un caso de violación de datos personales a los efectos del presente Reglamento, no debe bastar meramente con sospechar que se ha producido un caso de este tipo ni con detectar un incidente de seguridad sin disponer de suficiente información al respecto, pese a todos los esfuerzos del proveedor a tal fin. En este contexto, se debe prestar especial atención a la disponibilidad de la información a que se hace referencia en el anexo I. |
| (9) | En el marco de la aplicación del presente Reglamento, es conveniente que las autoridades nacionales competentes cooperen en los casos de violación de datos personales que tengan una dimensión transfronteriza. |
| (10) | El presente Reglamento no prevé especificaciones adicionales con respecto al inventario de violaciones de datos personales que los proveedores deben llevar, por cuanto el artículo 4 de la Directiva 2002/58/CE ya detalla su contenido exhaustivamente. Con todo, los proveedores pueden remitirse al presente Reglamento para determinar el formato del inventario. |
| (11) | Es necesario que todas las autoridades nacionales competentes pongan un soporte electrónico seguro a disposición de los proveedores para que estos notifiquen los casos de violación de datos personales en un formato común, basado en normas tales como la XML, que contenga la información establecida en el anexo I en las lenguas pertinentes, de modo que todos los proveedores de la Unión puedan seguir un procedimiento de notificación similar, independientemente del lugar en que estén ubicados o en que se haya producido la violación de datos personales. A este respecto, la Comisión ha de facilitar la implantación de un soporte electrónico seguro organizando, cuando sea necesario, reuniones con las autoridades nacionales competentes. |
| (12) | Para evaluar si una violación de datos personales puede tener efectos negativos en los datos personales o la intimidad de un abonado o particular, han de tomarse especialmente en consideración la naturaleza y el contenido de los datos personales en cuestión, en particular cuando se trate de datos financieros como los referentes a tarjetas de crédito y cuentas bancarias; de las categorías especiales de datos contempladas en el artículo 8, apartado 1, de la Directiva 95/46/CE; y de determinados datos específicamente vinculados a la prestación de servicios de telefonía o internet como, por ejemplo, datos de correo electrónico, datos de localización, registros de internet, historiales de navegación en internet y listas de llamadas detalladas. |
| (13) | En circunstancias excepcionales, es conveniente autorizar al proveedor a demorar la notificación al abonado o al particular cuando dicha notificación pueda comprometer la investigación adecuada del caso de violación de datos personales. En este contexto, pueden considerarse circunstancias excepcionales las investigaciones judiciales, así como otros casos de violación de datos personales que no constituyen un delito grave, pero respecto de los que podría ser conveniente retrasar la notificación. En cualquier caso, ha de corresponder a la autoridad nacional competente evaluar, caso por caso y en función de las circunstancias, si procede autorizar ese retraso o exigir que se efectúe la notificación. |
| (14) | Los proveedores deberían disponer de los datos de contacto de sus abonados, habida cuenta de su relación contractual directa, pero es posible que no exista esta información en el caso de otros particulares que se hayan visto perjudicados por una violación de datos personales. En tal caso, conviene autorizar a los proveedores a efectuar una notificación inicial a dichos particulares mediante anuncios en los principales medios de comunicación nacionales o regionales, tales como los periódicos, que irá seguida lo antes posible de una notificación individual de conformidad con el |
...
