Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas

• Enforcement date: August 25, 2013
• Section: Reglamento
• Issuing Organization: Comisión de las Comunidades Europeas

L 173/2 Diario Oficial de la Unión Europea 26.6.2013

ES

REGLAMENTOS REGLAMENTO (UE) N o 611/2013 DE LA COMISIÓN

de 24 de junio de 2013

relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)

( 1

), y, en particu cenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la Unión.

(3) A fin de garantizar una aplicación coherente de las medidas contempladas en el artículo 4, apartados 2, 3 y 4, de la Directiva 2002/58/CE, el artículo 4, apartado 5, de dicha Directiva confiere a la Comisión competencias para adoptar medidas técnicas de ejecución en relación con las circunstancias, la forma de presentación y los procedimientos aplicables a los requisitos de información y notificación a que se refiere el citado artículo.

(4) La aplicación de distintos requisitos nacionales en este ámbito puede entrañar inseguridad jurídica, procedimientos más complejos y farragosos, así como considerables gastos administrativos para los proveedores que desarrollan actividades transfronterizas. Por lo tanto, la Comisión considera necesario adoptar dichas medidas técnicas de ejecución.

(5) El presente Reglamento se limita a la notificación de los casos de violación de datos personales y, por consiguiente, no establece medidas técnicas de ejecución en relación con el artículo 4, apartado 2, de la Directiva 2002/58/CE, relativo a la información que ha de darse a los abonados en caso de que exista un riesgo particular de violación de la seguridad de la red.

(6) De conformidad con el artículo 4, apartado 3, párrafo primero, de la Directiva 2002/58/CE, los proveedores deben notificar a la autoridad nacional competente todos los casos de violación de datos personales. Por consiguiente, la decisión de efectuar la correspondiente notificación a la autoridad nacional competente o no hacerlo no debe dejarse a discreción del proveedor. No obstante, ello no ha de impedir que la autoridad nacional competente conceda prioridad a la investigación de determinados casos del modo que considere adecuado conforme a la legislación aplicable y adopte las medidas necesarias para evitar la notificación excesiva o insuficiente de violaciones de datos personales.

(7) Es oportuno establecer un sistema para la notificación de los casos de violación de datos personales a la autoridad nacional competente que consista, cuando se cumplan determinadas condiciones, en varias etapas sujetas a ciertos plazos. Este sistema tiene como objetivo garantizar que la autoridad nacional competente sea informada de la forma más rápida y exhaustiva posible, sin que ello entorpezca indebidamente los esfuerzos del proveedor por investigar el caso y tomar las medidas necesarias para limitarlo y remediar sus consecuencias.

lar, su artículo 4, apartado 5,

Previa consulta a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA),

Previa consulta al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

( 2 ) (denominado en lo sucesivo «Grupo del artículo 29»),

Previa consulta al Supervisor Europeo de Protección de Datos (SEPD),

Considerando lo siguiente:

(1) La Directiva 2002/58/CE prevé la armonización de las disposiciones nacionales necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y a la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Unión.

(2) En virtud del artículo 4 de la Directiva 2002/58/CE, los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las violaciones de datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados. Según la definición del artículo 2, letra i), de la Directiva 2002/58/CE, se considera violación de los datos personales toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, alma

( 1 ) DO L 201 de 31.7.2002, p. 37.

( 2 ) DO L 281 de 23.11.1995, p. 31.

26.6.2013 Diario Oficial de la Unión Europea L 173/3

ES

(8) Para considerar que se ha detectado un caso de violación de datos personales a los efectos del presente Reglamento, no debe bastar meramente con sospechar que se ha producido un caso de este tipo ni con detectar un incidente de seguridad sin disponer de suficiente información al respecto, pese a todos los esfuerzos del proveedor a tal fin. En este contexto, se debe prestar especial atención a la disponibilidad de la información a que se hace referencia en el anexo I.

(9) En el marco de la aplicación del presente Reglamento, es conveniente que las autoridades nacionales competentes cooperen en los casos de violación de datos personales que tengan una dimensión transfronteriza.

(10) El presente Reglamento no prevé especificaciones adicionales con respecto al inventario de violaciones de datos personales que los proveedores deben llevar, por cuanto el artículo 4 de la Directiva 2002/58/CE ya detalla su contenido exhaustivamente. Con todo, los proveedores pueden remitirse al presente Reglamento para determinar el formato del inventario.

(11) Es necesario que todas las autoridades nacionales competentes pongan un soporte electrónico seguro a disposición de los proveedores para que estos notifiquen los casos de violación de datos personales en un formato común, basado en normas tales como la XML, que contenga la información establecida en el anexo I en las lenguas pertinentes, de modo que todos los proveedores de la Unión puedan seguir un procedimiento de notificación similar, independientemente del lugar en que estén ubicados o en que se haya producido la violación de datos personales. A este respecto, la Comisión ha de facilitar la implantación de un soporte...