Desde el próximo 25 de agosto será obligatorio para los proveedores de servicios de comunicaciones electrónicas disponibles para el público  notificar los casos de violación de datos personales en un plazo de 24 horas.

Desde la entrada en vigor de la  Directiva 2002/58/CE, se imponía a los proveedores de servicios de comunicaciones electrónicas disponibles al público el deber de notificar a la autoridad nacional competente todos los casos de violación de datos personales (en el caso de España, a la Agencia Española de Protección de Datos).

Dada la diversidad existente en las normativas nacionales respecto a cómo y cuándo comunicar estas notificaciones se publicó el Reglamento (UE) Nº 611/2013 de la Comisión, de 24 de Junio de 2013, por el que obliga a los proveedores  a notificar en un plazo de 24 horas los casos de violación de datos personales a la autoridad nacional competente con la información que se indica en el anexo de este Reglamento (en supuestos de especial complejidad la información a facilitar podrá completarse en un plazo de tres días). Esta obligación entrará en vigor el próximo 25 de agosto.

Además, esta norma obliga a que en los supuestos en los que la violación de datos personales pueda afectar negativamente a los datos personales o a la intimidad de un abonado o particular, el proveedor deberá notificar a estos de dicha violación. Esta notificación no será necesaria cuando el proveedor haya probado a satisfacción de la autoridad nacional competente que ha aplicado las medidas tecnológicas de protección convenientes y que estas se han aplicado a los datos afectados por la violación de seguridad. Las medidas de protección de estas características serían aquellas que conviertan los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos (encriptación). Complementariamente, la Comisión podrá publicar una lista indicativa de las medidas tecnológicas de protección convenientes.

Esta obligación podría extenderse a todos los responsables de tratamiento en caso de aprobarse el contenido de la actual propuesta de Reglamento europeo en materia de protección de datos.