Los ISP europeos no tendrán que notificar fallos de seguridad si utilizan encriptación
Desde finales de agosto, los ISP de la Unión Europea tendrán que cumplir con nuevas normas de seguridad referidas a los datos personales de sus usuarios en toda la Unión. De esta forma, se armoniza la normativa en todos los países del área con respecto a la notificación de extravíos o robos de información personal de los usuarios de estas compañías.
Las nuevas “medidas de desarrollo técnico” publicadas por la Comisión Europea el lunes detallan las reglas prácticas que todos los Estados deben seguir para aplicar la Directiva de ePrivacidad.
Desde 2011, las compañías de telecomunicaciones e ISPs han estado sometidas a la obligación general de informar, tanto a sus abonados como a las autoridades de cada país, sobre los fallos de seguridad que afectaran a datos personales de los usuarios. Pero un análisis público realizado en mayo de 2011, se encontró que la normativa nacional era claramente divergente en muchos países.
Reino Unido, por ejemplo, sólo notifica brechas “serias”, mientras Francia exige estar registrado por email para recibir estos avisos. Los plazos para informar de la vulneración de los datos personales también varían en gran medida, desde los dos días de Irlanda a los 10 de Grecia.
Como resultado, la Comisión ha decidido aplicar las medidas técnicas mencionadas. Los proveedores estarán obligados a notificar a las autoridades cualquier fallo de seguridad, con respecto a los datos personales de los europeos, en un plazo de 24 horas desde su detección.
Se interpreta que se ha producido esta vulneración “cuando el proveedor tiene suficiente información para acreditar el fallo y no sólo meras sospechas de una violación de la seguridad”. Los proveedores, no obstante, disponen de tres días adicionales para informar a las autoridades nacionales.
Existen reglas diferentes para notificarlo a los interesados. Las empresas evaluarán qué tipo de información está en peligro y si es probable que afecte a datos personales. No obstante, las empresas que encriptan los datos personales, utilizando medidas de protección técnicas aprobadas por la Comisión, estarán exentas de notificar una posible brecha a los afectados.
La normativa también es clara sobre qué medidas son opcionales. Los proveedores pueden, si quieren, notificar a los medios cualquier brecha en la seguridad, pero no están obligados a hacerlo.
Los grandes proveedores de telecomunicaciones, que ofrecen todo tipo de servicios a usuarios finales pero no mantienen relación directa con ellos, no deberán notificar los errores a las autoridades nacionales ni al interesado, aunque si la información que se ha comprometido está bajo su responsabilidad, deben notificarlo “al resto de la cadena”.
La reforma de las reglas de protección de datos en la UE que ya está en marcha propone extender la obligación ya incluida en la Directiva de ePrivacidad de informar sobre fallos en la seguridad a cualquier entidad que disponga de datos personales de sus clientes.
Las medidas para las compañías de telecomunicaciones e ISPs serán de obligado cumplimiento dos meses después de su publicación en el Diario Oficial de la Unión Europea.
Esta es una información de Jennifer Baker. IDG News Service