buenasprácticas número 06■2013
146
Sin embargo, con la nueva propuesta del Reglamento de Protección de Datos del Parlamento Europeo y del Consejo, cuya tramitación avanza inexorablemente hasta su próxima aprobación, se regula este aspecto de una forma muy clara. Y recordemos que el Reglamento será de aplicación directa a todos los Estados miembros, sin necesidad de transposiciones o adaptaciones de los reglamentos nacionales. En efecto, en la misma sección en la que se trata la seguridad de los datos se incluyen sendos artículos (31 y 32) que precisamente establecen obligaciones de notificación para las organizaciones que hayan sufrido violación de datos. El artículo 31 obliga a comunicar este inciden-
te a la autoridad de control, que en el caso de España es la Agencia Española de Protección de Datos (AEPD). El plazo para la comunicación es de 24 horas, lo cual se nos antoja muy breve, ya que no se habrá tenido tiempo siquiera de realizar un análisis forense detallado y de analizar la envergadura de la violación. Y después de realizada esta comunicación, ¿iniciará la AEPD un expediente, que pue-
■
Un nuevo escenario en el que entran en juego aspectos de reputación corporativa que hasta ahora no se habían contemplado ■
da derivar incluso en una sanción? Para tranquilidad de la entidad que realiza la notificación, se le exige remitir “las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales”. De nuevo parece escaso el periodo de 24 horas, pues proponer un plan de acción con medidas correctivas o preventivas ante un incidente complejo de seguridad no se improvisa en unas pocas horas. A veces implicará contratar un servicio específico de auditoría y/o consultoría especializada. Por otra parte, el artículo 32 obliga a comunicar a los usuarios cuyos datos personales han sido comprometidos, recomendándoles las medidas que permiten mitigar los efectos de la violación de sus datos personales. La autoridad de control (AEPD) podrá exigir a la entidad que se realice esta comunicación a los usuarios, en el caso en que no se hubiera producido. En ambos casos, tanto en la notificación a la AEPD como en la comunicación a los usuarios cuyos datos se han comprometido, se deberá señalar la identidad y datos de contacto del “delegado de protección de datos”, nueva figura de capital importancia que establecerá el Reglamento, y de la que hemos hablado anteriormente. Probablemente el texto definitivo del Reglamento introducirá algunas modificaciones respecto a la propuesta a la que nos hemos referido. Pero en lo sustancial permanecerá la obligación de notificación de cualquier violación de datos o data breach. Esto plantea un nuevo escenario a las empresas, pues entran en juego aspectos de reputación corporativa que hasta ahora no se habían contemplado.