Las "telecos" ya informan de sus fallos de seguridad

Los proveedores de servicios de comunicaciones electrónicas deben informar a la Agencia Española de Protección de Datos si su sistema operativo falla o sufre el ataque de un ‘hacker’.


Los proveedores de servicios de comunicaciones electrónicas ya están trasladando a la Agencia Española de Protección de Datos (AEPD) sus brechas de seguridad, es decir, los fallos de seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizado de datos personales de los ciudadanos, según trasladan fuentes de la Agencia y del sector. En la mayoría de los casos, se trata de intrusiones que provocan caídas del sistema operativo o acciones de hackers.

Las sanciones, según establece la Ley Orgánica de Protección de Datos (LOPD), son de las consideradas graves, con multa de 40.001 a 300.000 euros. La LOPD también contempla que la cuantía de las sanciones se graduará atendiendo a criterios. Fuentes de la AEPD explican que sólo sancionarán si finalmente se certifican deficiencias en la implantación de las preceptivas medidas de seguridad y, como consecuencia de ello, se ha producido la destrucción, pérdida, alteración, revelación o acceso no autorizado a los datos personales.

En cualquier caso, destacan, no todas las notificaciones de quiebras de seguridad tienen por qué finalizar con una sanción. Si finalmente correspondiese su imposición, la notificación de la quiebra se tendrá en cuenta para valorar la diligencia y graduar la sanción.
La Directiva 2002/58/CE establece que los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las quiebras de seguridad que puedan afectar a datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados.

El 25 de agosto de 2013 entró en vigor el reglamento europeo 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE.

El reglamento se aplica a los proveedores de servicios de comunicaciones electrónicas disponibles para el público, y en ciertos casos, a abonados y particulares afectados, y en España lo ha incorporado la reforma de la Ley General de Telecomunicaciones (LGT), en vigor desde el 11 de mayo. En el caso español, la competencia para recibir estas comunicaciones por parte de los proveedores de servicios corresponde a la Agencia Española de Protección de Datos.

La AEPD ha puesto en marcha un nuevo sistema para que los proveedores de servicios de comunicaciones electrónicas notifiquen las eventuales quiebras de seguridad que se hayan producido en sus sistemas y que puedan afectar a los datos personales que tratan. El procedimiento está disponible a través del apartado Notificación preceptiva de quiebras de seguridad de la Sede Electrónica de la Agencia. El artículo 2.2 del reglamento especifica que, en la medida de lo posible, los proveedores deben comunicar las quiebras de seguridad a la autoridad competente dentro de las 24 horas siguientes a la detección del incidente. Antes de que existiera la herramienta, en 2013, se recibió la primera notificación, que la AEPD está investigando.

Según Javier F. Samaniego, socio director de Bird & Bird, «es todavía pronto para pronunciarse sobre la efectividad del nuevo sistema de notificación pero es de elogiar que el sistema tenga en cuenta y se haya coordinado con los trabajos de la Agencia Europea de Seguridad de las Redes y de la Información (Enisa), para la que parece que será una inminente obligación general de notificar las brechas en todos los sectores y no sólo en el de telecomunicaciones».

El socio director de Bird & Bird cree también «positivo que el Gobierno se haya comprometido a impulsar también un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de seguridad».

Un plan de ciberseguridad, en seis meses El Gobierno pondrá en marcha, en el plazo de seis meses (vence el próximo 10 de noviembre), un programa para impulsar un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de ciberseguridad que afecten a la red de Internet en España. Para ello, se elaborarán códigos de conducta en materia de ciberseguridad aplicables a los diferentes prestadores de servicios de la sociedad de la información, y a los registros de nombres de dominio y agentes registradores establecidos en España. Así lo establece la disposición adicional novena de la Ley General de Telecomunicaciones, que entró en vigor el 11 de mayo.

La herramienta de la Agencia de Protección de Datos

- El protocolo de actuación puesto en marcha por la Agencia se establece como un canal rápido y seguro para que los proveedores de servicios de comunicaciones electrónicas notifiquen a la Agencia los casos previstos en la legislación.
- Siguiendo las especificaciones del reglamento, el formulario habilitado por la AEPD incluye, entre otros campos, la identificación del proveedor, los datos de contacto del responsable de protección de datos o de la persona que pueda aportar más información, las circunstancias en las que se ha producido la quiebra de seguridad, la naturaleza y el contenido de los datos, el número de afectados, o las medidas técnicas y organizativas adoptadas por el proveedor para paliar los posibles efectos negativos.

- El procedimiento electrónico implementa este requisito y constituye el canal ordinario para que exclusivamente los operadores/ proveedores de servicios de comunicaciones electrónicas notifiquen a la Agencia los casos previstos en la citada normativa. No es un canal dirigido a los ciudadanos, que disponen del procedimiento de presentación de denuncias para poner en conocimiento de la Agencia posibles vulneraciones de la normativa de protección de datos, en particular, los posibles incumplimientos del artículo 9 de la LOPD.

- La Ley General de Telecomunicaciones está en vigor desde el pasado 11 de mayo y esta herramienta está colgada en la web de la AEPD desde finales de abril.