La Comisión Europea ha establecido este lunes que las empresas de telecomunicaciones tendrán un plazo máximo de 24 horas para informar a las autoridades en caso de pérdida o robo de los datos personales de sus clientes con el fin de reducir al máximo sus consecuencias negativas.
El objetivo de esta nueva regla es garantizar que los clientes reciben el mismo trato en toda la UE en caso de violación de sus datos y que las compañías puedan aplicar un mismo enfoque con respecto a estos problemas si operan en más de un país.
\»Los consumidores deben saber si sus datos personales se han visto comprometidos, con el fin de que puedan adoptar medidas correctoras en caso necesario, y las empresas necesitan normas simples. Estas nuevas medidas prácticas ofrecen unas condiciones equitativas para todos\», ha dicho la comisaria de Telecomunicaciones, Neelie Kroes.
Las reglas de la UE ya obligan desde 2011 a las telecos a informar a las autoridades nacionales y a los abonados sobre violaciones de datos personales. Esta disposición se estableció porque estas empresas información muy sensible sobre sus clientes, como nombre, dirección, datos bancarios o información sobre llamadas y webs visitados.
Sin embargo, hasta ahora no existía un estándar común en la UE que detallara cómo deben aplicarse en la práctica estas obligaciones.
Según las normas publicadas este lunes por Bruselas, las empresas estarán obligadas a informar a la autoridad nacional competente de cualquier incidente en un plazo de 24 horas tras la detección. Si la divulgación de todos los elementos no fuera posible durante ese periodo, deben facilitar un conjunto inicial de informaciones en un plazo de 24 horas y transmitir el resto en un plazo de tres días.
Las compañías deberán ofrecer una breve descripción de la información afectada y de las medidas que han aplicado o tienen previsto aplicar. Asimismo, tendrán que evaluar la necesidad de informar a los abonados (es decir, aplicar el test que indica si la violación puede tener un efecto negativo sobre los datos personales o la privacidad), prestando atención al tipo de datos comprometidos.
La Comisión propone también utilizar un formato normalizado (por ejemplo, un formulario en línea que sea el mismo en todos los Estados miembros de la UE) para la notificación a la autoridad nacional competente.
El Ejecutivo comunitario quiere además incitar a las empresas a cifrar los datos personales. Por ello, publicará una lista indicativa de medidas tecnológicas de protección, que podrían hacer ininteligibles los datos para cualquier persona que no esté autorizada a verlos. Si una empresa que aplica estas técnicas sufre una violación de datos, no estaría obligada a notificarlo al abonado ya que tal violación no revelaría realmente los datos personales del mismo.
Fuente: Europa Press