Europa estudia las reglas sobre la notificación de infracciones en la protección de datos
La priorización de riesgos es uno de los problemas identificados por operadores y reguladores para establecer un marco común para la notificación de infracciones en la protección de datos.
Enisa, la agencia de seguridad europea, acaba de publicar una investigación sobre las reglas de notificación cuando se producen infracciones relacionados con los datos personales en un momento en que están aumentando los incidentes de divulgación de dicha información personal.
Enisa espera que la investigación ayudará a desarrollar mejores prácticas en la notificación de infracciones además de documentar si las decisiones ministeriales sobre la divulgación de dicha ruptura de datos aplicada primeros a los ISPs, debe extenderse a las empresas de servicios financieros y otros sectores de la economía.
Las principales preocupaciones planteadas por los operadores de telecomunicaciones y Autoridades de Protección de datos entrevistados por Enisa para realizar su estudio incluyen una Priorización de Riesgos, que implica establecer unos niveles de riesgo así como una clasificación de las respuestas que deberán aplicarse dependiendo de dichos niveles.
Los operadores también quieren asegurarse de unos canales de comunicación adecuados de forma que la notificación de infracciones relacionados con los datos personales de los usuarios no dañe su imagen. La preocupación concreta es que el operador, que cumpliendo con las normas, informe de un incumplimiento con la protección de datos, sea “castigado”, mientras que los que no hacen nada, no informan de un hecho, evitarán tener que manchar su reputación.
Los recursos es otro de los problemas identificados por las autoridades reguladores, y es que muchas tienen otras prioridades más allá de gestionar la notificación de incumplimiento con las normas, y les preocupa que esto pueda reducir sus recursos y afectar a otras áreas.
El informe identifica también una división entre los proveedores de servicios y los reguladores en cuanto a las fechas límite para notificar un fallo en los datos. Los reguladores quieren fechas más cortas, mientras que los proveedores quieren ser capaces de centrar sus recursos en solventar el problema.
Otra área en la que operadores y reguladores no se ponen de acuerdo es en el contenido de las notificaciones. Mientras que los operadores quieren asegurarse de que el contenido de la notificación evite alarmar innecesariamente a los usuarios, los reguladores abogan por la transparencia.
El estudio completo de Enisa puede encontrarse aquí.