Según Protección de Datos, el protocolo de actuación puesto en marcha se establece como "un canal rápido y seguro" para que los proveedores de servicios de comunicaciones electrónicas notifiquen a la agencia los casos previstos en la legislación.
Las quiebras de seguridad están definidas en la misma como "toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público".
Siguiendo las especificaciones del reglamento, el formulario habilitado por la AEPD incluye, entre otros campos, la identificación del proveedor, los datos de contacto del responsable de protección de datos o de la persona que pueda aportar más información o las circunstancias en las que se ha producido la quiebra de seguridad, entre otras.
El procedimiento que presenta hoy la agencia, con el que se facilita el cumplimiento de la obligación normativa, está disponible a través del apartado 'Notificación preceptiva de quiebras de seguridad' de la Sede Electrónica de la Agencia. Los proveedores deben comunicar las quiebras de seguridad a la autoridad competente dentro de las 24 horas siguientes a la detección del incidente.
"El objetivo del reglamento es reforzar las garantías de los abonados o particulares que hayan podido verse afectados por la quiebra de seguridad, estableciendo la obligación de notificar el hecho a la AEPD de la forma más rápida y exhaustiva posible sin que ello suponga un obstáculo para que el proveedor tome las medidas para limitar y remediar las consecuencias del incidente", ha señalado la agencia.
Una directiva europea establece que los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las quiebras de seguridad que puedan afectar a datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados, con el fin de reforzar las garantías de su derecho fundamental a la protección de datos.