El futuro Reglamento Europeo, destinado a regular de forma común la protección de datos en todos los países de la Unión, presenta una serie de novedades, hasta ahora desconocidas en la legislación española, que se están viendo introducidas poco a poco a través de la LSSICE y de los mandatos de la Agencia Española de Protección de Datos, sita en Madrid.Una de estas novedades es la obligatoriedad, que tienen las corporaciones que custodian datos personales, de informar al órgano competente sobre cualquier brecha de seguridad en sus fuentes, debiendo hacer lo propio, en ocasiones, con los posibles afectados. No es esta una visión exactamente nueva dentro de la legislación comunitaria, pero sí que presenta variantes interesantes su novedosa regulación actual, que ya ha sido recogida recientemente en un mandato de la AEPD que viene a sumarse a lo previsto en la LOPD.
No existe obligación de comunicar a los afectados aquellas brechas de seguridad que no afectan a datos personales. Tampoco aquellas que, afectando a este tipo de datos, no hayan visto rota su encriptación. En cualquiera de los casos, la comunicación a la Agencia Española de Protección de Datos debe hacerse, según apunta cualquier consultoría LOPD, en las siguientes 24 horas tras haber tenido conocimiento de dicha brecha. Además, se establece la obligatoriedad de articular medidas efectivas para detener y, en su caso, corregir, dicha brecha en la protección.
Por lo tanto, serán los artículos 29 y siguientes de la nueva legislación europea los que establezcan el marco legal de todos los supuestos relativos a las brechas en la seguridad digital sobre datos personales. Algo importante en la medida en que dicha legislación aún no está aprobada y teniendo en cuenta que su discusión está siendo especialmente intensa dentro del marco de la Unión, por lo que el articulado final puede sufrir varios cambios.