La Agencia Europea para la Seguridad de las Redes y de la Información (ENISA) ha publicado un informe sobre la situación actual de la implementación de Data Breach Notifications (DBN) o "notificaciones de violación de datos", consagrada en el Artículo 4 de la revisada Directiva sobre ePrivacy (2002/58/EC).

Recientemente, importantes incidentes de violación de datos en Europa han generado un amplio debate sobre la calidad de la protección de los datos personales compartidos, procesados, guardados y transmitidos electrónicamente.

En este sentido, Udo Helmbrecht, Director ejecutivo de la Agencia, comenta que "Obtener y mantener la confianza de los ciudadanos europeos en que sus datos están seguros y protegidos es un factor importante en el desarrollo futuro y la adopción de tecnologías innovadoras y servicios online en Europa".

La Agencia ha revisado la situación actual, entrevistando a operadores y Autoridades de Protección de Datos (APDs) nacionales, con el fin de desarrollar un conjunto coherente de directrices para la implementación de medidas técnicas y procedimientos, establecidos por el Artículo 4 de la revisada Directiva.

Las expectativas de APDs y operadores en la mayoría de los casos coinciden. Sin embargo, hay algunas discrepancias:

• Priorización del riesgo: La gravedad de una violación de datos debería determinar el nivel de respuesta. Las violaciones deberían clasificarse de acuerdo con los niveles de riesgo, para evitar un exceso de notificaciones.
• Canales de comunicación: Los operadores necesitan garantías de que los requisitos de notificación no afecten a sus marcas de un modo negativo.
• Recursos: Algunas autoridades regulatorias están  actualmente ocupadas con otras prioridades.
• Aplicación: Las DPAs indicaron que la autoridad sancionadora les permite aplicar mejor las regulaciones.
• Retraso indebido en el informe: Los reguladores quieren plazos cortos para informar sore las violaciones de datos. Los proveedores de servicios quieren, sin embargo, centrar sus recursos en resolver el problema.
• Contenido de las notificaciones: Los operadores quieren asegurarse de que el contenido de la notificación no afecta negativamente a las relaciones con los clientes. Los reguladores quieren toda la información necesaria.