¿Cómo se computa el plazo de 72 horas para notificar una brecha de seguridad?
El artículo 33.1 del RGPD establece que
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
El RGPD no dedica precepto alguno al cómputo de plazos, ni contiene remisión a otras normas para su interpretación (como si hace, por ejemplo, con lo que debe entenderse por micro empresas y pequeñas y medianas empresas) por lo que surge la pregunta de cómo deben computarse esas 72 horas: ¿son horas “hábiles” o debemos contar 72 horas “a reloj corrido”? La cuestión, por razones obvias en las que no entraré, no es moco de pavo.
Si uno consulta la Guía para la gestión y notificación de brechas de seguridad” de la AEPD tampoco encuentra respuesta a la pregunta, porque no hay referencia alguna al respecto.
Si acudimos a la nueva LOPD, la Ley Orgánica 3/2018, su disposición adicional tercera sí regula cómo debe realizarse el cómputo de los plazos recogidos tanto en esa norma como en el RGPD:
Los plazos establecidos en el Reglamento (UE) 2016/679 o en esta ley orgánica, con independencia de que se refieran a relaciones entre particulares o con entidades del sector público, se regirán por las siguientes reglas:
a) Cuando los plazos se señalen por días, se entiende que estos son hábiles, excluyéndose del cómputo los sábados, los domingos y los declarados festivos.
b) Si el plazo se fija en semanas, concluirá el mismo día de la semana en que se produjo el hecho que determina su iniciación en la semana de vencimiento.
c) Si el plazo se fija en meses o años, concluirá el mismo día en que se produjo el hecho que determina su iniciación en el mes o el año de vencimiento. Si en el mes de vencimiento no hubiera día equivalente a aquel en que comienza el cómputo, se entenderá que el plazo expira el último día del mes.
d) Cuando el último día del plazo sea inhábil, se entenderá prorrogado al primer día hábil siguiente.
La lectura de ese precepto, como vemos, tampoco nos ofrece respuesta a nuestra pregunta porque ¡¡¡al legislador simplemente se le ha olvidado que en el RGPD se fija un plazo en horas!!!
Entonces, ¿dónde podemos encontrar respuesta a nuestra duda? Si acudimos al Ordenamiento jurídico español, el artículo 30 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, regula el cómputo de plazos en los procedimientos administrativos.
Así, el precepto nos indica en su apartado 1 que, salvo que por Ley o en el Derecho de la Unión Europea se disponga otro cómputo, cuando los plazos se señalen por horas, se entiende que éstas son hábiles.
¿Y qué se entiende por “hora hábil”? Todas las que formen parte de un día hábil.
¿Y cuáles son los días hábiles? Pues salvo que por Ley o en el Derecho de la Unión Europea se disponga otro cómputo, conforme al apartado 2 del precepto los que no son sábado, domingo o declarado festivo, debiendo tenerse en cuenta en cuanto a los festivos lo dispuesto en el apartado 6 del propio artículo 30:
Cuando un día fuese hábil en el municipio o Comunidad Autónoma en que residiese el interesado, e inhábil en la sede del órgano administrativo, o a la inversa, se considerará inhábil en todo caso.
Hasta aquí el texto original de esta entrada, al que añado lo que sigue a continuación, una vez que le he dado una vuelta más al tema.
El segundo párrafo del apartado 1 de este artículo 30 determina, en mi opinión, que los plazos en horas no podrán tener una duración superior a veinticuatro horas, debiéndose establecerse en días, o al menos eso interpreto, si el plazo tuviera que superar esas 24 horas:
Los plazos expresados por horas se contarán de hora en hora y de minuto en minuto desde la hora y minuto en que tenga lugar la notificación o publicación del acto de que se trate y no podrán tener una duración superior a veinticuatro horas, en cuyo caso se expresarán en días.
Lo expuesto ha hecho que un compañero haya preguntado en twitter si podemos entender que ese plazo de 72 horas del RGPD pasaría a ser de 3 días hábiles… y la verdad es que no lo sé. Estamos aplicando una norma española que recoge la posibilidad de establecer un plazo en horas no superior a 24 para interpretar una norma de Derecho comunitario que fija un plazo en horas que supera ese límite, el cómputo del cual ha sido omitido en la disposición de la nueva LOPD que precisamente tenía que interpretarlo.
Para liarla más, he acudido en búsqueda de luz a las Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 (versión 6 de febrero de 2018) del Grupo de Trabajo sobre Protección de Datos del artículo 29, WP250rev.01.
En su página 14 al hablar del plazo de 72 horas introduce una nota a pie de página, la 24, que en este caso nos remite a una norma europea que regula el cómputo de plazos:
La norma a la que remite esa nota a pie de página es el Reglamento (CEE, Euratom) nº 1182/71 del Consejo, de 3 de junio de 1971, por el que se determinan las normas aplicables a los plazos, fechas y términos en relación, según su artículo 1, los actos del Consejo y de la Comisión que hayan sido adoptados o que se adoptaran en virtud del Tratado constitutivo de la Comunidad Económica Europea o del Tratado constitutivo de la Comunidad Europea de la Energía Atómica.
Dicho reglamento contempla el cómputo de los plazos en sus artículos 2 y 3
Articulo 2
1 . Por días feriados se entenderá , para la aplicación del presente Reglamento , todos los días previstos como tales en el Estado miembro o en la institución de las Comunidades donde deba cumplimentarse un acto .
A tal fin , cada Estado miembro comunicara a la Comisión la lista de días previstos como días feriados por su legislación . La Comisión publicara en el Diario Oficial de las Comunidades Europeas las listas comunicadas por los Estados miembros , completadas con la mención de los días previstos como días feriados en las instituciones de las Comunidades .
2 . Por días hábiles se entenderá , para la aplicación del presente Reglamento , todos los dias menos los días festivos , los domingos y los sábados .
Articulo 3
1 . Si un plazo expresado en horas debe contarse a partir del momento en que sobrevenga un acontecimiento o se cumplimente un acto , la hora durante la cual ocurra dicho acontecimiento o se cumplimente dicho acto no se computara en el plazo .
Si un plazo expresado en días , semanas , meses o anos debe contarse a partir del momento en que sobrevenga un acontecimiento o se cumplimente un acto , el día durante el cual ocurra dicho acontecimiento o se cumplimente dicho acto no se computara en el plazo .
2 . Sin perjuicio de lo dispuesto en los apartados 1 y 4 :
a ) el plazo expresado en horas empezara a correr al comienzo de la primera hora y concluirá al finalizar la ultima hora del plazo ;
b ) el plazo expresado en días comenzara a correr al comienzo de la primera hora del primer día y concluirá al finalizar la ultima hora del ultimo día del plazo ;
c ) el plazo expresado en semanas , meses o anos comenzara a correr al comienzo de la primera hora del primer día del plazo y concluirá al finalizar la ultima hora del dia que , en la ultima semana , en el ultimo mes o en el ultimo ano , lleve el mismo nombre o la misma fecha que el día a partir del cual empieza a computarse un plazo . Si , en un plazo expresado en meses o anos , falta en el ultimo mes el dia en que debe expirar el plazo , éste concluirá al finalizar la ultima hora del ultimo dia de dicho mes ;
d ) si un plazo comprende partes de un mes , se considerara , para el calculo de estas partes , que un mes se compone de treinta días .
3 . Los plazos comprenderán los días feriados , los domingos y los sabados , salvo si éstos quedan expresamente excluidos o si los plazos se expresan en días hábiles .
4 . Si el ultimo dia de un plazo expresado de cualquier otro modo , menos en horas , es un día feriado , un domingo o un sábado , el plazo concluirá al finalizar la ultima hora del dia habil siguiente .
Esta disposición no se aplicara a los plazos calculados retroactivamente a partir de una fecha o de un suceso determinado .
5 . Todo plazo de dos días o más comprenderá , por lo menos , dos días hábiles .
A resultas de esta norma parece que las 72 horas serían “a reloj corrido” cuando si aplicamos la Ley 39/2015 nacional podría entenderse que las horas serán hábiles.
Menudo galimatías, ¿no?
A mi entender la solución pasa por modificar la disposición adicional tercera de la Ley Orgánica 3/2018 para que se regule en la misma expresamente cómo deben computarse el plazo en horas establecido en el RGPD, lo que es precisamente el objeto de esa disposición adicional, determinar cómo se tiene que realizar el cómputo de plazos. Para hacer esto no es obstáculo el que las Cortes estén disueltas porque al no tener la disposición adicional tercera carácter de ley orgánica, sino de ley ordinaria (disposición final primera nueva LOPD), cabe su modificación por el Gobierno por la vía del Decreto-ley, que la Constitución Española habilita en su artículo 86 al Gobierno a dictarlos en “casos de extraordinaria y urgente necesidad”, concepto éste en el que ya sabemos que cabe todo.
Foto: Luís Feliciano https://www.flickr.com/photos/22209194@N03/