Contacte
L’Autoritat Catalana de Protecció de Dades (APDCAT) ha rebut i tramitat des de l’1 de gener fins al 31 de desembre de 2024, 182 notificacions de violació de seguretat (NVS) de les dades personals, fet que suposa un decreixement del 0,5 % respecte de l’any 2023, en què es van registrar 183. Aquest és el primer any en què s’atura l’augment sostingut que havien experimentat les notificacions des que l’RGPD va establir aquesta obligació, el 2018. Es tracta de notificacions que fan referència a l’àmbit d’actuació de l’APDCAT, que comprèn administracions, empreses públiques i empreses privades que fan funció pública.
La moderació d'NVS del 2024 es relaciona amb la davallada de les notificacions de ciberatacs, que passen del 31 % l’any 2023, al 17 % l’any 2024. Més concretament, l'estabilització es relaciona amb la baixada de notificacions d’atacs amb programari de segrest (ransomware), que han passat del 19% al 3%.
L’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). Aquest canvi significatiu es relaciona amb la disminució dels ciberatacs. L’acte intern malintencionat es manté en tercer lloc amb lleugeres variacions a l’alça respecte dels anys precedents. Aquest tipus d'incident es relaciona amb abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització.
230.000 persones afectades
Aquestes NVS registrades per l’Autoritat aquest darrer any 2024 han afectat prop de 230.000 persones, una xifra molt allunyada de la del 2023, quan es va arribar al milió i mig d’afectats. Aquest descens es relaciona amb la baixada dels ciberatacs de segrest de dades (ransomware), que són els que generalment afecten un volum més elevat de persones. La davallada dràstica de persones afectades també té a veure amb què el 41% dels incidents notificats han afectat només entre 1 i 10 persones.
En la gran majoria dels incidents s’hi veu afectada la confidencialitat de les dades, juntament amb la disponibilitat en alguns casos (7 %). Al 2024, aquesta afectació a la confidencialitat es manté en el mateix percentatge que l’any anterior (92 %), mentre que les violacions que afecten la disponibilitat baixen, en coherència amb el descens del nombre d’atacs amb programari de segrest (ransomware).
Com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport). Això eleva considerablement el risc de dany per a les persones afectades (titulars de les dades compromeses), com ara el risc de patir suplantació d’identitat o frau.
El 2024 és el primer any que s'atura l'augment sostingut del 20 % anual de notificacions de violacions de seguretat que l’Autoritat Catalana de Protecció de Dades venia registrant des del 2018, amb un 14 % menys de ciberatacs, i 230.000 persones afectades, lluny del milió i mig del 2023.