El nombre d’incidents de seguretat que comprometen dades personals continua augmentant significativament any rere any a Catalunya. El 2023, l’Autoritat Catalana de Protecció de Dades (APDCAT) ha rebut i tramitat el 2023 183 notificacions de violació de seguretat (NVS), fet que suposa un increment del 22 % respecte de l’any 2022. S’atribueix a l’augment d’incidents de ciberseguretat que afecten les entitats pel creixement d’aquest tipus d’atacs a nivell global, i també a la progressiva consolidació de la figura del delegat de protecció de dades, que vetlla perquè les organitzacions compleixin la norma i notifiquin aquest tipus d’incidents.
Les violacions notificades han afectat gairebé 1,5 milions de persones, una xifra que podria ser molt superior tenint en compte que en 21 casos no ha estat possible concretar-ne el nombre. Això representa un augment del 82 % respecte de 2022, cosa que s’explica pel nombre superior de violacions notificades i, també, perquè un dels ciberatacs notificats al 2023 afectava dades de salut de més de 800.000 persones.
Un 31 % d’NVS per ciberatacs
L’any 2023, l’acte extern malintencionat és la primera causa dels incidents notificats, que representa el 52 % del total. Dins d’aquesta categoria, els ciberatacs suposen el 31 % del global i representen un terç del total d’NVS. Per la seva banda, el robatori d’equips i documentació suposa el 21 % restant dels actes interns malintencionats. L’error humà es manté en segon lloc, amb un creixement de quatre punts percentuals, i en tercer lloc hi ha l’acte intern malintencionat.
La publicació indeguda no intencionada de dades a internet, com ara als portals de transparència o al tauler electrònic del responsable del tractament, ha estat responsable del 6 % de les revelacions de dades no intencionades. Destaca també l’increment d’incidents de seguretat que tenen com a origen el desenvolupament de solucions tecnològiques que no han tingut en compte la privacitat en el disseny, cosa que ha permès que persones no autoritzades accedissin a les dades.
Respecte del 2022, decreix substancialment l’afectació en el col·lectiu de pacients (del 24 % al 19 %), en correspondència amb el descens de notificacions que afecten l’entorn de salut; baixa també en el col·lectiu de persones especialment vulnerables, referit a persones ateses pels serveis socials o sol·licitants de recursos d’aquest entorn, que passa de l’11 % al 9 %. La reducció en aquests col·lectius reflecteix la disminució de violacions que afecten dades de categories especials. Per contra, el percentatge de les que afecten menors d’edat creix (del 8 % al 10 %), com també ho fan els incidents relacionats amb l’ensenyament.
La confidencialitat de dades, la més afectada
Al 2023, l’afectació a la confidencialitat ha augmentat fins al 92 % respecte dels anys anteriors, quan s’havia mantingut constant al voltant del 80 %, cosa que s’explica en part pel nombre superior de violacions notificades. També hi pot haver contribuït el fet que un important nombre d’atacs amb programari de segrest (ransomware) patits durant l’any 2023, a banda d’afectar la disponibilitat de les dades (per pèrdua d’accés, temporal o definitiva, de les dades encriptades), n’afecten també la confidencialitat, atès que pateixen exfiltració de dades. Les violacions de la seguretat de les dades poden afectar, alhora, la confidencialitat, la disponibilitat i la integritat, com és el cas dels atacs de phishing.
Pel que fa a la tipologia de dades, la major part de les violacions afecten dades de contacte i identificatives, com ja és habitual des del 2018. Pel que fa a les categories especials de dades, cal assenyalar que, després del creixement notable de 2022 respecte de 2021 (del 24 % al 43 %), aquest any la tendència s’ha revertit, com a conseqüència del descens dels incidents que afecten l’entorn de salut, i els percentatges han tornat als valors decreixents que havia seguit aquesta dada anteriorment.
En tots aquests casos, l’Autoritat ha analitzat si s’han pres mesures per solucionar o contenir l’incident de seguretat de les dades, limitar-ne els riscos per a les persones afectades i evitar, en la mesura del possible, que es torni a produir.
L’Autoritat Catalana de Protecció de Dades (APDCAT) ha rebut i tramitat 183 notificacions de violacions de seguretat de dades personals el 2023, que han afectat prop d’1,5 milions de persones, un 82 % més que l’any anterior