Una enquesta internacional de Global Privacy Enforcement Network (GPEN), en la qual ha participat l’APDCAT, constata que hi ha un alt nivell de conscienciació entre els responsables del tractament de dades personals pel que fa a l’obligació de notificar de violacions de seguretat
Març de 2020
Segons l’enquesta de GPEN, el 84% de les organitzacions enquestades tenen sistemes establerts per notificar les violacions de seguretat, incloent un equip designat o grup responsable de gestionar les violacions de seguretat.
Les organitzacions enquestades mostren un alt nivell de coneixement sobre les millors pràctiques per a respondre adequadament a les violacions de seguretat, tot i que cal assenyalar que els resultats s’obtenen només a partir de les entitats que voluntàriament van acceptar l’oferta per participar-hi, que en el cas de Catalunya va ser del 57% de les entitats enquestades, però en altres autoritats va ser inferior.
Conclusions de l’enquesta
Es valora positivament que un alt percentatge d’organitzacions (el 84 %) de tots els sectors i jurisdiccions implicades haurien nomenat un equip o grup responsable de gestionar violacions de seguretat, a qui s’ha d’informar dels incompliments ocorreguts.
El 75% dels procediments de les organitzacions preveuen elements clau, com ara la contenció de l’amenaça i l’avaluació del risc associat. El 18% de les respostes relacionades amb aquesta pregunta sobre els procediments van ser “pobres”, cosa que indica que aquestes polítiques es podrien aclarir per tal de concretar i preveure els passos clau a seguir per tal de respondre adequadament a una violació de seguretat.
En el 65% de les organitzacions es va trobar que hi havia procediments “molt bons” o “bons” per aplicar després d'una violació de seguretat i per tal d'evitar que se’n produeixin en el futur. Tanmateix, la resta d’organitzacions en aquesta categoria tenen procediments “pobres”, o bé no han especificat la seva resposta.
En el cas d’organitzacions sense polítiques internes, aquestes indiquen que confien en les directrius publicades per la seva Autoritat de protecció de dades de referència, quan sigui necessari. Un dels enquestats va descriure el seu sistema d’avaluació de violacions de seguretat, i va indicar que havia implementat un sistema de qualificació per colors vermell, ambre, verd (RAG). Van declarar que aquest sistema té en compte el nombre de fitxers afectats, la sensibilitat de les dades, el perjudici causat, la contenció de la violació, si la informació s'ha recuperat i si les dades han estat xifrades.
La notificació de violacions de seguretat és obligatòria a 12 de les 16 jurisdiccions que van participar en l’enquesta. Gairebé totes les organitzacions enquestades tenen coneixement del marc legal rellevant, incloses les condicions i terminis de notificació. Només cinc organitzacions van demostrar una mala comprensió del marc legal.
La informació i assessorament proporcionat per les Autoritats de protecció de dades locals ( DPA ) sobre la notificació de violacions de seguretat, es considera com a útil per la majoria de les organitzacions enquestades. Tot i això, les organitzacions més petites manifesten que han hagut de lluitar per assimilar grans quantitats d’informació. Això, juntament amb la manca de recursos propis d’aquestes organitzacions petites, els hauria impedit desenvolupar polítiques i procediments sofisticats en relació amb la gestió de violacions de seguretat.
No es cobreixen les expectatives
Malgrat tenir un bon coneixement de les obligacions, l’enquesta posa de manifest que moltes organitzacions queden per sota de les expectatives, en el sentit que no tenen un pla de control o monitorització interns, en relació amb els estàndards de protecció de dades, per gestionar les violacions de seguretat. En concret, més del 30 % de les organitzacions no tenen implementats programes per dur a terme autoavaluacions i / o auditories internes.
Al voltant del 45% de les organitzacions que van respondre van indicar que mantenen registres actualitzats de totes les violacions de seguretat sofertes, o de les potencials.
Participació de l’Autoritat Catalana de Protecció de Dades
Com en anys anteriors, l’Autoritat ha participat en l’enquesta anual de GPEN.
En aquesta ocasió s’ha enquestat diverses entitats de l’àmbit de control de l’Autoritat (Departaments de la Generalitat, Universitats i Col·legis professionals, així com Ajuntaments seleccionats de forma aleatòria) sobre la forma com gestionen la notificació obligatòria a l’APDCAT.
En concret s’ha preguntat a les entitats enquestades diverses qüestions sobre el seu grau de coneixement respecte l’obligació de notificar les violacions de seguretat i la manera de fer-ho; sobre els incidents de seguretat que han sofert; com els han gestionat; sobre l’existència de protocols d’actuació; sobre la resposta rebuda a les notificacions; sobre la comunicació a les persones afectades, i també sobre el seu coneixement respecte l’avaluació del risc que suposa una violació de seguretat.
Les respostes ajuden a l’Autoritat a copsar el grau de coneixement de les obligacions dels responsables a l’hora de detectar i de notificar violacions de seguretat, i sobre com han de gestionar aquestes violacions.
Podeu trobar l’informe elaborat per l’Apdcat en aquest enllaç.
Notes finals
1. El GPEN es va constituir el 2010, per recomanació de l’Organització de Cooperació i Desenvolupament Econòmic (OCDE). El seu objectiu és afavorir la cooperació transfronterera entre els reguladors de privacitat en un mercat cada cop més global, en el qual el comerç i l’activitat del consumidor es basen en el flux d’informació personal a través de les fronteres. Les Autoritats participants busquen treballar juntes per reforçar les proteccions de privacitat en aquest context global. La xarxa informal està formada per més de 60 Autoritats en 39 jurisdiccions d’arreu del món.
2. Actualment, el GPEN està presidit per l' Oficina del Comissari de Privadesa de Nova Zelanda.
3. Per a participar en l’enquesta, es varen preparar un conjunt de preguntes predeterminades referides a les pràctiques actuals de les organitzacions enquestades per registrar i notificar les violacions de dades.