Les notificacions de violacions de seguretat augmenten un 42 % el 2021

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha registrat, des de l’1 de gener fins al 31 de desembre de 2021, 124 notificacions de violació de seguretat (NVS) de les dades personals, cosa que representa un increment del 42,5 % respecte de l’any passat. Aquesta pujada s’atribueix al coneixement progressiu que les persones responsables del tractament han anat adquirint de l’obligació de notificació que imposa el Reglament general de protecció de dades (RGPD) i, també, a l’augment de les designacions de delegat de protecció de dades, una figura clau en el compliment de les obligacions normatives a les entitats.

D’acord amb la normativa, les entitats incloses en l’àmbit competencial de l’APDCAT li han de notificar qualsevol incident que afecti la confidencialitat, integritat o disponibilitat de les dades personals de les quals són responsables, tret que sigui improbable que constitueixi un risc per als drets i llibertats de les persones.

Més de dos milions de persones afectades

Aquestes violacions han afectat més de dos milions de persones, una xifra que fins i tot podria ser superior atès que en vuit casos no ha estat possible concretar el nombre de persones afectades. Així, el total de persones afectades s’ha gairebé doblat respecte de l’any anterior.

Pel que fa a la causa de la violació de seguretat, l’any 2021 l’acte extern malintencionat (50 %) ha superat l’error humà (43 %). En concret respecte dels actes externs malintencionats, els ciberatacs suposen un 30 % de les violacions notificades (phishing, hacking i ransomware) i el robatori de dispositius i documentació, el 20 % restant.

En tots aquests casos, l’APDCAT ha analitzat si s’han pres mesures per solucionar o contenir l’incident de seguretat de les dades, limitar-ne els riscos per a les persones afectades i evitar, en la mesura del possible, que es torni a produir. Així mateix, en tots els supòsits en què s’ha apreciat un alt risc per als drets i llibertats de les persones titulars de les dades afectades per la violació s’ha complert l’obligació de comunicació prevista a l’RGPD. En alguns casos, aquesta comunicació s’ha fet per iniciativa pròpia de l’entitat i, en d’altres, a requeriment de l’Autoritat.

Pel que fa a la naturalesa de les violacions, en la gran majoria dels incidents s’hi veu afectada la confidencialitat de les dades, i en un alguns casos (11 %) juntament amb la disponibilitat. Aquesta prevalença d’afectació a la confidencialitat s’ha mantingut constant i amb percentatges similars des del juny de 2018, amb la plena aplicació de l’RGPD. En un percentatge molt menor hi ha l’afectació a la disponibilitat i, finalment, la integritat de les dades, que ha disminuït a la meitat respecte de l’any 2020. Cal tenir present que les violacions de seguretat poden afectar, alhora, la confidencialitat, la disponibilitat i la integritat.

Seguint la tendència des de l’any 2018, la major part de les violacions afecten dades de contacte i identificatives. Tot i això, l’any 2021 l’ordre percentual s’ha invertit respecte de l’any anterior, ja que l’afectació en les dades de contacte ha augmentat considerablement, en passar del 63 % de l’any 2020 al 87 % de 2021. Hi segueixen les dades de categories especials (la majoria, de salut), que tot i això han disminuït progressivament respecte dels anys precedents, de manera que el percentatge s’ha reduït des del 42 % de 2019 i el 29 % de 2020, fins al 24 % de 2021.

Pel que fa als col·lectius de persones afectades, l’any 2021 les violacions de seguretat registrades han tingut més incidència en els treballadors propis (65 %) i la ciutadania (52 %), amb increments substancials respecte de l’any anterior (que eren del 34 % i 32 % respectivament). Per contra, les que afecten menors d’edat i altres col·lectius especialment vulnerables s’han reduït.

La majoria d’aquestes NVS provenen de l’Administració local i de la Generalitat però, així com en anys anteriors la proporció entre ambdós tipus d’entitat estava força equilibrada, al 2021 s’ha eixamplat la diferència: mentre que el percentatge de casos corresponents a l’Administració local ha crescut un 10 % respecte de 2020, les entitats de la Generalitat de Catalunya han disminuït un 8 %.