Contacte
L'Autoritat Catalana de Protecció de Dades (APDCAT) ha registrat el 2022 un augment del 21% respecte de l'any anterior de les notificacions de violacions de seguretat (NVS) d'entitats i organitzacions que tracten dades personals. La violació de seguretat es dona quan l'entitat pateix un incident que afecta la confidencialitat, integritat o disponibilitat d'aquestes dades.
Així, des de l’1 de gener fins al 31 de desembre de 2022, l’APDCAT ha rebut i tramitat 150 notificacions de violació de seguretat de les dades personals. Això confirma l’augment sostingut de les notificacions registrat any rere any, des de la plena aplicació del Reglament general de protecció de dades. Aquesta pujada en el nombre de notificacions s’atribueix a l’increment d’incidents de ciberseguretat que han afectat les entitats, vinculat al creixement global d’aquest tipus d’atacs i, també, a la progressiva consolidació de la figura del delegat de protecció de dades (DPD), que actua de pont entre les organitzacions i les autoritats de control que vetllen pel compliment de la norma.
Més de 800.000 persones afectades
Les violacions notificades a l’APDCAT el 2022 han afectat prop de 800.000 persones, una xifra que podria ser molt superior tenint en compte que en 15 casos no ha estat possible concretar el nombre de persones afectades. La majoria es relacionen amb incidents d’encriptació i de robatori d’equips.
Quant als col·lectius de persones afectades, l’any 2022 presenta resultats similar al d’anys anteriors. Respecte de l’any 2021, puja sensiblement l’afectació a persones especialment vulnerables, concretament persones ateses pels serveis socials o sol·licitants d’ajuts, serveis i recursos d’aquest àmbit. En aquest sentit, passa del 2 % a l’11 %, en la línia de l’augment de violacions de seguretat que afecten dades sensibles. Per contra, baixa el percentatge de les que afecten menors d’edat (del 14 % al 8 %) i alumnat (del 20 % al 12 %), proporcionalment a la reducció d’incidents relacionats amb l’ensenyament, que passen del 15 % al 7 %. Per contra, les que afecten pacients pugen lleugerament.
Un 33% de les NVS són per ciberatacs
Pel que fa a les causes, l’any 2022 l’acte extern malintencionat es manté com a primera causa i creix en 7 punts percentuals respecte de l’any anterior. Així, els ciberatacs suposen un 33 % dels incidents globals notificats. Es presenten desglossats en subcategories: robatori, encriptació, phishing (enviament de correu electrònic simulant ser una entitat legítima, per robar credencials i distribuir correus fraudulents) i hacking (accés no autoritzat a dades en sistemes TI-tecnologies de la informació).
En segon lloc hi ha l’error humà, que decreix lleument respecte de 2021. Quant a les accions causants, l’enviament de dades per error se situa en primer lloc, tot i que amb una reducció notable respecte de 2021 (del 42 % al 27 %). En segon lloc es manté el robatori de dispositius i documentació, que puja lleument, i a continuació l’encriptació, que experimenta un augment de 6 punts percentuals. Cal esmentar, també, que aquest any 2022 la publicació indeguda a internet ha estat responsable del 4 % de les violacions, mentre que l’any 2021 no n’hi va haver cap cas.
Actuacions de l'Autoritat
En tots aquests casos, l’Autoritat ha analitzat si s’han pres mesures per solucionar o contenir l’incident de seguretat de les dades, limitar-ne els riscos per a les persones afectades i evitar, en la mesura del possible, que es torni a produir. També s’ha analitzat si s’ha comunicat l’incident a les persones afectades i, en els casos en què s’ha considerat que hi havia alt risc i mancava aquesta comunicació, s’ha requerit que es fes efectiva.
Confidencialitat de les dades, la més afectada
En la gran majoria dels incidents s’ha vist afectada la confidencialitat de les dades, en alguns casos (3 %) juntament amb la disponibilitat. Aquesta prevalença d’afectació a la confidencialitat s’ha mantingut constant i amb percentatges similars des del juny de 2018, amb la plena aplicació de l’RGPD. En un percentatge molt menor se situa l’afectació a la disponibilitat i, finalment, la integritat de les dades, que ha anat disminuint progressivament des de l’any 2020. Cal tenir present que les violacions de seguretat poden afectar, alhora, la confidencialitat, la disponibilitat i la integritat.
Pel que fa a la tipologia de dades afectades, com ha estat habitual des de l’any 2018, la major part de les violacions han afectat dades de contacte i identificatives. El 2022 cal assenyalar el creixement notable de l’afectació en les dades de categories especials (la majoria, de salut i relatives a serveis socials), que han passat del 24 % de l’any 2021 al 43 % de 2022, com a conseqüència de l’increment dels incidents que afecten els entorns de salut i serveis socials. Això inverteix la tendència decreixent que s'havia detectat des de l’any 2019. Les violacions de seguretat poden afectar, alhora, diverses tipologies de dades.
L'Autoritat Catalana de Protecció de Dades ha rebut el 2022 un total de 150 notificacions de violacions de seguretat d'organitzacions i entitats, més d'un terç de les quals com a conseqüència de ciberatacs. Les violacions de seguretat han afectat la confidencialitat, integritat o disponibilitat de les dades de més de 800.000 persones.