Contacto
La directora de la Autoridad Catalana de Protección de Datos (APDCAT), Meritxell Borràs, ha informado hoy en el Parlament de que la Autoridad ha abierto expediente informativo por el ciberataque al Hospital Clínic y las entidades vinculadas, que conllevó la filtración de miles de datos de personas usuarias del servicio de salud. En este sentido, Borràs ha asegurado que la APDCAT trabaja en determinar si estas entidades tenían previamente implementadas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que conllevaba este tratamiento de datos, teniendo en cuenta su volumen y categoría, dado que se incluyen datos especialmente sensibles y protegidos por la norma.
Durante su comparecencia ante la Comisión de Asuntos Institucionales del Parlamento de Cataluña para presentar la memoria de actividades de la Autoridad de 2022, Borràs ha explicado que los equipos técnicos de la APDCAT trabajan para analizar toda la información, y determinar si procede o no abrir un expediente sancionador por incumplimiento de la norma. Sin embargo, ha recordado que el hospital comunicó a la APDCAT la violación de la seguridad dentro del plazo previsto por la normativa y actuó con diligencia al conocer el incidente. También que está implementando nuevas medidas para fortalecer la seguridad de los sistemas.
Reconocimiento facial como alternativa
Durante su intervención, la directora también ha alertado de que cada vez se detectan más organizaciones que consideran sistemas de reconocimiento facial para el ejercicio de su actividad ordinaria, sin plantear ninguna alternativa posible. Borràs ha recordado que estos sistemas tratan datos biométricos, que son especialmente protegidos por la norma, y que sólo se pueden aplicar en supuestos concretos específicamente previstos en la ley.
Borràs ha reclamado la implicación y colaboración de las organizaciones y la sociedad para limitar el uso de estos sistemas, que presentan riesgos importantes para los derechos y libertades de la ciudadanía, como la libertad individual o el derecho a no ser discriminado. También ha hablado de los riesgos derivados de un diseño incorrecto de estos sistemas, como por ejemplo la discriminación, sesgos en la identificación, o la falta de fiabilidad en los resultados. Borràs ha pedido ofrecer en todo caso una alternativa, para que el reconocimiento facial no sea la única opción posible para acceder a un determinado producto o servicio.
Presentación de la memoria
La comparecencia también ha servido para presentar al Parlamento de Cataluña la memoria 2022, así como las actuaciones más relevantes llevadas a cabo por la Autoridad. En este sentido, Borràs ha puesto de relieve que en el vigésimo aniversario de su creación, la Autoridad es una organización consolidada capaz de dar respuesta a las necesidades de la ciudadanía de Cataluña, tanto allá como sus competencias permiten.
En este marco, la directora ha destacado la definición del nuevo Plan estratégico 2023-2028, que ha permitido identificar las líneas estratégicas del presente y futuro, y establecer las prioridades poniendo el acento en la concienciación, el acompañamiento y el control, con la formación y la sensibilización como puntos destacados.
Borràs también ha puesto de relieve el aumento de violaciones de seguridad de la información registrado en las organizaciones públicas catalanas y privadas que ejercen funciones públicas. En este sentido, la APDCAT ha recibido un 21% más de notificaciones de violaciones de seguridad (NVS), más de un tercio de ellas como consecuencia de ciberataques. Las NVS afectaron la confidencialidad y la integridad o disponibilidad de los datos de más de 800.000 personas. Para Borràs, estos datos evidencian que hay que cumplir más que nunca con las obligaciones que marca el Reglamento general de protección de datos y aplicar las medidas de seguridad adecuadas al riesgo, teniendo en cuenta el tipo de datos que se tratan, el volumen, las tecnologías utilizadas, etc. La directora ha asegurado que la ciberdelincuencia ha llegado para quedarse, y que hay que tomar conciencia de la importancia de proteger adecuadamente los datos personales que se tratan, porque la exposición a un ataque es real y puede tener repercusiones significativas en las personas.
Durante su intervención, Borràs también ha puesto de relieve el aumento de un 54% de expedientes sancionadores incoados en 2022, y ha destacado que el mayor número de infracciones declaradas se relaciona, como en años anteriores, con la vulneración del principio de confidencialidad, seguida de la infracción del principio de licitud.
La directora de la Autoridad Catalana de Protección de Datos, Meritxell Borràs, ha comparecido ante la Comisión de Asuntos Institucionales del Parlamento de Cataluña para dar cuenta de la memoria de actividades de la Autoridad correspondiente a 2022.