Contacto
La Autoridad Catalana de Protección de Datos (APDCAT) ha recibido y tramitado desde el 1 de enero hasta el 31 de diciembre de 2024, 182 notificaciones de violación de seguridad (NVS) de los datos personales, lo que supone un decrecimiento del 0,5 % respecto al año 2023, en el que se han registrado. t las notificaciones desde que el RGPD estableció esta obligación, en 2018. Se trata de notificaciones que hacen referencia al ámbito de actuación de la APDCAT, que comprende administraciones, empresas públicas y empresas privadas que hacen función pública.
La moderación de NVS de 2024 se relaciona con el descenso de las notificaciones de ciberataques, que pasan del 31 % en 2023, al 17 % en 2024. Más concretamente, la estabilización se relaciona con la bajada de notificaciones de ataques con software de secuestro (ransomware).
El error humano pasa a ser la primera causa de los incidentes (crece del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). Este cambio significativo se relaciona con la disminución de los ciberataques. El acto interno malintencionado se mantiene en tercer lugar con ligeras variaciones al alza respecto a los años precedentes. Este tipo de incidente se relaciona con abusos de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización.
230.000 personas afectadas
Estas NVS registradas por la Autoridad este último año 2024 han afectado a cerca de 230.000 personas, una cifra muy alejada de la de 2023, cuando se llegó al millón y medio de afectados. Este descenso se relaciona con la bajada de los ciberataques de secuestro de datos (ransomware), que son los que generalmente afectan a un mayor volumen de personas. La baja drástica de personas afectadas también tiene que ver con que el 41% de los incidentes notificados han afectado sólo a entre 1 y 10 personas.
En la gran mayoría de los incidentes se ve afectada la confidencialidad de los datos, junto con la disponibilidad en algunos casos (7%). En 2024, esta afectación a la confidencialidad se mantiene en el mismo porcentaje que el año anterior (92 %), mientras que las violaciones que afectan a la disponibilidad bajan, en coherencia con el descenso del número de ataques con software de secuestro (ransomware).
Como es habitual, la mayoría de las violaciones afectan a datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte). Esto eleva considerablemente el riesgo de daño para las personas afectadas (titulares de los datos comprometidos), como el riesgo de sufrir suplantación de identidad o fraude.
El 2024 es el primer año que se detiene el aumento sostenido del 20% anual de notificaciones de violaciones de seguridad que la Autoridad Catalana de Protección de Datos venía registrando desde 2018, con un 14% menos de ciberataques, y 230.000 personas afectadas, lejos del millón y medio del 2023.