La APDCAT registra un 22% más de violaciones de seguridad en Cataluña

El número de incidentes de seguridad que comprometen datos personales sigue aumentando significativamente año tras año en Cataluña. La Autoridad Catalana de Protección de Datos (APDCAT) ha recibido y tramitado en 2023 183 notificaciones de violación de seguridad (NVS), lo que supone un incremento del 22% respecto al año 2022. Se atribuye al aumento de incidentes de ciberseguridad que afectan a las entidades por el crecimiento de este tipo de ataques a nivel global y, también, a la progresiva consolidación de la figura del delegado de protección de datos, que vela por el cumplimiento de la norma en las organizaciones y por notificar este tipo de incidentes.

Las violaciones notificadas han afectado a casi 1,5 millones de personas, una cifra que podría ser muy superior teniendo en cuenta que en 21 casos no ha sido posible concretar su número. Esto representa un aumento del 82% respecto a 2022, lo que se explica por el mayor número de violaciones notificadas y, también, porque uno de los ciberataques notificados en 2023 afectaba a datos de salud de más de 800.000 personas.

Un 31% de NVS por ciberataques

En 2023, el acto externo malintencionado es la primera causa de los incidentes notificados, que representa el 52 % del total. Dentro de esta categoría, los ciberataques suponen el 31% de lo global y representan un tercio del total de NVS. Por su parte, el robo de equipos y documentación supone el 21% restante de los actos internos malintencionados. El error humano se mantiene en segundo lugar, con un crecimiento de cuatro puntos porcentuales, y en tercer lugar se encuentra el acto interno malintencionado.

La publicación indebida no intencionada de datos en internet, como en los portales de transparencia o en el tablón electrónico del responsable del tratamiento, ha sido responsable del 6% de las revelaciones de datos no intencionadas. Destaca también el incremento de incidentes de seguridad que tienen como origen el desarrollo de soluciones tecnológicas que no han tenido en cuenta la privacidad en el diseño, lo que ha permitido que personas no autorizadas accedieran a los datos.

Respecto a 2022, decrece sustancialmente la afectación en el colectivo de pacientes (del 24 % al 19 %), en correspondencia con el descenso de notificaciones que afectan al entorno de salud; baja también en el colectivo de personas especialmente vulnerables, referido a personas atendidas por los servicios sociales o solicitantes de recursos de este entorno, que pasa del 11% al 9%. La reducción en estos colectivos refleja la disminución de violaciones que afectan a datos de categorías especiales. Por el contrario, el porcentaje de las que afectan a menores de edad crece (del 8% al 10%), así como los incidentes relacionados con la enseñanza.

La confidencialidad de datos, la más afectada

En 2023, la afectación a la confidencialidad ha aumentado hasta el 92% respecto a los años anteriores, que se había mantenido constante en torno al 80%, lo que se explica en parte por el mayor número de violaciones notificadas. También puede haber contribuido el hecho de que un importante número de ataques con software de secuestro (ransomware) sufridos durante el año 2023, además de afectar a la disponibilidad de los datos (por pérdida de acceso, temporal o definitiva, de los datos encriptados), afectan también a la confidencialidad, dado que sufren exfiltración de datos. Las violaciones de la seguridad de los datos pueden afectar, a su vez, a la confidencialidad, la disponibilidad y la integridad, como es el caso de los ataques de phishing.

En cuanto a la tipología de datos, la mayor parte de las violaciones afectan a datos de contacto e identificativos, como ya es habitual desde 2018. En cuanto a las categorías especiales de datos, cabe señalar que, después del crecimiento notable de 2022 respecto a 2021 (del 24% al 43%), este año la tendencia se ha revertido, como consecuencia del descenso de los incidentes que afectan al entorno de salud, y los porcentajes han vuelto a los valores decrecientes que había seguido este dato anteriormente .

En todos estos casos, la Autoridad ha analizado si se han tomado medidas para solucionar o contener el incidente de seguridad de los datos, limitar los riesgos para las personas afectadas y evitar, en la medida de lo posible, que se vuelva a producir.