Las notificaciones de violaciones de seguridad aumentan un 42% en 2021

La Autoridad Catalana de Protección de Datos (APDCAT) ha registrado, desde el 1 de enero hasta el 31 de diciembre de 2021, 124 notificaciones de violación de seguridad (NVS) de los datos personales, lo que representa un incremento del 42 ,5% respecto al año pasado. Esta subida se atribuye al progresivo conocimiento que las personas responsables del tratamiento han ido adquiriendo de la obligación de notificación que impone el Reglamento general de protección de datos (RGPD) y, también, al aumento de las designaciones de delegado de protección de datos, una figura clave en el cumplimiento de las obligaciones normativas en las entidades.

De acuerdo con la normativa, las entidades incluidas en el ámbito competencial de la APDCAT deben notificarle cualquier incidente que afecte a la confidencialidad, integridad o disponibilidad de los datos personales de los que son responsables, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas.

Más de dos millones de personas afectadas

Estas violaciones han afectado a más de dos millones de personas, una cifra que incluso podría ser superior dado que en ocho casos no ha sido posible concretar el número de personas afectadas. Así, el total de personas afectadas se ha casi doblado respecto al año anterior.

En cuanto a la causa de la violación de seguridad, en 2021 el acto externo malintencionado (50 %) ha superado el error humano (43 %). En concreto respecto a los actos externos malintencionados, los ciberataques suponen un 30% de las violaciones notificadas (phishing, hacking y ransomware) y el robo de dispositivos y documentación, el 20% restante.

En todos estos casos, la APDCAT ha analizado si se han tomado medidas para solucionar o contener el incidente de seguridad de los datos, limitar los riesgos para las personas afectadas y evitar, en la medida de lo posible, que se vuelva a producir. Asimismo, en todos los supuestos en los que se ha apreciado un alto riesgo para los derechos y libertades de las personas titulares de los datos afectados por la violación se ha cumplido la obligación de comunicación prevista en el RGPD. En algunos casos, esta comunicación se ha realizado por iniciativa propia de la entidad y, en otros, a requerimiento de la Autoridad.

En cuanto a la naturaleza de las violaciones, en la gran mayoría de los incidentes se ve afectada la confidencialidad de los datos, y en algunos casos (11 %) junto con la disponibilidad. Esta prevalencia de afectación en la confidencialidad se ha mantenido constante y con porcentajes similares desde junio de 2018, con la plena aplicación del RGPD. En un porcentaje mucho menor existe la afectación a la disponibilidad y, finalmente, la integridad de los datos, que ha disminuido a la mitad respecto al año 2020. Hay que tener presente que las violaciones de seguridad pueden afectar, a la vez, a la confidencialidad, la disponibilidad y la integridad.

Siguiendo la tendencia desde el año 2018, la mayor parte de las violaciones afectan a datos de contacto e identificativos. Sin embargo, en 2021 el orden porcentual se ha invertido respecto al año anterior, ya que la afectación en los datos de contacto ha aumentado considerablemente, al pasar del 63% del año 2020 al 87% de 2021. Siguen los datos de categorías especiales (la mayoría, de salud), que, sin embargo, han disminuido progresivamente respecto a los años precedentes, con lo que el porcentaje se ha reducido desde el 42 % de 2019 y el 29 % de 2020, hasta el 24% de 2021.

En cuanto a los colectivos de personas afectadas, en 2021 las violaciones de seguridad registradas han tenido mayor incidencia en los trabajadores propios (65 %) y la ciudadanía (52 %), con incrementos sustanciales respecto al año anterior ( que eran del 34% y 32%, respectivamente). Por el contrario, las que afectan a menores de edad y otros colectivos especialmente vulnerables se han reducido.

La mayoría de estas NVS provienen de la Administración local y de la Generalitat pero, así como en años anteriores la proporción entre ambos tipos de entidad estaba bastante equilibrada, en 2021 se ha ampliado la diferencia: mientras que el porcentaje de casos correspondientes a la Administración local ha crecido un 10% respecto a 2020, las entidades de la Generalitat de Cataluña han disminuido un 8%.