Contacto
La Autoridad Catalana de Protección de Datos (APDCAT) ha registrado en 2022 un aumento del 21% respecto al año anterior de las notificaciones de violaciones de seguridad (NVS) de entidades y organizaciones que tratan datos personales. La violación de seguridad se da cuando la entidad sufre un incidente que afecta a la confidencialidad, integridad o disponibilidad de estos datos.
Así, desde el 1 de enero hasta el 31 de diciembre de 2022, APDCAT ha recibido y tramitado 150 notificaciones de violación de seguridad de los datos personales. Esto confirma el aumento sostenido de las notificaciones registrado año tras año, desde la plena aplicación del Reglamento General de Protección de Datos. Esta subida en el número de notificaciones se atribuye al incremento de incidentes de ciberseguridad que han afectado a las entidades, vinculado al crecimiento global de este tipo de ataques y, también, a la progresiva consolidación de la figura del delegado de protección de datos (DPD), que actúa de puente entre las organizaciones y las autoridades de control que velan por el cumplimiento de la norma.
Más de 800.000 personas afectadas
Las violaciones notificadas a la APDCAT en 2022 han afectado a cerca de 800.000 personas, una cifra que podría ser muy superior teniendo en cuenta que en 15 casos no ha sido posible concretar el número de personas afectadas. La mayoría se relacionan con incidentes de encriptación y robo de equipos.
En cuanto a los colectivos de personas afectadas, en 2022 presenta resultados similar al de años anteriores. Respecto al año 2021, sube sensiblemente la afectación a personas especialmente vulnerables, concretamente personas atendidas por los servicios sociales o solicitantes de ayudas, servicios y recursos de este ámbito. En este sentido, pasa del 2% al 11%, en la línea del aumento de violaciones de seguridad que afectan a datos sensibles. Por el contrario, baja el porcentaje de las que afectan a menores de edad (del 14% al 8%) y alumnado (del 20% al 12%), proporcionalmente a la reducción de incidentes relacionados con la enseñanza, que pasan del 15 % al 7%. Por el contrario, las que afectan a pacientes suben ligeramente.
Un 33% de las NVS son por ciberataques
En cuanto a las causas, en 2022 el acto externo malintencionado se mantiene como primera causa y crece en 7 puntos porcentuales respecto al año anterior. Así, los ciberataques suponen un 33% de los incidentes globales notificados. Se presentan desglosados en subcategorías: robo, encriptación, phishing (envío de correo electrónico simulando ser una entidad legítima, para robar credenciales y distribuir correos fraudulentos) y hacking (acceso no autorizado a datos en sistemas TI-tecnologías de la información).
En segundo lugar está el error humano, que decrece levemente respecto a 2021. En cuanto a las acciones causantes, el envío de datos por error se sitúa en primer lugar, aunque con una reducción notable respecto a 2021 (del 42 % al 27%). En segundo lugar, se mantiene el robo de dispositivos y documentación, que sube levemente, ya continuación la encriptación, que experimenta un aumento de 6 puntos porcentuales. Cabe mencionar, también, que este año 2022 la publicación indebida en internet ha sido responsable del 4% de las violaciones, mientras que en 2021 no hubo ningún caso.
Actuaciones de la Autoridad
En todos estos casos, la Autoridad ha analizado si se han tomado medidas para solucionar o contener el incidente de seguridad de los datos, limitar los riesgos para las personas afectadas y evitar, en la medida de lo posible, que se vuelva a producir. También se ha analizado si se ha comunicado el incidente a las personas afectadas y, en los casos en que se ha considerado que había alto riesgo y carecía de esta comunicación, se ha requerido que se hiciera efectiva.
Confidencialidad de los datos, la más afectada
En la gran mayoría de los incidentes se ha visto afectada la confidencialidad de los datos, en algunos casos (3%) junto a la disponibilidad. Esta prevalencia de afectación a la confidencialidad se ha mantenido constante y con porcentajes similares desde junio de 2018, con la plena aplicación del RGPD. En un porcentaje mucho menor se sitúa la afectación a la disponibilidad y, finalmente, la integridad de los datos, que ha ido disminuyendo progresivamente desde el año 2020. Hay que tener presente que las violaciones de seguridad pueden afectar, al mismo tiempo, a la confidencialidad , la disponibilidad y la integridad.
En cuanto a la tipología de datos afectados, como ha sido habitual desde el año 2018, la mayor parte de las violaciones han afectado a datos de contacto e identificativos. En 2022 cabe señalar el crecimiento notable de la afectación en los datos de categorías especiales (la mayoría, de salud y relativas a servicios sociales), que han pasado del 24% del año 2021 al 43% de 2022, como consecuencia del incremento de los incidentes que afectan a los entornos de salud y servicios sociales. Esto invierte la tendencia decreciente que se había detectado desde el año 2019. Las violaciones de seguridad pueden afectar, a su vez, a varias tipologías de datos.
La Autoridad Catalana de Protección de Datos ha recibido en 2022 un total de 150 notificaciones de violaciones de seguridad de organizaciones y entidades, más de un tercio de las cuales como consecuencia de ciberataques. Las violaciones de seguridad han afectado a la confidencialidad, integridad o disponibilidad de los datos de más de 800.000 personas.