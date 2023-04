Les violacions notificades a l'APDCAT el 2022 han afectat prop de 800.000 persones/Arxiu @EP

L' Autoritat Catalana de Protecció de Dades (APDCAT) ha registrat el 2022 un augment del 21% respecte de l'any anterior de les notificacions de violacions de seguretat (NVS) d'entitats i organitzacions que tracten dades personals. La violació de seguretat es produeix quan l'entitat pateix un incident que afecta la confidencialitat, la integritat o la disponibilitat d'aquestes dades.

Així, des de l'1 de gener fins al 31 de desembre del 2022, l' APDCAT ha rebut i tramitat 150 notificacions de violació de seguretat de les dades personals. Això confirma laugment sostingut de les notificacions registrat any rere any, des de la plena aplicació del Reglament general de protecció de dades. Aquesta pujada al nombre de notificacions s'atribueix a l'increment d'incidents de ciberseguretat que han afectat les entitats, vinculat al creixement global d'aquest tipus d'atacs i, també, a la consolidació progressiva de la figura del delegat de protecció de dades (DPD) , que actua de pont entre les organitzacions i les autoritats de control que vetllen pel compliment de la norma.

MÉS DE 800.000 PERSONES AFECTADES

Les violacions notificades a l'APDCAT el 2022 han afectat prop de 800.000 persones, xifra que podria ser molt superior tenint en compte que en 15 casos no ha estat possible concretar el nombre de persones afectades. La majoria es relacionen amb incidents d'encriptació i robatori d'equips.

Pel que fa als col·lectius de persones afectades, el 2022 presenta resultats similars als anys anteriors. Pel que fa a l'any 2021, puja sensiblement l'afectació a persones especialment vulnerables, concretament persones ateses pels serveis socials o sol·licitants d'ajuts, serveis i recursos d'aquest àmbit. En aquest sentit, passa del 2% a l'11%, en línia de l'augment de violacions de seguretat que afecten dades sensibles. Per contra, baixa el percentatge de les que afecten menors d'edat (del 14% al 8%) i alumnat (del 20% al 12%), proporcionalment a la reducció d'incidents relacionats amb l'ensenyament, que passen del 15% al 7%. Per contra, les que afecten pacients pugen lleugerament.

UN 33% DE LES NVS SÓN PER CIBERATACS

Pel que fa a les causes, el 2022 l'acte extern malintencionat es manté com a primera causa i creix en 7 punts percentuals respecte de l'any anterior. Així, els ciberatacs suposen un 33% dels incidents globals notificats. Es presenten desglossats en subcategories: robatori, encriptació, phishing (enviament de correu electrònic simulant ser una entitat legítima, per robar credencials i distribuir correus fraudulents) i hacking (accés no autoritzat a dades en sistemes TI-tecnologies de la informació).

En segon lloc hi ha l'error humà, que decreix lleument respecte del 2021. Pel que fa a les accions causants, l'enviament de dades per error se situa en primer lloc, tot i que amb una reducció notable respecte del 2021 (del 42% al 27%). En segon lloc, es manté el robatori de dispositius i documentació, que puja lleument, ia continuació l'encriptació, que experimenta un augment de 6 punts percentuals. Cal esmentar, també, que aquest any 2022 la publicació indeguda a internet ha estat responsable del 4% de les violacions, mentre que el 2021 no n'hi va haver cap cas.



En tots aquests casos, l'Autoritat ha analitzat si s'han pres mesures per solucionar o contenir l'incident de seguretat de les dades, limitar els riscos per a les persones afectades i evitar, tant com sigui possible, que es torni a produir. També s‟ha analitzat si s‟ha comunicat l‟incident a les persones afectades i, en els casos en què s‟ha considerat que hi havia alt risc i faltava aquesta comunicació, s‟ha requerit que es fes efectiva.



LA CONFIDENCIALITAT DE LES DADES AFECTADA



A la gran majoria dels incidents s'ha vist afectada la confidencialitat de les dades, en alguns casos (3%) juntament amb la disponibilitat. Aquesta prevalença d‟afectació a la confidencialitat s‟ha mantingut constant i amb percentatges similars des del juny del 2018, amb la plena aplicació de la RGPD. En un percentatge molt menor se situa l'afectació a la disponibilitat i, finalment, la integritat de les dades, que ha disminuït progressivament des de l'any 2020. Cal tenir present que les violacions de seguretat poden afectar, alhora, la confidencialitat , la disponibilitat i la integritat.

Pel que fa a la tipologia de dades afectades, com ha estat habitual des de l'any 2018, la majoria de les violacions han afectat dades de contacte i identificatives. El 2022 cal assenyalar el creixement notable de l'afectació en les dades de categories especials (la majoria, de salut i relatives a serveis socials), que han passat del 24% de l'any 2021 al 43% del 2022, com a conseqüència de l'increment de els incidents que afecten els entorns de salut i serveis socials. Això inverteix la tendència decreixent que s'havia detectat des de l'any 2019. Les violacions de seguretat poden afectar diverses tipologies de dades alhora.