La directora de l'Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs, ha informat avui al Parlament que l'Autoritat ha obert expedient informatiu pel ciberatac a l'Hospital Clínic i les entitats vinculades, que va comportar la filtració de milers de dades de persones usuàries del servei de salut. En aquest sentit, Borràs ha assegurat que l'APDCAT treballa en determinar si aquestes entitats tenien prèviament implementades les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc que comportava aquest tractament de dades, tenint en compte el seu volum i categoria, atès que s'inclouen dades especialment sensibles i protegides per la norma.

Durant la seva compareixença davant la Comissió d’Afers Institucionals del Parlament de Catalunya per presentar la memòria d’activitats de l’Autoritat del 2022, Borràs ha explicat que els equips tècnics de l'APDCAT treballen per analitzar tota la informació, i determinar si escau o no obrir un expedient sancionador per incompliment de la norma. Tanmateix, ha recordat que l'hospital va comunicar a l'APDCAT la violació de la seguretat dins del termini previst per la normativa i va actuar amb diligència en conèixer l'incident. També que està implementant noves mesures per enfortir la seguretat dels sistemes.

Reconeixement facial com a alternativa

Durant la seva intervenció, la directora també ha alertat que cada cop es detecten més organitzacions que consideren sistemes de reconeixement facial per a l'exercici de la seva activitat ordinària, sense plantejar cap alternativa possible. Borràs ha recordat que aquests sistemes tracten dades biomètriques, que són especialment protegides per la norma, i que només es poden aplicar en supòsits concrets específicament previstos a la llei.

La directora ha reclamat la implicació i col·laboració de les organitzacions i la societat per limitar l'ús d'aquests sistemes, que presenten riscos importants per als drets i llibertats de la ciutadania, com la llibertat individual o el dret a no ser discriminat. També ha parlat dels riscos derivats d'un disseny incorrecte d'aquests sistemes, com per exemple la discriminació, biaixos en la identificació, o la manca de fiabilitat en els resultats. Borràs ha demanat oferir en tot cas una alternativa, perquè el reconeixement facial no sigui l'única opció possible per accedir a un determinat producte o servei.

Presentació de la memòria

La compareixença també ha servit per presentar al Parlament de Catalunya la memòria 2022, així com les actuacions més rellevants dutes a terme per l’Autoritat. En aquest sentit, Borràs ha posat de relleu que en el vintè aniversari de la seva creació, l'Autoritat és una organització consolidada capaç de donar resposta a les necessitats de la ciutadania de Catalunya, tant enllà com les seves competències permeten.

En aquest marc, la directora ha destacat la definició del nou Pla estratègic 2023-2028, que ha permès identificar les línies estratègiques del present i futur, i establir les prioritats posant l'accent en la conscienciació, l'acompanyament i el control, amb la formació i la sensibilització com a punts destacats.

Borràs també ha posat de relleu l'augment de violacions de seguretat de la informació registrat en les organitzacions públiques catalanes i privades que exerceixen funcions públiques. En aquest sentit, l'APDCAT ha rebut un 21% més de notificacions de violacions de seguretat (NVS), més d'un terç de les quals com a conseqüència de ciberatacs. Les NVS van afectar la confidencialitat i la integritat o disponibilitat de les dades de més de 800.000 persones. Per a Borràs, aquestes dades evidencien que cal complir més que mai amb les obligacions que marca el Reglament general de protecció de dades i aplicar les mesures de seguretat adequades al risc, tenint en compte el tipus de dades que es tracten, el volum, les tecnologies utilitzades, etc. La directora ha assegurat que la ciberdelinqüència ha arribat per a quedar-se, i que cal prendre consciència de la importància de protegir adequadament les dades personals que es tracten, perquè l'exposició a un atac és real i pot tenir repercussions significatives en les persones.

Durant la seva intervenció, Borràs també ha posat de relleu l'augment d'un 54% d'expedients sancionadors incoats el 2022, i ha destacat que el nombre més elevat d’infraccions declarades es relaciona, com en anys anteriors, amb la vulneració del principi de confidencialitat, seguida de la infracció del principi de licitud.