L’Autoritat Catalana de Protecció de Dades (APDCAT) ha registrat, des de l’1 de gener fins al 31 de desembre de 2021, 124 notificacions de violació de seguretat (NVS) de les dades personals, cosa que representa un increment del 42,5 % respecte de l’any passat. Aquesta pujada s’atribueix al coneixement progressiu que les persones responsables del tractament han anat adquirint de l’obligació de notificació que imposa el Reglament general de protecció de dades (RGPD) i, també, a l’augment de les designacions de delegat de protecció de dades, una figura clau en el compliment de les obligacions normatives a les entitats.
D’acord amb la normativa, les entitats incloses en l’àmbit competencial de l’APDCAT li han de notificar qualsevol incident que afecti la confidencialitat, integritat o disponibilitat de les dades personals de les quals són responsables, tret que sigui improbable que constitueixi un risc per als drets i llibertats de les persones.
Més de dos milions de persones afectades
Aquestes violacions han afectat més de dos milions de persones, una xifra que fins i tot podria ser superior atès que en vuit casos no ha estat possible concretar el nombre de persones afectades. Així, el total de persones afectades s’ha gairebé doblat respecte de l’any anterior.
En tots aquests casos, l’APDCAT ha analitzat si s’han pres mesures per solucionar o contenir l’incident de seguretat de les dades, limitar-ne els riscos per a les persones afectades i evitar, en la mesura del possible, que es torni a produir. Així mateix, en tots els supòsits en què s’ha apreciat un alt risc per als drets i llibertats de les persones titulars de les dades afectades per la violació s’ha complert l’obligació de comunicació prevista a l’RGPD. En alguns casos, aquesta comunicació s’ha fet per iniciativa pròpia de l’entitat i, en d’altres, a requeriment de l’Autoritat.
Pel que fa a la naturalesa de les violacions, en la gran majoria dels incidents s’hi veu afectada la confidencialitat de les dades, i en un alguns casos (11%) juntament amb la disponibilitat. Aquesta prevalença d’afectació a la confidencialitat s’ha mantingut constant i amb percentatges similars des del juny de 2018, amb la plena aplicació de l’RGPD. En un percentatge molt menor hi ha l’afectació a la disponibilitat i, finalment, la integritat de les dades, que ha disminuït a la meitat respecte de l’any 2020. Cal tenir present que les violacions de seguretat poden afectar, alhora, la confidencialitat, la disponibilitat i la integritat.
Seguint la tendència des de l’any 2018, la major part de les violacions afecten dades de contacte i identificatives. Tot i això, l’any 2021 l’ordre percentual s’ha invertit respecte de l’any anterior, ja que l’afectació en les dades de contacte ha augmentat considerablement, en passar del 63% de l’any 2020 al 87% de 2021. Hi segueixen les dades de categories especials (la majoria, de salut), que tot i això han disminuït progressivament respecte dels anys precedents, de manera que el percentatge s’ha reduït des del 42% de 2019 i el 29% de 2020, fins al 24% de 2021.
La majoria d’aquestes NVS provenen de l’Administració local i de la Generalitat però, així com en anys anteriors la proporció entre ambdós tipus d’entitat estava força equilibrada, al 2021 s’ha eixamplat la diferència: mentre que el percentatge de casos corresponents a l’Administració local ha crescut un 10% respecte de 2020, les entitats de la Generalitat de Catalunya han disminuït un 8%.