Bretxes de seguretat – Informe Agencia Espanyola de Protecció de Dades.


El passat 25 de maig es va complir un any de l’aplicació efectiva del Reglament Europeu de Protecció de Dades (RGPD). Això va canviar de forma radical la normativa de protecció de dades tal i com la coneixíem afegint noves obligacions que en la legislació espanyola no existien, sent una d’elles la Notificació de les bretxes de seguretat davant l’Autoritat de Control (a Espanya l’Agència Espanyola de Protecció de Dades).

L’AEPD, en compliment de la seva obligació de transparència, ha realitzat varis informes sobre les violacions de seguretat comunicades davant aquest Organisme, indicant les bretxes de les que ha sigut notificada. En base al nombre d’incidències anunciades es fa patent l’important que és tenir una bona política de seguretat que inclogui les mesures de seguretat suficients per a mitigar els possibles danys que es poden ocasionar si les amenaces de seguretat es materialitzen.

L’últim informe de l’AEPD d’aquest setembre recull les bretxes de seguretat que han estat comunicades a l’agost d’aquest any, en total 42. El mes que van ocórrer més notificacions de violacions de seguretat va ser al març de 2019, on es van arribar a notificar 113 bretxes de seguretat. De mica en mica, i a mesura que les organitzacions van prenent més consciència de la importància de la protecció de les dades i la presa de mesures de seguretat per evitar o mitigar danys ha provocat una reducció important de les comunicacions d’aquestes bretxes.  

Recordem que una bretxa de seguretat és qualsevol violació o accident que pugui ocasionar la destrucció, pèrdua o alteració accidental o il.lícita de dades personals transmeses, conservades o la comunicació o accés no autoritzat als mateixos i que, per tant, afecten a la confidencialitat, disponibilitat i/o integritat de les dades que estan en el nostre poder.  

Les comunicacions més habituals de les que ha tingut constància l’AEPD han estat des de robatoris o pèrdua de dispositius, danys produïts per malware, hacking i enviaments de dades personals il.lícits, pèrdues de documentació, phishing, correu extraviat i dades personals mostrades de forma il.lícita fins a revelació verbal i publicitat no intencionada. El 83% d’aquestes notificacions és d’entitats privades.

La tipologia de les bretxes que més es repeteix en aquestes comunicacions és la vulneració de la confidencialitat. Aquesta és un dels pilars bàsics per a un tractament de dades eficaç, junt amb la disponibilitat i integritat de les dades. Amb base a aquests criteris, les dades hauran de ser tractades de tal manera que es garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autorizat o il.lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades.

Les categories de dades més afectades són les dades de categories especials, entre les quals, les dades de salut segueixen sent les més vulnerables.

La bretxa amb major volum d’afectació de drets i llibertats d’usuaris va ser de 3 milions de persones.

Les comunitats que més notificacions realitzen són Madrid i Catalunya, seguides d’Andalusia, Galícia i València.

Per a què les bretxes de seguretat cada vegada siguin menors, tots els responsables i encarregats del tractament tenen la responsabilitat de complir amb els principis que informa el RGPD així com poder demostrar que ho compleixen, mitjançant la responsabilitat proactiva. És per això que hauran de dur a terme totes les mesures d’índole tècniques i organitzatives adients a la seva pròpia situació. Aquestes mesures podrien consistir en reduir al màxim el tractament de dades personals, seudonimitzar el més aviat possible les dades personals i donar transparència a les finalitats del tractament de dades, entre altres. L’adhesió a codis de conducta pot ajudar a mitigar el risc amb la identificació de bones pràctiques establertes en els mateixos.

A més d’efectuar les mesures adequades per evitar el risc, posteriorment a la bretxa de seguretat succeïda és necessari avaluar si les mesures disposades són les adients. S’ha de verificar si s’ha aplicat tota la protecció tecnològica apropiada i s’han pres les mesures organitzatives oportunes per a determinar que no es produeixi una nova violació de la seguretat de les dades personals. Tot això s’avalua duent a terme les anàlisis dels tractaments que s’efectuen, seguit de l’anàlisis de riscos, i inclús en els casos en els quals sigui necessari, realitzar una avaluació d’impacte per a poder establir les mesures necessàries.  

L’equip de PymeLegal.