Les dades personals de més de 800.000 catalans es van veure afectades l'any passat per violacions de seguretat d'organitzacions i entitats, un terç de les quals van ser a conseqüència de ciberatacs, segons ha informat l'Autoritat Catalana de Protecció de Dades (APDCAT). Aquesta agència va registrar el 2022 un 21% més de violacions de seguretat que l'any anterior, amb un total de 150 notificacions de violacions de seguretat d'organitzacions i entitats, afectades per robatoris, problemes d'encriptació o ciberatacs, fet que va vulnerar la confidencialitat, integritat o disponibilitat de les dades de més de 800.000 persones.

Segons l'APDCAT, la violació de seguretat es produeix quan l'entitat pateix un incident que afecta la confidencialitat, la integritat o la disponibilitat de les dades que emmagatzema. L'Autoritat Catalana de Protecció de Dades ha atribuït l'increment del nombre de notificacions a l'augment dels incidents de ciberseguretat, al creixement global dels ciberatacs i a la consolidació progressiva de la figura del delegat de protecció de dades (DPD), que actua de pont entre les organitzacions i les autoritats de control que vetllen pel compliment de la norma.

L'APDCAT ha reconegut que el nombre de 800.000 persones afectades pot ser superior, ja que en 15 dels casos denunciats no ha estat possible concretar el nombre de persones afectades.

Puja l'afectació en persones en situació de vulnerabilitat

Pel que fa als col·lectius de persones afectades, segons l'APDCAT, el 2022 ha pujat sensiblement l'afectació a persones especialment vulnerables, concretament persones ateses pels serveis socials o sol·licitants d'ajuts, serveis i recursos d'aquest àmbit.

Per contra, ha baixat el percentatge de l'afectació que afecta menors (del 14% al 8%) i alumnat (del 20% al 12%), proporcionalment a la reducció d'incidents relacionats amb l'ensenyament, que passen del 15% al 7%, mentre que va pujar lleugerament allò que afecta pacients sanitaris.

Pel que fa a les causes, el 2022 l'acte extern malintencionat es manté com a primera causa i creix en set punts percentuals respecte de l'any anterior.

Els ciberatacs i l'error humà, entre els incidents més detectats

Segons l'APDCAT, els ciberatacs suposen un 33% dels incidents globals notificats l'any passat ja sigui per robatori, encriptació, phishing (enviament de correu electrònic simulant ser una entitat legítima, per robar credencials i distribuir correus fraudulents) o hacking (accés no autoritzat a dades en sistemes TI-tecnologies de la informació). En segon lloc, hi ha l'error humà, que decreix lleument respecte del 2021.

Pel que fa a les accions causants, l'enviament de dades per error se situa en primer lloc, encara que amb una reducció notable respecte del 2021 (del 42% al 27%). Puja lleugerament el robatori de dispositius i documentació, i segons l'APDCAT, el 2022 la publicació indeguda a internet va ser responsable del 4% de les violacions, mentre que el 2021 no hi va haver cap cas.

En tots aquests casos, l'APDCAT ha assegurat que va analitzar si es van prendre mesures per solucionar o contenir l'incident de seguretat de les dades, limitar els riscos per a les persones afectades i evitar, en la mesura que sigui possible, que es torni a produir. També va estudiar si es va comunicar l'incident a les persones afectades i, en els casos en què va considerar que hi havia alt risc i no existia aquesta comunicació, va requerir que es fes efectiva.

El 2022 va créixer l'afectació a les dades de salut i relatives a serveis socials, que han passat del 24% de l'any 2021 al 43% del 2022, com a conseqüència de l'increment dels incidents que afecten els entorns de salut i serveis socials.