La AEPD ha publicado el Informe sobre notificación de brechas de datos personales de octubre de 2022

In noviembre 29, 2022
On Blog
Comments off
342 Views

La Agencia Española de Protección de Datos (en adelante, la AEPD) ha publicado el informe que recoge información sobre las brechas de datos personales que han sido notificadas durante el mes de octubre de 2022.

En líneas generales, destacamos los siguientes datos del informe:

  • Durante el mes de octubre se han recibido 166 notificaciones de brechas, 155 de ellas a través de la sede electrónica de la AEPD.
  • De las 166, 132 notificaciones de brechas de seguridad han sido notificadas por organización del ámbito privado.
  • En relación con los datos personales afectados, 28 notificaciones de brechas implican categorías especiales de datos y, en concreto, 23 se refieren a datos de salud.
  • En relación con el origen de las brechas, 106 de las brechas notificadas indican un carácter malintencionado.
  • La brecha de datos personales que ha afectado a un mayor número de personas ha llegado a implicar datos de 2.150.000.
  • Los principales medios de materialización de brechas son debidos a ciberincidentes.

Pese a que, el informe refleja que las principales organizaciones que notifican las brechas son del ámbito privado, no debemos olvidar que las Administraciones Públicas también pueden verse afectadas por este tipo de ataques. Un claro ejemplo es el ciberataque sufrido por el Consejo General del Poder Judicial (CGPJ) que afecto al Punto Neutro Judicial (PNJ), red que en si misma no contiene datos de carácter personal pero que conecta a los órganos judiciales con otras instituciones del Estado como la Administración Tributaria, Cuerpo Nacional de Policía, Tesorería General de la Seguridad Social etc. Al parecer, es posible que a consecuencia del incidente se hubieran podido ver afectados datos personales de contribuyentes depositados en la base de datos de la Agencia Tributaria, si bien, todavía se sigue investigando el alcance.

Desde el punto de vista de Protección de Datos, es crucial actuar con celeridad al detectar cualquier incidente o brecha de seguridad a fin poder llevar a cabo una evaluación inicial del alcance, teniendo en cuenta las medidas preventivas o de mitigación adoptadas a fin minimizar los riesgos y las consecuencias sobre los derechos y libertades de los afectados. Además, esta evaluación nos permitirá determinar la obligatoriedad de llevar a cabo la notificación a la autoridad de control y, en su caso, a los interesados.

Por último, recordar que en octubre la AEPD lanzó la herramienta Asesora Brecha, cuyo objetivo es ayudar a los Responsables de Tratamiento para saber si deben notificar una brecha de datos personales a la autoridad de control conforme al art. 33 del RGPD. No obstante, es importante tener en cuenta que dicha herramienta no sustituye la evaluación interna y simplemente puede servir de guía u orientación ya que, corresponde al Responsable de Tratamiento analizar cada caso en concreto y tomar la decisión final de comunicar la brecha a la AEPD.

Marta Serrano Carnicer

Consultor de Helas Consultores

       

Comments are closed.