La Agencia Española de Protección de Datos (AEPD) gestionó en 2020 1.370 notificaciones de brechas, entre las cuales destacan los incidentes provocados por los ataques de ransomware, que se han convertido en una de las principales amenazas para cualquier organización.
La AEPD ha publicado su Memoria anual, en la que recoge todos los datos correspondientes a la actividad desarrollada por este organismo durante un año 2020 marcado por los retos de privacidad provocados por el Covid. La Memoria le dedica un apartado específico a uno de los temas estrella de este año, las brechas de seguridad.
"El espíritu del artículo 33 del RGPD es el de construir una sociedad más resiliente ante los incidentes de seguridad que afecten a datos de carácter personal mediante el intercambio de información entre responsables y las autoridades competentes y el fomento de una cultura de responsabilidad proactiva", recuerda Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad de España (Incibe) y actual socio de Ecix Group, despacho de referencia en la gestión de incidentes de ciberseguridad que han afectado a empresas.
"Es fundamental que las empresas dispongan de planes internos para la seguridad de la información", explica Francisco Pérez Bes
Adicionalmente, la Memoria recuerda la disponibilidad de la existencia de su herramienta comunica-brecha, con la que se pretende ayudar a las empresas a poder determinar la obligación de comunicar a los interesados la existencia de una violación de seguridad que haya afectado a datos personales.
Con carácter general, en lo que se refiere al nivel de presentación de reclamaciones, los datos muestran un nivel de actividad destacable por parte de este organismo durante todo el año pasado. En particular, de los datos facilitados se observa como en 2020 se han contabilizado 10.324 reclamaciones presentadas, frente a las 11.590 de 2019, lo que supone una disminución del 11%.
Si atendemos al resultado de las Resoluciones emitidas por el Regulador, los datos muestran que en 2020 fueron 172 los procedimientos que acabaron en multa (esto es, un 54% más que en 2019). También aumentó el número de apercibimientos, alcanzado la cifra de 163, lo que supone un incremento del 17% frente a 2019. Mientras que los archivos se han reducido en un 33%, pasando de los 87 de 2019 a los 58 en 2020.
Sobre la tipología de reclamaciones planteadas con mayor frecuencia, destacan las relativas a los servicios de Internet, con 1602 en 2020, seguidas de los ficheros de morosidad (con 1510 reclamaciones) y la videovigilancia, con 1.189 reclamaciones).
En el apartado de multas, el total de 2020 ha sido de 8.018.800 euros, incrementando un 27% respecto de 2019, debido a, principalmente, la sanción impuesta al BBVA en diciembre de 2020.
De cara a 2021, todo parece indicar que se van a superar el número de brechas notificadas y gestionadas respecto de los datos de estos últimos años, teniendo en cuenta el incremento del número de incidentes de seguridad que organismos como Incibe y el CCN reportan anualmente, y del mayor número y sofisticación de los ataques a empresas.
"Por eso es tan importante que las empresas dispongan de planes internos para la protección de datos y para la seguridad de la información, que ayuden a la prevención de este tipo de ciberataques y brechas de seguridad y que, en caso de no haberlos podido evitar, permitan minimizar su impacto a todos los efectos, demostrar que se han cumplido las obligaciones técnicas y organizativas que la normativa impone, y en en definitiva poder acreditar ante terceros que el empresario ha gestionado el incidente con la máxima diligencia y responsabilidad posibles", concluye Pérez Bes.