La cifra de 2.765 notificaciones de brechas de datos personales recibidas por la AEPD durante el pasado año refleja una realidad preocupante: los incidentes de seguridad que implican la posible exposición, pérdida o acceso no autorizado a datos personales siguen siendo frecuentes, tanto en el sector privado como en el público.
La obligación de notificar este tipo de brechas está recogida en el artículo 33 del Reglamento General de Protección de Datos (RGPD), que exige a las organizaciones comunicar sin dilación a la autoridad de control cuando existe probabilidad de que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas.
Del total de notificaciones, el 80 % proceden de responsables del sector privado, mientras que el 20 % restante corresponde al sector público, según los datos facilitados por la Agencia. En respuesta, las organizaciones que notifican brechas han emitido más de 200 millones de comunicaciones a las personas afectadas, especialmente en aquellos casos en los que existe un riesgo alto para sus derechos y libertades.
Entre los incidentes más comunes figuran los ciberataques con ransomware y accesos no autorizados a sistemas de información que resultan en exfiltración masiva de datos personales, así como envíos erróneos de datos a destinatarios incorrectos por fallos humanos o técnicos.
Notificar una brecha no implica necesariamente que se vaya a iniciar un procedimiento sancionador por parte de la AEPD, pero sí demuestra la diligencia de las organizaciones en cumplir con sus responsabilidades proactivas en materia de protección de datos. Solo aquellas brechas en las que se detectan indicios de falta de diligencia o una severidad alta pueden ser trasladadas para investigación adicional por parte del organismo.
La tendencia general al alza en las notificaciones pone de manifiesto la necesidad de reforzar las medidas de prevención y ciberseguridad en las empresas y administraciones, así como la importancia de contar con protocolos eficaces para detectar, contener y gestionar rápidamente cualquier incidente que afecte a datos personales.
