Conforme a los doce informes mensuales de notificaciones de brechas de seguridad publicados por la Agencia Española de Protección de Datos (“AEPD”) en el 2019 (los “Informes”), dicha agencia recibió el pasado año un total de 1.460 notificaciones de brechas de seguridad de datos personales.

De dichas notificaciones, 1.420 se recibieron a través de la sede electrónica de la AEPD, y es este número el que se debe tener en consideración cuando hablamos de porcentajes en los gráficos del presente post.

Aclarar que, si bien se han utilizado los Informes en la redacción del presente post, la suma de los datos de los Informes y los cálculos de porcentajes son del RGPD Blog.

Tipología de brechas de seguridad en el 2019:

En su Guía para la gestión y notificación de brechas de seguridad, la AEPD distingue tres tipos de brechas de seguridad:

• “Brecha de confidencialidad: tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella”.
• “Brecha de integridad: se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo”.
• “Brecha de disponibilidad: su consecuencia es que no se puede acceder a los datos originales cuando es necesario”.

Con esto presente, y a la luz de los Informes, el principal tipo de brecha de seguridad en el 2019 fue la brecha de confidencialidad, con un 60,19% de los casos, seguido por la brecha de disponibilidad con un 30,89% y en muy menor medida la brecha de integridad, con un 8,91% de los casos restantes.

Causas de las brechas de seguridad de datos personales en el 2019:

• La principal causa fue el malware, con un 18,81% de los casos. El malware son programas diseñados para infiltrarse en un sistema con el fin de dañarlo, bloquearlo o robar datos e información.
• La segunda causa: fueron los hackers, con un 15,84% de los casos.
• La tercera causa: dispositivos como el móvil o un portátil, perdidos o robados, con un 15,05% de los casos.

En el siguiente grafico incluimos todas las causas que distingue la AEPD:

Contexto de las amenazas que causaron las brechas de seguridad de datos personales en el 2019:

La AEPD distingue en sus informes de brechas de seguridad cuatro tipos de contextos, en función del origen e intencionalidad de la amenaza:

(i) externo intencionado;

(ii) externo no intencionado;

(iii) interno intencionado; e

(iv) interno no intencionado.

Con esto presente, y a la luz del grafico inferior, el contexto principal de las amenazas que se produjeron en el 2019 fue de origen externo intencionado, con un 50,28% de los casos, seguido en segundo lugar por las amenazas de origen interno no intencionado, con un 23,89% de los casos.

Número de personas afectadas en las brechas de seguridad de 2019:

El 48,07% de los casos de brechas de seguridad del 2019 afectaron a un número reducido de personas (entre 0 y 99), mientras que los casos más graves en cuanto a afectados (entre 1.000.000 y 9.999.999 afectados) fueron de un 1,09%.

En el siguiente grafico incluimos todas las categorías de número de personas afectadas que distingue la AEPD:

Origen de las brechas de seguridad por CCAA en el 2019:

Según los Informes:

• la Comunidad de Madrid fue la que notificó el mayor número de brechas de seguridad de datos personales en el 2019, con un 39,37% del total;
• en segundo lugar, Cataluña, con un 16,57% de las notificaciones; y
• en tercer lugar, Andalucía, con un 9,89%.

En el siguiente grafico incluimos los porcentajes de notificaciones de todas las CCAA:

Conclusión:

Con un total de 1.460 de notificaciones de brechas de seguridad de datos personales en España en el 2019, el número de notificaciones se ha incrementado en un 267% respecto al año anterior (547 notificaciones en el 2018, según la memoria anual de la AEPD 2018).

Parece razonable suponer que dicho incremento sustancial de las notificaciones puede deberse a que las empresas españolas han ido gradualmente tomando conciencia de las obligaciones establecidas por el RGPD en cuanto a las notificaciones de brechas de seguridad.

En este sentido, nuestra empresa patrocinadora abc Compliance, ha sacado un nuevo módulo de formación digital sobre brechas de seguridad de datos personales, y de cómo actuar ante distintas situaciones reales que pueden (o no) suponer una brecha de seguridad de datospersonales. El módulo de formación está dirigido a todos los empleados de una empresa, sin perjuicio de su perfil profesional. Para más información, pincha aquí.

Si te ha parecido interesante el post, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.