La Autoridad Catalana de Protección de Datos (APDCAT) ha recibido y tramitado desde el 1 de enero hasta el 31 de diciembre de 2024, 182 notificaciones de violación de seguridad de datos personales, lo que supone un decrecimiento del 0,5% respecto a 2023, en las que se registraron 183. Este es el primer año en el que se detiene el aumento sostenido de cerca del 20% anual que habían experimentado las notificaciones desde que el Reglamento General de Protección de Datos (RGPD) estableció esta obligación, en el año 2018. La APDCAT ha vinculado el cambio de tendencia al descenso de ciberataques, que han pasado del 31% en 2023, al 17%. En este sentido, los ataques con software de secuestro ransomware también se han reducido notablemente, pasando del 19% al 3%.
El error humano ha pasado a ser la primera causa de los incidentes (crece del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). Este cambio significativo se relaciona con la disminución de los ciberataques, que se mantienen, en tercer lugar, con ligeras variaciones al alza respecto de los años precedentes.
Las notificaciones de violación de seguridad registradas por la APDCAT este último año 2024 han afectado a cerca de 230.000 personas, una cifra muy alejada de la de 2023, cuando se llegó al millón y medio de perjudicados.
Este descenso se relaciona con la bajada de los ciberataques de secuestro de datos (ransomware), que son los que generalmente afectan a un mayor volumen de ciudadanos. También tiene que ver con que el 41% de los incidentes notificados han afectado solo a entre 1 y 10 personas.
En la gran mayoría de casos se ve afectada la confidencialidad de los datos, junto con la disponibilidad de los mismos. De hecho, las situaciones relacionadas con vulneraciones de la confidencialidad se han mantenido en el mismo porcentaje que el año anterior (92%), mientras que las que están relacionadas con la disponibilidad han bajado, en coherencia con el descenso del número de ataques con software de secuestro (ransomware).
Como es habitual, la mayoría de las violaciones afectan a datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte).
Esto eleva considerablemente el riesgo de daño para las personas afectadas (titulares de los datos comprometidos), como el riesgo de sufrir suplantación de identidad o fraude.
