#dadespersonals

El pasado 2 de julio, el Comité Europeo de Protección de Datos (CEPD) adoptó la Declaración de Helsiniki1 que marca un punto de inflexión en el camino hacia una aplicación más armónica y eficaz del Reglamento General de Protección de Datos (RGPD) en la Unión Europea. 

Uno de los principales retos que aborda el CEPD es la fragmentación interpretativa del RGPD. Si bien es cierto que el reglamento tiene por objeto establecer un marco común en toda la UE, la realidad muestra que su aplicación varía entre las distintas autoridades de protección de datos, pudiendo llegar a generar inseguridad jurídica y dificultades prácticas por responsables y encargados del tratamiento, en especial por aquellos que operan en varios Estados miembros. (más…)

El 21 de mayo de 2025, la Comisión Europea presentó el cuarto paquete de simplificación legislativa, conocido como «Omnibus IV», con el objetivo de reducir las cargas administrativas para las empresas medianas de la Unión Europea. Estas medidas buscan fomentar la competitividad, la innovación y la creación de empleo, especialmente en un contexto de rivalidad económica con Estados Unidos y China.

¿Qué son las «small mid-caps»?
Las small mid-caps son empresas que cuentan con entre 250 y 750 empleados y un volumen de negocio de hasta 150 millones de euros o activos totales de hasta 129 millones de euros. En la UE, hay aproximadamente 38.000 empresas que cumplen con estos criterios. Estas empresas a menudo se encuentran en una posición intermedia: demasiado grandes para beneficiarse de las exenciones destinadas a las pymes, pero sin la capacidad administrativa de las grandes corporaciones.

Medidas clave del paquete Omnibus IV

1. Extensión de beneficios regulatorios
   Las small mid-caps podrán acceder a ventajas que hasta ahora estaban reservadas a las pymes, como, por ejemplo:

• Simplificación de las obligaciones en materia de protección de datos, permitiendo el almacenamiento únicamente de datos personales de alto riesgo.
• Reducción de los requisitos de información en ámbitos como los mercados financieros y la sostenibilidad.
• Posibilidad de utilizar prospectos simplificados para emisiones públicas de valores, con un ahorro estimado de 20.000 euros por operación.

2. Digitalización y eliminación de trámites redundantes
   Se impulsará la digitalización de procesos, como, por ejemplo:

• Eliminación de la necesidad de proporcionar documentos físicos, como declaraciones de conformidad o instrucciones de uso.
• Uso de códigos QR para la información de productos, facilitando el acceso a datos por parte de los consumidores y las autoridades.

3. Armonización normativa
   Se llevará a cabo un análisis para identificar y corregir incoherencias en la transposición de normas europeas entre los Estados miembros, con el objetivo de facilitar la libre circulación de bienes y servicios dentro del mercado único.

Impacto económico esperado
La Comisión estima que estas medidas podrían suponer un ahorro anual de 400 millones de euros para las empresas medianas. Además, se espera que la reducción de cargas administrativas impulse la competitividad, la innovación y la creación de empleo en sectores clave como la construcción, la energía, las telecomunicaciones y los servicios financieros.

Próximos pasos
El paquete Omnibus IV deberá ser aprobado por el Parlamento Europeo y el Consejo de la UE. Se prevé que el proceso legislativo se extienda durante los próximos meses, con el objetivo de que las medidas entren en vigor antes de finales de 2025.

Estas iniciativas forman parte de un esfuerzo más amplio de la Comisión para reducir las cargas administrativas en un 25 % para todas las empresas y en un 35 % para las pymes antes de 2029.

Con este paquete, la UE busca reforzar su tejido empresarial medio, reconociendo su papel fundamental en la economía europea y la necesidad de proporcionarles un entorno regulador más favorable para su crecimiento y expansión.

La Autoridad Catalana de Protección de Datos (APDCAT) ha anunciado una disminución en el número anual de notificaciones de violaciones de seguridad durante el año 2024 en comparación con el año anterior. Esta reducción rompe, por primera vez, la tendencia al incremento del 20% anual que se venía observando desde el año 2018.

Concretamente, la APDCAT recibió un total de 182 notificaciones de violaciones de seguridad a lo largo de 2024, una cifra que supone una ligera disminución en relación con las 183 notificaciones registradas en 2023. A pesar de tratarse de un descenso modesto –del 0,5%–, el número de afectados se ha reducido a más de la mitad, con un total de 230.000 personas, en comparación con el millón y medio que se registró a lo largo de 2023.

La Autoridad atribuye esta mejora tan pronunciada en el número de afectados, principalmente, a la disminución de ciberataques, que pasan del 31% en 2023 al 17% en 2024, especialmente los de tipo ransomware, que han pasado del 19% al 3%. Estos ataques ransomware, basados en el secuestro de datos, son los que afectan a un mayor número de personas. En consecuencia, el 41% de las violaciones de seguridad que ha recibido la APDCAT durante 2024 solo han tenido impacto en un número de entre 1 y 10 personas.

Aun así, cabe destacar la forma en que, a pesar de la notable disminución en el impacto de estas violaciones, el número de notificaciones a las autoridades se ha mantenido en línea con las de 2023. Esto pone de manifiesto que los responsables de realizar estas notificaciones no han reducido su labor de vigilancia y han continuado cumpliendo rigurosamente con su obligación de reportar los incidentes de manera adecuada.

En cuanto al origen de las violaciones de seguridad, el error humano pasa a ser la primera causa de los incidentes (aumenta del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). En última instancia, se encuentra el acto interno malintencionado (por ejemplo, abuso de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización), que se mantiene en tercer lugar con ligeras variaciones al alza.

En la misma línea de 2023, en la gran mayoría de los incidentes (92%) se ve afectada la confidencialidad de los datos, mientras que las violaciones que afectan a la disponibilidad disminuyen (hasta el 7%), en coherencia con la reducción del número de ataques ransomware, que al operar mediante la encriptación de los datos con el objetivo de posteriormente exigir un rescate, limitan su accesibilidad y cuando se necesitan.

Finalmente, como es habitual, la mayoría de las violaciones afectan datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte), cuyo acceso y uso indebido puede suponer un riesgo importante de daño para los titulares de los datos comprometidos, como el riesgo de sufrir una suplantación de identidad o ser víctima de fraude.

Estas noticias son especialmente relevantes para el sector sanitario, un ámbito particularmente vulnerable a este tipo de incidentes debido a la naturaleza sensible de los datos que gestiona. Según el artículo 9.1 del RGPD, estos datos se consideran de categoría especial y requieren la aplicación de medidas específicas de seguridad que garanticen su integridad y confidencialidad frente a intentos de acceso no autorizados y tratamientos ilícitos que puedan comprometer la privacidad de sus titulares.

Aun así, es importante mantener el nivel de alerta. Como recordaba el Informe de Prospectiva de Ciberseguridad para 2024 de la Agencia de Ciberseguridad de Cataluña, el sector sanitario sigue siendo un objetivo principal en esta materia, por lo que continúa siendo primordial la adopción y el mantenimiento de estrategias de ciberseguridad proactivas, flexibles y adaptables ágilmente a los cambios dinámicos y a la evolución de este tipo de amenazas cibernéticas.

En este sentido, es importante recordar que, según el artículo 33 del RGPD, en caso de que se produzca una violación de seguridad de datos personales, el responsable del tratamiento deberá notificarlo a la Autoridad «sin dilación indebida» y, por regla general, en un plazo máximo de 72 horas desde que se haya tenido constancia del incidente. Según el RGPD, se considera violación de seguridad cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, o la comunicación o el acceso no autorizado a dichos datos.

Así pues, cuando el responsable de protección de datos considere, en base a criterios como el tipo de violación, la categoría y tipología de los datos o el volumen y tipo de afectados, que la violación supone un riesgo de que se produzcan perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados, deberá comunicarlo a la autoridad competente –en el caso de Cataluña, a la APDCAT– en los términos establecidos.

A modo ilustrativo, la Autoridad ha considerado violaciones de seguridad que deben ser comunicadas aquellas que impliquen pérdida de control sobre los datos, restricción de derechos de los titulares, discriminación, suplantación de identidad, pérdidas financieras, daño a la reputación, reversión no autorizada de la pseudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.

En definitiva, a pesar de la clara mejora, seguiremos con interés la evolución de los datos registrados por las Autoridades en materia de violaciones de seguridad y su impacto en la protección de los datos personales de los afectados, especialmente en sectores críticos como lo es el sector sanitario.