Memòria de l’APDCAT de l’exercici 2021

El passat 14 de juliol la nova directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, va comparèixer davant de la Comissió d’Afers Institucionals del Parlament de Catalunya per a presentar la memòria anual.

En la memòria 2021 s’hi recullen totes les actuacions dutes a terme, de les quals en destaquem les més rellevants referents a: l’atenció al públic i consultes, la funció inspectora, les notificacions de violacions de seguretat i els plans d’auditoria.

• En relació amb l’atenció al públic i consultes, es constata que les consultes més nombroses han estat les relacionades amb la implantació de les obligacions que estableixen l’RGPD i l’LOPDGDD per als responsables i encarregats de tractament i les relatives a l’accés o cessió d’informació que conté dades personals. Dins de la primera tipologia, les principals qüestions s’han referit a la base jurídica del tractament, l’elaboració del contracte d’encarregat del tractament i el principi de minimització. Pel que fa a l’accés o cessió d’informació que conté dades personals, en destaquen les següents: els dubtes sobre la difusió que fan els centres docents d’imatges de menors (abast del consentiment); la difusió d’informació personal a través d’internet (cercadors); i les relacionades amb l’aplicació de la Llei 19/2014, de 29 de desembre, de transparència, accés a la informació pública i bon govern (LTC), en concret el dret a la informació pública i la publicitat activa.

El nombre de consultes sobre la comunicació del delegat de protecció de dades, o bé peticions d’informació sobre la comunicació de la designació d’aquesta figura, també ha estat significatiu. Cal subratllar també que s’han atès nombroses consultes relatives a les mesures de seguretat, en especial quan cal fer una avaluació d’impacte.

També s’han rebut consultes amb motiu de la COVID-19, principalment relatives a la comunicació de dades personals als centres sanitaris i a les autoritats sanitàries; la recollida de dades de les persones que participen en diferents activitats, per tenir-ne un control i una traçabilitat posterior; les classes en línia en l’àmbit educatiu; la gravació de sessions de formació virtual; les aplicacions covid i les subvencions per COVID-19; i el certificat COVID.

• Quant a la funció inspectora, durant el 2021 s’ha experimentat un important increment en totes les seves actuacions. Així, s’han instruït 268 procediments arran de denúncies formulades a l’Autoritat i s’han resolt 131 procediments de tutela de drets. La quantia total de les multes imposades suposaria 74.000 euros, que és el resultat de la suma de les sancions que, en principi, corresponia aplicar per les infraccions comeses.

La majoria de procediments sancionadors resolts en què es determina que s’ha comès almenys una infracció ho són contra ajuntaments i entitats vinculades; d’aquests, en destaquen 12 de relacionats amb l’exercici de les seves competències; 6 de relacionats amb la publicació de dades a internet/xarxes socials; i també 6 de relacionats amb recursos humans. Hi segueixen els procediments sancionadors resolts en contra de l’Administració de la Generalitat i les entitats vinculades, dels quals en destaquen deu que afecten l’àmbit de la salut.

Del conjunt de procediments sancionadors resolts l’any 2021 amb declaració d’infracció (amonestació o sanció econòmica), la majoria es refereix a l’àmbit de salut i a l’exercici de competències administratives. També cal destacar els relacionats amb l’ensenyament en tots els seus cicles, amb internet/xarxes socials i amb recursos humans.

El nombre més elevat d’infraccions declarades fa referència, com altres anys, a la vulneració del principi de confidencialitat, al qual segueix la conculcació del principi de minimització. També cal destacar les infraccions relacionades amb la vulneració del dret d’informació i del principi de transparència i les vulneracions relacionades amb la seguretat de la informació. Pel que fa a la vulneració del principi de licitud, gran part corresponen al tractament il·lícit per manca de base jurídica diferent al consentiment; i les altres, al tractament indegut de categories especials de dades i a la manca de consentiment quan aquesta base jurídica seria la que habilitaria el tractament.

La majoria de les resolucions de procediments de tutela de 2021 es referien al dret d’accés, gran part de les quals són relatives a l’àmbit de salut i de l’àmbit policial. També destaquen les resolucions referides al dret de supressió, la majoria d’elles relatives a dades policials. D’altra banda, cal evidenciar que a diferència dels anys anteriors, s’ha presentat una reclamació relacionada amb els nous drets reconeguts a l’RGPD, en concret referida a la limitació del tractament. Aquest escàs nombre de procediments de tutela endegats en relació amb els nous drets (limitació del tractament, portabilitat i a no ser objecte de decisions de decisions individuals automatitzades) evidencia que encara no són prou coneguts per la ciutadania.

• Des de la vessant de les notificacions de violacions de seguretat (NVS), l’APDCAT ha rebut i tramitat 184 notificacions de violació de seguretat de les dades personals, que representa un important increment respecte de l’any passat. Aquesta pujada en el nombre de notificacions d’incidents de seguretat s’atribueix al progressiu coneixement dels responsables de tractament de l’obligació de notificació que imposa l’RGPD i, també, a l’augment registrat de les designacions de delegat de protecció de dades, una figura clau en el compliment de les obligacions normatives a les entitats.

Pel que fa a la naturalesa de les violacions, en la gran majoria dels incidents s’hi veu afectada la confidencialitat de les dades, en un alguns casos juntament amb la disponibilitat i, finalment, la integritat de les dades, que ha disminuït a la meitat respecte de l’any 2020.  

Com ha estat habitual des de l’any 2018, la majoria de les violacions afecten dades de contacte i identificatives, i hi segueixen les dades de categories especials (la majoria, de salut) i les dades de menors.

Pel que fa al tipus d’incident causant de la violació de les dades, l’any 2021 l’acte extern malintencionat ha superat l’error humà. Aquestes violacions, estan desglossades en les subcategories: robatori, encriptació, phishing (enviament de correu electrònic simulant ser una entitat legítima, per robar credencials i distribuir correus fraudulents) i hacking (accés no autoritat a dades en sistemes TI-tecnologies de la informació). Els ciberatacs suposen, un 30 % dels incidents notificats.

Cal remarcar, també, que tres incidents de seguretat de les dades notificats a l’Autoritat han estat objecte de l’obertura d’una fase d’informació prèvia, si bé en aquests casos ha estat arran de les denúncies presentades davant d’aquesta Autoritat per persones ciutadanes, amb motiu dels mateixos fets constitutius d’aquests incidents de seguretat.

• Per últim, es fa especial esment als plans d’auditoria. D’una banda, al llarg del primer semestre de 2021, es va finalitzar l’execució del Pla d’auditoria sobre la publicació del registre d’activitats de tractament (RAT). Les principals conclusions d’aquest informe han posat de manifest que, en el moment d’efectuar les verificacions en el marc de l’auditoria, més de la meitat de les entitats auditades no havia publicat el RAT i, entre les que ho havien fet, prop de ¾ parts no hi feia constar tota la informació que exigeix la normativa. L’Autoritat puntualitza que, a l’hora de complir amb aquesta obligació, ni la tipologia ni el volum de recursos de les entitats han resultat factors rellevants.

D’altra banda, a finals de 2021 es va definir i aprovar un nou pla d’auditoria, Pla d’auditoria sobre l’obligació de nomenar un delegat de protecció de dades (DPD), que s’ha d’executar al llarg de 2022. La finalitat és instar els responsables que no l’hagin nomenat a complir amb aquesta obligació i, així, afermar la rellevància que aquesta figura té dins de les organitzacions, com a motor de la garantia a la protecció de dades. Veurem en la memòria de 2022 quines en són les principals conclusions.

Més informació a www.apdcat.gencat.cat