Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la CNIL investiga cada año las violaciones de datos. La organización acaba de publicar un informe final El informe, que abarca los últimos cinco años (de mayo de 2018 a mayo de 2023), está repleto de lecciones. Durante este período, la Comisión Nacional de Informática y Libertades recibió 17.483 notificaciones de violaciones de datos. "Al agrupar las notificaciones relacionadas con el mismo origen, parece que el número de violaciones de datos notificadas a la CNIL ha ido aumentando a lo largo de los años", indica la organización.

En cuanto al origen de las violaciones de datos, más de la mitad (55%) son resultado de ataques informáticos (ransomware, phishing, etc.) y el 20% se deben a errores humanos internos. "En otros casos, las causas suelen ser desconocidas o indeterminadas por el organismo notificador o actos internos malintencionados", precisa la CNIL. Para evitar incidentes que provoquen violaciones de datos personales, la Comisión ofrece varios consejos: pensar en la seguridad desde el lanzamiento de un proyecto, tomar sistemáticamente medidas mínimas para la seguridad de los datos, realizar actualizaciones de seguridad periódicas en los sistemas operativos, servidores de aplicaciones o bases de datos e informar periódicamente al personal sobre los riesgos y desafíos de la ciberseguridad.

El sector público lidera el número de denuncias de violación de datos

Las administraciones públicas son las que registran el mayor número de notificaciones de violación de datos (18,1%), por delante de las actividades científicas y técnicas especializadas (14,6%), la salud humana y la acción social (11,8%), las actividades financieras y de seguros (10,9%), el comercio, la reparación de automóviles y motocicletas (9%), la información y la comunicación (7,2%), la industria manufacturera (4,5%), otras actividades de servicios del mismo nivel que los servicios administrativos y de apoyo (4,3%) y la educación (3,6%). "El sector privado es el origen de aproximadamente dos tercios de las notificaciones de violación de datos a la CNIL, de las cuales un 39% proceden de pymes. El sector público representa el 22% de las notificaciones", informa la organización.

En cuanto al origen geográfico, la distribución de las notificaciones de violación de datos no es homogénea, explica la CNIL, ya que las tres principales regiones son Ile-de-France, Haust-de-France y Auvergne Rhône-Alpes. "Esta distribución geográfica corresponde a la densidad económica del territorio, en particular a la densidad de sedes sociales", precisa la Comisión. Por último, en cuanto al tiempo necesario para detectar una violación de datos, una organización tarda de media 113 días en darse cuenta de ella: un tiempo muy largo, pero que hay que comparar con el hecho de que la mitad de las violaciones se detectan en menos de 10 horas. "Es preferible notificar la infracción en un plazo de 72 horas, aunque ello suponga únicamente aportar elementos parciales, que podrán completarse posteriormente o incluso suprimirse, en caso de que no se haya demostrado la infracción. Sin motivo legítimo, el incumplimiento de la obligación de notificación en un plazo de 72 horas constituye una infracción del RGPD, que puede ser sancionada por la CNIL. "Esta infracción se castiga con una multa de 10 millones de euros o del 2 % del volumen de negocio", advierte la Comisión.