La suerte de los irlandeses? La Comisión de Protección de Datos de Irlanda publica el Informe Anual

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: La Comisión de Protección de Datos (DPC) es la autoridad de supervisión irlandesa del Reglamento General de Protección de Datos (GDPR). También tiene funciones y poderes relacionados con otros marcos reglamentarios críticos, como el Reglamento de privacidad electrónica irlandés (2011) y la Directiva de la UE conocida como Directiva de aplicación de la ley. Recientemente, la Comisaria de Protección de Datos, Helen Dixon, presentó el informe anual de la Comisión Irlandesa de Protección de Datos correspondiente a 2020. En este informe publicado recientemente (25 de febrero de 2021), DPC Irlanda detalla la amplia gama de trabajos normativos realizados durante el desempeño de sus funciones en el papel de supervisar y regular la aplicación de las leyes de protección de datos y privacidad electrónica de la UE. Como parte de esa información detallada del trabajo, el DPC comparte detalles sobre las notificaciones de infracciones al DPC durante 2020. A medida que los profesionales legales y de datos que operan en el ecosistema de eDiscovery buscan comprender el impacto en el mercado y las oportunidades impulsadas por las violaciones de datos, pueden beneficiarse de los detalles y los puntos de datos compartidos en este importante informe anual.

Informe Anual 2020 del DPC Irlanda

Un extracto sobre las infracciones (capítulo 3)

El número de notificaciones de incumplimiento al DPC siguió siendo alto en 2020, pero el DPC está más convencido que nunca del valor del requisito obligatorio de notificar en virtud del RGPD. Permite al DPC obtener información sobre los riesgos relacionados con la seguridad y el procesamiento de datos personales que surgen en las organizaciones caso por caso, e intervenir y orientar sobre medidas de mitigación en torno a esos riesgos, cuando proceda. En general, las respuestas que recibimos de las organizaciones animan al DPC en la opinión de que la mayoría de las organizaciones quieren cumplir y valorar las aportaciones del DPC.

Violaciones bajo el RGPD

En 2020, el DPC recibió 6.783 notificaciones de incumplimiento de datos en virtud del artículo 33 del RGPD, de las cuales 110 casos (2%) se clasificaron como no infracciones, ya que no cumplían la definición de violación de datos personales establecida en el artículo 4, apartado 12, del RGPD. En 2020, el DPC registró un total de 6.673 violaciones válidas de protección de datos, lo que representa un aumento del 10% (604) con respecto a las cifras reportadas en 2019.

Al igual que en otros años, la categoría más alta de infracciones de datos notificadas en virtud del RGPD se clasificó como Divulgación no autorizada y representó el 86% del total de notificaciones de infracción de datos recibidas en 2020. La mayoría de las infracciones se produjeron en:

Sector privado: 4.097

Sector público: 2.559

Voluntario: 16

Caridad: 1

Total: 6.673

El DPC también observó un aumento en el uso de la ingeniería social y los ataques de phishing para acceder a los sistemas TIC de controladores y procesadores. Aunque en un principio muchas organizaciones pusieron en marcha medidas eficaces de seguridad de las TIC, es evidente que las organizaciones no están tomando medidas proactivas para supervisar y revisar estas medidas, ni para capacitar al personal para asegurarse de que son conscientes de la evolución de las amenazas. En estos casos, seguimos recomendando que las organizaciones realicen revisiones periódicas de sus medidas de seguridad de las TIC e implementen un plan de formación integral para los empleados apoyado por programas de capacitación de actualización y sensibilización para mitigar los riesgos que plantea la evolución del panorama de amenazas.

Notificaciones de violación de datos por categoría

Divulgación (no autorizada): 5.837

Piratería: 146

Malware: 19

Phishing - Incluyendo ingeniería social: 74

Ransomware/Denegación de Servicio: 32

Vulnerabilidad de desarrollo de software:

Dispositivo perdido o robado (cifrado): 19

Dispositivo perdido o robado (sin cifrar) 29

Papel perdido o robado: 275

Residuos electrónicos (datos personales presentes o dispositivo obsoleto: 1

Eliminación inapropiada de papel: 21

Configuración incorrecta del sistema: 40

Acceso no autorizado: 146

Publicación no deseada en línea: 61

Los demás: 78

Total: 6.783

Incumplimientos de privacidad electrónica

El DPC recibió un total de 70 notificaciones válidas de violación de datos en virtud del Reglamento de privacidad electrónica (SI Nº 336 de 2011), que representaron poco más del 1% del total de casos válidos notificados durante el año.

Brechas LED

El DPC también recibió 25 notificaciones de incumplimiento en relación con el LED, (Directiva (UE) 2016/680), que ha sido transpuesta a la legislación irlandesa por ciertas partes de la Ley de Protección de Datos de 2018.

Evaluación de una infracción de DPC

Una vez que se presenta una notificación de incumplimiento ante el DPC, el DPC la evalúa teniendo en cuenta los múltiples aspectos de la infracción y los riesgos que plantea. La primera de ellas es la naturaleza de la violación, incluso si fue causada intencional o accidentalmente, si los datos fueron exfiltrados o inaccesibles, y los modos de tecnología y organización implicados. Un historial de infracciones de un tipo determinado puede indicar un problema sistémico que afecta a un controlador de datos individual, a una ubicación determinada o a todo un sector económico. Las características de los datos personales implicados son fundamentales para la evaluación del DPC. Estos incluyen los tipos, el formato y la sensibilidad de los datos personales, el número de personas y registros afectados, y la posibilidad de que los datos sean leídos o difundidos. El DPC examinará si se han producido aspectos como la elaboración de perfiles, la toma de decisiones automatizada, la supervisión o el seguimiento.

Del mismo modo, la categorización de los interesados (por ejemplo, si son niños o personas vulnerables) y las características del responsable del tratamiento y/o del procesador, como las responsabilidades legales o el procesamiento de otros tipos de datos personales, pueden ser muy importantes. Se tiene en cuenta el volumen de los interesados y la ubicación de estos sujetos de datos.

Otros factores que deben tenerse en cuenta son los posibles daños a los interesados como consecuencia de la divulgación, el uso indebido o la pérdida de datos personales afectados por la violación. Este aspecto de la evaluación de riesgos suele ser pasado por alto por los responsables del tratamiento de datos. Los daños pueden ir desde inconvenientes temporales hasta riesgos muy graves, como robo de identidad, pérdida financiera y diagnóstico erróneo de afecciones médicas o daños a la reputación. El CPD considerará cuál es el impacto para las personas afectadas, incluyendo la gravedad, el alcance y el contexto de las personas.

Por último, el DPC evalúa factores atenuantes, como si hay copias de seguridad disponibles, se solucionan las vulnerabilidades y si se recuperan los datos o se impide la divulgación posterior. A menudo, los controladores de datos no implementan medidas simples, como el cifrado de la información compartida por correo electrónico, lo que garantiza que todas las medidas de seguridad de TI están en vigor, pero también se mantienen actualizadas periódicamente. Estos factores se tienen en cuenta en la evaluación.

Si los hechos no se conocen plenamente o siguen siendo poco claros después de la evaluación inicial del DPC de una infracción, continuarán interactuando con el responsable hasta que se hayan respondido todas las cuestiones, a satisfacción del DPC. En algunos casos, se puede pedir al responsable o al encargado del tratamiento que reevalúe las causas y consecuencias de la infracción e informe sobre sus conclusiones. Las infracciones que impliquen problemas complejos de TI pueden requerir una evaluación y análisis por parte de los especialistas técnicos de la DPC. En los casos en que el responsable del tratamiento haya presentado o encargado un informe técnico o un informe de investigación sobre la infracción, se solicitará una copia del mismo.

A la espera de que concluya su investigación, el DPC podrá dirigir y supervisar los progresos — de forma continua — de las medidas aplicadas para remediar o mitigar los efectos de la violación. Estos podrían incluir informar a los interesados de la infracción en virtud del artículo 34 del RGPD, o la implementación de medidas técnicas u organizativas para hacer frente a vulnerabilidades.

Basándose en su evaluación y en las acciones del responsable del tratamiento para prevenir o mitigar otros incidentes similares, el DPC puede concluir su investigación en este momento. Si el DPC no está satisfecho con las mitigaciones o las respuestas del controlador, puede intensificar el asunto para realizar nuevas acciones de investigación/aplicación.

Revisar el informe completo (PDF)

Informe Anual 2020 del DPC (inglés)

Lea la publicación original a través del sitio web de la Comisión de Protección de Datos (DPC Ireland).

* Nota informativa con derechos de autor compartida con permiso de acuerdo con la Reutilización de la Información de la Sección Pública

Lectura adicional

La Comisión de Protección de Datos (DPC) Irlanda

Una actualización irlandesa: DPC Irlanda publica el Informe de Actividad Reguladora del RGPD (2018-2020)

Fuente: CompleXDiscovery

Asesoramiento conjunto de ciberseguridad de la CISA, el FBI y la NSA sobre BlackMatter Ransomware

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

¿Guardando secretos? Tendencias del ransomware en los datos de la Ley de secreto bancario entre enero de 2021 y junio de 2021

According to a recently published report, the U.S. Treasury's Financial Crimes...

Una representación geográfica: ataques de ransomware en los Estados Unidos entre 2018 y la actualidad

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Recomendaciones para mitigar el riesgo de vulnerabilidades de software: Marco de desarrollo de software seguro del NIST

This draft document from NIST on a proposed secure software development...

Consilio completa la adquisición de las unidades de negocio de consultoría legal y eDiscovery de Special Counsel de Adecco

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite adquirirá pistas digitales

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

iConect adquiere la base de código de inteligencia artificial de Ayfie Inspector

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

Fusiones, adquisiciones e inversiones de eDiscovery en el tercer trimestre de 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

¿Una nueva era en eDiscovery? Enmarcar el crecimiento del mercado a través de la lente de las seis eras

There are many excellent resources for considering chronological and historiographical approaches...

Un Mashup de tamaño de mercado de eDiscovery: 2020-2025 Información general sobre software y servicios en todo el mundo

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

¿Restablecer la línea base? Ajustes de tamaño de mercado de eDiscovery para 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

¿A casa o a distancia? Consideraciones sobre el tamaño del mercado y los precios de la colección eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Cinco excelentes lecturas sobre descubrimiento cibernético, de datos y legal para septiembre de 2021

From countering ransomware to predictive coding and packaged services, the September...

Cinco excelentes lecturas sobre ciberinformación, datos y descubrimiento legal para agosto de 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Cinco excelentes lecturas sobre ciberinformación, datos y descubrimiento legal para julio de 2021

From considerations for cyber insurance and malware to eDiscovery business confidence...

Cinco excelentes lecturas sobre eDiscovery para junio de 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

¿Hora de la cosecha? Métricas operativas de eDiscovery en el otoño de 2021

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

¿Intemporalmente caliente? Resultados de la encuesta de confianza empresarial eDiscovery de otoño de 2021

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

¿Más guardianes? Encuesta sobre tecnologías y protocolos de codificación predictiva — Resultados de otoño de 2021

From the most prevalent predictive coding platforms to the least commonly...

¿Expectativas brillantes? Dieciocho observaciones sobre la confianza empresarial de eDiscovery en el verano de 2021

In the summer of 2021, 63.3% of survey respondents felt that...