La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.

La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.

A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.

Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.

Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya  “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”

Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això  és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.

En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:

1. Prevenció millorada.  El pla ajuda a desenvolupar les capacitats del sector sanitari per a prevenir incidents de ciberseguretat a través de mesures de preparació millorades, com orientacions sobre l’aplicació de pràctiques crítiques de ciberseguretat.
2. Millor detecció i identificació d’amenaces. Es desenvoluparà un servei d’alerta primerenca a escala de la UE, que oferirà alertes quasi a temps real sobre possibles ciberamenaces, d’aquí a 2026.
3. Resposta als ciberatacs per a minimitzar l’impacte. El pla proposa un servei de resposta ràpida pel sector sanitari en el marc de la Reserva de Ciberseguretat de la UE.
4. Dissuasió. Protegir els sistemes sanitaris europeus dissuadint als agents de ciberamenaces d’atacar-los. Això inclouria una resposta diplomàtica conjunta de la UE a les activitats informàtiques malintencionades.

Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.

El 12 de juliol es va publicar en el Diari Oficial de la Unió Europea el REGLAMENT (UE) 2024/1689 DEL PARLAMENT EUROPEU I DEL CONSELL de 13 de juny de 2024 pel que s’estableixen normes harmonitzades en matèria d’intel·ligència artificial i pel que es modifiquen els Reglaments (CE) núm. 300/2008, (UE) núm. 167/2013, (UE), núm. 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 i les Directives 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Reglament d’Intel·ligència Artificial o RIA).

El RIA forma part de l’estratègia digital de la UE, i té com a objectiu que la intel·ligència artificial (IA) pugui garantir millors condicions de desenvolupament i ús d’aquesta tecnologia innovadora. És innegable que la IA pot aportar molts beneficis, com ho són una millor assistència sanitària, un transport més segur i net, una fabricació més eficient i una energia més barata i sostenible. No obstant, els recents avenços en la matèria s’han traduït en una intel·ligència artificial generativa cada vegada més potent i els denominats «models d’intel·ligència artificial d’ús general», que s’estan integrant en nombrosos sistemes d’intel·ligència artificial, s’estan tornant massa importants per a l’economia i la societat com per a no ser objecte de regulació. A la llum dels possibles riscos sistèmics, la UE estableix normes i mecanismes de supervisió eficaços. (more…)

En la sessió plenària de 16 de gener el Comitè Europeu de Protecció de Dades (CEPD) va adoptar l’informe amb les conclusions de la segona acció coordinada a nivell europeu centrada en la designació i la posició de delegats i delegades de protecció de dades (DPO).

Aquest informe és fruit del treball efectuat durant el 2023 per les 25 autoritats de control de protecció de dades de l’Espai Econòmic Europeu, incloent el Supervisor Europeu de Protecció de Dades (SEPD). En aquest s’hi il·lustra quins són a dia d’avui els principals obstacles de la figura del DPO, i també s’hi esmenten algunes recomanacions per a reforçar el seu status. L’informe ha estat publicat juntament amb els 2 apèndix: un estadístic, i l’altre, amb l’anàlisi i observacions fetes a nivell nacional per part de cada autoritat participant.

Els punts d’atenció que es destaquen en l’informe són:

• Absència de designació de DPO, inclús en aquells casos en els quals és obligatori.
• Insuficiència de recursos del DPO.
• Manca d’expertesa i experiència del DPO.
• No tenir confiades en el DPO total o explícitament les tasques definides en el RGPD.
• Situacions de conflicte d’interès o de manca d’independència del DPO.
• Absència de reporting del DPO al més alt nivell de l’entitat.
• Sol·licitud d’orientació addicional per part de les autoritats de control per a tenir major seguretat i eficiència en les actuacions.

Tot i la coincidència en aspectes generals, són de gran interès les apreciacions particulars que descriuen les diverses autoritats de control a cada país. Se’n destaquen les 3 següents:

• L’Agència Espanyola de Protecció de Dades alerta de l’externalització de DPO. En concret, s’informa que en molts casos, aquesta pràctica pot mostrar debilitat des del punt de vista que sigui un mateix DPO el que pugui desenvolupar plenament la seva intervenció en vàries organitzacions. Això pot també incrementar el risc de què la figura del DPO sigui considerada una mera formalitat en comptes de què el DPO tingui una implicació real i proactiva en els tractaments de dades efectuats per les organitzacions.
• L’autoritat francesa adverteix que sovint els DPOs no tenen prou informació sobre certs tractaments de dades de l’entitat perquè no se’ls fa participar des de moments inicials en la presa de decisions estratègiques.
• L’autoritat portuguesa descriu funcions que de forma equivocada s’associen al DPO quan en realitat són obligacions pròpies del responsable del tractament o encarregat del tractament. En aquest sentit també es detecten tasques que de forma equivocada s’encomanen al DPO quan no són la seva funció, per exemple, en el cas de les avaluacions d’impacte que acaben duent a terme directament, malgrat que la seva funció sigui d’assessorar.

Després de més de 5 anys de plena aplicació del RGPD i amb aquest, de la figura del DPO, es constata que s’han fet avenços però que queda molt trajecte encara per recórrer. És per això que és necessari tenir presents les irregularitats detectades i adequar-les a les indicacions donades, més encara quan en aquests moments hi ha nombrosa normativa del sector digital que està essent desenvolupada o just aprovada i davant de la qual el DPO hi tindrà un rol significatiu. Aquests nous rols poden reforçar algunes de les preocupacions detectades en l’informe, en especial les relatives al conflicte d’interès o la insuficiència de recursos del DPO.

Per a més informació:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Les principals novetats de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de persones que informin sobre infraccions normatives i de lluita contra la corrupció ja foren resumides en un article de l’Alba Torres publicat en la newsletter del passat mes de febrer. Ara tornem a pronunciar-nos sobre aquesta llei per un doble motiu: el primer, atès que des d’aquest mes de desembre qualsevol entitat que tingui 50 treballadors o més, així com tot municipi amb menys de 10.000 habitants, ja té obligació de tenir implementat un sistema intern d’informació (SII). (more…)

El passat 14 de juliol la nova directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, va comparèixer davant de la Comissió d’Afers Institucionals del Parlament de Catalunya per a presentar la memòria anual.

En la memòria 2021 s’hi recullen totes les actuacions dutes a terme, de les quals en destaquem les més rellevants referents a: l’atenció al públic i consultes, la funció inspectora, les notificacions de violacions de seguretat i els plans d’auditoria. (more…)

Ha quedat aprovada a Andorra la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, que entrarà en vigor el maig de 2022.

Aquesta Llei té per objecte actualitzar la normativa relativa al tractament que, tant persones o entitats privades com l’Administració pública andorrana, duen a terme de les dades corresponents a persones físiques acollint-se a la nova regulació europea, continguda al Reglament general de protecció de dades i modernitzant el marc jurídic existent basat en la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals. En efecte, han transcorregut divuit anys d’ençà que el Consell General va aprovar la primera Llei qualificada de protecció de dades personals i la seva revisió era necessària. (more…)

Fruit de l’acord entre el PSOE i PP, el  passat divendres 21 d’octubre es donaren a conèixer els noms de les persones que rellevaran la direcció de l’Agència Espanyola de Protecció de Dades (AEPD), així com la nova composició d’organismes com el Tribunal de Comptes, el Tribunal Constitucional i el Defensor del Poble.

La nova directora de l’AEPD serà Belén Cardona Rubert que rellevarà en el càrrec a Mar España Martí, que liderava l’entitat des de juliol de 2015. (more…)

El passat 14 de juliol es va presentar la Carta de Drets Digitals, pionera en l’àmbit internacional.

Amb aquesta Carta es pretenen enfortir i ampliar els drets de la ciutadania, generant certesa en la societat davant de la nova realitat digital i augmentar la confiança de les persones davant la disrupció que representa la tecnologia. (more…)

En el DOGC número 8302 de 23 de desembre es publicava la RESOLUCIÓ JUS/3362/2020, de 18 de desembre, per la qual s’aproven els criteris que han de regir el Pla d’actuació inspectora de fundacions i associacions declarades d’utilitat pública per a l’any 2021.

Segons el marc legal vigent, el Protectorat ha de vetllar perquè es compleixin les finalitats fundacionals, les disposicions legals i els estatuts de les fundacions, i perquè s’observi la voluntat fundacional respectant l’autonomia de gestió i de funcionament de les fundacions. En l’article 23.1 de la Llei 21/2014, del 29 de desembre, es confereix al Protectorat i l’Òrgan de Supervisió de les associacions declarades d’utilitat pública l’exercici de la potestat inspectora. En concret, l’article 23.2 enumera una sèrie de causes d’inspecció i l’article 24.1 disposa que el Protectorat i l’Òrgan de Supervisió de les associacions declarades d’utilitat pública han d’aprovar anualment un pla d’actuacions inspectores formulat d’acord amb criteris objectius que han de fer públics. (more…)

El BOE de 18 de novembre publica el Reial Decret llei 34/2020, de 17 de novembre, de mesures urgents de suport a la solvència empresarial i al sector energètic, i en matèria tributària. (more…)