La continua evolución de las amenazas cibernéticas ha dado origen a nuevos desafíos, poniendo de manifiesto ciertas limitaciones que dificultan abordar de manera eficaz los retos actuales y emergentes en el ámbito de la ciberseguridad. En este contexto, la Directiva NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. La Directiva NIS 2 entró en vigor el 16 de enero de 2023, y su transposición en España se hará a través del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado el pasado 14 de enero de 2025 por el Consejo de Ministros.
La NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de más relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. El sector sanitario forma parte de los sectores de alta criticidad, y en él se incluye: laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.
Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe). Todas las medidas deben, por un lado, ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes; y, por otro lado, tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.
En cuanto a la notificación de incidentes, solo en 2023, los países de la UE notificaron 309 incidentes de ciberseguridad graves contra sector sanitario, más que en cualquier otro sector crucial. Además, hay que considerar que el 54% de los ciberataques en el sector de la salud implican ransomware.
Tal y como se indica en el Informe de prospectivas de ciberseguridad para el 2024 de la Agencia de Ciberseguridad de Cataluña “Se identifica, en primer lugar, que el sector salud emerge como un objetivo principal, ya que se enfronta a amenazas que pueden paralizar los sistemas críticos de salud pública y comprometer datos sensibles de pacientes. (…) El reto de implementar un entorno de ciberseguridad robusto y avanzado en Cataluña también exige adquirir y desplegar de forma efectiva nuevas capacidades. La aplicación de inteligencia artificial, para automatizar y escalar las defensas cibernéticas, junto con la incorporación de otras tecnologías punteras, es imprescindible para hacer frente a la evolución de las ciberamenazas. Además, hay que adoptar una estrategia de ciberseguridad proactiva, flexible y adaptable ágilmente a los cambios dinámicos y a la evolución de las amenazas cibernéticas.”
Los ciberataques también tienen consecuencias en la normativa de protección de datos. Por ello, es importante que el responsable sea consciente de cómo ha evolucionado el contexto de brechas de datos personales en el ámbito de la salud y, en particular, de los ciberincidentes de tipo ransomware que se han multiplicado en los últimos años, y que afectan a todo tipo de organizaciones asistenciales. Son varias las resoluciones sancionadoras de la Agencia Española de Protección de Datos que se han publicado en los últimos tiempos derivadas de ransomware, por ejemplo, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecología SLP, en que se imputan infracciones de los arts. 5.1.f), 32 y 34 del Reglamento General de Protección de Datos (RGPD); o los procedimientos de la Autoridad Catalana de Protección de Datos PS 1/2024 y PS 4/2024, referentes al Hospital Clínic de Barcelona y Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en los que se declara una infracción del art. 83.4.a en relación con el art. 32.1 RGPD e infracción del art. 83.4.a en relación con el art. 32.2 RGPD.
En definitiva, de todo lo expuesto se desprende que la ciberseguridad seguirá marcando la agenda de las organizaciones del sector salud durante los próximos ejercicios, así como también de la política comunitaria. El pasado 15 de enero de 2025 la Comisión Europea presentó un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, que tiene como objetivo crear un entorno más seguro y protegido para los pacientes. Esta iniciativa marca la primera iniciativa sectorial específica para desplegar toda la gama de medidas de ciberseguridad de la UE. El Plan se basa en las cuatro prioridades siguientes:
Seguiremos con interés los pasos previstos para 2025-2026 definidos en el Plan y analizaremos si con ello dejan de aumentar año tras año los ciberataques a hospitales y otros prestadores de asistencia sanitaria.
Cada vez más se solicita el DNI para realizar gestiones que podemos encontrar en el ámbito de nuestro día a día, desde una acción tan simple como recibir un paquete hasta el ejercicio de nuestros derechos de protección de datos ante una entidad.
El DNI contiene más información de la que nos pensamos, no es solamente el código identificador, nuestra fotografía o el nombre completo, también contiene nuestra firma, domicilio, equipo expedidor, el nombre de los progenitores, etc. (AEPD PS/00413/2021). La problemática surgida con relación a esta información relevante de nuestro DNI ha sido objeto de análisis por parte de la Agencia Española de Protección de Datos (AEPD) en multitud de procesos: casos de mensajería (0048/2023; PS/00413/2021), de selección de personal (PS/00003/2021), de reserva de alojamientos… (PS/00499/2022).
Según las resoluciones de la AEPD, el uso indebido del DNI puede suponer la vulneración de principios rectores de la protección de datos como son los de minimización de los datos, el de proporcionalidad del tratamiento, el de limitación de la finalidad, y el de la conservación de los datos.
Dicho esto, en el caso de querer ejercer un derecho de protección de datos ante una entidad, es necesario plantearnos si el tratamiento de datos de nuestro documento de identidad puede considerarse excesivo. Por ello, fundamentado en el artículo 5.1.c RGPD, referente al principio de minimización de datos, debe determinarse que la solicitud del DNI sea estrictamente necesaria para el tratamiento que se quiere realizar y, en consecuencia, el responsable de tratamiento debe asegurarse de que no recogen más datos personales de los necesarios para realizar la identificación de la persona solicitante. Hay que tener en cuenta que la base legitimadora de este hecho es el artículo 12.6 RGPD: «cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.»
Los últimos procedimientos sancionadores resueltos sobre estos hechos son un indicativo de la preocupación que la AEPD tiene sobre el uso del DNI para la identificación, así encontramos imposiciones de multas que van desde 3.000 euros (PS/00570/2023) hasta 250.000 euros (PS/00003/2021), basadas en la aplicación del artículo 5.1 del RGPD.
Tal y como indica la AEPD: «el uso indebido del DNI sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos». El método utilizado para la identificación de una persona debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de datos.
Algunas medidas alternativas o soluciones para la realización de la identificación del solicitante pueden ser mediante una identificación electrónica o realizar el envío de una solicitud a través de una cuenta de usuario junto con un factor de autenticación adicional remitido por otro canal diferente. A través de estas técnicas, se evita el uso de datos personales y se realiza la identificación mediante códigos o contraseñas que permitan asegurar que la persona que realiza el ejercicio de derechos es la correcta.
En definitiva, solicitar el DNI es una opción viable y legítima, pero debe limitarse su tratamiento a lo estrictamente necesario, y en palabras de la AEPD.: «Sólo se deberá recoger la información del DNI que sea pertinente para confirmar la identidad del sujeto, y si existen otras medidas menos graves que cumplen la finalidad de la identificación, lo más recomendable es abstenerse de utilizarlo.» (AEPD 0048/2023)
La Agencia Española de Protección de Datos (AEPD) ha publicado la memoria del año 2023. En el documento se detallan las diferentes campañas de concienciación, difusión, colaboración e inspección que se han realizado por parte de la AEPD, también hay un extracto de los informes, dictámenes, recomendaciones, decisiones vinculantes , declaraciones y procedimientos más relevantes del año 2023. Asimismo, se ha publicado la Memoria de Responsabilidad Social 2023.
Según las cifras de la AEPD, este año 2023 se han registrado un 43% más de reclamaciones que el año anterior. Ha habido un incremento de un 114% respecto al año 2022 de las reclamaciones relacionadas a la recepción de publicidad no deseada. De ellas, la mayoría hace referencia a las llamadas telefónicas comerciales no deseadas. También se dan casos de recepción de publicidad a través de SMS, la obtención de datos personales sin consentimiento o la contratación fraudulenta.
En cuanto a los procedimientos sancionadores, el área de videovigilancia ha sido el grupo de actividad con un mayor número de procedimientos resueltos durante este año 2023. Entre otros, ha habido el caso del procedimiento de instalación de una videocámara dentro de la vivienda alquilada a diferentes inquilinos o la colocación de una cámara de videovigilancia en el hall de un piso de alquiler por habitaciones individuales de estudiantes.
[1]A continuación, en la imagen se puede observar cuál ha sido el TOP 10 de procedimientos sancionadores más habituales según los grupos de actividades:
[1] Tabla 13: Procedimientos sancionadores más frecuentes de la Memoria 2013 AEPD memoria-aepd-2023.pdf
De los procedimientos sancionadores no todos han acabado en sanción. Un 11% se han resuelto con el archivo de actuaciones por parte de la AEPD.
La sanción más cuantiosa del año 2023 corresponde a un procedimiento del sector de las entidades financieras, en el que se impone a Caixabank, S.A. una sanción de 5 millones de euros, por la infracción de los artículos 5.1f), 25 y 32 del RGPD.
Para más información o consultar la Memoria de 2023 de la AEPD completa, aquí.
El 16 de febrero de 2023 el Congreso de los Diputados aprobó la denominada “Ley reguladora de la protección de las personas que informan sobre infracciones normativas y la lucha contra la corrupción” publicada en el BOE de 21 de febrero. Con la aprobación de la Ley se incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. La normativa entrará en vigor 20 días después de su publicación en el BOE . En la normativa se incorporan los dos claros objetivos de la Directiva europea: proteger a los informantes y establecer las normas mínimas de los canales de información. A continuación, identificamos los principales aspectos de la normativa: (más…)
El Gobierno andorrano ha aprobado los dos reglamentos que la Ley 29/2021, de 28 de octubre, calificada de protección de datos personales (LQPD) encomendaba en su disposición adicional. De este modo, se ha aprobado, por una parte, el Reglamento de aplicación de la Ley 29/2021, de 28 de octubre, calificada de protección de datos personales y, por otra parte, el Reglamento de la Agencia Andorrana de Protección de Datos. (más…)
El pasado 14 de julio la nueva directora de la Autoridad Catalana de Protección de Datos (APDCAT), Meritxell Borràs i Solé, compareció ante la Comisión de Asuntos Institucionales del Parlamento de Cataluña para presentar la memoria anual.
En la memoria 2021 se recogen todas las actuaciones llevadas a cabo, de las cuales destacamos las más relevantes referentes a: la atención al público y consultas, la función inspectora, las notificaciones de violaciones de seguridad y los planes de auditoría. (más…)
La Sala de lo Contencioso-Administrativo del Tribunal Supremo, en la Sentencia 188/2022, de 15 de febrero, ratificó la sanción de 40.001 € a un encargado de tratamiento por la falta de adopción de las medidas técnicas necesarias para garantizar la seguridad de las datos. (más…)
El año 2021, que hemos dejado atrás, pasará a la historia como el año que nos vacunamos (algunos) de la COVID-19, pero también por otros cambios importantes que afectan a nuestro día a día. En el ámbito del cumplimiento normativo, también es el año en que la Agencia Española de Protección de Datos (AEPD) ha desplegado de forma ostentosa toda su capacidad sancionadora, imponiendo multas por vulneraciones del Reglamento General de Protección de Datos (RGPD). Si en 2020 la AEPD impuso multas por valor de 3 millones de euros, en 2021 lo ha hecho por la astronómica cifra de 32 millones, lo que convierte al Estado español en el sexto país de la Unión Europea que más sanciona por ese tipo de infracciones. De 2020 a 2021, la cifra total de multas, por tanto, se ha incrementado en un 1.000%. (más…)
A finales del pasado mes de diciembre se publicó en el Diario Oficial de la Generalidad de Cataluña el Decreto Ley 28/2021 de modificación del Decreto Ley 10/2020, de 27 de marzo, por el que se establecen nuevas medidas extraordinarias para hacer frente a el impacto sanitario, económico y social de la COVID-19, en el ámbito de las personas jurídicas de derecho privado sujetas a las disposiciones del derecho civil catalán.
La disposición final primera del referido Decreto Ley 28/2021, determina que se prorroga hasta el 31 de diciembre de 2022 la posibilidad de que las entidades de derecho privado reguladas por el Código Civil de Cataluña prevean en la convocatoria de la junta general la asistencia de sus miembros a través de medios telemáticos como pueden ser la videollamada o la conferencia telefónica múltiple, aunque esta circunstancia no se encuentre expresamente prevista en los estatutos sociales. (más…)
En la Newsletter de octubre informábamos del acuerdo al que habían llegado PSOE y PP en la renovación de la dirección de la Agencia Española de Protección de Datos. Este pacto político está siendo controvertido porque no parece ajustarse al procedimiento para el nombramiento de la dirección de esta entidad. En efecto, hace dos años que se reformó el procedimiento de designación con voluntad de ser un procedimiento abierto y libre concurrencia. (más…)