Empreses

Deu institucions públiques van veure compromeses les seves dades pel ‘cas Andornet’

En 23 dels 38 casos notificats es va confirmar l’afectació a persones i en la resta, l’impacte real no es va poder acabar de determinar

toni solanelles

Toni Solanelles

Comentaris

Les dades de fins a 38 institucions, públiques i privades, es van veure compromeses, segons les notificacions.
Les dades de fins a 38 institucions, públiques i privades, es van veure compromeses, segons les notificacions. ARXIU

El ‘ransomware’ que va patir la tercera setmana de novembre el proveïdor de serveis tecnològics Andornet va comprometre les dades de deu institucions públiques o parapúbliques. I 28 entitats privades més també van notificar la potencial afectació a l’agència de Protecció de Dades (APDA) seguint els mandats legals actualment existents. Amb tot, en només 23 dels casos es va poder confirmar l’afectació a persones, en els quinze casos restants l’impacte real sobre les dades personals no es va poder determinar del tot. 

Així ho contempla la memòria de l’APDA del 2024, que manté que “la gestió d’aquest incident ha evidenciat que moltes entitats afectades no disposaven dels coneixements o la informació suficient per notificar correctament la violació de seguretat, amb comunicacions sovint incompletes o ambigües”. Amb tot, la immensa majoria de les comunicacions es va fer dins el termini legalment establert de 72 hores, encara que, com s’ha apuntat, a voltes amb informació de poca qualitat.

Les 38 notificacions realitzades en el marc d’aquest ciberatac van suposar poc més del 60% de les notificacions rebudes per l’APDA durant el 2024. Fora del ‘cas Andornet’, l’agència va rebre 25 notificacions més

“Aquesta situació hauria requerit una actuació proactiva per part de l’APDA, sol·licitant informació addicional i valorant cas per cas. No obstant això, la manca de recursos humans i tècnics al 2024 ho va impedir”, remarca l’informe de Protecció de Dades. “L’incompliment per part de les entitats i la limitada capacitat d’actuació de l’agència comprometen greument la supervisió i deixen desprotegits els drets de la ciutadania”, afegeix la memòria de l’ens dirigit per Resma Punjabi.

Les 38 notificacions realitzades en el marc d’aquest ciberatac van suposar poc més del 60% de les notificacions rebudes per l’APDA durant el 2024. Fora del ‘cas Andornet’, l’agència va rebre 25 notificacions més. Amb tot, segons la memòria esmentada, durant l’any passat “no es va poder iniciar l’anàlisi detallada de cap d’aquests incidents, ja que moltes notificacions eren incompletes o presentaven deficiències, sovint perquè els responsables desconeixien com notificar correctament”.

L’objectiu de l’agència es dur a terme l’anàlisi detallada aquest 2025, encara que segons la direcció de l’APD tampoc està clar que les limitacions amb què treballen ho faci possible. I és que “nombroses entitats afectades no van comunicar l’incident a l’APDA i no es pot determinar si es van veure compromeses dades personals ni si el risc era alt o baix. Malauradament, sense els recursos suficients, l’APDA es veu impossibilitada per fer les comprovacions pertinents”.

Etiquetes

Comentaris (4)

Et pot interessar
Trending