La UOC, la UAB, la Damm o la mateixa Generalitat. Moltes institucions i empreses han estat darrerament en el punt de mira dels ‘hackers’ informàtics. No tots aquests atacs afecten dades personals d’usuaris, però el cert és que, sobretot arran de la pandèmia, cada vegada són més els cibercrims que busquen aconseguir usuaris, contrasenyes, targetes de crèdit o altres tipus d’informació personal que pugui ser útil per perpetrar altres delictes.
Així ho indica el darrer informe de tendències de l’Agència de Ciberseguretat de Catalunya que assenyala també que els errors de configuració, els dispositius vulnerables que permeten la connexió entre equips de diferents funcions o la tècnica d’extracció de dades (scrapping) de xarxes socials són factors clau de les fuites que han protagonitzat algunes grans empreses i institucions del país.
El teletreball, més habitual arran de la COVID-19, hi ha influït. Tomàs Moré, responsable de conscienciació del Programa Internet Segura de l’Agència de Ciberseguret de Catalunya, compara la situació amb un castell. “Abans tothom vivia dins d’un castell i estava protegit. De cop, el castell s’ha disseminat i tothom està fora les muralles.”, diu Moré, que afegeix: “S’ha de construir un nou perímetre de control i això no es fa en dos dies.”. Moré creu que tal com corroboren els informes i les tendències del 2021 hi ha una “intencionalitat” d’obtenir dades massives a partir de diferents situacions, perquè tenir molta informació és útil per poder perpetrar altres atacs.
Perquè això no pugui passar, s’han anat aplicant diferents normatives que les empreses han de complir en matèria de protecció de dades i que, des d’Europa, s’ha intentat que sigui el més homogeni possible. Abans del 2018, per exemple, Espanya ja tenia una llei orgànica i un reglament i, segons fons de l’Agència de Ciberseguretat de Catalunya, era dels “més estrictes”. El 2018, en canvi, Europa però, va aprovar una directiva per poder ‘homogeneïtzar’ les diferents normatives estatals i va derivar en un reglament que -després de quatre anys de feina- ha resultat ser d’aplicació directa a tots els estats membres. Aquest reglament deixa alguns aspectes a decidir per cada estat i que, per tant, el reglament s’acaba completant amb lleis nacionals com la 3/2018, la Llei Orgànica de Protecció de Dades.
Les competències, però, de l’Agència de Ciberseguretat de Catalunya se centren en garantir que les institucions públiques que depenen del Govern compleixen tota aquesta normativa. Les legislacions adopten un enfoc de ‘responsabilitat proactiva’ perquè es posin totes les mesures possibles per prevenir ‘qualsevol incident’. Al final, cada organització és responsable de les dades que gestiona.
Sobre els riscos i les precaucions que cal que, individualment, prengui cadascú, l’Autoritat Catalana de Protecció de Dades engega campanyes de difusió com la d’aquesta setmana que, en motiu del Dia Europeu de la Protecció de Dades, que es commemora el 28 de gener. Enguany, l’APDCAT ha elaborat unes ‘píndoles’ de protecció de dades que donen coneixements bàsics per poder conservar el dret a la protecció de dades. En aquest sentit, quan un usuari dona les seves dades té el dret de decidir sobre el seu tractament. Per això, la llei estableix el dret d’accés, el dret de rectificació, el dret de supressió, el dret de portabilitat de les dades, el dret de limitació i el dret a no ser objecte de decisions individuals automatitzades. Aquest darrer comença a prendre força en una situació d’evolució tecnològica en què la intel·ligència artificial possibilita que algunes decisions, com pot ser la concessió d’un crèdit, es prenguin sense intervenció humana. Ser conscients de tots aquests drets i de saber utilitzar-los és bàsic per garantir una bona protecció de totes les dades personals.
