El riesgo de externalizar el tratamiento de la información personal a terceros se pone de manifiesto en las últimas estadísticas sobre filtraciones de datos, publicadas hoy por la Oficina del Comisario de Información de Australia (OAIC).
La Comisaria de Información australiana, Angelene Falk, ha declarado que la OAIC sigue recibiendo notificaciones de un elevado número de violaciones de datos que afectan a múltiples partes, la mayoría de las cuales son el resultado de una violación de un proveedor de servicios en la nube o de programas informáticos.
«El aumento de incidentes que afectan a múltiples partes es una de las razones por las que estamos viendo que las violaciones de datos crecen en complejidad, escala e impacto», dijo la Comisaria Falk.
«Las organizaciones deben abordar de forma proactiva los riesgos para la privacidad en los acuerdos contractuales con terceros proveedores de servicios.
«Esto incluye disponer de procesos y políticas claras para el tratamiento de la información personal y de un plan de respuesta a la violación de datos que asigne funciones y responsabilidades para la gestión de un incidente y el cumplimiento de las obligaciones reglamentarias de información», ha declarado el Comisario Falk.
Entre julio y diciembre de 2023 se notificaron al OAIC 483 violaciones de datos, un 19% más que en el primer semestre del año. Se produjeron 121 notificaciones secundarias adicionales, un aumento significativo respecto a las 29 notificaciones de enero a junio de 2023.
Los ataques malintencionados o delictivos siguieron siendo la principal fuente de filtraciones de datos, con 322 notificaciones, y la mayoría de ellas (211 notificaciones) fueron incidentes de ciberseguridad.
Los sectores sanitario y financiero siguieron siendo los principales notificadores de violaciones de datos, con 104 y 49 notificaciones respectivamente.
El Comisario Falk declaró que el sistema de Notificación de las violaciones de datos está ya bien establecido y que la OAIC espera que las organizaciones cumplan sus obligaciones.
«La OAIC está intensificando sus acciones reguladoras en materia de violación de datos, y hemos iniciado un procedimiento de sanción civil ante el Tribunal Federal», declaró el Comisario Falk.
«Estamos dando prioridad a las acciones reguladoras en los casos en los que parece haber graves incumplimientos de los requisitos de información del sistema y de la adopción de medidas razonables para proteger la información personal, y en los que las organizaciones conservan los datos mucho más tiempo del necesario.
«Como guardianes de la información personal de los australianos, las organizaciones deben adoptar medidas de seguridad para minimizar el riesgo de violación de datos.
«Si se produce una violación de datos, las organizaciones deben situar a la persona en el centro de su respuesta, asegurándose de que se le informa con prontitud para minimizar el riesgo de daños».
El Gobierno australiano respondió a la revisión de la Ley de Privacidad de 1988 (Cth) llevada a cabo por el Departamento del Fiscal General en el segundo semestre de 2023, aceptando en principio propuestas que reforzarían el sistema de violaciones de datos de notificación obligatoria, incluidos cambios en los plazos de notificación.
La publicación del informe sobre las violaciones de datos notificables se produce poco antes del inicio del mandato de Carly Kind como Comisaria de Privacidad, el 26 de febrero.
«Espero dar la bienvenida al Comisario Kind a la OAIC en un momento en que la privacidad y la protección de la información personal nunca han sido más cruciales para la comunidad australiana», declaró el Comisario Falk.
Lea el informe sobre violaciones de datos notificables de julio a diciembre de 2023.
https://www.oaic.gov.au/newsroom/data-breach-report-highlights-supply-chain-risks