La industria de servicios de salud privada es una vez más el sector con el mayor número de violaciones de datos reportadas en Australia, lo que representa el 18% de todas las violaciones notificadas a la Oficina del Comisionado de Información de Australia (OAIC) durante la segunda mitad de 2021.
Del total de 464 notificaciones de violación de datos enviadas a la OAIC durante los seis meses a diciembre, los proveedores de servicios de salud privados informaron 83 de ellas. Finanzas presentó la segunda mayor cantidad con 56, mientras que los servicios legales, contables y de administración completaron los tres primeros con 51.
Las 464 violaciones de datos recibidas por el comisionado de información bajo el esquema de Violaciones de datos notificables (NDB) marcaron un aumento del 6% en comparación con la primera mitad de 2021.
En cuanto a las filtraciones de datos notificadas al comisionado durante este período, los ataques maliciosos o criminales se mantuvieron como la principal fuente de filtraciones, con 256 notificaciones. A pesar de que los ataques maliciosos o criminales son la razón principal de las filtraciones de datos, las 256 notificaciones representan una disminución del 9 % con respecto al período anterior.
Al mismo tiempo, se produjo un aumento significativo de las infracciones por error humano, que aumentaron un 43 % hasta las 190, tras un descenso en el período anterior. Mientras tanto, las fallas del sistema fueron la fuente del 4% de las filtraciones de datos durante el período.
Desglosando las causas principales de las infracciones por errores humanos notificadas a la OAIC, el 43 % de ellas se debió a que se envió información personal por correo electrónico al destinatario incorrecto, el 21 % se debió a una divulgación no intencional, mientras que el 8 % se debió a que las personas perdieron documentos o dispositivos de almacenamiento de datos.
La mayoría de las infracciones, el 85 %, involucraron información de contacto, como el nombre de una persona, la dirección de su casa, el número de teléfono o la dirección de correo electrónico. La información de identidad como la fecha de nacimiento, los detalles del pasaporte y los detalles de la licencia de conducir quedaron expuestos en el 40% de las filtraciones de datos. Los detalles financieros, como números de cuentas bancarias y tarjetas de crédito, estuvieron involucrados en el 39% de las infracciones.
El esquema NDB ha estado en funcionamiento desde principios de 2018, y la comisionada de información, Angelene Falk, dijo que ahora espera que las organizaciones cuenten con medidas sólidas de responsabilidad para prevenir y administrar las filtraciones de datos de acuerdo con los requisitos legales y las expectativas de la comunidad.
A pesar de esta expectativa, Falk señaló que algunas organizaciones continúan sin cumplir con los requisitos de evaluación y notificación del esquema. Por ejemplo, el 11% de las organizaciones que experimentaron fallas en el sistema no se dieron cuenta del incidente durante más de un año.
«Los retrasos en la evaluación y la notificación reducen las oportunidades de que una persona tome medidas para protegerse del daño», dijo Falk.
«Si las organizaciones desean ganarse la confianza de los clientes, entonces es esencial que utilicen las mejores prácticas para minimizar las filtraciones de datos y, cuando ocurran, pongan a las personas en el centro de su respuesta».
El mes pasado, la OAIC pidió más medidas de rendición de cuentas de datos a la luz de la consulta del Departamento del Fiscal General (AGD) para su revisión de la Ley de Privacidad.
La AGD comenzó su revisión de la Ley de Privacidad del país a fines de 2020 como parte de la respuesta de la Commonwealth a la Investigación de Plataformas Digitales de la Comisión Australiana de Competencia y Consumidores, que encontró que las leyes debían actualizarse para proteger adecuadamente a los consumidores y sus datos.
Entre las medidas impulsadas por la OAIC se encuentra la obligación central de recopilar, usar y divulgar información personal de manera justa y razonable para las entidades bajo el alcance de los Principios de privacidad de Australia.
