Filtraciones de datos en Países Bajos: el papel es la causa principal
Pregunte a cualquier empresario de dónde viene una filtración de datos y la respuesta es casi siempre la misma. Los hackers. Sin embargo, esa imagen no cuadra con las cifras. La autoridad neerlandesa de protección de datos (Autoriteit Persoonsgegevens, AP) lleva la cuenta de cuántas filtraciones de datos se notifican y cuál es su causa. De esos informes públicos surge una conclusión sorprendente. La mayor causa de filtraciones de datos en Países Bajos no es un ciberataque, sino el papel. Una carta entregada en el lugar equivocado, un expediente que se pierde, un montón de papel viejo en la calle. Este artículo analiza esas cifras y muestra qué puede hacer usted mismo.
Las cifras que nadie espera
En todo 2024 la Autoriteit Persoonsgegevens recibió 37.839 notificaciones de brechas de datos. Un año después esa cifra siguió subiendo. Detrás de ese total hay un reparto que choca de frente con la intuición. Cuando la AP examina la causa de las filtraciones de datos que notifican empresas y organizaciones, en alrededor del 41 por ciento de los casos se trata de una carta o un paquete con datos personales. Entregado en el lugar equivocado, perdido o devuelto sin abrir. Es con diferencia la categoría más notificada, y además lleva años siéndolo.
Para comparar. El correo electrónico enviado al destinatario equivocado supone alrededor del 18 por ciento. La categoría en la que todo el mundo piensa, el ciberataque de un hacker, es responsable de alrededor del 5 por ciento de las notificaciones. El papel y el correo postal juntos son, por tanto, muchísimo mayores que la imagen del ciberataque que llega a la prensa.
Fuente. Autoriteit Persoonsgegevens, informe sobre brechas de datos del primer semestre de 2024. Porcentajes redondeados. La categoría de otras causas agrupa, entre otras, la comunicación verbal y la pérdida de equipos.
Qué dicen exactamente las cifras, y qué no
Aquí conviene ser honesto, porque con las cifras es fácil exagerar. La categoría del 41 por ciento se refiere a una carta o un paquete con datos personales que acaba en el lugar equivocado. Eso no es lo mismo que papel mal destruido. Buena parte de estas notificaciones surge en el correo postal. Una póliza dirigida al anterior residente, una carta con la dirección equivocada en el sobre, un paquete que se pierde en el reparto. La destrucción de documentos no evita ese tipo de entrega errónea.
Lo que las cifras sí muestran es un patrón más amplio. Los datos personales físicos en papel son en Países Bajos la fuente dominante de filtraciones de datos. No la espectacular, sino la aburrida. Actuaciones humanas con documentos, no código. Dentro de ese patrón amplio hay una parte que sí tiene usted totalmente en su mano. Papel que ya no necesita, pero que sin embargo se queda por ahí o desaparece sin protección en el papel para reciclar. Ese es el rincón evitable del problema, y de eso trata el resto de este artículo.
Por qué el papel es el punto ciego
Casi todas las organizaciones han invertido dinero en los últimos años en seguridad digital. Cortafuegos, política de contraseñas, formación contra el phishing. Con razón, porque un ciberataque puede afectar de golpe a cientos o incluso a más de un millón de personas. Pero mientras la atención iba a la pantalla, el armario de archivo quedaba fuera de foco. Ahí están las carpetas con nóminas, las cajas con viejos expedientes de clientes, el cajón con documentos que en realidad ya podrían haberse ido.
Ese punto ciego es lógico. Una fuga digital se siente moderna y amenazante. Un montón de papel se siente inofensivo. Sin embargo, ese papel suele estar accesible durante años para cualquiera que pase por delante, mucho más tiempo del que un atacante permanece en una red. Una mudanza, una reforma, un empleado que se va. Cada momento en que se mueven cajas es un momento en que el papel puede acabar en la calle. Las cifras de la AP muestran que esto no es teoría, sino la práctica más notificada.
¿Reconoce este riesgo en su propio archivo? Entonces siga leyendo en 6 señales de que su archivo es un riesgo para el RGPD.
Qué resuelve la destrucción y qué no
Es tentador afirmar ahora que la destrucción de documentos resuelve el problema de las filtraciones de datos. No sería honesto. La destrucción no evita que una carta se entregue en el lugar equivocado ni que un correo electrónico vaya a la persona equivocada. Lo que la destrucción sí hace es eliminar una fuente concreta y evitable. A saber, el papel que ya no necesita.
Piense en la administración de clientes cuyo plazo de conservación ha pasado, en los expedientes de personal de gente que se fue hace años, en las cartas de solicitud de empleo que nunca debió conservar. Mientras ese papel exista, es una fuga potencial. En cuanto queda destruido de forma demostrable, el riesgo desaparece. No trasladado a otro armario, sino de verdad eliminado. Esa es la ganancia sobria. Reduce el montón que algún día puede convertirse en una notificación.
Hay una segunda razón. Si a pesar de todo algo sale mal, debe poder demostrar que trata los datos con cuidado. Un certificado de destrucción es ahí su prueba. Muestra que el papel se destruyó al nivel correcto y cuándo. Eso marca la diferencia entre estar demostrablemente bajo control y no poder enseñar nada a posteriori. Más sobre esa carga de la prueba en destrucción demostrable para el RGPD.
Autoevaluación: ¿qué vulnerable es su flujo de papel?
Las cifras de la AP abarcan todo Países Bajos. La pregunta que cuenta es cómo se ve su propia situación. Repase estos puntos.
- ¿Sabe qué papel ha superado el plazo de conservación? Todo lo que se queda demasiado tiempo es un riesgo innecesario.
- ¿Hay en algún sitio una caja con viejos expedientes sin destino claro? Es justo el montón que se pierde en una mudanza.
- ¿El papel confidencial acaba a veces en el papel para reciclar corriente? Un contenedor de papel abierto pasa días en la calle.
- ¿Recibe una prueba cuando se destruye el papel? Sin certificado no puede demostrar nada a posteriori.
- ¿Sabe quién tiene acceso a su archivo físico? El acceso sin control es una fuga en ciernes.
Si duda en uno o más puntos, ahí está su vulnerabilidad. Una primera limpieza reduce el montón de inmediato. Cómo abordarlo está en el plan paso a paso para ordenar su archivo, y para administración más pequeña en ordenar la administración antigua.
Cuánto cuesta retirar ese montón
Hacer destruir papel de forma confidencial no es una gran inversión. Paga un precio fijo por caja o contenedor con ruedas, desde unos 30 euros por la primera caja. El certificado va incluido. En un radio de 20 km alrededor de Ámsterdam no cobramos gastos de desplazamiento. Gracias a las rutas agrupadas, un precio fijo también es posible en todo el país. Una limpieza puntual de años de papel acumulado se resuelve así de una vez. Comparado con el coste y el daño reputacional de una filtración de datos, es un precio pequeño por un riesgo que elimina por completo.
Un ejemplo de la práctica
Una asesoría descubre en una mudanza una sala llena de cajas con viejos expedientes de clientes. Nadie sabe ya exactamente qué contienen. El contenido resulta haber superado con creces el plazo de conservación. En el edificio antiguo las cajas estaban abiertas y accesibles para limpiadores, visitas y personal temporal. Justo el tipo de situación en la que surge una filtración de datos. La asesoría hace recoger las cajas selladas y destruir al nivel correcto, y registra los certificados en el registro de actividades de tratamiento. El montón vulnerable ha desaparecido, la prueba está ahí, y en la siguiente inspección se puede mostrar en unos minutos que el papel se ordenó de forma demostrable.
¿Retirar el montón de papel sensible?
Indique cuántas cajas o carpetas han superado el plazo de conservación y recibe un precio fijo. Lo recogemos sellado, lo destruimos al nivel DIN adecuado y recibe un certificado como prueba para su expediente RGPD. Sin gastos de desplazamiento en un radio de 20 km alrededor de Ámsterdam.
Solicitar presupuestoPreguntas frecuentes
¿Cuál es la mayor causa de filtraciones de datos en Países Bajos?
Según la Autoriteit Persoonsgegevens, alrededor del 41 por ciento de las notificaciones de brechas de datos por parte de organizaciones se refiere a una carta o un paquete con datos personales entregado en el lugar equivocado, perdido o devuelto sin abrir. El papel y el correo postal son así la causa más notificada, muy por encima de los ciberataques.
¿No son los hackers la causa principal de las filtraciones de datos?
En número no. Los ciberataques suponen alrededor del 5 por ciento de las notificaciones. Sí que afectan a menudo a muchas más personas por incidente y su impacto es grande. En cifras puras, los errores humanos con papel y correo electrónico son mucho más numerosos.
¿Resuelve la destrucción de documentos el problema de las filtraciones de datos?
No del todo. La destrucción no evita que una carta se entregue en el lugar equivocado. Sí que resuelve una fuente concreta y evitable. Papel que se queda demasiado tiempo por ahí o que se tira sin protección. La destrucción demostrable saca ese montón de su riesgo.
¿De dónde vienen estas cifras?
De los informes públicos sobre brechas de datos de la Autoriteit Persoonsgegevens. La AP publica cada año el número de notificaciones y las causas principales. Los porcentajes de este artículo proceden de esos informes y pueden consultarse en el sitio de la AP.
¿Qué puede hacer mi organización de inmediato?
Cartografíe su flujo de papel, revise los plazos de conservación y haga destruir de forma confidencial, con certificado, los documentos que pueden irse. Así reduce el montón de papel sensible que puede convertirse en una filtración de datos. Un enfoque más amplio para la pyme está en RGPD y destrucción de documentos, qué debe hacer la pyme.
Conclusión
La idea de que las filtraciones de datos son sobre todo obra de los hackers no cuadra con las cifras neerlandesas. La Autoriteit Persoonsgegevens muestra año tras año que el papel y el correo postal son la causa más notificada, muy por encima del ciberataque. Una parte de ello ocurre en el correo y es difícil de evitar. Pero otra parte la tiene usted totalmente en su mano. El papel que ha superado el plazo de conservación y que sin embargo se queda por ahí es una fuga esperando a ocurrir. Cartografíe su flujo de papel, revise los plazos y haga destruir de forma demostrable lo que puede irse. Así retira de su propia casa la causa más aburrida pero mayor de las filtraciones de datos.
Lea también: ¿sabe qué hacer si a pesar de todo algo sale mal? Entonces siga el plan paso a paso para notificar una brecha de datos en 72 horas. Profundice después con 6 señales de que su archivo es un riesgo para el RGPD y destrucción demostrable para el RGPD.
¿Retirar de su propia casa la causa principal? Solicite un presupuesto en desnipperaar.nl o lea primero cómo el certificado de destrucción constituye su prueba. Recogemos el papel sensible sellado.