Recomanacions de l'APDA a divuit entitats després de l'atac a Andornet

L’Agència Andorrana de Protecció de Dades (APDA) dona per finalitzada la primera part de la inspecció sobre el ciberatac que va patir el proveïdor de serveis tecnològics Andornet el passat 22 de novembre.

De les 38 notificacions de violacions de seguretat rebudes a l’APDA, s’han tancat quinze que no afectaven dades personals (com, per exemple, un bloqueig de la pàgina web); s’han fet recomanacions a divuit entitats per millorar diferents aspectes de la protecció de dades (com revisar el contracte d’encàrrec de tractament amb el proveïdor de serveis, avaluar si aquest encarregat aplica les mesures de seguretat adequades o mantenir un enfocament proactiu per garantir la normativa de protecció de dades), i s’ha fet un requeriment a quatre entitats que no van enviar la notificació completa en el termini establert d’un mes. A aquests organismes se’ls ha demanat una explicació dels motius pels quals no han presentat la notificació i que facilitin a l’APDA la comunicació feta als seus afectats, si és que n’hi ha.

Finalment, a Andornet se li ha fet un requeriment més exhaustiu en què, entre altres, se li ha sol·licitat la relació d’entitats clientes afectades per la violació de la seguretat amb implicacions sobre les dades personals; els contractes d’encàrrec de tractament amb diferents organismes, incloent-hi públics i parapúblics, així com detalls tècnics del ciberatac.