El grave ciberataque que sufrió el Hospital Clínic en marzo de 2023 ha derivado en una sanción por falta de seguridad informática. La Agencia de Protección de Datos de Cataluña (APDCat) ha tomado esta decisión tras investigar el caso y constatar que ni el equipamiento sanitario barcelonés ni sus tres entidades dependientes -el Consorcio de Atención Primaria de Salud Barcelona Esquerra (CAPSBE), la Fundación de Investigación Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-Idibaps) y Barnaclinic SA- no tomaron suficientes medidas ni evaluaron correctamente el riesgo para los datos sanitarios que trataban.
Es importante recordar que el procedimiento que ha culminado con esta sanción se inició el 22 de junio de 2023 con el objetivo de determinar si el hospital había incumplido la normativa de protección de datos después de que estos se filtraran a raíz del ciberataque. Protección de Datos ha evaluado durante este tiempo las infracciones que han sido cometidas tanto por el Clínic como por las entidades dependientes y la responsabilidad que les correspondía, ya sea como responsables del tratamiento, o como encargados del tratamiento.
Ni la prevención ni la reacción adecuadas
Una vez realizadas todas las investigaciones, la APDCat atribuye al hospital barcelonés el incumplimiento de sus obligaciones en dos roles diferenciados: como responsable de tratamiento de los datos y como encargado del tratamiento. En concreto, las infracciones detectadas son el hecho de no tener implementadas las medidas de seguridad de prevención, detección y contención esenciales para una prevención mínima, y de no haber realizado el análisis de riesgos necesario para definir las medidas de seguridad aplicables a los tratamientos de datos que llevaba a cabo.
En el caso de las tres entidades, el procedimiento concluye que no adoptaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, que no llevaron a cabo el pertinente análisis de los riesgos y que no formalizaron un contrato de encargado del tratamiento que recogiera todos los extremos previstos en la normativa de protección de datos personales. Por su parte, Barnaclinic ya ha interpuesto un recurso contencioso administrativo contra la resolución del procedimiento sancionador.
