El greu ciberatac que va patir l’Hospital Clínic el març del 2023 ha derivat en una sanció per falta de seguretat informàtica. L’Agència de Protecció de Dades de Catalunya (APDCat) ha pres aquesta decisió després d’investigar el cas i constatar que ni l’equipament sanitari barceloní ni les seves tres entitats dependents -el Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-Idibaps) i Barnaclinic SA- no van prendre suficients mesures ni van avaluar correctament el risc per a les dades sanitàries que tractaven.
Cal recordar que el procediment que ha culminat amb aquesta sanció va iniciar-se el 22 de juny del 2023 amb l’objectiu de determinar si l’hospital havia incomplert de la normativa de protecció de dades després que aquestes es filtressin arran del ciberatac. Protecció de Dades ha avaluat durant aquest temps les infraccions que han estat comeses tant pel Clínic com per les entitats dependents i la responsabilitat que els hi corresponien, ja sigui com a responsables del tractament, o com a encarregats del tractament.
Ni la prevenció ni la reacció adequades
Un cop dutes a terme totes les investigacions, l’APDCat atribueix a l’hospital barceloní l’incompliment de les seves obligacions en dos rols diferenciats: com a responsable de tractament de les dades i com a encarregat del tractament. En concret, les infraccions detectades són el fet de no tenir implementades les mesures de seguretat de prevenció, detecció i contenció essencials per a una prevenció mínima, i de no haver fet l’anàlisi de riscos necessària per definir les mesures de seguretat aplicables als tractaments de dades que duia a terme.
En el cas de les tres entitats, el procediment conclou que no van adoptar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc del tractament, que no van dur a terme la pertinent anàlisi dels riscos i que no van formalitzar un contracte d’encarregat del tractament que recollís tots els extrems previstos a la normativa de protecció de dades personals. Per la seva banda, Barnaclínic ja ha interposat un recurs contenciós administratiu contra la resolució del procediment sancionador.
