La Autoridad Catalana de Protección de Datos (APDCAT) ha sancionado al Hospital Clínic de Barcelona y a sus entidades asociadas por no tener las medidas de seguridad correctas para una “prevención mínima” contra los ciberataques.
El regulador de la Generalitat ha resuelto el expediente que abrió el año pasado a raiz del ciberataque que sufrió el hospital barcelonés y que comportó al filtración de miles de datos.
Máximo responsable
Tras la investigación, la APDCAT ha concluido que el Clínic es el máximo responsable del tratamiento de los datos y su encargado.
No obstante, también ha sancionado al Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS) y Barnaclínic, S.A, aunque estos últimos han presentado un recurso contensioso-administrativo contra esta decisión.
Reportar a la APDCat
Todas las entidades no disponían de las medidas de seguridad de prevención, detección y contención necesarias, así como tampoco realizaron un análisis de riesgos para definir qué medidas de seguridad debían aplicar al procesamiento de los datos.
El centro hospitalario y las entidades adheridas -excepto Barnaclínic- deberán informar a la APDCat hasta 2026 sobre la implementación de las medidas correctoras y de su cumplimiento.
El ciberataque
El 5 de marzo de 2023 el Hospital Clínic sufrió un ciberataque que obligó a desprogramar operaciones no urgentes, las consultas externas y a aplazar sesiones de radioterapia oncológica.
Los hackers exigieron 4,5 millones de euros, pero la administración del hospital anunció que no pagaría. Como consecuencia, los delincuentes hicieron tres filtraciones de datos a lo largo de cuatro meses.
Durante las tres semanas posteriores al ciberataque, los servicios del centro estuvieron afectados y se fueron recuperando de forma paulatina.