El Hospital Clínic no tenía medidas de seguridad para protegerse del ciberataque
La Autoridad Catalana de Protección de Datos sanciona al centro sanitario por no prevenir la intrusión que filtró datos confidenciales
BarcelonaEl Hospital Clínic incumplía las medidas de seguridad informática cuando recibió el ciberataque del grupo RansomHouse; una intrusión que acabó con la filtración de miles de datos personales de pacientes, trabajadores, estudios médicos y del mismo centro. Ante estos hechos la Autoridad Catalana de Protección de Datos (APDCAT) ha sancionado al hospital porque no evaluó correctamente el riesgo asociado a los datos sanitarios que trata ni tomó. las medidas que se le requieren. En concreto, este organismo que cuelga del Gobierno determina que el Clínic infringió la normativa de protección de datos y también su responsabilidad en el tratamiento de datos confidenciales.
Según la Generalitat, el Clínic no tenía implementadas las medidas de seguridad de detección y contención para una prevención mínima. CAPSBE), el Instituto de Investigaciones Biomédicas August Pi i Sunyer (Idibaps) y Barnaclínic, que se dedica a la medicina privada. les obliga a informar de la implementación de medidas correctoras y de su cumplimiento hasta 2026, pero no les impone ninguna sanción económica. apropiadas para garantizar un nivel de seguridad adecuado a los riesgos asociados a los tratamientos de datos”. ciberataque y en una mejor capacidad de detección y de respuesta, recoge la resolución. El ciberataque obligó al hospital a anular operaciones y sesiones de radioterapia programadas.
En cuanto a las otras tres entidades que dependen del hospital, la APDCAT determina que no adoptaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los datos. La resolución también recoge que no realizaron el análisis de los riesgos. Según informa el ACN, Barnaclínic ya ha interpuesto un recurso contencioso administrativo contra la resolución del procedimiento sancionador.
"El riesgo cero no existe"
Fuentes del hospital han recordado que, desde que tuvieron constancia del ciberataque, trabajaron con el Govern para enmendar el error. "Hemos estado trabajando desde el primer día con la Agencia de Ciberseguridad de Catalunya. El riesgo cero no existe", defienden. Meses después del ataque, sus autores publicaron un paquete de datos de casi 4,5 terabytes. El robo contenía todo tipo de datos personales de trabajadores, como nombres y apellidos, DNI, currículos, listas de contraseñas de diferentes servicios online, números de cuentas bancarias e incluso firmas escaneadas. También de pacientes –a menudo identificados con nombre y apellidos– como informes de seguimiento de estudios médicos de fármacos para diferentes tipos de cáncer y registros de donaciones de órganos y tejidos y de analíticas de muestras y biopsias. Además, también se robaron documentos de investigación y trabajo, como borradores de artículos científicos y protocolos médicos.