La Autoridad de Protección de Datos estudia si sanciona al hospital Clínic por la megafiltración de datos privados

La Autoridad Catalana de Protección de Datos (Apdcat) estudia si sanciona al hospital Clínic por la megafiltración de datos personales y sanitarios tras el ciberataque sufrido el pasado mes de marzo. La entidad inició a finales de abril una actuación de oficio ante el robo de una información considerada muy sensible por ser del ámbito sanitario. Actualmente está recogiendo información para determinar el origen de la brecha de seguridad y a quién corresponde asumir las responsabilidades, si las hay, a través de un expediente informativo que derivaría en un expediente sancionador. La Apdcat estudia si el Clínic y sus entidades asociadas habían implementado las medidas adecuadas para garantizar la seguridad de los datos que custodian y prevé completar el expediente a partir de septiembre. Un portavoz del Clínic asegura que “no se valora la posibilidad de que el ciberataque acabe con una sanción al hospital”.

La directora de la Apdcat, Meritxell Borràs, ha comparecido este jueves ante la Comisión de Asuntos Institucionales del Parlament, donde ha detallado el proceso de investigación. Borràs ha asegurado que el Clínic comunicó la “violación de seguridad” dentro del plazo previsto tras el ataque y que está implementando nuevas medidas para fortalecer su seguridad, pero ha cuestionado si la las medidas anteriores eran las adecuadas: “Valoramos el esfuerzo hecho por comunicar. Pero estamos, eso sí, en la fase de valorar si la situación previa al ‘ransomware’ tenía el sistema de seguridad adecuado”.

Borràs ha alertado de que cada vez más organizaciones usan sistemas de reconocimiento facial sin proponer ninguna alternativa, pese a que solo pueden aplicarse en supuestos concretos tasados por ley. La directora ha reclamado “implicación” para limitar el uso de estos sistemas, que representan un “riesgo importante” para la “libertad individual”.

Durante su intervención, Borràs también ha puesto de relieve el aumento de un 54% de expedientes sancionadores incoados en 2022, y ha destacado que el mayor número de infracciones declaradas se relaciona, como en años anteriores, con la vulneración del principio de confidencialidad, seguida de la infracción del principio de licitud.

Ciberataques a hospitales

El ataque se consumó en un contexto creciente de ciberataques a infraestructuras sanitarias a partir de la pandemia, como ha subrayado el director de la Agència de Ciberseguretat de Catalunya, Tomàs Roy. Según ha detallado, la tendencia anterior era atacar la administración local, aunque en 2020 ya se produjo un ciberataque al entorno del Hospital de la Vall d’Hebron que obligó a extremar las precauciones y poner los sistemas al día. La Agència logró detener “por primera vez” un nuevo ataque en 2021, como también se paró un ciberataque a la UPF hace un par de semanas que hubiera podido terminar como el ‘ransomware’ a la UAB, ha dicho. “Se ha hablado de ataque. Para nosotros, ha sido la evitación de un ataque. Es para nosotros un caso de éxito”, ha dicho Roy, que ha explicado que el fin de semana anterior también se paró un ataque a los sistemas de la Generalitat gracias a la acción coordinada de 120 profesionales.

Roy ha comparecido ante el Parlament para exponer la memoria de la actividad de la Agència de Ciberseguretat en 2021, mientras que Borràs ha presentado la de la Apdcat correspondiente a 2022.

Puedes seguir a EL PAÍS Catalunya en Facebook y Twitter, o apuntarte aquí para recibir nuestra newsletter semanal