ACN Barcelona – L’Agència de Protecció de Dades de Catalunya (APDCat) ha sancionat l’Hospital Clínic per la manca de mesures de seguretat informàtica detectada arran del ciberatac que va rebre el març del 2023. L’APDCat considera que el Clínic i les seves tres entitats dependents, no van prendre suficients mesures ni van avaluar correctament el risc per a les dades sanitàries que tractaven. Les altres tres entitats són el Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-Idibaps) i Barnaclinic SA, que es dedica a la medicina privada.
Cadascuna d’aquestes entitats ha estat objecte del corresponent procediment sancionador, en els quals s’han avaluat les infraccions que han estat comeses en el marc de la normativa de protecció de dades i la responsabilitat que els hi corresponia, ja sigui com a responsable del tractament, o com a encarregat del tractament.
Pel que fa a l’Hospital Clínic, aquesta entitat presta els serveis de seguretat de la informació no tan sols en relació amb les dades tractades en el marc de l’hospital, sinó també en relació amb les altres tres entitats. Per tant, actuava tant de responsable de tractament com d’encarregat del tractament de les dades.
Un cop dutes a terme totes les investigacions, l’APDCat li atribueix l’incompliment de les seves obligacions en aquests dos rols diferenciats: com a responsable de tractament i com a encarregat del tractament. En concret, per no tenir implementades les mesures de seguretat de prevenció, detecció i contenció essencials per a una prevenció mínima, i per no haver fet l’anàlisi de riscos necessària per definir les mesures de seguretat aplicables als tractaments de dades que duia a terme.
La resolució conclou que el Clínic ha comès dues infraccions i li reclama que adopti mesures correctores. L’hospital, segons l’APDCat, “no va implementar les mesures apropiades per garantir un nivell de seguretat adequat als riscos associats als tractaments de dades que duia a terme per mitjà de la plataforma corporativa atacada”. Si s’haguessin pres aquestes mesures, diu la resolució, l’hospital hauria estat més protegit davant d’un ciberatac i en una millor capacitat de detecció i de resposta, així com a minimitzar els efectes adversos de l’atac, tant per la filtració de dades sanitàries sensibles o per la interrupció de l’assistència sanitària.
Pel que fa a les altres entitats, tant CAPSBE com FRCB-Idibaps i Barnaclínic actuaven com a responsables del tractament. Les resolucions sancionadores determinen respectivament que les entitats no van adoptar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc del tractament, que no van dur a terme la pertinent anàlisi dels riscos i que no van formalitzar un contracte d’encarregat del tractament que recollís tots els extrems previstos a la normativa de protecció de dades personals.
El Clínic haurà d’informar anualment fins el 2026 a l’APDCat de la implementació de les mesures correctores i del seu compliment.
Barnaclínic ha interposat un recurs contenciós-administratiu contra la resolució del procediment sancionador.
