La Agencia de Protección de Datos de Cataluña (APDCat) ha sancionado al Hospital Clínico de Barcelona por la falta de medidas de seguridad informática detectada a raíz del ciberataque que sufrió en marzo de 2023. La APDCat considera que el Clínico y sus tres entidades dependientes no tomaron suficientes medidas ni evaluaron correctamente el riesgo para los datos sanitarios que trataban.
Las otras tres entidades son el Consorcio de Atención Primaria de Salud Barcelona Izquierda (CAPSBE), la Fundación de Investigación Clínico Barcelona-Instituto de Investigaciones Biomédicas August Pi i Sunyer (FRCB-Idibaps) y Barnaclinic SA, que se dedica a la medicina privada.
En cuanto al Clínico, esta entidad presta los servicios de seguridad de la información no sólo en relación con los datos tratados en el marco del hospital, sino también en relación con las otras tres entidades. Por tanto, actuaba tanto de responsable de tratamiento como de encargado del tratamiento de los datos, recoge la ACN.
Una vez llevadas a cabo todas las investigaciones, la APDCat le atribuye el incumplimiento de sus obligaciones en estos dos roles diferenciados: como responsable de tratamiento y como encargado del tratamiento. En concreto, por no tener implementadas las medidas de seguridad de prevención, detección y contención esenciales para una prevención mínima, y por no haber hecho el análisis de riesgos necesario para definir las medidas de seguridad aplicables a los tratamientos de datos que llevaba a cabo.
La resolución concluye que el Clínico ha cometido dos infracciones y le reclama que adopte medidas correctoras. El hospital, según la APDCat, «no implementó las medidas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos asociados a los tratamientos de datos que llevaba a cabo por medio de la plataforma corporativa atacada». Si se hubieran tomado estas medidas, dice la resolución, el hospital habría estado más protegido ante un ciberataque y en una mejor capacidad de detección y de respuesta, así como para minimizar los efectos adversos del ataque, tanto por la filtración de datos sanitarios sensibles como por la interrupción de la asistencia sanitaria.
En cuanto a las otras entidades, tanto CAPSBE como FRCB-Idibaps y Barnaclínic actuaban como responsables del tratamiento, añade la misma información. Las resoluciones sancionadoras determinan respectivamente que las entidades no adoptaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, que no llevaron a cabo el pertinente análisis de los riesgos y que no formalizaron un contrato de encargado del tratamiento que recogiera todos los extremos previstos en la normativa de protección de datos personales.
El Clínico deberá informar anualmente hasta 2026 a la APDCat de la implementación de las medidas correctoras y de su cumplimiento. Barnaclínic, por su parte, ha interpuesto un recurso contencioso-administrativo contra la resolución del procedimiento sancionador.
