La Autoridad de Protecci¨®n de Datos estudia si sanciona al hospital Cl¨ªnic por la megafiltraci¨®n de datos privados

La Autoridad Catalana de Protecci¨®n de Datos (Apdcat) estudia si sanciona al hospital Cl¨ªnic por la megafiltraci¨®n de datos personales y sanitarios tras el ciberataque sufrido el pasado mes de marzo. La entidad inici¨® a finales de abril una actuaci¨®n de oficio ante el robo de una informaci¨®n considerada muy sensible por ser del ¨¢mbito sanitario. Actualmente est¨¢ recogiendo informaci¨®n para determinar el origen de la brecha de seguridad y a qui¨¦n corresponde asumir las responsabilidades, si las hay, a trav¨¦s de un expediente informativo que derivar¨ªa en un expediente sancionador. La Apdcat estudia si el Cl¨ªnic y sus entidades asociadas hab¨ªan implementado las medidas adecuadas para garantizar la seguridad de los datos que custodian y prev¨¦ completar el expediente a partir de septiembre. Un portavoz del Cl¨ªnic asegura que ¡°no se valora la posibilidad de que el ciberataque acabe con una sanci¨®n al hospital¡±.

La directora de la Apdcat, Meritxell Borr¨¤s, ha comparecido este jueves ante la Comisi¨®n de Asuntos Institucionales del Parlament, donde ha detallado el proceso de investigaci¨®n. Borr¨¤s ha asegurado que el Cl¨ªnic comunic¨® la ¡°violaci¨®n de seguridad¡± dentro del plazo previsto tras el ataque y que est¨¢ implementando nuevas medidas para fortalecer su seguridad, pero ha cuestionado si la las medidas anteriores eran las adecuadas: ¡°Valoramos el esfuerzo hecho por comunicar. Pero estamos, eso s¨ª, en la fase de valorar si la situaci¨®n previa al ¡®ransomware¡¯ ten¨ªa el sistema de seguridad adecuado¡±.

Borr¨¤s ha alertado de que cada vez m¨¢s organizaciones usan sistemas de reconocimiento facial sin proponer ninguna alternativa, pese a que solo pueden aplicarse en supuestos concretos tasados por ley. La directora ha reclamado ¡°implicaci¨®n¡± para limitar el uso de estos sistemas, que representan un ¡°riesgo importante¡± para la ¡°libertad individual¡±.

Durante su intervenci¨®n, Borr¨¤s tambi¨¦n ha puesto de relieve el aumento de un 54% de expedientes sancionadores incoados en 2022, y ha destacado que el mayor n¨²mero de infracciones declaradas se relaciona, como en a?os anteriores, con la vulneraci¨®n del principio de confidencialidad, seguida de la infracci¨®n del principio de licitud.

Ciberataques a hospitales

El ataque se consum¨® en un contexto creciente de ciberataques a infraestructuras sanitarias a partir de la pandemia, como ha subrayado el director de la Ag¨¨ncia de Ciberseguretat de Catalunya, Tom¨¤s Roy. Seg¨²n ha detallado, la tendencia anterior era atacar la administraci¨®n local, aunque en 2020 ya se produjo un ciberataque al entorno del Hospital de la Vall d¡¯Hebron que oblig¨® a extremar las precauciones y poner los sistemas al d¨ªa. La Ag¨¨ncia logr¨® detener ¡°por primera vez¡± un nuevo ataque en 2021, como tambi¨¦n se par¨® un ciberataque a la UPF hace un par de semanas que hubiera podido terminar como el ¡®ransomware¡¯ a la UAB, ha dicho. ¡°Se ha hablado de ataque. Para nosotros, ha sido la evitaci¨®n de un ataque. Es para nosotros un caso de ¨¦xito¡±, ha dicho Roy, que ha explicado que el fin de semana anterior tambi¨¦n se par¨® un ataque a los sistemas de la Generalitat gracias a la acci¨®n coordinada de 120 profesionales.

Roy ha comparecido ante el Parlament para exponer la memoria de la actividad de la Ag¨¨ncia de Ciberseguretat en 2021, mientras que Borr¨¤s ha presentado la de la Apdcat correspondiente a 2022.

Puedes seguir a EL PA?S Catalunya en Facebook y Twitter, o apuntarte aqu¨ª para recibir nuestra newsletter semanal