La Generalitat concluye que el Cl¨ªnic no ten¨ªa medidas de seguridad ¡°m¨ªnimas¡± para contener el ciberataque de 2023

El hospital Cl¨ªnic de Barcelona no ten¨ªa medidas de seguridad para una ¡°prevenci¨®n m¨ªnima¡± contra los ciberataques y no realiz¨® un an¨¢lisis de riesgo necesario para definir las medidas de seguridad aplicables al tratamiento de datos personales. Esta es la conclusi¨®n a la que ha llegado la Autoridad Catalana de Protecci¨®n de Datos (Apdcat) tras investigar la macrofiltraci¨®n de datos que sufri¨® el centro sanitario en el ciberataque sufrido en marzo de 2023.

¡°Una vez realizadas todas las investigaciones, la Agencia le atribuye el incumplimiento de sus obligaciones como responsable y encargado del tratamiento de datos¡±, concluye la resoluci¨®n de la entidad p¨²blica, publicada en su portal. La Autoridad, entidad independiente y p¨²blica, requiere al Cl¨ªnic que adopte ¡°medidas correctoras¡± y las acredite para cumplirlas; algo que ya viene ocurriendo.

El 5 de marzo de 2023, el Cl¨ªnic detect¨® un ataque con software de secuestro (conocido como ransomware) que afectaba a sus sistemas de informaci¨®n y a las de sus entidades vinculadas: el Consorcio de Atenci¨®n Primaria de Salud Barcelona Esquerra (CAPSBE); la Fundaci¨®n de Investigaci¨®n Cl¨ªnic Barcelona-Instituto de Investigaciones Biom¨¦dicas August Pi y Sunyer (FRCB-IDIBAPS) y Barnacl¨ªnic, el ala privada del centro.

El robo sustrajo 4,5 terabytes de informaci¨®n confidencial. El grupo criminal public¨® primero en la dark web una parte de la informaci¨®n y pidi¨® m¨¢s de cuatro millones de euros para evitar una filtraci¨®n masiva, que se realiz¨® definitivamente al cabo de cuatro meses. La informaci¨®n expuso datos identificativos y asistenciales, datos personales de los trabajadores y datos personales de proveedores, principalmente. Durante los primeros d¨ªas posteriores al ataque, el hospital tuvo que desprogramar cirug¨ªas y visitas; y realiz¨® el seguimiento de los pacientes a mano.

La Apdcat inici¨® a finales de abril de 2023 una actuaci¨®n de oficio ante el robo de una informaci¨®n considerada muy sensible por ser del ¨¢mbito sanitario; y durante todo este tiempo ha evaluado si las entidades afectadas cometieron infracciones cometidas en el marco de la normativa de protecci¨®n de datos y la responsabilidad que les correspond¨ªa. ¡°Antes de sufrir el ciberataque, el Hospital Cl¨ªnic no ten¨ªa implementadas las medidas de seguridad de prevenci¨®n, detecci¨®n y contenci¨®n (...) esenciales para una prevenci¨®n m¨ªnima frente a los ciberataques y una reacci¨®n adecuada en caso de incidente¡±, subraya el documento.

Mientras que la entidad resuelve que el Cl¨ªnic incumpli¨® en sus obligaciones como responsable y encargado del tratamiento de datos; considera que las otras entidades implicadas tampoco ¡°adoptaron las medidas t¨¦cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento¡±. La sanci¨®n no es econ¨®mica para el Cl¨ªnic, al ser una entidad p¨²blica; pero s¨ª para Barnacl¨ªnic, que ha impugnado la resoluci¨®n.