La Autoritat Catalana de Protecció de Dades (APDCAT) ha resuelto los expedientes sancionadores al hospital Clínic de Barcelona y a sus entidades asociadas por el incumplimiento de sus obligaciones respecto a la protección de datos que quedaron al descubierto con del ciberataque que sufrió en marzo del 2023. El regulador de la Generalitat ha determinado que el centro hospitalario no disponía de las medidas de seguridad de prevención, detección y contención necesarias y tampoco hizo un análisis de riesgos necesario para definir las medidas de seguridad que tenía que aplicar al procesamiento de los datos.
La investigación de la APDCAT sobre el presunto incumplimiento en el tratamiento de los datos por parte del Clínic afecta también al Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), a la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS) y a Barnaclínic, S.A, aunque esta última ha interpuesto un recurso contencioso administrativo contra la resolución del procedimiento sancionador. Los expedientes han resuelto que el hospital era el responsable de la seguridad de la información no sólo respecto a los datos que se trataban en el centro hospitalario, sino también en relación a estas entidades.
Después de las investigaciones, la APDCAT atribuye al hospital Clínic el incumplimiento de sus obligaciones como responsable del tratamiento y también como encargado del tratamiento. La inspección considera que no tenía las medidas de seguridad de prevención, detección y contención esenciales para una prevención mínima tampoco hizo un análisis de riesgos necesario que le habría permitido definir las medidas de seguridad que debía aplicar. La sanción en entidades públicas consiste en esta declaración de infracción y las medidas correctoras que correspondan. En el caso de Barnaclínic no puede haber sanción, si fuera el caso, hasta que se resuelva el contencioso que ha interpuesto.
El hospital Clínic sufrió un ciberataque el 5 de marzo del año pasado que obligó a desprogramar operaciones no urgentes, las consultas externas y a aplazar sesiones de radioterapia oncológica. El ataque se atribuyó a un grupo de cibercrimen denominado Ransom House, que en sus procedimientos reclama dinero a cambio de no filtrar los datos robados. Los hackers exigieron 4,5 millones de euros, aunque la administración del hospital anunció que no pagaría. Los servicios del Clínic estuvieron afectados durante unas tres semanas y se fueron recuperando de forma paulatina. Los delincuentes hicieron tres filtraciones de datos a lo largo de cuatro meses.