La Autoritat Catalana de Protecció de Dades (APDCAT) ha abierto un expediente informativo por el ciberataque al Hospital Clínic y las entidades vinculadas, que comportó la filtración de miles de datos privados de pacientes y trabajadores, para determinar si el hospital merece ser sancionado por incumplimiento de la normativa de protección de datos. Lo ha anunciado al parlamento la presidenta de la APDCAT, Meritxell Borràs, que ha explicado que quieren determinar si las entidades tenían implementadas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que comportaba este tratamiento de datos, teniendo en cuenta su volumen y categoría, ya que había datos sensibles y protegidas legalmente.
Los equipos técnicos del APDCAT están analizando toda la información para dirimir si abren o no un expediente sancionador por incumplimiento de la norma. Borràs ha afirmado que el Hospital Clínic comunicó dentro del plazo previsto por la normativa que se había producido una violación de la seguridad, y actuó diligentemente para resolver el incidente tan pronto como lo conoció. Además, ha señalado que el centro médico ha implementado nuevas medidas para fortalecer la seguridad.
Ciberataque para pedir un rescate de los datos
El Hospital Clínic sufrió en marzo un ciberataque por parte del grupo de piratas informáticos RansomHouse, que robaron 4,5 terabytes de archivos a los servidores del hospital y las entidades vinculadas. Desde entonces ha publicado tres paquetes de archivos con una estrategia de presionar las autoridades catalanas para que paguen un rescate de 4,5 millones de dólares. Entre la información publicada hay información personal de pacientes, trabajadores, directivos y proveedores del centro sanitario.
La APDCAT reclama más competencias
Meritxell Borràs ha exigido más competencias con el fin de incidir en empresas privadas y así garantizar los derechos de los ciudadanos. "O tenemos las mismas competencias que las autoridades europeas o nos quedamos atrás", ha asegurado durante la comparecencia de este jueves para presentar la memoria del año 2022 de la entidad que preside. La directora ha subrayado que hay que mirar al futuro y ha presentado un plan estratégico de cinco años que tiene como objetivo concienciar a la ciudadanía y que las sanciones se vuelvan "residuales". Los pilares del nuevo proyecto son la sensibilización de la ciudadanía; el control del reglamento a través de auditorías preventivas; la prevención, de la mano del asesoramiento y la promoción de códigos de conducta; la formación de profesionales; y la innovación para detectar tendencias tecnológicas y servicios que impacten en la protección de datos.
Los ciberataques, un problema en auge
Borràs ha informado de que las violaciones de seguridad han incrementado un 21% el año 2022, lo que confirma el aumento sostenido de las notificaciones registradas año tras año desde la aplicación del reglamento general de Protección de Datos. Las notificaciones de violación de seguridad afectaron a la confidencialidad y la integridad de más de 800.000 personas. Los actos externos malintencionados son la primera causa de las violaciones: el robo, la encriptación, el fishing y el hacking son algunas de las técnicas más habituales en estos casos. Según el informe, los ciberataques suponen un 33% de los incidentes notificados.
En este sentido, la directora ha señalado que los datos indican que hace falta cumplir "más que nunca" el reglamento así como aplicar las medidas de seguridad adecuadas teniendo en cuenta el tipo de datos que se tratan, el volumen y las tecnolgias utilizadas. "La ciberdelincuencia ha llegado para quedarse", ha sentenciado Borràs, que ha insistido en que los ataques pueden tener repercusiones "reales" en las personas y sus derechos. "Es imprescindible invertir en la seguridad de los sistemas de información como elemento de garantía de una sociedad democrática", ha añadido la directora. Borràs ha recalcado también la importancia de la figura del delegado de protección de datos para ayudar a cumplir los reglamentos.
En relación a la memoria presentada, Borràs ha explicado que se ha producido un "pequeño" descenso denuncias y reclamaciones por tutelas de derechos. En cambio, ha habido un aumento del 54% de los expedientes sancionadores con respecto al 2020. El mayor número de infracciones declaradas se relaciona, como en años anteriores, con la vulneración de los principios de confidencialidad, seguido de la infracción del principio de licitud. Las infracciones más denunciadas son las relacionadas con la salud y la enseñanza.
En el ámbito de tutela de derecho, las personas afectadas reclaman sobre todo en el ámbito de la salud y en el ámbito policial. Con respecto al derecho de supresión, la mayoría de reclamaciones van dirigidas al ámbito policial, también como el año anterior. Durante su intervención, la directora ha alertado de que cada vez se detectan más organizaciones que consideran sistemas de reconocimiento facial para el ejercicio de su actividad ordinaria. En este sentido, Borràs ha recordado que estos sistemas tratan datos biométricos, y ha señalado que el consentimiento no puede considerarse una base jurídica para el control horario de los trabajadores.