Obren un expedient a l’Hospital Clínic per la filtració de dades privades en el ciberatac

L‘Autoritat Catalana de Protecció de Dades (APDCAT) ha obert un expedient informatiu pel ciberatac a l’Hospital Clínic i les entitats vinculades, que va comportar la filtració de milers de dades privades de pacients i treballadors. Ho ha anunciat al parlament la presidenta de l’APDCAT, Meritxell Borràs, que ha explicat que volen determinar si les entitats tenien implementades les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc que comportava aquest tractament de dades, tenint en compte el seu volum i categoria, ja que hi havia dades sensibles i protegides legalment.

Els equips tècnics de l’APDCAT estan analitzant tota la informació, i d’acord amb el resultat decidiran si obren o no un expedient sancionador per incompliment de la norma. Borràs ha afegit l’Hospital Clínic va comunicar dins del termini previst per la normativa que s’havia produït una violació de la seguretat, i va actuar diligentment per a resoldre l’incident tan bon punt el va conèixer. A més, ha remarcat que ha actuat per implementar noves mesures per enfortir la seguretat.

En una entrevista a VilaWeb, el director de l’Agència de Ciberseguretat de Catalunya, Tomàs Roy, va defensar que si bé l’Hospital Clínic no va ser capaç d’aturar el ciberatac, tenia uns bons sistemes de ciberseguretat i va complir amb el protocol marcat per a quan s’ha produït un ciberatac. “No tothom que té un incident ha de ser sancionat, la llei parla d’una responsabilitat proactiva. El Clínic pot demostrar que en va tenir”, va dir.

L’Hospital Clínic va patir al març un ciberatac dels pirates RansomHouse, que van robar 4,5 terabytes d’arxius als servidors de l’hospital i les entitats vinculades. Des de llavors ha publicat tres paquets d’arxius amb una estratègia de pressionar les autoritats catalanes perquè paguin el rescat de 4,5 milions de dòlars. Entre la informació publicada hi ha arxius molt variats, però que inclouen informació crítica de pacients, treballadors, directius i proveïdors del centre sanitari.

Hi ha noms complets, números de telèfons, adreces físiques i de correu electrònic, horaris, contractes laborals, dades bancàries, números de la seguretat social, fotografies de DNI i signatures d’alguns treballadors, col·laboradors i directius de l’Hospital Clínic. També hi ha informació de pacients identificats amb noms i cognoms, i dels quals hi ha anàlisis, diagnòstics, receptes, observacions mèdiques i calendaris de tractaments.

Poc després de les publicacions dels arxius, l’Hospital Clínic va començar a posar-se en contacte directament amb els afectats per les filtracions per avisar-los dels riscos que implica que s’hagin publicat dades privades seves.