La Autoridad Catalana de Protección de Datos (APDCAT) ha impuesto una sanción al Hospital Clínic de Barcelona tras concluir que la institución no disponía de las medidas de seguridad necesarias para proteger los datos personales de sus pacientes, empleados e investigaciones médicas para evitar un ciberataque. La resolución, emitida a finales de octubre, supone un importante revés para el centro sanitario, que sufrió un grave incidente en marzo de 2023 que afectó significativamente su operativa y la privacidad de miles de personas.
La investigación de la APDCAT reveló serias deficiencias en el sistema de protección de datos del Hospital Clínic y sus entidades asociadas, incluyendo al Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS) y Barnaclínic, S.A. A excepción de Barnaclínic, que ha presentado un recurso contencioso-administrativo, el resto de entidades han sido sancionadas por no contar con medidas de seguridad adecuadas.
El órgano regulador determinó que el Clínic, como máximo responsable del tratamiento de los datos, no había implementado mecanismos básicos para la prevención, detección y contención de ciberataques. Además, las entidades vinculadas tampoco realizaron un análisis de riesgos adecuado para identificar las amenazas potenciales y definir las medidas de protección necesarias.
Según la resolución, el hospital y sus entidades tendrán que informar periódicamente a la APDCAT hasta 2026 sobre los avances en la implementación de las medidas correctoras y su cumplimiento, lo que supone un control adicional para garantizar la mejora de sus sistemas de seguridad.
El impacto del ciberataque: servicios paralizados y datos filtrados
El ciberataque sufrido por el Hospital Clínic el 5 de marzo de 2023 tuvo un impacto muy importante en la operativa del centro. Durante semanas, el hospital se vio obligado a cancelar operaciones no urgentes, suspender consultas externas y aplazar sesiones de radioterapia oncológica. La situación afectó a miles de pacientes, que vieron interrumpidos sus tratamientos y citas médicas programadas.
El ataque, atribuido al grupo de ciberdelincuentes Ransom House, incluyó la filtración de datos personales y confidenciales del hospital. Los ciberdelincuentes exigieron un rescate de 4,5 millones de euros, cifra que la administración del centro se negó a pagar. Como consecuencia, los atacantes difundieron información robada en tres ocasiones a lo largo de los meses posteriores, afectando la privacidad de pacientes y profesionales.
Falta de análisis de riesgos: un error grave
Uno de los puntos clave en la resolución de la APDCAT es la falta de un análisis de riesgos adecuado por parte del Hospital Clínic y sus entidades asociadas. Este procedimiento es fundamental para identificar las amenazas potenciales y definir qué medidas de seguridad deben implementarse para mitigar los riesgos. Según la investigación, el centro hospitalario no llevó a cabo este proceso, lo que dejó expuestos datos altamente sensibles a ataques externos.
La falta de análisis de riesgos se considera una infracción grave en el ámbito de la protección de datos. Las normativas vigentes, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, exigen que las organizaciones que manejan datos personales realicen evaluaciones de impacto y adopten medidas de seguridad adecuadas para garantizar la privacidad de los mismos.
En el caso del Hospital Clínic, la ausencia de este análisis contribuyó a que los atacantes pudieran acceder fácilmente a los sistemas de la institución y comprometer grandes volúmenes de información. La APDCAT ha instado al centro a rectificar esta situación, exigiendo la implementación de controles más estrictos y auditorías periódicas de sus sistemas de seguridad.
La sanción impuesta al Hospital Clínic de Barcelona establece un precedente importante para el sector sanitario, que ha experimentado un incremento en el número de ciberataques en los últimos años. Los hospitales y centros de salud manejan enormes cantidades de datos personales y médicos, lo que los convierte en objetivos atractivos para los ciberdelincuentes.