L’Agència de Protecció de Dades de Catalunya (APDCAT) ha sancionat l’Hospital Clínic per la manca de mesures de seguretat informàtica detectada arran del ciberatac que va rebre el març del 2023. L’APDCAT considera que el Clínic i les seves tres entitats dependents no van prendre prou mesures ni van avaluar correctament el risc per a les dades sanitàries que tractaven. La resolució no inclou cap multa econòmica, però sí que obliga l’hospital a adoptar mesures correctores i informar anualment sobre la seva implementació i compliment fins al 2026.

L’APDCAT va obrir un expedient sancionador el juny de 2023 al Clínic al Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-Idibaps) i Barnaclinic SA, les quals depenent de l’hospital públic, però operen de manera privada. La investigació de Protecció de Dades ha conclòs que el Clínic va incomplir les seves obligacions en dos aspectes diferenciats: per no tenir implementades les mesures de seguretat de prevenció, detecció i contenció essencials per a una prevenció mínima, i per no haver fet l’anàlisi de riscos necessària per definir les mesures de seguretat aplicables als tractaments de dades que duia a terme. És a dir, com a responsable i com a encarregat del tractament de les dades de la ciutadania. La resolució de l’APDCAT assegura que, si s’haguessin pres aquestes mesures, l’hospital hauria estat més protegit davant d’un ciberatac i en una millor capacitat de detecció i de resposta, així com a minimitzar els efectes adversos de l’atac, tant per la filtració de dades sanitàries sensibles com per la interrupció de l’assistència sanitària.

Per la seva banda, CAPSBE, FRCB-Idibaps i Barnaclínics han estat sancionades com a responsables del tractament de les dades. Les resolucions sancionadores determinen respectivament que cap d’elles va adoptar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc del tractament. A més, també assenyalen que no van dur a terme la pertinent anàlisi dels riscos i que no van formalitzar un contracte d’encarregat del tractament que recollís tots els extrems previstos a la normativa de protecció de dades personals.

L’origen d’aquestes sancions es remunta fins al març de 2023, quan l’empresa Ransom House va anunciar que havia segrestat un paquet de 4,4 terabytes d’informació personal i clínica de pacients i treballadors de l’Hospital Clínic i els tres centres associats. El ciberatac, del tipus ransomware, també va afectar els serveis de laboratori, farmàcia i urgències del centre mèdic i va paralitzar el sistema informàtic, que va trigar setmanes a restablir-se completament. Els segrestadors van demanar un rescat de 4,5 milions d’euros per retornar les dades, però la Generalitat es va negar en tot moment a negociar-hi. La informació robada es va anar publicant durant quatre mesos en tres paquets diferents.