(ACN) L’Agència de Protecció de Dades de Catalunya (APDCat) ha sancionat l’Hospital Clínic per la manca de mesures de seguretat informàtica arran del ciberatac que va rebre el març del 2023. L’APDCat considera que el Clínic no va prendre mesures suficients ni va avaluar correctament el risc per a les dades sanitàries que tractaven. Les altres tres entitats penalitzades són el Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona – Institut d’Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS) i Barnaclínic SA.
L’APDCat reclama mesures correctores a l’Hospital Clínic
Un cop dutes a terme totes les investigacions, l’APDCat li atribueix l’incompliment de les seves obligacions en aquests dos rols diferenciats: com a responsable del tractament i com a encarregat del tractament. En concret, per no tenir implementades les mesures de seguretat de prevenció, detecció i contenció essencials per a una prevenció mínima, i per no haver fet l’anàlisi de riscos necessària per definir les mesures de seguretat aplicables als tractaments de dades que duia a terme.
La resolució conclou que el Clínic ha comès dues infraccions i li reclama que adopti mesures correctores. L’hospital, segons l’APDCst, “no va implementar les mesures apropiades per garantir un nivell de seguretat adequat als riscos associats als tractaments de dades que duia a terme per mitjà de la plataforma corporativa atacada”.
El Clínic haurà d’informar anualment fins al 2026 l’APDCat de la implementació de les mesures correctores i del seu compliment.
