L‘Autoritat Catalana de Protecció de Dades (APDCAT) ha obert un expedient informatiu pel ciberatac a l’Hospital Clínic i les entitats vinculades, que va comportar la filtració de milers de dades privades de pacients i treballadors, per determinar si l'hospital mereix ser sancionat per incompliment de la normativa de protecció de dades. Ho ha anunciat al parlament la presidenta de l’APDCAT, Meritxell Borràs, que ha explicat que volen determinar si les entitats tenien implementades les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc que comportava aquest tractament de dades, tenint en compte el seu volum i categoria, ja que hi havia dades sensibles i protegides legalment.

Els equips tècnics de l’APDCAT estan analitzant tota la informació per dirimir si obren o no un expedient sancionador per incompliment de la norma. Borràs ha afirmat que l’Hospital Clínic va comunicar dins del termini previst per la normativa que s’havia produït una violació de la seguretat, i va actuar diligentment per a resoldre l’incident tan bon punt el va conèixer. A més, ha assenyalat que el centre mèdic ha implementat noves mesures per enfortir la seguretat.

Ciberatac per demanar un rescat de les dades

L’Hospital Clínic va patir al març un ciberatac per part del grup de pirates informàtics RansomHouse, que van robar 4,5 terabytes d’arxius als servidors de l’hospital i les entitats vinculades. Des de llavors ha publicat tres paquets d’arxius amb una estratègia de pressionar les autoritats catalanes perquè paguin un rescat de 4,5 milions de dòlars. Entre la informació publicada hi ha informació personal de pacients, treballadors, directius i proveïdors del centre sanitari.

L'APDCAT reclama més competències

Meritxell Borràs ha exigit més competències per tal d’incidir en empreses privades i així garantir els drets dels ciutadans. “O tenim les mateixes competències que les autoritats europees o ens quedem enrere”, ha assegurat durant la compareixença d’aquest dijous per presentar la memòria de l’any 2022 de l’entitat que presideix. La directora ha subratllat que cal mirar al futur i ha presentat un pla estratègic de cinc anys que té com a objectiu conscienciar la ciutadania i que les sancions esdevinguin “residuals”. Els pilars del nou projecte són la sensibilització de la ciutadania; el control del reglament a través d’auditories preventives; la prevenció, de la mà de l’assessorament i la promoció de codis de conducta; la formació de professionals; i la innovació per detectar tendències tecnològiques i serveis que impactin en la protecció de dades.

Els ciberatacs, un problema en auge

Borràs ha informat que les violacions de seguretat han incrementat un 21% l’any 2022, el que confirma l’augment sostingut de les notificacions registrades any rere any des de l’aplicació del reglament general de Protecció de Dades. Les notificacions de violació de seguretat van afectar la confidencialitat i la integritat de més de 800.000 persones. Els actes externs malintencionats són la primera causa de les violacions: el robatori, l’encriptació, el fishing i el hacking són algunes de les tècniques més habituals en aquests casos. Segons l’informe, els ciberatacs suposen un 33% dels incidents notificats.

En aquest sentit, la directora ha assenyalat que les dades indiquen que cal complir “més que mai” el reglament així com aplicar les mesures de seguretat adequades tenint en compte el tipus de dades que es tracten, el volum i les tecnolgies emprades. “La ciberdelinqüència ha arribat per quedar-se”, ha sentenciat Borràs, que ha insistit que els atacs poden tenir repercussions “reals” en les persones i els seus drets. “És imprescindible invertir en la seguretat dels sistemes d’informació com a element de garantia d’una societat democràtica”, ha afegit la directora. Borràs ha recalcat també la importància de la figura del delegat de protecció de dades per ajudar a complir els reglaments.

En relació a la memòria presentada, Borràs ha explicat que s’ha produït un “petit” descens en denuncies i reclamacions per tuteles de drets. En canvi, hi ha hagut un augment del 54% dels expedients sancionadors pel que fa al 2020. El major nombre d’infraccions declarades es relaciona, com en anys anteriors, amb la vulneració dels principis de confidencialitat, seguit de la infracció del principi de licitud.  Les infraccions més denunciades són les relacionades amb la salut i l’ensenyament.

En l’àmbit de tutela de dret, les persones afectades reclamen sobretot en l’àmbit de la salut i en l'àmbit policial. Pel que fa al dret de supressió, la majoria de reclamacions van dirigides a l’àmbit policial, també com l’any anterior. Durant la seva intervenció, la directora ha alertat que cada cop es detecten més organitzacions que consideren sistemes de reconeixement facial per a l'exercici de la seva activitat ordinària. En aquest sentit, Borràs ha recordat que aquests sistemes tracten dades biomètriques, i ha assenyalat que el consentiment no pot considerar-se una base jurídica per al control horari dels treballadors.