El ciberataque al Clínic coloca al hospital ante la responsabilidad penal

En el año 2020, un hospital alemán cargó con la responsabilidad penal del fallecimiento de un paciente al no poder darle asistencia sanitaria a causa de un ‘hackeo’ con ramsonware en su red de seguridad. Con este ejemplo el socio director en De Lorenzo Abogados, Ricardo de Lorenzo y Aparici, ha detallado a Redacción Médica que el Hospital Clínic de Barcelona tendrá que demostrar que ha actuado "con la debida diligencia" en el tratamiento de los datos de los pacientes secuestrados a causa del ciberataque del pasado domingo para evitar asumir responsabilidad penal en el caso de que se presentara alguna denuncia por parte de pacientes al haber visto vulnerados sus datos personales. 

Tal y como afirma De Lorenzo y Aparici, cuando hay una norma que protege los datos de los pacientes, es el propio Clínic el responsable de su tratamiento. Si además presta su servicio a otras entidades, “actuaría como encargado de tratamiento, por lo que tendría que notificar a otros responsables sobre lo sucedido”. Por lo tanto, el responsable del hospital “tiene que demostrar” que ha actuado con la debida diligencia en el manejo de información de los pacientes.

 Al final, lo “más importante es su salud" y muchos de ellos han visto entorpecida su actividad sanitaria por este ataque. “El Clínic tiene que demostrar que en todo momento tiene protocolos y procedimientos que demuestren que cumplen con el RGPD y que evalúan los riesgos y la peligrosidad de este impacto. También, que existen protocolos de notificación a unidades de control, a pacientes y asegurarse de tener la capacidad rápida de recuperarse para seguir dando un servicio asistencial”, ha explicado.

Necesidad de protocolos de gestión para evitar lo sucedido

Desde el punto de vista jurídico, el abogado ha considerado que es “una brecha de seguridad” lo que ha ocurrido en el Clínic porque afecta los datos personales de sus pacientes, y ha asegurado que es necesario encabezar un Comité de Crisis para jurídicamente documentar todo lo sucedido.

Para ello, el abogado ha resaltado la importancia de tener una “planificación previa con todo bien documentado”. “Los hospitales tienen que tener protocolos de gestión documentados de simulacros para que estén completamente preparados si algún día les sucede esto”, ha subrayado.

¿Cómo hay que proceder en estos casos?

Cuando ocurre una brecha de seguridad, hay que valorar primero el impacto de peligrosidad que tiene lo sucedido y después notificar a las autoridades con toda la documentación posible en un plazo máximo de 72 horas después de que se tenga constancia de un ataque de estas magnitudes, según exige el Reglamento General de Protección de Datos (RGPD).

“La Agencia Española de Protección de Datos (AEPD) también pide que se incluyan las horas transcurridas durante fines de semana y festivos”, ha detallado.

---

El jurista apunta a la improtancia de tener copias de seguridad en "absolutamente todo"

---

Con ciberataques como estos, las entidades sanitarias españolas cada vez tienen más concienciación de la importancia de invertir en seguridad para proteger los datos de sus pacientes, o eso ha creído Lorenzo y Aparici.

Para él, que se mejore y se puedan evitar de nuevo este tipo de brechas con medidas de seguridad es primordial, pero sabe que “el riesgo cero no existe, y que nunca ha existido” Además, ha asegurado que “el caballo de batalla” de toda entidad es el “aspecto económico”.

Entre esas medidas de seguridad, el abogado ha destacado la importancia de tener copias de seguridad de “absolutamente todo” y que no estén automatizadas o en servidores, “sino que estén fuere de líneas para que el cifrado no llegue a esas copias”. “Esos son los cimientos para la creación de la red de seguridad de un hospital”, ha concluido