En el año 2020, un
hospital alemán cargó con la responsabilidad penal del fallecimiento de un paciente al
no poder darle asistencia sanitaria a causa de un ‘hackeo’ con
ramsonware en su red de seguridad. Con este ejemplo el socio director en De Lorenzo Abogados,
Ricardo de Lorenzo y Aparici, ha detallado a
Redacción Médica que el Hospital Clínic de Barcelona tendrá que demostrar que ha actuado "con la debida diligencia" en el tratamiento de los datos de los pacientes secuestrados a causa del ciberataque del pasado domingo para evitar asumir responsabilidad penal en el caso de que se presentara alguna denuncia por parte de pacientes al haber visto vulnerados sus datos personales.
Tal y como afirma De Lorenzo y Aparici, cuando hay una
norma que protege los datos de los pacientes, es el propio Clínic el responsable de su tratamiento. Si además presta su servicio a otras entidades, “actuaría como encargado de tratamiento, por lo que tendría que notificar a otros responsables sobre lo sucedido”. Por lo tanto, el responsable del hospital “tiene que demostrar” que ha actuado con la debida
diligencia en el manejo de información de los pacientes.
Al final, lo “más importante es
su salud" y muchos de ellos
han visto entorpecida su actividad sanitaria por este ataque. “El Clínic tiene que demostrar que en todo momento tiene protocolos y procedimientos que demuestren que cumplen con el RGPD y que evalúan los riesgos y la peligrosidad de este impacto. También, que existen protocolos de notificación a unidades de control, a pacientes y asegurarse de tener la capacidad rápida de recuperarse para seguir dando un servicio asistencial”, ha explicado.
Necesidad de protocolos de gestión para evitar lo sucedido
Desde el punto de vista jurídico, el abogado ha considerado que es “una
brecha de seguridad” lo que ha ocurrido en el Clínic porque afecta los
datos personales de sus pacientes, y ha asegurado que es necesario encabezar un
Comité de Crisis para jurídicamente documentar todo lo sucedido.
Para ello, el abogado ha resaltado la importancia de tener una “planificación previa con todo bien documentado”. “Los hospitales tienen que tener
protocolos de gestión documentados de simulacros para que estén completamente preparados si algún día les sucede esto”, ha subrayado.
¿Cómo hay que proceder en estos casos?
Cuando ocurre una brecha de seguridad, hay que valorar primero el
impacto de peligrosidad que tiene lo sucedido y después
notificar a las autoridades con toda la documentación posible en un
plazo máximo de 72 horas después de que se tenga constancia de un ataque de estas magnitudes, según exige el Reglamento General de Protección de Datos (RGPD).
“La Agencia Española de Protección de Datos (AEPD) también pide que se incluyan las horas transcurridas durante fines de semana y festivos”, ha detallado.
El jurista apunta a la improtancia de tener copias de seguridad en "absolutamente todo"
|
Con ciberataques como estos, las entidades sanitarias españolas cada vez tienen
más concienciación de la importancia de invertir en seguridad para proteger los datos de sus pacientes, o eso ha creído Lorenzo y Aparici.
Para él, que se mejore y se puedan evitar de nuevo este tipo de brechas con
medidas de seguridad es primordial, pero sabe que “el riesgo cero no existe, y que nunca ha existido” Además, ha asegurado que “el caballo de batalla” de toda entidad es el “
aspecto económico”.
Entre esas medidas de seguridad, el abogado ha destacado la importancia de tener
copias de seguridad de “absolutamente todo” y que
no estén automatizadas o en servidores, “sino que estén fuere de líneas para que el cifrado no llegue a esas copias”. “Esos son los cimientos para la creación de la red de seguridad de un hospital”, ha concluido
Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.