Profesionales > Derecho Sanitario

La Justicia amplía el derecho a indemnización en ciberataques sanitarios

El Alto Tribunal europeo considera que el mero temor del paciente al mal uso de sus datos es "daño inmaterial"

El Hospital Clínic de Barcelona sufrió un ciberataque el pasado marzo.

14 dic 2023. 15.10H
SE LEE EN 3 minutos
El mero temor de un paciente a que sus datos personales sean difundidos tras un ciberataque a un hospital puede constituir, por sí mismo, un “daño o perjuicio inmaterial”, desliza el Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia en la que determina que el centro sanitario o cualquier otro organismo responsable del uso de este tipo de información puede ser forzado a indemnizar al afectado “a menos que se logre demostrar que el hecho no le es imputable en algún modo”.

Esta sentencia del TJUE, que sirve de orientación para los tribunales de los Estados miembros, viene motivada por un ciberataque a la Agencia Nacional de Recaudación de Bulgaria (NAP), que se encarga de la identificación, aseguramiento y cobro de créditos públicos y que por tanto es responsable del tratamiento de datos personales. En 2019 se produjo un “acceso no autorizado al sistema informático” de este organismo que derivó en la difusión, a través de internet, de datos personales de millones de personas. 

El Tribunal Supremo de lo Contencioso-Administrativo búlgaro planteó entonces el caso ante el Tribunal de Justicia Europeo, que, tras interpretar el Reglamento General de Protección de Datos (RGPD), ha establecido los requisitos para la indemnización de los daños y perjuicios inmateriales que puede reclamar una víctima.

Miedo al "potencial uso" de los datos robados


En su sentencia, el Tribunal ha dictaminado que no solo que los organismos públicos que sean objeto de ciberataques son también responsables de la pérdida de información sensible para la ciudadanía, sino que el mero “temor que experimenta un interesado” a un “potencial uso indebido de sus datos personales” puede constituir por sí mismo “un daño o perjuicio inmaterial”.

Eso sí, sostiene que los jueces no pueden deducir del hecho de que se haya producido una “comunicación no autorizada de datos personales” que las medidas de protección adoptadas por el responsable del tratamiento “no eran apropiadas”. “Deben examinar cada caso concreto”, apunta.

Será en todo caso el organismo responsable de los datos el que deba responder por el caso y demostrar que las medidas de seguridad que adoptó para impedir el robo eran “apropiadas”.

Robos de datos en hospitales españoles


El posicionamiento de Tribunal de Justicia Europeo abre una ventana para la indemnización de pacientes de hospital cuyos datos fueron robados sin necesidad de que estos hayan sido publicados. El “temor” a que ello suceda podría ser objeto de demanda.

Uno de los casos más flagrantes en España fue el que sufrió el Hospital Clínic de Barcelona, que el pasado marzo fue víctima de un ciberataque que comprometió la seguridad de 4,5 terabytes de datos. Los ‘hackers’ filtraron la información en la ‘dark web’ después de no recibir los 4,5 millones de dólares que reclamaban como rescate.

Entre la información privada publicada hay historiales de pacientes, tratamientos, resultados de pruebas diagnósticas, contratos y datos personales de trabajadores o protocolos internos.
¿Quieres seguir leyendo? Hazte premium
¡Es gratis!
¿Ya eres premium? Inicia sesión

Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.