Skip to main content

Zabía-Abogados

Autoridad de control irlandesa: La DPC sanciona al servicio público de salud por un ataque de ransomware que permitió el acceso a datos personales de 84.000 personas

La Data Protection Commission ha concluido la investigación que ha llevado a cabo sobre el ciberataque, de tipo ransomware, que afectó al sistema de información del laboratorio del Midlands Regional Hospital de Tullamore. Este ciberataque permitió a los atacantes acceder a los ordenadores utilizados para tratar y almacenar los resultados de pruebas diagnósticas de, aproximadamente, 84.000 pacientes. Adicionalmente, los ciberdelincuentes utilizaron este acceso para cifrar los datos personales.

La investigación de la autoridad de control ha permitido analizar las distintas medidas técnicas y organizativas implantadas por el Servicio Ejecutivo de Salud de Irlanda con la finalidad de garantizar la seguridad de los datos personales. Asimismo, ha examinado el cumplimiento de la normativa vigente en relación con los contratos suscritos con proveedores de servicios (encargados del tratamiento), la llevanza del Registro de Actividades del Tratamiento o las obligaciones de información a los afectados en caso de brechas de seguridad.

Entre las deficiencias identificadas figuran la insuficiencia de medidas técnicas y organizativas que garantizasen la seguridad en el tratamiento de datos (por cuanto se permitió el acceso ilícito a ellos por parte de un tercero) o la falta de garantías adecuadas en contratos con proveedores. Del mismo modo, se ha puesto de manifiesto que el registro de actividades estaba incompleto, así como que han existido deficiencias en la información proporcionada a los afectados respecto de la brecha de seguridad. En este sentido, aunque no se hallaron pruebas concluyentes de que los atacantes hubieran tenido acceso a información clínica y a datos de salud, las investigaciones y el análisis forense realizado no permitieron descartar esa posibilidad.

Como consecuencia de estas infracciones, se ha impuesto una sanción de 300.000 euros por el incumplimiento de los artículos 5.1.f) -principio de integridad y confidencialidad- y 32.1 -seguridad del tratamiento- del RGPD y se ha ordenado implantar políticas y procedimientos específicos destinados a reforzar la seguridad en el tratamiento de datos personales.

No obstante, la autoridad de control reconoció la existencia de mejoras significativas implementadas desde que se produjo la brecha de seguridad y valoró positivamente el compromiso de continuar reforzando las medidas de seguridad por parte del organismo.

Esta decisión permite acreditar que la respuesta ante un ciberataque no debe limitarse al restablecimiento técnico de los sistemas. Muy al contrario, los responsables deben revisar los contratos formalizados con encargados, las medidas aplicadas, el Registro de Actividades del Tratamiento o las comunicaciones que se realizan a los afectados. La DPC todavía, a fecha de emisión de este artículo, no ha publicado el texto íntegro de la resolución sancionadora.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido