Ransomware: nuevas obligaciones del DPD

Quizás como DPD, aún piense que el RGPD y la Ley Orgánica 3/2018 de Protección de Datos no se han tocado. En otros videos ya hemos explicado que la Directiva 2019/1937 ha modificado sustancialmente lo que entendíamos por protección de datos. Las obligaciones del Delegado de Protección de Datos, también.

Si la soberanía sobre los datos de carácter personal es de la Unión Europea, aquello que se dictamine desde Europa tiene fuerza en cada uno de los estados.

Pues bien, el Comité Europeo para la Protección de Datos (CEPD) de la que forma parte la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, ha dictaminado que las organizaciones que sean víctimas de infecciones de ransomware deberán, además de notificarlo a la AEPD y a las autoridades, notificar también a los usuarios y empleados, sin importar si el ataque deriva o no, en el robo de información confidencial, y especialmente se menciona a los hospitales.

El CPDE es un organismo que colabora para el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea (GPDR).

El Comité ha decidido que los hospitales tendrán que notificar, también, a sus pacientes y staff en caso de infección de ransomware o cualquier otro incidente de ciberseguridad.

Los pacientes y personal son objetivos directos de los ciberataques, y tienen el derecho a saberlo.

Como saben, un ataque de ransomware consiste en la infección de un dispositivo afectado con un malware de cifrado, bloqueando el acceso a la información hasta que se cumpla el pago de un rescate, usualmente en criptomoneda.

De esta forma las autoridades europeas de protección de datos buscan obligar a las empresas a mantener información  actualizada sobre cualquier riesgo de seguridad. El problema es que nuestras organizaciones y empresas siguen renuentes a presentar informes de seguridad informática ante los organismos de control pertinentes. Y eso es una gravísima infracción legal o delito, que deberá ser procedimentada también por el Instructor de los buzones de denuncia o el auditor de compliance, si no se ha formalizado por parte del DPD la correspondiente denuncia.

Las autoridades siguen buscando las mejores formas de evitar filtraciones de datos y mejorar el servicio a los usuarios: “Los responsables de las instituciones de salud deben informar a sus pacientes sobre cualquier falla de servicio o retraso en tratamientos médicos”, menciona el documento del CPDE.

No estamos delante de medidas improvisadas. Va para dos años que el CEPD viene recogiendo información sobre diversos casos que justifican la posible implementación de estas medidas; el más grave de estos casos ocurrió en Alemania, donde los fallos en los sistemas de un hospital derivados de un ataque de ransomware provocaron la muerte de una paciente que debía ser operada de urgencia
. .
El sector salud se ha convertido en uno de los principales objetivos de ciberataques, ya que estas organizaciones almacenan información altamente sensible y sus sistemas informáticos deben ser salvaguardados a toda costa, en especial en el contexto de la pandemia.

Europa puso al DPD, pero no es una profesión fácil.