Vés al contingut

Ransomware: noves obligacions per al DPD


Potser com DPD, encara pensi que el RGPD i la Llei Orgànica 3/2018 de Protecció de Dades no s’han tocat. En altres vídeos ja hem explicat que la Directiva 2019/1937 ha modificat substancialment el que enteníem per protecció de dades. Les obligacions del Delegat de Protecció de Dades, també, igual que les del Responsable del Tractament.

Si la sobirania sobre les dades de caràcter personal és de la Unió Europea, allò que es dictamini des d’Europa té força en cada un dels estats.

Doncs bé, el Comitè Europeu per a la Protecció de Dades (CEPD) de la qual forma part l’AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES, ha dictaminat que les organitzacions que siguin víctimes d’infeccions de ransomware hauran, a més de notificar-ho a la AEPD i a les autoritats, notificar-ho també als usuaris i empleats, independentment de si l’atac deriva o no, en el robatori d’informació confidencial, i especialment s’esmenta als hospitals.

El CPDE és un organisme que col·labora per al compliment del Reglament General de Protecció de Dades de la Unió Europea (GPDR).

El Comitè ha decidit que els hospitals hauran de notificar, també, als seus pacients i staff en cas d’infecció de ransomware o qualsevol altre incident de ciberseguretat.

Els pacients i personal són objectius directes dels ciberatacs, i tenen el dret a saber-ho.

Com saben, un atac de ransomware consisteix en la infecció d’un dispositiu afectat amb un malware de xifrat, bloquejant l’accés a la informació fins que es compleixi el pagament d’un rescat, usualment en moneda digital.

D’aquesta manera les autoritats europees de protecció de dades busquen obligar les empreses a mantenir informació actualitzada sobre qualsevol risc de seguretat.

El problema és que les nostres organitzacions i empreses segueixen reticents a presentar informes de seguretat informàtica davant els organismes de control pertinents. I això és una gravíssima infracció legal o delicte, que haurà de ser procedimentada també per l’Instructor de les bústies de denúncia o l’auditor de compliance, si no s’ha formalitzat per part del DPD la corresponent denúncia.

Les autoritats continuen buscant les millors formes d’evitar filtracions de dades i millorar el servei als usuaris: “Els responsables de les institucions de salut han d’informar els seus pacients sobre qualsevol falla de servei o retard en tractaments mèdics”, esmenta el document del CPDE.

No estem davant de mesures improvisades. Ja fa dos anys que el CEPD ve recollint informació sobre diversos casos que justifiquen la possible implementació d’aquestes mesures; el més greu d’aquests casos va passar a Alemanya, on les fallades en els sistemes d’un hospital derivats d’un atac de ransomware van provocar la mort d’una pacient que havia de ser operada d’urgència.

El sector salut s’ha convertit en un dels principals objectius de ciberatacs, ja que aquestes organitzacions emmagatzemen informació altament sensible i els seus sistemes informàtics han de ser salvaguardats a qualsevol preu, especialment en el context de la pandèmia.

Europa va posar al DPD, però no és una professió fàcil.