El Hospital Clínic de Barcelona sufrió un ciberataque el pasado marzo.
El mero temor de un paciente a que sus datos personales sean difundidos tras un
ciberataque a un hospital puede constituir, por sí mismo, un
“daño o perjuicio inmaterial”, desliza el
Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia en la que determina que el centro sanitario o cualquier otro organismo responsable del uso de este tipo de información puede ser forzado a indemnizar al afectado “a menos que se logre demostrar que el hecho no le es imputable en algún modo”.
Esta sentencia del TJUE, que sirve de orientación para los tribunales de los Estados miembros, viene motivada por un ciberataque a la
Agencia Nacional de Recaudación de Bulgaria (NAP), que se encarga de la identificación, aseguramiento y cobro de créditos públicos y que por tanto es responsable del
tratamiento de datos personales. En 2019 se produjo un “
acceso no autorizado al sistema informático” de este organismo que derivó en la difusión, a través de internet, de datos personales de millones de personas.
El Tribunal Supremo de lo Contencioso-Administrativo búlgaro planteó entonces el caso ante el Tribunal de Justicia Europeo, que, tras interpretar el
Reglamento General de Protección de Datos (RGPD), ha establecido los requisitos para la indemnización de los daños y perjuicios inmateriales que puede reclamar una víctima.
Miedo al "potencial uso" de los datos robados
En su sentencia, el Tribunal ha dictaminado que no solo que los organismos públicos que sean objeto de ciberataques son también responsables de la pérdida de información sensible para la ciudadanía, sino que el mero “temor que experimenta un interesado” a un “
potencial uso indebido de sus datos personales” puede constituir por sí mismo
“un daño o perjuicio inmaterial”.
Eso sí, sostiene que los jueces no pueden deducir del hecho de que se haya producido una “
comunicación no autorizada de datos personales” que las medidas de protección adoptadas por el responsable del tratamiento “no eran apropiadas”. “Deben
examinar cada caso concreto”, apunta.
Será en todo caso el organismo responsable de los datos el que deba responder por el caso y demostrar que las
medidas de seguridad que adoptó para impedir el robo eran “apropiadas”.
Robos de datos en hospitales españoles
El posicionamiento de Tribunal de Justicia Europeo abre una ventana para la indemnización de pacientes de hospital cuyos datos fueron robados sin necesidad de que estos hayan sido publicados. El “temor” a que ello suceda podría ser objeto de demanda.
Uno de los casos más flagrantes en España fue el que sufrió el Hospital Clínic de Barcelona, que el pasado marzo fue
víctima de un ciberataque que comprometió la seguridad de
4,5 terabytes de datos. Los ‘hackers’ filtraron la información en la
‘dark web’ después de no recibir los 4,5 millones de dólares que reclamaban como rescate.
Entre la información privada publicada hay historiales de pacientes, tratamientos, resultados de pruebas diagnósticas, contratos y datos personales de trabajadores o protocolos internos.
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.