Una clínica dental ha sido sancionada con 20.000 euros por la Agencia Española de Protección de Datos (AEPD) debido a una gestión inadecuada de una brecha de seguridad tras un ataque de ransomware. El ataque, que cifró datos sensibles de salud de los pacientes y exigió un rescate, reveló la falta de medidas de seguridad adecuadas y la tardía notificación del incidente, incumpliendo así los artículos 32 y 33 del RGPD. La clínica notificó la brecha el 12 de mayo de 2023, casi un mes después de haber sido detectada el 20 de abril de 2023, excediendo significativamente el plazo de 72 horas establecido por el RGPD.
Además de la tardanza en la notificación, la clínica optó por informar verbalmente a los pacientes cuando acudían a la clínica, desoyendo la recomendación del Delegado de Protección de Datos (DPD) de realizar comunicaciones directas a través de email o correo postal. La clínica justificó su decisión afirmando que una comunicación verbal era suficiente, pero la AEPD destacó la inadecuación de esta medida.
La investigación de la AEPD también reveló que la última copia de seguridad externa se había realizado 37 días antes del ataque, el 14 de marzo de 2023. Este hecho, junto con la falta de medidas de seguridad adecuadas previas a la brecha, contribuyó a la sanción. A pesar de inicialmente no explicar los motivos del retraso en la notificación, la clínica finalmente alegó desconocimiento de la necesidad de informar a la AEPD. Asumiendo responsabilidad, la clínica pagó una multa reducida, beneficiándose de dos reducciones del 20% por pronto pago y aceptación de la responsabilidad.
________________________
Pídenos una valoración sin compromiso para asesorarte con la protección de datos personales de tu empresa.