Ciberataque a Eholo Health: recomendaciones del COPCV ante la brecha de seguridad en cuanto a la protección de datos
El Colegio informa a los profesionales sobre cómo actuar si sus pacientes pueden haberse visto afectados y recuerda las obligaciones de comunicación a las personas afectadas y a la Agencia Española de Protección de Datos.
El software Eholo Health ha confirmado que ha sufrido un ciberataque a través del cual han accedido a algunos datos identificativos de profesionales y pacientes (nombre, apellidos, correo electrónico, teléfono y DNI), así como a algunas notas de sesión registradas en la plataforma que pueden vincularse a pacientes concretos. Desde la empresa señalan que “no se ha accedido a contraseñas ni a datos bancarios” y que “actualmente no existen indicios de accesos activos a los sistemas”.
Ante este incidente, el COPCV informa a sus colegiados y colegiadas que, ante el suceso de una brecha de seguridad, el responsable de tratamiento debe valorar las posibles consecuencias sobre los afectados y su severidad ya que ésta, puede causar daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc.
La recomendación es seguir las indicaciones de la Agencia Española de Protección de Datos (AEPD):
- Comunicación a las personas afectadas: personas físicas cuyos datos personales se han visto afectados por una brecha comprometiendo la confidencialidad, integridad y/o disponibilidad de esos datos, y quienes pueden sufrir las consecuencias. El artículo 34 del RGPD establece que cuando sea probable que la brecha de datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable de tratamiento comunicará la brecha de datos personales a los afectados sin dilación indebida.
La comunicación a los afectados debe realizarse en un lenguaje claro y sencillo, respetar el contenido mínimo establecido en el art. 34 del RGPD y dirigirse específicamente a aquellas personas para las que exista un riesgo alto de que sus derechos y libertades pueden verse dañados (por ejemplo, en el caso de menores y personas vulnerables).
- Comunicación a la AEPD: El parámetro determinante para notificar una brecha de datos personales a la Autoridad de Control o comunicarla a los afectados es el nivel de riesgo. No cualquier tipo de riesgo o un riesgo para la organización, sino específicamente el riesgo para los derechos y libertades de las personas físicas afectadas por la brecha.
El RGPD establece que el responsable de tratamiento notificará las brechas de datos personales a la Autoridad de Control sin dilación indebida y a más tardar dentro de las 72 horas desde que se tenga constancia de la brecha de datos personales. El plazo de 72 horas empieza a calcularse desde el instante en que el responsable de tratamiento tenga constancia de que el incidente de seguridad ha afectado a datos personales, incluyendo las horas trascurridas durante fines de semana y días festivos.
A Eholo hay que solicitar saber si hay datos de vuestros pacientes afectados y qué tipo de datos, para hacer estas comunicaciones de manera correcta.
Recursos que pone a su disposición la Agencia Española de Protección de Datos Personales:
- 'Asesora Brecha', recurso de utilidad para que cualquier organización, responsable de un tratamiento de datos personales, pueda valorar la obligación de notificar sin dilación indebida a la Agencia Española de Protección de Datos una brecha de datos personales, tal y como establece el artículo 33 del Reglamento General de Protección de Datos.
- Guía para la notificación de brechas de seguridad.
El COPCV pone a vuestra disposición la Asesoría Jurídica del COPCV si lo consideráis necesario.