Ítem


Reflexiones sobre la responsabilidad civil por brechas de seguridad de datos personales: el caso del Hospital Clínic

Jornades de Dret Català a Tossa (23: 2025: Tossa de Mar, Catalunya)

L’atac de ransomware patit pel Hospital Clínic de Barcelona (HCB) el març de 2023 va generar greus afectacions operatives i compromisos significatius en la seguretat de les dades. L’incident va comportar la cancel·lació de centenars d’intervencions i visites, la necessitat de treballar manualment en processos habitualment digitalitzats i el desviament del transport sanitari urgent, mentre els atacants sostreien 4,5 terabytes d’informació sensible i exigien un rescat que l’hospital va rebutjar. Les conseqüents filtracions de dades personals van desencadenar, el juliol de 2024, una sanció de l’Autoritat Catalana de Protecció de Dades per manca de mesures de seguretat adequades. Aquest cas s’inscriu en una tendència creixent: Espanya és un dels països més afectats per ransomware, i el sector sanitari, pel volum i sensibilitat de dades que gestiona, és una de les principals dianes. A partir d’aquest context, el treball proposa una reflexió centrada en la responsabilitat civil derivada d’aquests atacs a Catalunya i les seves implicacions jurídiques

The ransomware attack suffered by the Hospital Clínic de Barcelona (HCB) in March 2023 caused severe operational disruption and significant compromises to data security. The incident resulted in the cancellation of hundreds of surgeries and outpatient visits, the temporary reversion to manual procedures normally supported by digital systems, and the diversion of urgent medical transport to other hospitals. At the same time, the attackers exfiltrated 4.5 terabytes of sensitive information and demanded a ransom that the hospital refused to pay, leading to subsequent leaks of personal data. In July 2024, the Catalan Data Protection Authority imposed a sanction on the HCB, concluding that it lacked adequate security measures to prevent the attack and protect patient information. This case fits within a broader trend: Spain has been among the countries most affected by ransomware, and the healthcare sector—due to the volume and sensitivity of the data it handles—remains a primary target. Against this backdrop, the study focuses on the civil liability implications of such incidents in Catalonia

13

16

Documenta Universitaria

Oficina Edicions UdG

Altres contribucions: Universitat de Girona. Institut de Dret Privat Europeu i Comparat
Autor: Oyarzún Vargas, Felipe
Data: juliol 2025
Resum: Jornades de Dret Català a Tossa (23: 2025: Tossa de Mar, Catalunya)
L’atac de ransomware patit pel Hospital Clínic de Barcelona (HCB) el març de 2023 va generar greus afectacions operatives i compromisos significatius en la seguretat de les dades. L’incident va comportar la cancel·lació de centenars d’intervencions i visites, la necessitat de treballar manualment en processos habitualment digitalitzats i el desviament del transport sanitari urgent, mentre els atacants sostreien 4,5 terabytes d’informació sensible i exigien un rescat que l’hospital va rebutjar. Les conseqüents filtracions de dades personals van desencadenar, el juliol de 2024, una sanció de l’Autoritat Catalana de Protecció de Dades per manca de mesures de seguretat adequades. Aquest cas s’inscriu en una tendència creixent: Espanya és un dels països més afectats per ransomware, i el sector sanitari, pel volum i sensibilitat de dades que gestiona, és una de les principals dianes. A partir d’aquest context, el treball proposa una reflexió centrada en la responsabilitat civil derivada d’aquests atacs a Catalunya i les seves implicacions jurídiques
The ransomware attack suffered by the Hospital Clínic de Barcelona (HCB) in March 2023 caused severe operational disruption and significant compromises to data security. The incident resulted in the cancellation of hundreds of surgeries and outpatient visits, the temporary reversion to manual procedures normally supported by digital systems, and the diversion of urgent medical transport to other hospitals. At the same time, the attackers exfiltrated 4.5 terabytes of sensitive information and demanded a ransom that the hospital refused to pay, leading to subsequent leaks of personal data. In July 2024, the Catalan Data Protection Authority imposed a sanction on the HCB, concluding that it lacked adequate security measures to prevent the attack and protect patient information. This case fits within a broader trend: Spain has been among the countries most affected by ransomware, and the healthcare sector—due to the volume and sensitivity of the data it handles—remains a primary target. Against this backdrop, the study focuses on the civil liability implications of such incidents in Catalonia
13
16
Format: application/pdf
Accés al document: http://hdl.handle.net/10256/28240
Llenguatge: spa
Editor: Documenta Universitaria
Oficina Edicions UdG
Col·lecció: info:eu-repo/semantics/altIdentifier/doi/10.33115/b/9788499847030_14
info:eu-repo/semantics/altIdentifier/isbn/9788484585398
info:eu-repo/semantics/altIdentifier/isbn/9788499847030
Drets: Attribution-NonCommercial-NoDerivatives 4.0 International
URI Drets: http://creativecommons.org/licenses/by-nc-nd/4.0/
Matèria: Computer security -- Law and legislation
Seguretat informàtica -- Dret i legislació
Data protection -- Law and legislation
Protecció de dades -- Dret i legislació
Computer security -- Law and legislation
Seguretat informàtica -- Dret i legislació
Hospitals -- Safety measures
Hospitals -- Mesures de seguretat
Títol: Reflexiones sobre la responsabilidad civil por brechas de seguridad de datos personales: el caso del Hospital Clínic
Tipus: info:eu-repo/semantics/bookPart
Repositori: DUGiDocs

Matèries

Autors