El organismo de control de la privacidad AP iniciará una investigación sobre la violación de datos de una clínica.

El organismo de control de la privacidad holandés Autoriteit Persoonsgegevens (AP) ha iniciado una investigación sobre la gestión de una grave violación de datos en el laboratorio de procesamiento de pruebas Clinical Diagnostics, que ha afectado a casi medio millón de personas.

Entre los datos pirateados se encontraban los resultados de pruebas masivas de cáncer de cuello uterino de 485.000 mujeres, números de identificación personal, nombres y direcciones, incluyendo los de médicos de familia y otros profesionales. Los datos personales de más de 50.000 personas se encontraron a la venta en la red oscura.

Las empresas tienen la obligación legal de informar a AP sobre cualquier ataque informático en un plazo de 72 horas. Clinical Diagnostics afirmó haber informado de la filtración a tiempo, pero AP no lo confirmó, alegando que «no hace comentarios sobre una investigación en curso».

La clínica también debe informar a sus clientes de una filtración de datos lo antes posible. Sin embargo, la organización de cribado Population Survey Netherlands no fue informada de la filtración hasta la semana pasada, un mes después del incidente.

Según se informa, el retraso estuvo vinculado a un pago al grupo de ransomware Nova para evitar que aparecieran más datos en la web oscura.

Además, ninguna de las mujeres incluidas en la lista ha sido notificada oficialmente por Diagnóstico Clínico hasta el momento.

La investigación de AP deberá demostrar si la clínica ha infringido las normas de privacidad. La definición de "lo antes posible" depende de varios factores, como el número de personas a las que se debía informar, el tipo de datos robados y los medios de comunicación disponibles, según declaró un portavoz de AP a la emisora NOS.

Aún tenemos muchas preguntas que queremos responder pronto. ¿Qué pasó? ¿Cuándo se informó? ¿Qué pasó mientras tanto?, dijo.

Clinical Diagnostics afirmó que los afectados recibirán una carta a más tardar el 19 de agosto. También informarán oficialmente a los médicos de familia incluidos en la lista.

Si se descubre que la clínica ha infringido la normativa de privacidad, podría recibir una multa de hasta 20 millones de euros o el 4 % de sus ingresos. Dependiendo de la gravedad de la infracción, se podría prohibir a las empresas procesar ciertas categorías de datos personales.

Las mujeres cuyos datos hayan sido robados podrían ser blanco de delincuentes y quedar vulnerables al fraude de identidad.

En otro giro siniestro, RTL Nieuws descubrió que algunas de las mujeres de la lista vivían en un albergue para mujeres. Además de sus nombres y números de identificación, la dirección del albergue también figura entre los datos pirateados.