Carece de medidas técnicas y organizativas adecuadas al riesgo y falta de un análisis de riesgos, en relación con los datos personales que se almacenaban en los sistemas de información del HCB ciberatacados.

Se resuelve declarar que, con anterioridad al 05/03/2023, el HCB no había implementado las medidas de seguridad -técnicas y organizativas- adecuadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales que realizaba. Tampoco había realizado un análisis de riesgos para definir las medidas de seguridad requeridas, tal y como exigen los apartados 1º y 2º del artículo 32 RGPD. La plataforma informática que fue objeto de ciberataque almacenaba información del HCB y también de otras entidades vinculadas (Barnaclínic SA, CAPSBE y la FRCB-IDIBAPS); por tanto, el volumen y sensibilidad de la información exigían una especial diligencia en su custodia y seguridad.