El caso es protagonizado por una clínica de psicoterapia finlandesa que, no solo conservaba datos especialmente sensibles de sus pacientes (datos relativos a su salud mental) más allá de lo necesario para la prestación de los servicios sanitarios, sino que además lo hacía incumpliendo la normativa aplicable de seguridad de la información.
En concreto, se habría descubierto que la clínica guardaba datos identificativos junto a datos extremadamente personales sobre la salud mental de los pacientes, únicamente mediante una contraseña simple y predeterminada, y que existía una gran probabilidad de que fuera descubierta por terceros a través de internet, sin demasiadas complicaciones para quien tuviera unos mínimos conocimientos informáticos.
Como resultado, efectivamente, finalmente estos datos fueron descubiertos a partir de un ciberataque y la clínica fue chantajeada, así como los pacientes afectados.
A pesar de la investigación y persecución del sospechoso de haber cometido el ataque, también ha sido el CEO de la compañía quien ha tenido que responder por los hechos que hicieron posible la violación de seguridad. En su caso concreto, tuvo que responder por haber incumplido de forma reiterada la normativa de seguridad de la información y, no solo esta vez, sino en varias ocasiones en los últimos años, habiendo padecido incidentes de los que no informó a las autoridades competentes.