RGPD: Centro Hospitalar Barreiro Montijo com multa de 400 mil euros

19 Out 2018 · Notícias Comentar

O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 25 de maio de 2018, e veio substitui a diretiva e lei de proteção de dados. Em Portugal, as empresas foram obrigadas a mudar muitos procedimentos, mas há ainda muito trabalho e mudanças pela frente.

Para quem considera que o RGPD não iria fazer "vitimas" ao nível das multas... desengane-se! A Comissão Nacional de Proteção de Dados (CNPD) multou o Centro Hospitalar Barreiro Montijo (CHBM) em 400 mil euros.

O que é o RGPD?

O Regulamento Geral de Proteção de Dados foi aprovado pela União Europeia, introduzindo um novo regime em matéria de proteção de dados pessoais. Foi criado para proteger o cidadão face ao tratamento de dados pessoais em larga escala por grandes empresas e serviços da sociedade de informação.

Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD define novas regras e procedimentos do ponto de vista tecnológico. Saber mais aqui.

Multa de 400 mil euros para o CHBM

A autoridade de supervisão nacional, a CNPD, constatou que houve três violações do RGPD.

1) Violação do Artigo 5 (1) (c), princípio de minimização, ao permitir acesso indiscriminado a um número excessivo de utilizadores e violação do Artigo 83 (5) (a) relativo aos princípios básicos do tratamento, incluindo as condições de consentimento (multa de 150.000 euros).
Violação do Artigo 5(1)(f) - Violação da integridade e confidencialidade dos dados por falta de medidas de proteção (multa de 150.000 euros).
Violação do Artigo 32(1)(b) - incapacidade do Centro Hospitalar para assegurar a continuação da confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento, bem como a não implementação das medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco, incluindo um processo para testar, avaliar e avaliar as medidas técnicas e organizacionais para garantir a segurança do processamento (multa de 100.000 euros).

A defesa apresentada pelo Centro Hospitalar referiu que a CNPD não podia ser considerada como Autoridade de Supervisão, de acordo com o artigo 51, porque ainda não tinha sido nomeada formalmente. Para tal, a CNPD respondeu que é, para todos os efeitos, a Autoridade Nacional que tem o poder de controlar e supervisionar o cumprimento ao nível dos termos de proteção de dados de acordo com a atual Lei Portuguesa de Proteção de Dados.

Além disso, entre muitos outros argumentos, o CHBM utilizou o sistema informático disponibilizado aos hospitais públicos pelo Ministério da Saúde Português e não os seus próprios sistemas informáticos.

Alguns factos considerados pela CNPD

Não havia qualquer documento que fizesse a correspondência entre as competências funcionais dos utilizadores e os perfis de acesso à informação (incluindo informações clínicas);
Não havia qualquer documento que definisse as regras para criar utilizadores no sistema de informações do CHBM;
Nove funcionários técnicos usufruíam do nível de acesso reservado para o grupo médico, o que resultou na indiscriminada possibilidade de tais funcionários consultarem os processos clínicos de todos os pacientes do CHBM;
Existência de credenciais de acesso que permitiram a qualquer médico, independentemente da sua especialidade, aceder, a qualquer momento, aos dados dos pacientes;
Havia 985 utilizadores associados ao perfil "médico", mas nos gráficos oficiais dos Recursos Humanos do CHBM existem apenas 296 médicos naquele Centro;
Permanência de perfis (inúteis) para médicos que já não prestam serviço no CHBM;
Havia apenas 18 contas de utilizadores inativas e a última desativada foi em novembro de 2016;
O CHBM agiu de forma livre, voluntária e conscientemente sabendo que os seus atos são proibidos por lei.

A decisão não foi publicada no site da CNPD, o que obviamente não contribui para promover a consciencialização e compreensão das organizações e empresas sobre os riscos, regras, salvaguardas em relação ao processamento, conforme previsto no Artigo 57 do RGPD.

Via

Este artigo tem mais de um ano

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.