O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 25 de maio de 2018, e veio substitui a diretiva e lei de proteção de dados. Em Portugal, as empresas foram obrigadas a mudar muitos procedimentos, mas há ainda muito trabalho e mudanças pela frente.
Para quem considera que o RGPD não iria fazer “vitimas” ao nível das multas… desengane-se! A Comissão Nacional de Proteção de Dados (CNPD) multou o Centro Hospitalar Barreiro Montijo (CHBM) em 400 mil euros.
O que é o RGPD?
O Regulamento Geral de Proteção de Dados foi aprovado pela União Europeia, introduzindo um novo regime em matéria de proteção de dados pessoais. Foi criado para proteger o cidadão face ao tratamento de dados pessoais em larga escala por grandes empresas e serviços da sociedade de informação.
Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD define novas regras e procedimentos do ponto de vista tecnológico. Saber mais aqui.
Multa de 400 mil euros para o CHBM
A autoridade de supervisão nacional, a CNPD, constatou que houve três violações do RGPD.
- 1) Violação do Artigo 5 (1) (c), princípio de minimização, ao permitir acesso indiscriminado a um número excessivo de utilizadores e violação do Artigo 83 (5) (a) relativo aos princípios básicos do tratamento, incluindo as condições de consentimento (multa de 150.000 euros).
- Violação do Artigo 5(1)(f) – Violação da integridade e confidencialidade dos dados por falta de medidas de proteção (multa de 150.000 euros).
- Violação do Artigo 32(1)(b) – incapacidade do Centro Hospitalar para assegurar a continuação da confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento, bem como a não implementação das medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco, incluindo um processo para testar, avaliar e avaliar as medidas técnicas e organizacionais para garantir a segurança do processamento (multa de 100.000 euros).
A defesa apresentada pelo Centro Hospitalar referiu que a CNPD não podia ser considerada como Autoridade de Supervisão, de acordo com o artigo 51, porque ainda não tinha sido nomeada formalmente. Para tal, a CNPD respondeu que é, para todos os efeitos, a Autoridade Nacional que tem o poder de controlar e supervisionar o cumprimento ao nível dos termos de proteção de dados de acordo com a atual Lei Portuguesa de Proteção de Dados.
Além disso, entre muitos outros argumentos, o CHBM utilizou o sistema informático disponibilizado aos hospitais públicos pelo Ministério da Saúde Português e não os seus próprios sistemas informáticos.
Alguns factos considerados pela CNPD
- Não havia qualquer documento que fizesse a correspondência entre as competências funcionais dos utilizadores e os perfis de acesso à informação (incluindo informações clínicas);
- Não havia qualquer documento que definisse as regras para criar utilizadores no sistema de informações do CHBM;
- Nove funcionários técnicos usufruíam do nível de acesso reservado para o grupo médico, o que resultou na indiscriminada possibilidade de tais funcionários consultarem os processos clínicos de todos os pacientes do CHBM;
- Existência de credenciais de acesso que permitiram a qualquer médico, independentemente da sua especialidade, aceder, a qualquer momento, aos dados dos pacientes;
- Havia 985 utilizadores associados ao perfil “médico”, mas nos gráficos oficiais dos Recursos Humanos do CHBM existem apenas 296 médicos naquele Centro;
- Permanência de perfis (inúteis) para médicos que já não prestam serviço no CHBM;
- Havia apenas 18 contas de utilizadores inativas e a última desativada foi em novembro de 2016;
- O CHBM agiu de forma livre, voluntária e conscientemente sabendo que os seus atos são proibidos por lei.
A decisão não foi publicada no site da CNPD, o que obviamente não contribui para promover a consciencialização e compreensão das organizações e empresas sobre os riscos, regras, salvaguardas em relação ao processamento, conforme previsto no Artigo 57 do RGPD.