Em Portugal, Centro hospital é multado em 400 mil euros por violar GDPR

O Centro Hospitalar Barreiro Montijo foi multado em 400.000 euros por violar o Regulamento Geral de Proteção de Dados.

A autoridade de supervisão do país, a Comissão Nacional de Proteção de Dados, constatou que houve três violações do GDPR. Primeiro, foi uma violação do Artigo 5 (1) (c), um princípio de minimização, ao permitir acesso indiscriminado a um número excessivo de usuários, e uma violação do Artigo 83 (5) (a) uma violação dos princípios básicos de processamento. Para esses, a multa foi de 150.000 euros.

A segunda, violação da integridade e da confidencialidade em resultado da não aplicação de medidas técnicas e organizacionais para impedir o acesso ilícito a dados pessoais ao abrigo do artigo 5.º, n.º 1, alínea f), e também do artigo 83.º, n.º 5, alínea a); uma violação dos princípios básicos de processamento. Lá, a multa foi de 150.000 euros.

Ambos os itens acima foram puníveis com uma multa de até 20 milhões de euros ou 4 por cento do volume de negócios total anual.

Finalmente, a CNPD foi multada com base no artigo 32 (1) (b), a incapacidade do réu para garantir a continuação da confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento, bem como a não implementação das medidas técnicas e organizacionais para garantir um nível de segurança adequado ao risco, incluindo um processo para testar, avaliar e avaliar regularmente as medidas técnicas e organizacionais para garantir a segurança do processamento. Lá a multa foi de 100.000 euros, embora a multa máxima fosse de 10 milhões de euros para 2% do total do faturamento anual.

A defesa apresentada pelo hospital referiu que a CNPD não podia ser considerada como autoridade de supervisão, de acordo com o artigo 51, porque ainda não tinha sido nomeada formalmente. Para tal, a CNPD respondeu que é, para todos os efeitos, a autoridade nacional que tem o poder de controlar e supervisionar o cumprimento em termos de proteção de dados de acordo com a atual Lei Portuguesa de Proteção de Dados.

Além disso, entre os seus argumentos, o hospital utilizou o sistema informático fornecido aos hospitais públicos pelo Ministério da Saúde Português e não os seus próprios sistemas.

Alguns fatos considerados comprovados pela CNPD:

• Não havia documento contendo a correspondência entre as competências funcionais dos usuários e os perfis de acesso à informação (incluindo informações clínicas).
• Também não havia documento definindo as regras para criar usuários do sistema de informações do hospital.
  Nove funcionários técnicos desfrutaram do nível de acesso reservado para o grupo médico, o que resultou na indiscriminada possibilidade de tais funcionários consultarem os processos clínicos de todos os usuários do hospital.
• Existência de credenciais de acesso que permitiram a qualquer médico, independentemente de sua especialidade, acessar a qualquer momento os dados dos clientes de um hospital. Isto foi considerado como violando o princípio da “necessidade de saber” e o princípio da “minimização de dados”.
• Havia 985 usuários associados ao perfil “médico”, mas nos gráficos oficiais de recursos humanos do hospital existem apenas 296 médicos naquele hospital.
• Manutenção de perfis inúteis para médicos que não prestam mais serviços ao hospital.
• Havia apenas 18 contas de usuário inativas e a última desativada em novembro de 2016.
• O réu agiu de forma livre e voluntária e conscientemente sabendo que seus atos são proibidos por lei.
• Ao determinar o montante da multa, que foi relativamente baixo, considerando o que poderia ter sido, a CNPD considerou o seguinte, de acordo com o artigo 83 (1) (a-k):
• Natureza, gravidade e duração da infracção, tendo em conta a natureza ou o objectivo do tratamento, bem como o número de titulares de dados afectados. Considerou-se também relevante o facto de os dados pessoais envolvidos serem categorias especiais de dados, incluindo dados de saúde que aumentaram significativamente o risco de danos para os titulares dos dados.
• Possível fraude: o réu representou a prática de má conduta como uma possível conseqüência da conduta e conformada a ela.
• A iniciativa do requerido para mitigar os danos sofridos pelos titulares dos dados.
• O grau de responsabilidade do réu, levando em conta as medidas técnicas e organizacionais implementadas.
• Não houve infrações anteriores.
• Grau de cooperação com a CNPD para remediar a infração e mitigar seus possíveis efeitos negativos.
• Como a CNPD soube da infração, na medida em que não foi comunicada pelo hospital, mas sim conhecida pela mídia e posteriormente confirmada pela inspeção da CNPD.
• Ao determinar o valor da pena, a CNPD também considerou o fato de que o réu tomou medidas para regularizar a situação.
• O fato marcante dessa multa é que a CNPD atuou em um artigo de jornal e não em uma queixa. A partir disso, consideramos que era particularmente relevante para a CNPD que não houvesse procedimentos documentados para o acesso aos dados, mas também que os dados envolvidos fossem especiais.

Matéria publicada originalmente: iapp

Tradução – Amanda Camolez Joseph