2019/01/05

RGPD dá multa de 400 mil euros ao Centro Hospitalar Barreiro Montijo


Depois de muitas interrogações sobre que impacto real teria o novo Regulamento Geral de Protecçao de Dados (RGPD / GDPR), eis que o Centro Hospitalar Barreiro Montijo acaba de o demonstrar, com uma multa de 400 mil euros pela CNPD.

A Comissão Nacional de Protecção de Dados deu seguimento a uma notícia que indicava casos de acesso indevido de dados no Centro Hospitalar Barreiro Montijo, e depois de ter efectuado as devidas inspecções, actuou em conformidade com o RGPD aplicando uma multa de 400 mil euros que poderia ter sido bem mais pesada.

Foram detectadas três infracções:
  • Acesso indiscriminado aos dados por um número excessivo de utilizadores (150 mil euros)
  • Violação da integridade e confidencialidade dos dados por falta de aplicação de medidas que impedissem o acesso indevido (150 mil euros)
  • Incapacidade de garantir a implementação técnica das medidas acima referidas (100 mil euros)
As duas primeiras infracções poderiam ter um valor máximo de 20 milhões de euros ou 4% da sua facturação anual; a última poderia ir até 10 milhões de euros ou 2% da facturação anual.

O Centro Hospitalar tentou argumentar que a CNPD não teria autoridade para actuar como entidade supervisora para aplicação do RGPD; e de que se limitava a utilizar o sistema disponibilizado pelo Ministério da Saúde; mas isso não foi suficiente para evitar esta multa - que obviamente se poderá aplicar a muitos outros hospitais em condições idênticas.


A CNPD referiu pontos como: pessoal técnico com acesso indiscriminado aos dados clínicos de qualquer paciente; acesso dos médicos a todos os dados dos pacientes, independentemente da sua especialidade; a existência de 985 utilizadores com nível de acesso "médico" embora no hospital só existam 296 médicos - incluindo registos de médicos que já não trabalhavam no hospital há anos; e de que o hospital teria mantido estas práticas de forma deliberada e consciente, mesmo depois de ter sido alertado para a sua ilegalidade.

Esperemos que este caso possa servir como um alerta de que o RGPD não é "a brincar", e que a forma como se lidam com os dados privados dos cidadãos é mesmo para se levar a sério. O facto da CNPD ter procedido à inspecção por sua própria iniciativa, após o caso ter sido referido nos jornais, sem que tivesse sido apresentada uma queixa ou reclamação formal, é também um bom sinal de que esta entidade está empenhada em fazer o seu trabalho. Vamos lá ver quem será o próximo...

9 comentários:

  1. Gosto de saber que a lei tem aplicação prática e pode produzir efeitos.
    No entanto, não gostarei do desfecho deste caso em particular, se o dinheiro para pagar as coimas sair dos cofres públicos (logo, em parte, dos meus impostos).

    ResponderEliminar
  2. E alguém considerar isto "acesso dos médicos a todos os dados dos pacientes, independentemente da sua especialidade" errado choca me :(:(

    ResponderEliminar
    Respostas
    1. Acesso indiscriminado sim.
      Que haja possibilidade de aceder a dados de outras especialidades, se e quando houver necessidade, e com a devida justificação, sim.

      Eliminar
  3. Toda a gente muito preocupada com os seus dados! A mim preocupa-me mais a impunidade que os operadores de telecomunicações têm, a levar com multas ridículas de 30 mil euros. A um hospital, que necessita de todo o dinheiro disponível, porque há sempre orçamentos restritivos na área da saúde, aplica-se uma multa de 400 mil!!! Estamos bem, ou quê?

    ResponderEliminar
  4. Este comentário foi removido pelo autor.

    ResponderEliminar
  5. Sempre considerei e continuo a considerar esta perseguição absurda. Os tempos são outros, os nossos dados são úteis e sempre foram úteis para o nosso futuro! Infelizmente o gap geracional e o medo do futuro está a tornar a Europa obsoleta de forma acelerada, tornando-se um local museológico.

    ResponderEliminar
    Respostas
    1. Joaquim, imagina o que alguém na sua zona de residenência pode fazer contra si se souber de que doenças padece sem o seu consentimento?

      Pessoalmente até concordo consigo, mas antes no caso de estarmos a falar de pessoas falecidas. Já no caso de dados de pessoas em vida, considero que em mãos erradas são um potencial perigo.

      Eliminar
    2. São úteis se forem anónimos. Não vejo a necessidade da Srª da recepção saber o seu histórico clínico a não ser para a fofoquice.

      Eliminar