Depois de muitas interrogações sobre que impacto real teria o novo Regulamento Geral de Protecçao de Dados (RGPD / GDPR), eis que o Centro Hospitalar Barreiro Montijo acaba de o demonstrar, com uma multa de 400 mil euros pela CNPD.
A Comissão Nacional de Protecção de Dados deu seguimento a uma notícia que indicava casos de acesso indevido de dados no Centro Hospitalar Barreiro Montijo, e depois de ter efectuado as devidas inspecções, actuou em conformidade com o RGPD aplicando uma multa de 400 mil euros que poderia ter sido bem mais pesada.
Foram detectadas três infracções:
- Acesso indiscriminado aos dados por um número excessivo de utilizadores (150 mil euros)
- Violação da integridade e confidencialidade dos dados por falta de aplicação de medidas que impedissem o acesso indevido (150 mil euros)
- Incapacidade de garantir a implementação técnica das medidas acima referidas (100 mil euros)
As duas primeiras infracções poderiam ter um valor máximo de 20 milhões de euros ou 4% da sua facturação anual; a última poderia ir até 10 milhões de euros ou 2% da facturação anual.
O Centro Hospitalar tentou argumentar que a CNPD não teria autoridade para actuar como entidade supervisora para aplicação do RGPD; e de que se limitava a utilizar o sistema disponibilizado pelo Ministério da Saúde; mas isso não foi suficiente para evitar esta multa – que obviamente se poderá aplicar a muitos outros hospitais em condições idênticas.
A CNPD referiu pontos como: pessoal técnico com acesso indiscriminado aos dados clínicos de qualquer paciente; acesso dos médicos a todos os dados dos pacientes, independentemente da sua especialidade; a existência de 985 utilizadores com nível de acesso “médico” embora no hospital só existam 296 médicos – incluindo registos de médicos que já não trabalhavam no hospital há anos; e de que o hospital teria mantido estas práticas de forma deliberada e consciente, mesmo depois de ter sido alertado para a sua ilegalidade.
Esperemos que este caso possa servir como um alerta de que o RGPD não é “a brincar”, e que a forma como se lidam com os dados privados dos cidadãos é mesmo para se levar a sério. O facto da CNPD ter procedido à inspecção por sua própria iniciativa, após o caso ter sido referido nos jornais, sem que tivesse sido apresentada uma queixa ou reclamação formal, é também um bom sinal de que esta entidade está empenhada em fazer o seu trabalho. Vamos lá ver quem será o próximo…