Após muitos duvidarem que o RGPD, iria de facto entrar em ação, eis que o Centro Hospitalar Barreiro Montijo acaba de o demonstrar, com uma multa de 400 mil euros pela CNPD.
A Comissão Nacional de Protecção de Dados deu seguimento a uma notícia que indicava casos de acesso indevido de dados no Centro Hospitalar Barreiro Montijo.
Depois de ter efectuado as devidas inspecções, actuou em conformidade com o RGPD aplicando uma multa de 400 mil euros que poderia ter sido bem mais pesada.
Foram detectadas três infracções:
- Acesso indiscriminado aos dados por um número excessivo de utilizadores (150 mil euros)
- Violação da integridade e confidencialidade dos dados por falta de aplicação de medidas que impedissem o acesso indevido (150 mil euros)
- Incapacidade de garantir a implementação técnica das medidas acima referidas (100 mil euros)
As duas primeiras infracções poderiam ter um valor máximo de 20 milhões de euros ou 4% da sua facturação anual; a última poderia ir até 10 milhões de euros ou 2% da facturação anual.
O Centro Hospitalar tentou argumentar que a CNPD não teria autoridade para actuar como entidade supervisora para aplicação do RGPD.
Que se limitava a utilizar o sistema disponibilizado pelo Ministério da Saúde. No entanto, isso não foi suficiente para evitar esta multa!
A CNPD referiu pontos como: pessoal técnico com acesso indiscriminado aos dados clínicos de qualquer paciente;
acesso dos médicos a todos os dados dos pacientes, independentemente da sua especialidade;
a existência de 985 utilizadores com nível de acesso “médico” embora no hospital só existam 296 médicos;
incluindo ainda registos de médicos que já não trabalhavam no hospital há anos;
e de que o hospital teria mantido estas práticas de forma deliberada e consciente, mesmo depois de ter sido alertado para a sua ilegalidade.
Aqui neste POST poderá fazer o Download de uma checklist em como adaptar a sua empresa ao RGPD.
Esperemos que este caso possa servir como um alerta de que o RGPD não é “a brincar”.
Porque, a forma como se lidam com os dados privados dos cidadãos é mesmo para se levar a sério.
O facto da CNPD ter procedido à inspecção por sua própria iniciativa, após o caso ter sido referido nos jornais, sem que tivesse sido apresentada uma queixa ou reclamação formal, é também um bom sinal de que esta entidade está empenhada em fazer o seu trabalho. Vamos lá ver quem será o próximo…