Portugal introduz sanções financeiras ao abrigo do RGPD. O hospital do Barreiro foi multado em 400 mil euros devido à sua política de acesso a bases de dados de pacientes.

AnúncioA primeira multa ao abrigo do RGPD diz respeito, portanto, a um estabelecimento de saúde em Portugal. A artigo do site da Exam Informatica informa que o CNPD (Comisso Nacional de Proteo de Dados), equivalente ao Cnil, impôs uma sanção financeira de 400 mil euros ao Centro Hospitalar Barreiro-Montijo, perto de Lisboa, por violação da regulamentação europeia. Os factos remontam ao passado mês de junho, após uma diligente fiscalização na sequência de um alerta emitido pela ordem médica.

O regulador referiu que vários funcionários administrativos tinham acesso reservado a médicos. Ao mesmo tempo, observou que 985 médicos tinham autorização para aceder aos processos médicos dos pacientes, enquanto o estabelecimento apenas inclui 296 médicos. Essa discrepância poderia ser explicada pela presença de trabalhadores temporários, mas o problema é que as contas desses médicos temporários permanecem ativas o tempo todo. Por último, a delegação do regulador criou uma conta de teste e conseguiu aceder aos dados dos pacientes, demonstrando uma fragilidade na gestão de contas (autorização, gestão de perfis, etc.)

Argumentos fracos e uma sanção forte

O estabelecimento de saúde defendeu-se inicialmente destacando a incompetência do regulador alegando que o RGPD não tinha sido adaptado à legislação nacional. Um argumento que não se sustenta, porque o regulamento produz os seus efeitos directamente no corpo jurídico dos Estados-Membros sem transposição. Outro argumento é que a política de autorização de determinados dados é definida por entidades terceiras, nomeadamente os serviços informáticos do Ministério da Saúde. Por último, o centro hospitalar considera que não dispõe de ferramentas informáticas adequadas para gerir os diferentes cenários de acesso aos dados dos pacientes. Não é uma desculpa válida, porque as soluções atuais incluem uma gestão precisa das autorizações.

Raciocínio que manifestamente não convenceu a CNPD. Este último reconheceu três violações do RGPD: violação dos princípios de integridade e confidencialidade dos dados, violação do princípio da limitação do acesso aos dados e incapacidade do responsável pelo tratamento de garantir a integridade dos dados. Pelas duas primeiras infrações, o regulador aplica uma multa de 150 mil euros e de 100 mil euros pela terceira infração. O centro hospitalar pode recorrer desta decisão.