Avançar para o conteúdo principal

CNPD IMPÕE A PRIMEIRA COIMA de 400 MIL EUROS

Depois de receber uma denúncia por parte do Sindicato dos Médicos da Zona Sul, a CNPD iniciou uma inspeção no Centro Hospitalar do Barreiro Montijo que culminou com a deteção de três infrações e com a aplicação das correspondentes coimas.

Com efeito, a CNPD detetou diferentes deficiências nos sistemas de autenticação e controle de acesso à base de dados. Concretamente, considerou que os sistemas hospitalares permitiam o acesso a usuários sem a devida autorização, tendo verificado que 985 médicos tiveram acesso a dados clínicos, quando o Hospital do Barreiro conta com apenas 296 médicos.

Além do mais, considera ainda que o hospital não possui um protocolo interno para a criação de contas de usuários, níveis de acesso a informações médicas ou um método de autenticação da conexão de profissionais com o hospital.

Esta infração, ou seja, o acesso indiscriminado, por parte de profissionais através de perfis não adequados às suas funções e categoria profissional, a um conjunto de dados clínicos e o facto de não terem sido aplicadas medidas para impedir este acesso ilícito, resultou na aplicação de duas coimas de 150 mil euros, ao abrigo do artigo 5º, n.º1, al. c) e f) do RGPD.

A outra infração, segundo a Comissão, deve-se ao facto de a unidade hospitalar se ter mostrado incapaz de “assegurar a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento”, o que levou à aplicação de uma coima de 100 mil euros, nos termos do artigo 32º, n.º 1, b) e d) do RGPD.

Considera a CNPD totalmente insustentável a existência de credenciais de acesso que permitam a qualquer médico, de qualquer especialidade e em qualquer altura, aceder aos dados dos pacientes de um determinado centro hospitalar, sem limite temporal, violando desta forma o princípio da minimização dos dados.

No entanto, a CNPD reconhece a cooperação e disponibilidade do Centro Hospitalar do Barreiro-Montijo para resolver as deficiências detetadas, mas considera que era da responsabilidade da administração do centro médico tomar as medidas adequadas para garantir a segurança. Acrescenta que atuaram, deliberadamente, conhecendo as medidas técnicas e organizacionais necessárias, não as tendo porém aplicado. Com efeito, a arguida poderia ter corrigido o sistema que permitia a profissionais de várias categorias distintas o acesso a informação irrestrita sobre os processos clínicos dos pacientes do Centro Hospitalar, e não o fez. Não obstante, a Comissão admite que a conduta não causou danos concretos aos pacientes, mas considera que o “desconhecimento concreto do universo de contas de acesso demonstra a inexistência de um sistema de auditoria fiável.”

Por outro lado, o Hospital questionou os poderes da CNPD de Portugal para aplicar a multa, pois considera que a autoridade de controlo nacional, não foi indicada como tal, formalmente, nos termos no artigo 51.º, n.º 1 do RGPD. A CNPD não está de acordo com esta alegação e considera que “é, para todos os efeitos, e enquanto tal não for alterado, a autoridade nacional que tem como atribuição controlar e fiscalizar o cumprimento das disposições legais e regulamentárias em matéria de proteção de dados pessoais”.

Adicionalmente, o Hospital considera que as condutas previstas como sancionáveis no RGPD, com as coimas do artigo 83.º, não se encontram suficientemente densificadas, pelo que a intervenção do legislador nacional é indispensável para que as mesmas se apliquem.

Na verdade, não podemos deixar de discordar com esta alegação. Os valores das coimas estão regulados nos artigos 83.4, 83.5 e 83.6 do RGPD. Assim, estabelecem que as infrações relativas a cada título serão punidas de forma proporcional, efetiva e dissuasiva com multas de 10 ou 20 milhões de euros ou um montante equivalente a 2% ou 4% do volume máximo do total de negócios anuais totais do exercício anterior, optando pelo maior montante. Essa vasta margem de manobra por parte de CNPD deve ser regulada pelo legislador nacional, sendo inegável que urge uma nova lei que estabeleça uma graduação do montante das coimas a ser aplicadas. Não obstante, na deliberação objeto de análise, a Comissão realça o intuito uniformizador do RGPD que, no considerando 150, considera que “o presente regulamento deverá definir as violações e o montante máximo e o critério de fixação do valor das coimas daí decorrentes que deverá ser determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica”.

Desta forma, a Comissão teve em consideração diversos fatores, tal como exige o artigo 83.º do RGPD. Por um lado, tiveram em conta a gravidade e a duração da infração, traduzindo-se esta análise no número de afetados, situado em dezenas de milhares, que corresponde ao universo de pacientes do Centro Hospitalar, e o facto de se tratarem de dados de saúde. Por outro lado, considerou dolosa a conduta da arguida e atribui-lhe um grau de responsabilidade elevado, uma vez que os procedimentos de auditoria não se podem considerar adequados.

Como atenuantes, considerou a Comissão o facto de não se verificarem infrações anteriormente cometidas pelo responsável pelo tratamento, o facto de se reputar como adequado o grau de cooperação com a autoridade de controlo e, por último, a circunstância de os parâmetros de monitorização dos LOGS dos acessos à informação não dependerem da arguida.

O Centro Hospitalar, segundo a Agência Lusa, recorrerá desta deliberação. Aguardemos.

JUSNET 15/11/2018

Comentários

MENSAGENS POPULARES

O QUE SÃO DADOS PESSOAIS?

Dados pessoais são todos e quaisquer dados ou informações relativas a uma pessoa singular identificada ou que possa ser, direta ou indiretamente, identificável. Uma pessoa poderá ser identificável por referência a um identificador como um nome, um número, dados de localização ou elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social.

São exemplos de dados pessoais, o nome e o apelido de alguém, a sua morada, um endereço eletrónico tal como nome.apelido@empresa.pt, o nif, um número de matrícula, uma foto, um rosto, um número de identificação de cartão ou um cookie, um número de telefone, e, de uma maneira geral, qualquer dado que permita identificar ou localizar um indivíduo.

A proteção legal relativa aos dados pessoais visa proteger o direito de reserva da vida privada e o direito de autodeterminação, em suma: o direito a não ser importunado. Concretiza-se em princípios como o princípio da licitude, lealdade e transparência, em pro…

EM QUE SITUAÇÕES É CONSIDERADO LÍCITO O TRATAMENTO DE DADOS PESSOAIS?

Por tratamento de dados pessoais entende-se quaisquer operações efetuadas sobre os mesmos, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

O tratamento de dados pessoais carece sempre de um fundamento jurídico, de outro modo, é suscetível de ser considerado tratamento ilícito. Existem apenas seis fundamentos legais possíveis. O cabimento em qualquer um deles depende da finalidade específica da recolha dos dados.

O consentimento
A primeira fundamento legal para o tratamento de dados pessoais é o consentimento. O consentimento é bastante exigente. Consiste numa manifestação de vontade explícita, livre, específica, informada e inequívoca. O tratamento de dados é considerado lícito se o titular dos dados tiver dado o seu consentimento inform…

É OBRIGATÓRIO NOMEAR UM ENCARREGADO DE PROTEÇÃO DE DADOS?

Sim, para qualquer autoridade ou organismo do Estado é sempre obrigatório nomear um EDP/DPO (Encarregado de Proteção de Dados/Data Protection Officer). A única exceção são os tribunais.

Para entidades privadas, apenas é obrigatório para aquelas organizações que façam tratamento de dados pessoais que, devido à natureza, âmbito ou finalidade, exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala (condenações penais e infrações).

No entanto, qualquer organização, querendo, pode voluntariamente nomear um.

É possível várias empresas partilharem o mesmo encarregado de proteção de dados? 
 Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento.

Os EPD precisam de alguma certificação para desempenhar as suas funções? 
Não. O EPD deve ser des…