Hospital do Barreiro multado em 400 mil euros por ceder dados
A Comissão Nacional de Protecção de Dados decidiu aplicar uma coima ao Centro Hospitalar Barreiro Montijo por permitir o acesso indiscriminado de dados de saúde dos doentes a pessoas que não deveriam ter essa possibilidade.
Oacesso irregular a dados clínicos, detectado no Centro Hospitalar Barreiro Montijo vai valer a esta entidade uma coima de 400 mil euros, de acordo com o resultado de uma inspecção levada a cabo pela Comissão Nacional de Protecção de Dados (CNPD). Em causa está a atribuição de credenciais informáticas a pessoas que, pelas suas características, não as deviam receber.
A questão foi denunciada em Julho e, de acordo com a deliberação final da CNPD, a que o Negócios teve acesso, foi detectada uma violação “do princípio da minimização dos dados, permitindo o acesso indiscriminado a um conjunto excessivo de dados por parte de profissionais que a eles só deveriam aceder em casos pontuais e previamente justificados”. E, também, “uma violação do princípio da integridade e confidencialidade” por não terem sido “aplicadas medidas técnicas e organizativas” susceptíveis de “impedir o acesso ilícito a dados pessoais”.
Na prática, concluiu a CNPD, “a política de atribuição de credenciais de acesso permitiu que pelo menos nove funcionários do grupo “técnico” usufruíssem do nível de acesso reservado aos médicos, o que se tra- duz na possibilidade indiscriminada de consulta de processos clínicos de todos os utentes do hospital”.
A CNPD responsabiliza o Centro Hospitalar Barreiro Montijo por, de forma “voluntária” ter permitido que fosse esta a prática em vez de “estabelecer outros procedimentos, porventura mais morosos, mas seguramente menos intrusivos da protecção de dados pessoais que qualquer cidadão deve merecer”.
Ainda que afaste a existência de “dolo directo” por parte da administração do hospital, devido até à própria “arquitectura dos sistemas”, a CNPD considera que existiu “dolo eventual”, tanto mais que o próprio hospital afirma ter agido com conhecimento do que se passava, continuando, apesar disso, a “atribuir pri- vilégios de acesso indevidos a um conjunto de profissionais que nunca deveriam poder aceder indiscriminadamente aos ficheiros clínicos dos clientes”, lê-se na decisão da CNPD.
E a questão foi considerada tanto mais grave quanto o que estava em causa eram categorias especiais de dados, ou seja, dados de saúde. Por outro lado, “não havia um sistema de auditoria fiável” e a criação de novas contas de acesso nem sequer era controlado pela administração. A deliberação da CNPD pode ainda ser alvo de recurso para os tribunais.
A CNPD diz que a administração do hospital sabia o que se passava e nada fez.