Background

Comunicação

Comunicações recentes

Hospital do Barreiro contesta judicialmente coima de 400 mil euros de Comissão de Dados

Comissão Nacional de Protecção de Dados aplicou multa por acesso irregular aos dados dos doentes. Situação tinha sido denunciada em Abril pelo Sindicato dos Médicos da Zona Sul.

O hospital do Barreiro, no distrito de Setúbal, está a preparar uma contestação judicial contra uma coima de 400 mil euros aplicada pela Comissão Nacional de Protecção de Dados, por acesso irregular aos dados dos doentes, informou esta segunda-feira a administração.

"O Centro Hospitalar Barreiro Montijo (CHBM) não acompanha os pressupostos e entendimento da Comissão Nacional de Protecção de Dados (CNPD) sobre o presente assunto. Encontramo-nos neste momento a preparar contestação judicial", avançou à agência Lusa o conselho de administração desta unidade hospitalar.

Comissão de Dados divulgou esta segunda-feira à Lusa a deliberação, efectuada a 17 de Julho, onde dá conta da aplicação de uma coima com o valor de 400 mil euros ao Centro Hospitalar do Barreiro Montijo, pela "prática de duas violações" do Regulamento Geral sobre Protecção de Dados.

Uma das infracções apuradas foi a permissão de "acesso indiscriminado a um conjunto de dados por parte de profissionais, que a eles só deveriam aceder em casos pontuais", além de não terem sido aplicadas medidas para impedir este acesso ilícito, o que resultou na aplicação de uma coima de 300 mil euros.

Segundo a CNPD, a unidade hospitalar cometeu outra violação, ao mostrar incapacidade para "assegurar a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento", o que levou a uma multa de 100 mil euros.

"Considera-se ser elevada a responsabilidade da arguida [Centro Hospitalar do Barreiro Montijo] quanto à violação das restrições, uma vez que conscientemente permitiu associar o grupo funcional de 'Médico' a quem apenas deveria estar credenciado com perfil de 'Técnico'", referiu.

Acesso sem restrições

A Comissão de Dados explicou que, na auditoria efectuada, foi criada uma conta de utilizador teste com o "perfil" idêntico ao 'Técnico', tendo verificado que o mesmo permitia o acesso "sem quaisquer restrições" ao processo clínico dos doentes do CHBM.

O documento divulgado revelou ainda que, no hospital do Barreiro, "existem 985 utilizadores activos associados ao grupo funcional de 'Médico'", apesar do Plano de Actividades de 2018 apontar apenas "para a existência de 296 médicos ao serviço".

De acordo com a Comissão de Dados, o Centro Hospitalar do Barreiro reconheceu a existência de "perfis inutilizados", justificando que se trata de "perfis temporários", de médicos contratados sob regime de prestação de serviços.

"A arguida actuou de forma livre, voluntária, consciente e sabendo que as suas condutas eram proibidas e punidas por lei", concluiu.

A aplicação de uma coima de 400 mil euros já tinha sido divulgada no final da semana passada pela Exame Informática e pelo Negócios.

O problema da confidencialidade dos dados clínicos dos doentes tratados no Centro Hospitalar do Barreiro Montijo foi levantado em Abril pelo Sindicato dos Médicos da Zona Sul, que dizia ter conhecimento de que profissionais não médicos acediam à aplicação informática com "perfil" médico.

Já nessa altura, a administração do hospital garantia que cumpria todas as regras de acesso ao sistema, alertando que cabe a cada profissional de saúde não fornecer os seus dados a terceiros.

Fonte: Público

CNPD: Hospital do Barreiro multado em 400 mil euros por permitir acessos indevidos a processos clínicos
O Hospital do Barreiro tem 296 médicos colocados, mas os sistemas internos permitiam que mais de 900 médicos continuassem com as contas de acesso a repositórios clínicos ativas. Contas de assistentes sociais, falhas no sistema de autenticação e a inexistência de regras de acesso também contribuíram para a aplicação de coimas ao abrigo do novo Regulamento Geral de Proteção de Dados

Comissão Nacional de Proteção de Dados (CNPD) aplicou coimas num valor de 400 mil euros ao Centro Hospitalar Barreiro-Montijo, devido às políticas de acesso às bases de dados, que permitiam que técnicos e médicos consultassem processos clínicos dos doentes sem a devida autorização. A coima foi anunciada na sequência de uma inspeção levada a cabo, depois de um alerta lançado pela Ordem dos Médicos em junho. O Hospital da margem sul ainda poderá recorrer à justiça, caso pretenda impugnar a deliberação da CNPD. A coima já foi aplicada à luz do Regulamento Geral de Proteção de Dados (RGPD) que entrou em vigor a 25 de maio. A administração do Hospital pôs em causa a competência da CNPD para a aplicação da coima.

A deliberação assinada no dia 11 de outubro refere que pelo menos nove profissionais com funções na área dos serviços sociais dispunham de acessos que deveriam ser da exclusividade dos médicos. A CNPD também justificou a aplicação das coimas com o facto de estarem registados 985 médicos com contas ativas que davam acesso aos ficheiros clínicos, apesar de os quadros do Hospital do Barreiro apenas contarem com 296 médicos (a disparidade entre número de contas e número de médicos estará relacionada com as passagens temporárias determinadas pelo sistema de colocação dos profissionais de saúde).

A deliberação revela ainda que, numa conta de teste, os peritos da CNPD conseguiram aceder a dados clínicos de um doente, que se encontravam nos arquivos digitais do Hospital de Santa Cruz, em Carnaxide. A estes dados, juntaram-se mais algumas lacunas: o hospital não dispunha de regras internas para a criação de contas (que eram criadas depois do envio de e-mails pelos diferentes diretores dos serviços) ou para os diferentes níveis de acesso à informação clínica. Por seu turno, o método de autenticação não tinha em conta os dados identificativos que vinculam os diferentes profissionais ao hospital.

Tendo em conta o cenário que foi apurado numa primeira inspeção que remonta a julho, a deliberação da CNPD identificou três infrações: violação do princípio da integridade e confidencialidade, violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros.

A CNPD realça a disponibilidade do Hospital do Barreiro para corrigir as diferentes falhas na gestão de acessos e repositórios clínicos, mas não deixa de considerar que a responsabilidade da unidade de saúde como «elevada», «quanto à violação das restrições dos níveis de acesso dos profissionais aos dados pessoais dos clientes, uma vez que conscientemente permitiu associar o grupo funcional de “médico” a quem apenas deveria estar credenciado com o perfil de “técnico”».

A CNPD também responsabiliza a administração do Hospital do Barreiro por não ter tomado as medidas necessárias para garantir que as contas de médicos que já não estavam a trabalhar no Barreiro eram eliminadas.

«A arguida agiu deliberadamente, bem sabendo que estava obrigada a aplicar as medidas técnicas e organizativas indispensáveis à identificação e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da informação, para além de lhe competir dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança», refere a deliberação da CNPD.

Além de considerar que é «insustentável defender que qualquer assistente social possa aceder à totalidade do ficheiro clínico do cliente», a CNPD aponta o dedo à «existência de credenciais de acesso que permitam a qualquer médico, de qualquer especialidade, a qualquer altura aceder aos dados dos clientes de um determinado centro hospitalar».

Durante o processo iniciado pela CNPD, a administração do Hospital do Barreiro alegou, sem conseguir evitar a aplicação das coimas, que a CNPD não poderia ser considerada a autoridade de controlo das políticas de proteção de dados em Portugal, uma vez que a proposta de lei que adapta o Regulamento europeu à lei nacional ainda se encontra em fase de redação e debate na Assembleia da República.

A defesa do Hospital também lembrou que a hierarquia dos perfis de utilizador e as políticas de acesso disponibilizadas pelas diferentes aplicações e repositórios clínicos são definidos por entidades terceiras (presumivelmente pela Serviços Partilhados do Ministério da Saúde (SPMS), que é responsável pelo braço tecnológico dos hospitais públicos). Além dos acordos de confidencialidade que abrangem todos os profissionais, o Hospital alega que as ferramentas informáticas disponibilizadas não permitiriam definir quem acede a que dados nos diferentes cenários.

Face a estes argumentos, a CNPD recordou que mantém a função de controlo conferida pela lei anterior ao RGPD (e que deverá manter depois do processo legislativo do RGPD ficar concluído em Portugal), e sublinha que o Hospital do Barreiro admitiu que tinha conhecimento das «insuficiências do sistema», mas não se coibiu de «continuar a atribuir privilégios de acesso indevidos a um conjunto de profissionais que nunca deveriam poder aceder indiscriminadamente aos ficheiros clínicos dos doentes». Além de não ter tomado medidas por iniciativa própria, «a arguida jamais terá tido cuidado de interceder junto da SPMS por forma a corrigir este aspeto do sistema que, como a atualização recente demonstra, devia e podia ser alterado previamente», concluiu a CNPD.

Fonte: Exame Informática

Proteção de Dados abre processo de averiguações sobre os SMS da EMEL no dia do furacão Leslie
A Comissão Nacional de Proteção de Dados abriu um processo de averiguações sobre o envio de milhares de SMS no dia do furacão

A Comissão Nacional de Proteção de Dados (CNPD) abriu um processo de averiguações sobre os alertas enviados no fim de semana pela EMEL a milhares de habitantes de Lisboa. "Vamos apurar o que aconteceu exatamente e avaliar a atuação de EMEL do ponto de vista legal", explicou ao Expresso a porta-voz da CNPD.

Aparentemente nem todas as mensagens foram enviadas para clientes da empresa municipal. As mensagens de texto começaram a ser recebidas ainda no sábado, mas houve quem só as recebesse no domingo, 14 de outubro, já após a passagem da tempestade Leslie. O alerta continha as recomendações da Proteção Civil.

Mas, questionada sobre o envio desta mensagem, a Proteção Civil recusou qualquer responsabilidade, embora tenha ponderado enviar os alertas, a CNPC não os chegou a enviar porque, do ponto de vista legal, apenas o pode fazer no caso de incêndios rurais.

Fonte: Expresso

Regulamento da proteção de dados é negócio em Portugal

Estudo do IAPMEI revela que 62% das empresas desconhecem detalhes do regulamento. CNPD alerta para possíveis burlas A seguir Novas regras de proteção de dados pessoais entram hoje em vigor em toda a UE Chama-se My Data Manager e é o mais recente exemplo de uma tendência que se tem registado no mercado português: o aparecimento de soluções que prometem ajudar as empresas no cumprimento do Regulamento Geral da Proteção de Dados (RGPD). “Os software como o My Data Manager, que apoiam as empresas, os encarregados de proteção de dados e os profissionais de privacidade na gestão do programa de conformidade, vieram automatizar processos e facilitar o acesso à informação”, defende Samuel Portugal, diretor executivo da Suggestive Motion, empresa responsável pela plataforma que chegou ao mercado na segunda-feira, 18 de junho.

“O RGPD trouxe oportunidades (…) principalmente no desenvolvimento e comercialização de módulos de ‘conformidade com RGPD’, de novos websites, aplicações e também consultoria de tecnologias da informação”, acrescentou. Exemplo daquilo que Samuel Portugal diz é o facto de haver várias tecnológicas, algumas delas com vários anos de experiência no mercado, que também viram no RGPD uma nova oportunidade de negócio: a Sage, conhecida pelo software de faturação online, criou um módulo dedicado para os seus clientes; a Primavera, tradicionalmente mais focada no software de gestão, criou a ferramenta Personal Data Manager; a PHC, nome forte também em software de gestão, desenvolveu a solução CS RGPD. “Foram mais de 900 empresas no espaço de um mês. Sendo que os pedidos para a nossa solução para o RGPD continuam”, disse Cláudia Raposo, diretora de operações da PHC, sobre a adoção da solução. “O add-on RGPD só ficou disponível para o mercado no final do mês de maio e 15% dos nossos clientes já o subscreveram”, adiantou por sua vez Cristina Francisco, gestora do marketing de produto na Sage. “Temos projetos adjudicados e em negociação com empresas dos mais diversos setores de atividade, tais como os setores bancário, educação ou mesmo na área do desporto”, acrescentou a empresa portuguesa de software Quidgest, a propósito deste tema. Leia também \| Perguntas e respostas do novo regulamento de proteção de dados Isto acontece porque as tecnológicas estão a responder a uma necessidade real do mercado. Um estudo revelado esta semana pela Agência para a Competitividade e Inovação (IAPMEI), concluiu que 11% das empresas inquiridas disseram, em 2018, desconhecer por completo o RGPD – ainda assim, um valor muito mais baixo do que os 38% registados em 2017. A mesma análise do IAPMEI, feita entre março e abril deste ano, revelou que 62% das empresas desconhecem os detalhes do regulamento, algo que é mais notório junto dos negócios com um menor número de funcionários. Destaque ainda para o facto de 17% dos inquiridos referirem desconhecer a existência de multas por incumprimento do RGPD – e que podem ir até aos 20 milhões de euros. Empresas e regulador em sintonia “Importa ainda esclarecer que a responsabilidade de conformidade é da própria empresa”. Quem o diz é a empresa SGS, responsável pela ferramenta GDPR Online. Este é um ponto de acordo entre os vários criadores de plataformas focadas no cumprimento do novo regulamento. Sim, os software e soluções foram criados para “agilizar a gestão de consentimentos, registo de atividades de tratamento, gestão de subcontratados, registo de pedidos de titulares, registo de incidentes de violação de dados e outras operações que auxiliam as organizações na salvaguarda dos direitos dos titulares dos dados”, como explica Leandra Dias, da Primavera. Mas não há soluções ‘mágicas’. “É muito importante perceber que não é o software que vai fazer o cliente cumprir com as obrigações do RGPD, o software pode ajudar e muito, mas nunca vai poder garantir todos os processos que ocorrem fora dele e onde podem estar muitas situações de risco”, salientou Cristina Francisco, da Sage. O aparecimento destas plataformas levanta questões sobre a necessidade de certificação, sobretudo sabendo que são ferramentas que lidam com uma regulação muito específica. Por agora a resposta é simples: “Não existe, neste momento, certificação neste âmbito”, explicou a jurista da Primavera BSS. Leia também \| “Quem fecha por não cumprir o RGPD não devia ter aberto portas” O DN/Dinheiro Vivo contactou a Comissão Nacional de Proteção de Dados (CNPD) para saber a posição do regulador relativamente às plataformas que ajudam no cumprimento do RGPD. “A CNPD não tem qualquer posição oficial sobre este assunto nem faz qualquer comentário sobre as iniciativas do mercado nesta área”, começou por escrever Clara Guerra, do serviço de informação e relações internacionais do regulador, numa resposta por email. “Mas não poderemos deixar de alertar para o facto de não ser possível uma ‘plataforma’ ou um ‘software’ tornarem um responsável pelo tratamento ou um subcontratante em conformidade com o RGPD. Qualquer tentativa de convencer as empresas nesse sentido pode constituir burla. É imprescindível que as empresas e entidades públicas não adquiram ferramentas sem ponderar bem a adequação ao caso concreto dos seus tratamentos de dados pessoais”, acrescentou. As empresas responsáveis por este tipo de soluções indicam que a ideia passa por descomplexar o regulamento e dar ferramentas às organizações para atingir o estado de conformidade. Mas há quem faça a ressalva de que a responsabilidade e o trabalho para a conformidade é, no final do dia, das empresas – e há algumas indicações a ter em conta. A SGS é responsável pelo serviço de gestão GDPRonline, plataforma online que permite às empresas proceder a uma “primeira metodologia de auto-avaliação”, que pode ser seguida pelas empresas para depois determinar quais são os passos a cumprir para atingir o estado de conformidade com o RGPD. “Importa informar que, face à elevada procura do mercado por este tipo de serviços de consultoria, é do nosso conhecimento que têm surgido um conjunto de entidades singulares ou coletivas, que estão a disponibilizar serviços, que não dão cabal cumprimento àquilo que está no regulamento”, complementa a SGS. A empresa alerta que, ao escolher uma solução para auxílio à conformidade com o RGPD, é necessário garantir que “o parceiro escolhido é uma entidade credível, de confiança, reconhecida, com referências e provas dadas no mercado”. Ainda há quem procure soluções No próximo dia 25 de junho, assinala-se um mês desde a aplicabilidade direta do RGPD na União Europeia. Ainda assim, há várias empresas que não atingiram a conformidade com as medidas do regulamento e ainda procuram aconselhamento junto das diferentes plataformas disponíveis no mercado. Para a Quidgest, a visão é a de que, “de uma forma geral, as empresas e os organismos públicos estão atrasados nos processos de implementação”, com a empresa a indicar que continua a “receber diariamente pedidos de entidades que ainda estão a iniciar este processo” de conformidade com o RGPD. No estudo feito pelo IAPMEI com a LCG Consultoria, ficaram claras as diferenças entre a forma como as empresas olham para o RGPD, consoante a sua dimensão. As empresas maiores tendiam a colocar a conformidade o RGPD no topo das suas prioridades, enquanto as empresas mais pequenas destacavam outros temas. O estudo mostrou ainda que as empresas de maiores dimensões reconheciam mais facilmente a necessidade de aumentar o orçamento dedicado para atingir a conformidade. Das empresas contactadas pelo DN/Dinheiro Vivo, as soluções para auxílio à conformidade continuam a ter procura. Além da PHC, também a SGS refere que está a “registar um número de visitas média por dia, de 150, com uma tendência de aumento até aos 250”, acrescentado que “Portugal encontra-se no topo do ranking europeu, em termos de subscrições da plataforma”. Dias antes da aplicabilidade direta do regulamento, em maio, eram várias as vozes que referiam que a falta de legislação nacional para o RGPD podia confundir as organizações. Elsa Veloso, advogada e especialista em DPO e responsável pela plataforma DPO Fácil, refere que “existe efetivamente confusão nesta matéria e, principalmente pelo facto de não existir uma lei nacional aprovada em matéria da competência delegada pelo RGPD, faz com que a consciência de que o regulamento está na sua aplicação plena seja mitigada – o que não corresponde à realidade”. “É necessária a informação a todas as organizações de que existe um regulamento que está plenamente em vigor”, realça Elsa Veloso.

Fonte: Dinheiro Vivo