A Autoridade de Proteção de Dados (DPA) da Finlândia identificou uma violação na forma como um hospital enviava os resultados de exames aos seus pacientes por SMS, incluindo o código de identificação pessoal dos pacientes nas mensagens. Em resposta a um pedido de esclarecimento da DPA, o hospital justificou que o serviço móvel automatizado, ao enviar resultados de testes, instruções de tratamento e propostas de datas para próximos monitoramentos via SMS, incluía os códigos de identificação pessoal para evitar a divulgação acidental das informações a pessoas erradas.

A DPA observou que, conforme a Seção 29 da Lei de Proteção de Dados Finlandesa, o objetivo é proteger o código de identificação pessoal e prevenir seu processamento desnecessário. Além disso, segundo a Seção 29(4) da mesma lei, o número de identificação pessoal não deve ser incluído desnecessariamente em documentos impressos ou criados a partir de um sistema de arquivamento, considerando as mensagens SMS como tais documentos.

Foi enfatizado que, de acordo com o Artigo 87 do GDPR, o número de identidade nacional deve ser utilizado somente sob salvaguardas apropriadas para os direitos e liberdades do sujeito dos dados. A DPA ressaltou que o número de identificação pessoal é um identificador único e praticamente permanente, cujo acesso por terceiros pode causar danos significativos ao sujeito dos dados, como roubo de identidade. Além disso, foi notado que o sistema de mensagens SMS não oferece criptografia para o conteúdo das mensagens ou dados de tráfego.

Com base nisso, a DPA concluiu que a inclusão do código de identidade pessoal nas mensagens SMS, de fato, não afeta o fato de que a SMS é direcionada à pessoa certa. Foi declarado que o hospital não deveria processar códigos de identificação pessoal apenas para facilitar suas operações, não devendo, portanto, incluí-los desnecessariamente nas mensagens SMS.

Assim, a DPA determinou que o hospital violou o Artigo 5(1)(c) do GDPR, o Artigo 25(2) do GDPR e a Seção 29(4) da Lei de Proteção de Dados Finlandesa. Como resultado, de acordo com o Artigo 58(2)(d) do GDPR, o hospital foi ordenado a alinhar suas operações de processamento com as disposições mencionadas.

Com informações GDPRHub.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

4 de Abril, 2024

Hospital finlandês viola princípios de minimização e proteção de dados ao incluir códigos de identificação em mensagens de texto

Quer ficar por dentro das ultimas notícias na área?

Posts recentes