11 de Junho, 2024

Autoridade de Proteção de Dados Italiana ordena mudanças no sistema de acesso a prontuários eletrônicos

image 16

O Garante de Proteção de Dados Italiano (Garante Per la Protezione dei Dati Personali) recebeu duas reclamações e duas notificações de infração alegando processamento ilegal de dados pessoais pela Azienda sanitaria dell'Alto Adige (o controlador) por meio do seu sistema de prontuários eletrônicos (EHR). Acessos repetidos foram feitos por pessoal de saúde não autorizado, e alguns funcionários tinham acesso irrestrito aos prontuários de pacientes que não estavam tratando.

No primeiro caso, o titular dos dados reclamou sobre acessos repetidos ao seu prontuário durante um período em que não estava no hospital ou recebendo tratamento. O controlador alegou que alguns acessos se repetiram em curto período de tempo por razões técnicas, mas admitiu que alguns foram "injustificados" ou limitados a "apenas a lista de serviços de saúde realizados e não os detalhes relevantes". O controlador explicou que o sistema permitia o acesso ao EHR se houvesse um evento clínico-administrativo. Em casos sem evento clínico-administrativo registrado (por exemplo, paciente ligando para o profissional para esclarecimentos pós-hospitalização), o profissional podia acessar o EHR selecionando uma razão de uma lista pré-definida. Em um caso, uma funcionária acessou os exames laboratoriais de seu ex-marido sem seu conhecimento, resultando em processo disciplinar e suspensão por acesso abusivo, conforme o Artigo 615-ter do Código Penal Italiano. Criticou-se, aí, a autodeclaração de propósito dos funcionários para o acesso aos exames.

Adicionalmente, o Garante descobriu que os arquivos do EHR não eram protegidos por um sistema que detectasse anomalias que pudessem constituir processamento ilegal, como alertas.

O Garante ainda destacou a importância do uso de ferramentas para detectar alertas que sinalizem comportamentos anômalos ou arriscados por parte de processadores de dados autorizados, em conformidade com os princípios do Artigo 5(1)(a) e (f) do GDPR. A DPA também referiu-se às 'Diretrizes sobre o Dossiê de Saúde - 4 de junho de 2015', recomendando a adoção de medidas de segurança rigorosas para operações de processamento de dados sensíveis.

Antes da abertura do inquérito, havia duas formas de acessar o dossiê: o paciente estava sob os cuidados do profissional de saúde, ou o profissional fazia uma autodeclaração. Esse método de autodeclaração será desativado e substituído pela documentação da admissão do paciente. Outros requisitos estabelecidos pelo Garante para acesso ao EHR de um paciente incluem:

1. ser pessoal médico intervindo de várias formas no processo de cuidados,

2. acesso limitado ao período durante o qual o processo de cuidados ocorre (sem prejuízo da possibilidade de acessar o arquivo novamente se necessário pelo tipo de tratamento médico a ser dado ao paciente).

Dado o manuseio de dados particularmente sensíveis e a necessidade de controles de acesso rigorosos, é evidente que uma organização deve empregar ferramentas como um SIEM (Security Information and Event Management) integrado com um EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response). Essas ferramentas permitem a detecção anônima de anomalias no tráfego web, acesso a servidores de arquivos e bancos de dados. Se essas anomalias atingirem um nível que possa comprometer os sistemas de informática, a organização pode proceder a uma detecção 'descriptografada', intervindo diretamente no PC que causou a anomalia.

O encarregado encontrou o controlador em violação dos Artigos 5(1)(a) e (f), 9, 25 e 32 do GDPR e impôs uma multa de €75.000 por permitir acesso indiscriminado ao sistema EHR por seus funcionários e por não implementar ferramentas e sistemas capazes de detectar anomalias nos procedimentos de autenticação e autorização.

Além disso, a também ordenou ao controlador a implementação de todas as medidas técnicas e organizacionais necessárias para garantir a segurança dos dados pessoais processados e prevenir novos acessos abusivos.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram