contato

16 de Outubro, 2024

Hospital multado em €200 mil por falhas graves na segurança de dados de pacientes

medico hospital medicina

A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de 200 mil euros ao grupo HM Hospitais devido a graves deficiências na proteção dos dados pessoais de seus pacientes. O procedimento sancionador foi iniciado após uma denúncia feita em 2022 por um ex-funcionário da empresa, que apontou falhas significativas no sistema de gestão hospitalar “Doctoris”, utilizado pela instituição. As investigações da AEPD revelaram que o hospital não implementava medidas técnicas e organizativas adequadas para garantir a segurança dos dados sensíveis.

Entre as principais falhas identificadas estava a ausência de um sistema eficaz de rastreamento de acessos ao histórico clínico dos pacientes. O sistema “Doctoris” não permitia registrar quais usuários acessavam informações específicas, a menos que houvesse modificações nos registros. Além disso, os dados eram mantidos por um período superior ao necessário, sem um mecanismo automatizado de supressão ou bloqueio. Esses problemas configuraram um risco elevado de violação da privacidade dos pacientes, especialmente considerando a natureza sensível das informações tratadas, que incluíam dados sobre saúde, violência de gênero, e origem racial.

Outro ponto crítico foi a inadequação das medidas de criptografia inicialmente implementadas. Durante as investigações, foi constatado que o hospital usava apenas criptografia a nível de hardware, considerado insuficiente para garantir a proteção adequada dos dados. Embora o hospital tenha posteriormente adotado tecnologia de cigragem TDE (Transparent Data Encryption) no servidor SQL, essa medida só foi tomada após o início do procedimento sancionador, evidenciando uma reação tardia às exigências de segurança impostas pelo GDPR.

O hospital apresentou defesa ao longo do processo, argumentando que já havia implementado medidas corretivas, como a restrição no número de usuários com permissões administrativas e a realização de auditorias internas de conformidade. No entanto, a AEPD considerou que essas ações foram insuficientes e que o grupo hospitalar não demonstrou proatividade na adoção de políticas de segurança que minimizassem o risco de violações. Além disso, a falta de auditorias específicas para o sistema “Doctoris” nos últimos três anos foi outro fator agravante apontado pela agência.

A multa de 200 mil euros foi mantida pela AEPD, com base no entendimento de que as falhas de segurança identificadas poderiam comprometer gravemente os direitos e liberdades dos titulares dos dados. A agência destacou que o hospital, embora tenha colaborado durante as investigações, agiu de forma negligente ao não adotar de forma antecipada medidas de segurança adequadas para garantir a proteção dos dados pessoais, como exige o RGPD.

Com informações Agencia Española de Protección de Datos

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana. 

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

ANPD publica guia orientativo sobre a atuação do encarregado
20 de Dezembro, 2024

A Autoridade Nacional de Proteção de Dados (ANPD) lançou o Guia Orientativo sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais, oferecendo diretrizes para as responsabilidades e atividades desse profissional, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). O encarregado é descrito como o elo entre os titulares de dados, […]

Ler Mais
Senado aprova marco regulatório para inteligência artificial no Brasil
20 de Dezembro, 2024

O Senado aprovou o projeto de lei que estabelece o marco regulatório para a inteligência artificial (IA) no Brasil. A proposta agora segue para a análise da Câmara dos Deputados. Baseado no PL 2.338/2023, o texto regulamenta o desenvolvimento e o uso de sistemas de IA, abrangendo temas como direitos autorais, privacidade e responsabilidade civil. […]

Ler Mais
Procon-MG multa Droga Raia em R$ 8,4 milhões por coleta indevida de CPF
20 de Dezembro, 2024

O Procon-MG, vinculado ao Ministério Público de Minas Gerais, aplicou uma multa de R$ 8.497.500,00 contra a rede de farmácias Raia Drogasil S/A (Droga Raia). A penalidade decorre da prática de exigir o número de CPF dos consumidores nos balcões de atendimento e caixas de pagamento em estabelecimentos localizados em Belo Horizonte. A Droga Raia […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram