O Information Commissioner’s Office (ICO) do Reino Unido, semelhante à Autoridade Nacional de Proteção de Dados brasileira (ANPD), repreendeu o NHS Lanarkshire depois que funcionários usaram o WhatsApp para compartilhar dados pessoais de pacientes de forma não autorizada ao longo de dois anos.
De abril de 2020 a abril de 2022, 26 funcionários do NHS Lanarkshire tiveram acesso a um grupo de WhatsApp onde os dados dos pacientes foram inseridos mais de 500 vezes, incluindo nomes, números de telefone e endereços. Imagens, vídeos e capturas de tela, que incluíam informações clínicas, também foram compartilhados.
Embora o WhatsApp tenha sido disponibilizado para comunicar apenas informações básicas no início da pandemia, não foi aprovado pelo NHS Lanarkshire para processar dados de pacientes e foi adotado por esses funcionários sem o conhecimento da organização. Além disso, um membro não funcionário foi adicionado ao grupo de WhatsApp por engano, resultando na divulgação inapropriada de informações pessoais a um indivíduo não autorizado.
Quando tomou conhecimento do incidente, o NHS Lanarkshire o reportou ao ICO. A investigação do ICO concluiu que o NHS Lanarkshire não tinha as políticas, orientações e processos adequados quando o WhatsApp foi disponibilizado para download. Não houve, por exemplo, avaliação dos potenciais riscos relacionados ao compartilhamento de dados do paciente desta forma.
O ICO recomendou que o NHS Lanarkshire tomasse medidas para garantir a conformidade com a lei de proteção de dados, incluindo a implementação de um sistema seguro de transferência de imagem clínica, a avaliação de riscos antes de implantar novos aplicativos, a emissão de comunicações explícitas aos funcionários sobre suas responsabilidades de proteção de dados e a revisão de todas as políticas e procedimentos organizacionais. O ICO solicitou ao NHS Lanarkshire uma atualização das ações tomadas dentro de seis meses da reprimenda ser emitida.
Apesar de ocorrido na Escócia, o caso traz importantes diretrizes para os controles envolvendo o tratamento de dados de saúde. Sabe-se que o Whatsapp é ferramenta que possui pouquíssimos controles de auditoria, o que impede que os agentes de tratamento realizem registros das atividades de tratamento realizados na plataforma. Além do mais, é comum que a ferramenta seja utilizada em dispositivos pessoais, tornando a atividade ainda mais arriscada do ponto de vista da segurança e da proteção de dados pessoais.
Com informações do ICO - https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/ico-reprimands-nhs-lanarkshire-for-sharing-patient-data-via-whatsapp/
