contato

12 de Dezembro, 2023

DPA Dinamarquesa investiga hospital por fotos de pacientes no Instagram

cirurgioes que operam um paciente na sala de operacoes 124865 4191

Um cidadão dinamarquês apresentou uma reclamação à Autoridade de Proteção de Dados da Dinamarca (DPA) sobre uma foto sua publicada na conta do Instagram do Hospital Universitário de Aarhus (AUH). Com base nisso, em 19 de dezembro de 2022, a DPA iniciou uma investigação contra a Região Central da Dinamarca (o controlador).

Durante a investigação, a DPA descobriu que a conta do Instagram publicava regularmente fotos e vídeos do dia a dia no AUH, incluindo imagens de pacientes, funcionários e parentes, ativa desde junho de 2015, com mais de 15.000 seguidores e mais de 1.400 publicações. Uma revisão da conta revelou que havia posts com fotos e informações sobre pacientes desde 2016, às vezes incluindo condições de saúde.

O controlador explicou que as informações na conta são publicadas para informar o público sobre as atividades e o cotidiano do hospital. Esclareceu ainda que as postagens contendo informações sobre cidadãos, incluindo pacientes, eram publicadas com base no consentimento sob os Artigos 6(1)(a) e 9(2)(a) do GDPR. O consentimento era obtido por escrito antes da publicação do post, e concedê-lo ou não não afetava o tratamento de saúde oferecido ao paciente. O controlador também afirmou que seu processamento atendia aos princípios de legalidade, equidade e transparência sob o Artigo 5(1)(a) do GDPR, bem como ao princípio da minimização de dados de acordo com o Artigo 5(1)(c) do GDPR, já que não processavam dados pessoais não necessários para os fins do hospital. Para limitar isso, também garantiram que informações como números de segurança social e nomes não fossem exibidos em monitores, prontuários e pulseiras de pacientes nas fotos. Por fim, o controlador afirmou observar também o princípio da limitação de armazenamento do Artigo 5(1)(e) do GDPR, já que os titulares dos dados podiam fazer solicitações de exclusão.

O consentimento explícito era necessário sob o Artigo 9(2) do GDPR e as condições para o consentimento de acordo com o Artigo 4(11) do GDPR tinham que ser avaliadas à luz das circunstâncias relevantes nas quais o consentimento foi obtido. Portanto, a DPA concluiu que em situações em que um paciente normalmente está em uma posição vulnerável ao ser hospitalizado ou tratado em um hospital, há uma desigualdade entre o paciente e o hospital e o pessoal hospitalar, o que poderia implicar que o paciente pode ter sofrido pressão ao solicitar consentimento, afetando a sua livre escolha. A DPA também esclareceu que sob o GDPR o processamento de dados pessoais por autoridades públicas não pode ser baseado no consentimento devido à relação desigual inerente entre o controlador e o cidadão.

Apesar da decisão ter sido prolatada na Dinamarca, o caso concreto poderia ser julgado, provavelmente com o mesmo desfecho, com o uso da LGPD. Trata-se de um alerta importante para as instituições de saúde definirem diretrizes rígidas sobre o uso de imagem dos pacientes.

Acesse a decisão Datatilsynet (Denmark) - 2023-432-0016.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Amazon sacrifica privacidade em prol do novo Alexa+
27 de Março, 2025
Guilherme Damasio Goulart
Sem comentários

A Amazon anunciou uma mudança significativa na política de privacidade dos dispositivos Echo, que entrará em vigor a partir de 28 de março. A empresa eliminará a opção de processamento local de comandos de voz, obrigando todos os usuários a enviar suas gravações para a nuvem da Amazon. Esta alteração está relacionada ao lançamento do […]

Ler Mais
BACEN prorroga prazo para registro de empresas de compartilhamento de dados sobre fraudes
27 de Março, 2025
Guilherme Damasio Goulart
Sem comentários

O Banco Central do Brasil (BACEN) adiou a entrada em vigor da Instrução Normativa nº 590, que estabelece procedimentos para o registro de empresas contratadas para compartilhamento de dados sobre indícios de fraudes. A nova data de vigência passa a ser 3 de março de 2025, com efeitos a partir de 2 de maio de […]

Ler Mais
Oracle Cloud enfrenta alegações de vazamento de dados de 6 milhões de usuários
27 de Março, 2025
Guilherme Damasio Goulart
Sem comentários

A Oracle está enfrentando sérias alegações de violação de dados em seus servidores de login SSO federado do Oracle Cloud, apesar de negar veementemente o incidente. De acordo com investigações conduzidas pela BleepingComputer, múltiplas empresas confirmaram a autenticidade de amostras de dados associados compartilhados por um suposto hacker. O caso veio à tona na semana […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram