contato

12 de Dezembro, 2023

DPA Dinamarquesa investiga hospital por fotos de pacientes no Instagram

cirurgioes que operam um paciente na sala de operacoes 124865 4191

Um cidadão dinamarquês apresentou uma reclamação à Autoridade de Proteção de Dados da Dinamarca (DPA) sobre uma foto sua publicada na conta do Instagram do Hospital Universitário de Aarhus (AUH). Com base nisso, em 19 de dezembro de 2022, a DPA iniciou uma investigação contra a Região Central da Dinamarca (o controlador).

Durante a investigação, a DPA descobriu que a conta do Instagram publicava regularmente fotos e vídeos do dia a dia no AUH, incluindo imagens de pacientes, funcionários e parentes, ativa desde junho de 2015, com mais de 15.000 seguidores e mais de 1.400 publicações. Uma revisão da conta revelou que havia posts com fotos e informações sobre pacientes desde 2016, às vezes incluindo condições de saúde.

O controlador explicou que as informações na conta são publicadas para informar o público sobre as atividades e o cotidiano do hospital. Esclareceu ainda que as postagens contendo informações sobre cidadãos, incluindo pacientes, eram publicadas com base no consentimento sob os Artigos 6(1)(a) e 9(2)(a) do GDPR. O consentimento era obtido por escrito antes da publicação do post, e concedê-lo ou não não afetava o tratamento de saúde oferecido ao paciente. O controlador também afirmou que seu processamento atendia aos princípios de legalidade, equidade e transparência sob o Artigo 5(1)(a) do GDPR, bem como ao princípio da minimização de dados de acordo com o Artigo 5(1)(c) do GDPR, já que não processavam dados pessoais não necessários para os fins do hospital. Para limitar isso, também garantiram que informações como números de segurança social e nomes não fossem exibidos em monitores, prontuários e pulseiras de pacientes nas fotos. Por fim, o controlador afirmou observar também o princípio da limitação de armazenamento do Artigo 5(1)(e) do GDPR, já que os titulares dos dados podiam fazer solicitações de exclusão.

O consentimento explícito era necessário sob o Artigo 9(2) do GDPR e as condições para o consentimento de acordo com o Artigo 4(11) do GDPR tinham que ser avaliadas à luz das circunstâncias relevantes nas quais o consentimento foi obtido. Portanto, a DPA concluiu que em situações em que um paciente normalmente está em uma posição vulnerável ao ser hospitalizado ou tratado em um hospital, há uma desigualdade entre o paciente e o hospital e o pessoal hospitalar, o que poderia implicar que o paciente pode ter sofrido pressão ao solicitar consentimento, afetando a sua livre escolha. A DPA também esclareceu que sob o GDPR o processamento de dados pessoais por autoridades públicas não pode ser baseado no consentimento devido à relação desigual inerente entre o controlador e o cidadão.

Apesar da decisão ter sido prolatada na Dinamarca, o caso concreto poderia ser julgado, provavelmente com o mesmo desfecho, com o uso da LGPD. Trata-se de um alerta importante para as instituições de saúde definirem diretrizes rígidas sobre o uso de imagem dos pacientes.

Acesse a decisão Datatilsynet (Denmark) - 2023-432-0016.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram