A Agência Espanhola de Proteção de Dados (AEPD) aplicou uma multa de € 30.000 ao Centro Médico Salus Baleares, por violar os princípios de segurança e confidencialidade ao exigir que pacientes medissem sua temperatura em um dispositivo localizado na área de recepção e espera, onde os dados podiam ser vistos por terceiros.
A queixa foi registrada em 9 de fevereiro de 2022 por um titular de dados, que alegou que durante a pandemia da COVID-19, o centro médico obrigava os pacientes a terem suas temperaturas verificadas para receber assistência médica, com o dispositivo de medição posicionado de forma que os dados pudessem ser visualizados por outras pessoas presentes.
Em sua defesa, o centro médico argumentou que o reclamante nunca teve sua temperatura aferida, questionando sua legitimidade para apresentar a queixa. Além disso, destacou que tais protocolos estavam em conformidade com as diretrizes das autoridades de saúde pública durante a pandemia, incluindo controles de temperatura.
No entanto, a AEPD destacou que a temperatura é um dado de saúde, portanto, uma categoria especial de dados conforme o Artigo 9(1) do GDPR. Reconheceu também que, em uma crise de saúde pública, os empregadores são obrigados a adotar medidas extraordinárias conforme orientação das autoridades de saúde pública, e observou que as leis nacionais sobre prevenção de riscos ocupacionais justificavam o processamento desses dados sensíveis de acordo com o Artigo 9(2)(h) do GDPR. Portanto, a aferição da temperatura em si não foi proibida neste caso.
Contudo, tais dados devem ser protegidos de acordo com as obrigações de segurança e integridade do GDPR. A AEPD identificou que o dispositivo permitia que os dados de temperatura fossem vistos por terceiros na área de espera do centro médico. O controlador não adotou medidas para proteger contra essa possível observação dos dados de saúde dos indivíduos. Como resultado, violou os Artigos 5(1)(f) e 32 do GDPR.
Comentários: O caso revela que situações simples do cotidiano podem atingir os dados pessoais de pessoas em circunstâncias que nem sempre são observadas pelos responsáveis. Além disso, destaca que temperatura corporal é um dado pessoal sensível, ou de categorias especiais.
É bastante comum que em hospitais ou clínicas médicas, dados de pacientes fiquem visíveis para terceiros. Não é raro que em salas de atendimento, nos monitores de chamadas de pacientes, informações pessoais fiquem disponíveis para que todos possam ver. Assim, faz parte da atividade de adequação o cuidado com os aspectos de controle físico de informações, conforme as disposições da norma ISO 27002 e 27701.
Com informações GDPRHub
Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart.
