contato

16 de Outubro, 2024

Hospital multado em €200 mil por falhas graves na segurança de dados de pacientes

medico hospital medicina

A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de 200 mil euros ao grupo HM Hospitais devido a graves deficiências na proteção dos dados pessoais de seus pacientes. O procedimento sancionador foi iniciado após uma denúncia feita em 2022 por um ex-funcionário da empresa, que apontou falhas significativas no sistema de gestão hospitalar “Doctoris”, utilizado pela instituição. As investigações da AEPD revelaram que o hospital não implementava medidas técnicas e organizativas adequadas para garantir a segurança dos dados sensíveis.

Entre as principais falhas identificadas estava a ausência de um sistema eficaz de rastreamento de acessos ao histórico clínico dos pacientes. O sistema “Doctoris” não permitia registrar quais usuários acessavam informações específicas, a menos que houvesse modificações nos registros. Além disso, os dados eram mantidos por um período superior ao necessário, sem um mecanismo automatizado de supressão ou bloqueio. Esses problemas configuraram um risco elevado de violação da privacidade dos pacientes, especialmente considerando a natureza sensível das informações tratadas, que incluíam dados sobre saúde, violência de gênero, e origem racial.

Outro ponto crítico foi a inadequação das medidas de criptografia inicialmente implementadas. Durante as investigações, foi constatado que o hospital usava apenas criptografia a nível de hardware, considerado insuficiente para garantir a proteção adequada dos dados. Embora o hospital tenha posteriormente adotado tecnologia de cigragem TDE (Transparent Data Encryption) no servidor SQL, essa medida só foi tomada após o início do procedimento sancionador, evidenciando uma reação tardia às exigências de segurança impostas pelo GDPR.

O hospital apresentou defesa ao longo do processo, argumentando que já havia implementado medidas corretivas, como a restrição no número de usuários com permissões administrativas e a realização de auditorias internas de conformidade. No entanto, a AEPD considerou que essas ações foram insuficientes e que o grupo hospitalar não demonstrou proatividade na adoção de políticas de segurança que minimizassem o risco de violações. Além disso, a falta de auditorias específicas para o sistema “Doctoris” nos últimos três anos foi outro fator agravante apontado pela agência.

A multa de 200 mil euros foi mantida pela AEPD, com base no entendimento de que as falhas de segurança identificadas poderiam comprometer gravemente os direitos e liberdades dos titulares dos dados. A agência destacou que o hospital, embora tenha colaborado durante as investigações, agiu de forma negligente ao não adotar de forma antecipada medidas de segurança adequadas para garantir a proteção dos dados pessoais, como exige o RGPD.

Com informações Agencia Española de Protección de Datos

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana. 

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Amazon sacrifica privacidade em prol do novo Alexa+
27 de Março, 2025

A Amazon anunciou uma mudança significativa na política de privacidade dos dispositivos Echo, que entrará em vigor a partir de 28 de março. A empresa eliminará a opção de processamento local de comandos de voz, obrigando todos os usuários a enviar suas gravações para a nuvem da Amazon. Esta alteração está relacionada ao lançamento do […]

Ler Mais
BACEN prorroga prazo para registro de empresas de compartilhamento de dados sobre fraudes
27 de Março, 2025

O Banco Central do Brasil (BACEN) adiou a entrada em vigor da Instrução Normativa nº 590, que estabelece procedimentos para o registro de empresas contratadas para compartilhamento de dados sobre indícios de fraudes. A nova data de vigência passa a ser 3 de março de 2025, com efeitos a partir de 2 de maio de […]

Ler Mais
Oracle Cloud enfrenta alegações de vazamento de dados de 6 milhões de usuários
27 de Março, 2025

A Oracle está enfrentando sérias alegações de violação de dados em seus servidores de login SSO federado do Oracle Cloud, apesar de negar veementemente o incidente. De acordo com investigações conduzidas pela BleepingComputer, múltiplas empresas confirmaram a autenticidade de amostras de dados associados compartilhados por um suposto hacker. O caso veio à tona na semana […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram