contato

16 de Outubro, 2024

Hospital multado em €200 mil por falhas graves na segurança de dados de pacientes

medico hospital medicina

A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de 200 mil euros ao grupo HM Hospitais devido a graves deficiências na proteção dos dados pessoais de seus pacientes. O procedimento sancionador foi iniciado após uma denúncia feita em 2022 por um ex-funcionário da empresa, que apontou falhas significativas no sistema de gestão hospitalar “Doctoris”, utilizado pela instituição. As investigações da AEPD revelaram que o hospital não implementava medidas técnicas e organizativas adequadas para garantir a segurança dos dados sensíveis.

Entre as principais falhas identificadas estava a ausência de um sistema eficaz de rastreamento de acessos ao histórico clínico dos pacientes. O sistema “Doctoris” não permitia registrar quais usuários acessavam informações específicas, a menos que houvesse modificações nos registros. Além disso, os dados eram mantidos por um período superior ao necessário, sem um mecanismo automatizado de supressão ou bloqueio. Esses problemas configuraram um risco elevado de violação da privacidade dos pacientes, especialmente considerando a natureza sensível das informações tratadas, que incluíam dados sobre saúde, violência de gênero, e origem racial.

Outro ponto crítico foi a inadequação das medidas de criptografia inicialmente implementadas. Durante as investigações, foi constatado que o hospital usava apenas criptografia a nível de hardware, considerado insuficiente para garantir a proteção adequada dos dados. Embora o hospital tenha posteriormente adotado tecnologia de cigragem TDE (Transparent Data Encryption) no servidor SQL, essa medida só foi tomada após o início do procedimento sancionador, evidenciando uma reação tardia às exigências de segurança impostas pelo GDPR.

O hospital apresentou defesa ao longo do processo, argumentando que já havia implementado medidas corretivas, como a restrição no número de usuários com permissões administrativas e a realização de auditorias internas de conformidade. No entanto, a AEPD considerou que essas ações foram insuficientes e que o grupo hospitalar não demonstrou proatividade na adoção de políticas de segurança que minimizassem o risco de violações. Além disso, a falta de auditorias específicas para o sistema “Doctoris” nos últimos três anos foi outro fator agravante apontado pela agência.

A multa de 200 mil euros foi mantida pela AEPD, com base no entendimento de que as falhas de segurança identificadas poderiam comprometer gravemente os direitos e liberdades dos titulares dos dados. A agência destacou que o hospital, embora tenha colaborado durante as investigações, agiu de forma negligente ao não adotar de forma antecipada medidas de segurança adequadas para garantir a proteção dos dados pessoais, como exige o RGPD.

Com informações Agencia Española de Protección de Datos

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana. 

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

BACEN admite incidente de segurança envolvendo dados pessoais de pesquisa
5 de Dezembro, 2024

O Banco Central do Brasil (BACEN) informou que sofreu um incidente de segurança que resultou na exposição de dados pessoais de 1.500 participantes da 2ª edição da pesquisa “O brasileiro e os hábitos de uso de meios de pagamento”. O incidente, ocorrido devido a um erro operacional, aconteceu durante a divulgação dos resultados da pesquisa […]

Ler Mais
STJ valida assinaturas eletrônicas avançadas em contratos privados não vinculados à ICP-Brasil
5 de Dezembro, 2024

O Superior Tribunal de Justiça (STJ) reconheceu a validade jurídica das assinaturas eletrônicas avançadas, mesmo quando realizadas por plataformas não credenciadas ao ICP-Brasil. A decisão foi tomada no julgamento de um recurso especial interposto por um fundo de investimento contra sentença que extinguiu, sem análise de mérito, uma ação de busca e apreensão. A cédula […]

Ler Mais
Falha de segurança e descumprimento da LGPD levam à condenação de banco
5 de Dezembro, 2024

O Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) manteve a condenação do Banco de Brasília (BRB) e da administradora de cartões do grupo ao ressarcimento e indenização de uma cliente que foi vítima de fraudes bancárias. A decisão reconheceu que falhas nos sistemas de segurança da instituição financeira permitiram movimentações fraudulentas na […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram