A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de 200 mil euros ao grupo HM Hospitais devido a graves deficiências na proteção dos dados pessoais de seus pacientes. O procedimento sancionador foi iniciado após uma denúncia feita em 2022 por um ex-funcionário da empresa, que apontou falhas significativas no sistema de gestão hospitalar “Doctoris”, utilizado pela instituição. As investigações da AEPD revelaram que o hospital não implementava medidas técnicas e organizativas adequadas para garantir a segurança dos dados sensíveis.

Entre as principais falhas identificadas estava a ausência de um sistema eficaz de rastreamento de acessos ao histórico clínico dos pacientes. O sistema “Doctoris” não permitia registrar quais usuários acessavam informações específicas, a menos que houvesse modificações nos registros. Além disso, os dados eram mantidos por um período superior ao necessário, sem um mecanismo automatizado de supressão ou bloqueio. Esses problemas configuraram um risco elevado de violação da privacidade dos pacientes, especialmente considerando a natureza sensível das informações tratadas, que incluíam dados sobre saúde, violência de gênero, e origem racial.

Outro ponto crítico foi a inadequação das medidas de criptografia inicialmente implementadas. Durante as investigações, foi constatado que o hospital usava apenas criptografia a nível de hardware, considerado insuficiente para garantir a proteção adequada dos dados. Embora o hospital tenha posteriormente adotado tecnologia de cigragem TDE (Transparent Data Encryption) no servidor SQL, essa medida só foi tomada após o início do procedimento sancionador, evidenciando uma reação tardia às exigências de segurança impostas pelo GDPR.

O hospital apresentou defesa ao longo do processo, argumentando que já havia implementado medidas corretivas, como a restrição no número de usuários com permissões administrativas e a realização de auditorias internas de conformidade. No entanto, a AEPD considerou que essas ações foram insuficientes e que o grupo hospitalar não demonstrou proatividade na adoção de políticas de segurança que minimizassem o risco de violações. Além disso, a falta de auditorias específicas para o sistema “Doctoris” nos últimos três anos foi outro fator agravante apontado pela agência.

A multa de 200 mil euros foi mantida pela AEPD, com base no entendimento de que as falhas de segurança identificadas poderiam comprometer gravemente os direitos e liberdades dos titulares dos dados. A agência destacou que o hospital, embora tenha colaborado durante as investigações, agiu de forma negligente ao não adotar de forma antecipada medidas de segurança adequadas para garantir a proteção dos dados pessoais, como exige o RGPD.

Com informações Agencia Española de Protección de Datos

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.