Em abril de 2018 o Sindicato dos Médicos da Zona Sul denunciou à Ordem dos Médicos de que existiriam irregularidades no Centro Hospital Barreiro-Montijo (CHBM).
Apontava o sindicato de que existiam falsos perfis médicos para acesso ao sistema informático clínico do hospital. Isto é, existiam utilizadores não médicos que podiam consultar os dados clínicos dos utentes daquela unidade hospitalar. Esta denúncia fez com que a Comissão Nacional de Proteção de Dados (CNPD) efetuasse as devidas investigações e não foi com grande surpresa que esta comissão deliberou em outubro a aplicação de três coimas ao Centro Hospitalar Barreiro-Montijo no valor global de 400 mil euros por:
i. violação do princípio da “minimização de dados” (Artigo 5(1)(c)), uma vez que o sistema permitia o acesso indiscriminado aos dados clínicos dos utentes. Apesar de existirem 296 médicos no hospital existia no sistema mais de 900 perfis “médico“com permissões para consultar todo o historial clínico dos utentes.
ii. violação do princípio da integridade e confidencialidade (Artigo 5(1)(f)), resultante da não aplicação de medidas técnicas e organizacionais para impedir o acesso ilícito a dados pessoais
iii. incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados (Artigo 32(1)(b))
A aplicação destas coimas veio desmistificar a ideia de que a CNPD não teria capacidade para garantir a aplicabilidade do regulamento e é um alerta para todas as entidades públicas e privadas. De facto, e após o boom de informação (e alguma contrainformação) que atingiu o apogeu em Maio de 2018 com a entrada em vigor do regulamento, assistimos desde então a um aparente desaceleramento das empresas em seguir o rumo da conformidade com o RGPD. Uma das razões desse desaceleramento foi sem dúvida as notícias que davam conta de que a CNPD não teria meios para fiscalizar as organizações, fazendo com que estas adotassem uma postura de ver para querer, e a moratória de 3 anos aplicável à administração pública quanto a coimas (prevista na proposta de lei mas ainda em fase de discussão).
Pois bem, mas o que poderia fazer o CHBM para evitar estas coimas? Não tenho a veleidade de responder a esta questão porque não estou com certeza na posse de toda a informação, contudo é importante revisitar os artigos do RGPD indicados na deliberação da coima pela CNPD para verificar que tecnologias de suporte podem as organizações adotar para estarem no caminho da conformidade nesses artigos:
Artigo 5
1. Os dados pessoais são:
(…)
c ) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas ("integridade e confidencialidade").
Tecnologias de suporte: Office 365 Message Encryption, Office 365 Customer Key, Azure Information Protection, Bitlocker, Intune, Cloud App Security, Advanced data Governance, Inactive Mailbox, Unlimited Archiving, DLP, ATP, ATA.
Artigo 32
1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
(…)
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
(…)
Tecnologias de suporte: Office 365 Message Encryption, Office 365 Customer Key, Azure Information Protection, Bitlocker, Intune, Cloud App Security, DLP, ATP.
Como já referi, na primeira versão da proposta de nova lei de proteção de dados, não há penalidades aplicáveis às entidades públicas durante 3 anos, contudo a CNPD sempre se opôs a esta proposta porque, e segundo a comissão, “se olharmos para o esforço que implica para as organizações prepararem-se para o RGPD, o facto das organizações públicas não acompanharem na mesma medida as sanções parece imoral.” Como esta proposta de lei ainda está em discussão e não foi aprovada, é impossível saber se o CHBM irá pagar a coima que a CNPD aplicou, mas as entidades, quer sejam públicas ou privadas têm que de uma vez por todas tomar consciência da necessidade de implementar o RGPD de modo a garantir a proteção da informação dos cidadãos e porque as coimas, mais cedo ou mais tarde, virão para aqueles que não estiverem em conformidade com o regulamento.
