A Comissão Nacional de Proteção de Dados (CNPD) aplicou coimas num valor de 400 mil euros ao Centro Hospitalar Barreiro-Montijo, devido às políticas de acesso às bases de dados, que permitiam que técnicos e médicos consultassem processos clínicos dos doentes sem a devida autorização. A coima foi anunciada na sequência de uma inspeção levada a cabo, depois de um alerta lançado pela Ordem dos Médicos em junho. O Hospital da margem sul ainda poderá recorrer à justiça, caso pretenda impugnar a deliberação da CNPD. A coima já foi aplicada à luz do Regulamento Geral de Proteção de Dados (RGPD) que entrou em vigor a 25 de maio. A administração do Hospital pôs em causa a competência da CNPD para a aplicação da coima.
A deliberação assinada no dia 11 de outubro refere que pelo menos nove profissionais com funções na área dos serviços sociais dispunham de acessos que deveriam ser da exclusividade dos médicos. A CNPD também justificou a aplicação das coimas com o facto de estarem registados 985 médicos com contas ativas que davam acesso aos ficheiros clínicos, apesar de os quadros do Hospital do Barreiro apenas contarem com 296 médicos (a disparidade entre número de contas e número de médicos estará relacionada com as passagens temporárias determinadas pelo sistema de colocação dos profissionais de saúde).
A deliberação revela ainda que, numa conta de teste, os peritos da CNPD conseguiram aceder a dados clínicos de um doente, que se encontravam nos arquivos digitais do Hospital de Santa Cruz, em Carnaxide. A estes dados, juntaram-se mais algumas lacunas: o hospital não dispunha de regras internas para a criação de contas (que eram criadas depois do envio de e-mails pelos diferentes diretores dos serviços) ou para os diferentes níveis de acesso à informação clínica. Por seu turno, o método de autenticação não tinha em conta os dados identificativos que vinculam os diferentes profissionais ao hospital.
Tendo em conta o cenário que foi apurado numa primeira inspeção que remonta a julho, a deliberação da CNPD identificou três infrações: violação do princípio da integridade e confidencialidade, violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros.
A CNPD realça a disponibilidade do Hospital do Barreiro para corrigir as diferentes falhas na gestão de acessos e repositórios clínicos, mas não deixa de considerar que a responsabilidade da unidade de saúde como «elevada», «quanto à violação das restrições dos níveis de acesso dos profissionais aos dados pessoais dos clientes, uma vez que conscientemente permitiu associar o grupo funcional de “médico” a quem apenas deveria estar credenciado com o perfil de “técnico”».
A CNPD também responsabiliza a administração do Hospital do Barreiro por não ter tomado as medidas necessárias para garantir que as contas de médicos que já não estavam a trabalhar no Barreiro eram eliminadas.
«A arguida agiu deliberadamente, bem sabendo que estava obrigada a aplicar as medidas técnicas e organizativas indispensáveis à identificação e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da informação, para além de lhe competir dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança», refere a deliberação da CNPD.
Além de considerar que é «insustentável defender que qualquer assistente social possa aceder à totalidade do ficheiro clínico do cliente», a CNPD aponta o dedo à «existência de credenciais de acesso que permitam a qualquer médico, de qualquer especialidade, a qualquer altura aceder aos dados dos clientes de um determinado centro hospitalar».
Durante o processo iniciado pela CNPD, a administração do Hospital do Barreiro alegou, sem conseguir evitar a aplicação das coimas, que a CNPD não poderia ser considerada a autoridade de controlo das políticas de proteção de dados em Portugal, uma vez que a proposta de lei que adapta o Regulamento europeu à lei nacional ainda se encontra em fase de redação e debate na Assembleia da República.
A defesa do Hospital também lembrou que a hierarquia dos perfis de utilizador e as políticas de acesso disponibilizadas pelas diferentes aplicações e repositórios clínicos são definidos por entidades terceiras (presumivelmente pela Serviços Partilhados do Ministério da Saúde (SPMS), que é responsável pelo braço tecnológico dos hospitais públicos). Além dos acordos de confidencialidade que abrangem todos os profissionais, o Hospital alega que as ferramentas informáticas disponibilizadas não permitiriam definir quem acede a que dados nos diferentes cenários.
Face a estes argumentos, a CNPD recordou que mantém a função de controlo conferida pela lei anterior ao RGPD (e que deverá manter depois do processo legislativo do RGPD ficar concluído em Portugal), e sublinha que o Hospital do Barreiro admitiu que tinha conhecimento das «insuficiências do sistema», mas não se coibiu de «continuar a atribuir privilégios de acesso indevidos a um conjunto de profissionais que nunca deveriam poder aceder indiscriminadamente aos ficheiros clínicos dos doentes». Além de não ter tomado medidas por iniciativa própria, «a arguida jamais terá tido cuidado de interceder junto da SPMS por forma a corrigir este aspeto do sistema que, como a atualização recente demonstra, devia e podia ser alterado previamente», concluiu a CNPD.