Médicos denunciam acesso irrestrito a dados de pacientes

A Comissão Nacional de Proteção de Dados (CNPD), entidade responsável pela fiscalização do novo Regulamento de Proteção de Dados  da União Europeia (GDPR – General Data Protection Regulation) acaba de aplicar uma multa de 400 mil euros ao Centro Hospitalar Barreiro Montijo, localizado em Portugal, por permitir o acesso indiscriminado de dados clínicos de pacientes por funcionários não autorizados, entre outras violações previstas na GDPR.

O processo iniciou-se com a denúncia realizada por médicos que trabalham no hospital e que constataram as falhas de segurança no sistema que registra os dados pessoais e de tratamento dos pacientes. Segundo o sindicato que representa os profissionais, o conselho administrativo do hospital estava ciente das vulnerabilidades no sistema.

“Estes dados clínicos devem ser absolutamente confidenciais, são protegidos por normas legais e pelo segredo profissional médico”, reforçam os médicos na denúncia.

Uma das vulnerabilidades constatadas pela auditoria da CNPD, permitia que funcionários do setor de Serviços Sociais tivessem usuários cadastrados no sistema com os mesmo privilégios de acesso dos usuários médicos, violando assim, não somente os princípios da GDPR, mas também normas que regulamentam o segredo profissional entre médico e paciente, por exemplo.

Também foram constatadas deficiências na gestão de usuários, pois o hospital possui em seu quadro de médicos apenas 296 profissionais, porém no sistema foram localizados 985 usuários ativos. Segundo o hospital, estes outros 689 usuários ativos são de profissionais que tiveram passagem temporária pela instituição, mas que em um ambiente devidamente monitorado, jamais poderia ser permitido.

Por fim , o hospital não dispunha de regras internas para a criação de contas (que eram criadas depois do envio de e-mails pelos diferentes diretores dos serviços) ou seja, se não havia controle na gestão dos usuários e nem um processo de autorização padronizado para conceder acessos a novos usuários, quanto menos deveria ter para remover acessos de quem estivesse se desligando do hospital, o que ficou evidente na lista de 689 médicos excedentes.

Para o cenário brasileiro, fica o alerta com a aplicação da LGPD (Lei Geral de Proteção de Dados), pois erros como os citados acima são mais do que rotineiros nas organizações que passam por eventuais auditorias, só que agora, mais do que uma não conformidade, o descumprimento de requisitos similares a estes, poderá significar prejuízo financeiro imediato, se houver o mesmo rigor na aplicação de multas.

Isso é algo que ainda não está muito claro no Brasil, pelo fato de não termos a definição de como irá funcionar na prática a entidade que será responsável pela fiscalização e aplicação das penalidades a todas as empresas que descumprirem os requisitos previstos na lei. Por isso, é bom aproveitar o momento e botar a casa em ordem, pois faltam apenas 16 meses para que todos se adaptem a esta nova realidade.

 

Fontes consultadas: Público / Exame Informática

Imagens: Pixabay

Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec