GDPR takes action in Portugal with a 400k € fine

GDPR takes action in Portugal with a 400k € fine

 

Principles violation relative to data treatment leads to the application of a GDPR fine by the National Data Protection Commission (NDPC) reaching 400 thousand euros to the Barreiro-Montijo Hospital Centre.

The fine was applied after a conjunct inspection between the National Data Protection Commission and the General Inspection on Health Activities, following the the accusation from the Order of Medics in June of this year.

On this conjunct operation the NDPC stated that at least nine professionals with a role in social services had access to clinical data exclusive to working doctors. What’s at stake is the usage profiles assignment to social assistants. Flaws on the authentication system and the nonexistence of access rules also helped for the fine application sheltered by the new GDPR.

The NDPC also holds the Hospital’s direction accountable for not taking the necessary measures to guarantee that the inactive doctors’ accounts were eliminated.

This matter was considered serious for putting special health data categories at stake, and for the creation of new access accounts not controlled by the administration. Although the she didn’t take measures by her own initiative, “the defendant took the care to intercede with the HMSS to right this aspect of the system that, as a recent update shows, should and could be changed previously”, as concluded by the NDPC.

RGPD atua em Portugal com multa de 400 mil euros

RGPD atua em Portugal com multa de 400 mil euros

 

Violação de Princípios relativos ao tratamento de dados conduz à aplicação de coima no âmbito do RGPD, pela Comissão Nacional de Proteção de Dados (CNPD) no valor de 400 mil euros ao Centro Hospitalar Berreiro-Montijo.

A coima foi aplicada na sequência de uma inspeção conjunta, entre a Comissão Nacional de Protecção de Dados (CNPD) e a Inspecção Geral das Actividades em Saúde, na sequência de uma participação da Ordem dos Médicos em junho deste ano.

Nesta operação conjunta a CNPD constatou que pelo menos nove profissionais com funções na área dos serviços sociais dispunham de acesso a dados clínicos exclusivos a médicos em funções. Em causa está a atribuição de perfis de utilização a contas de assistentes sociais, falhas no sistema de autenticação e a inexistência de regras de acesso também contribuíram para a aplicação de coimas ao abrigo do novo Regulamento Geral de Proteção de Dados.

A CNPD também responsabiliza a administração do Hospital do Barreiro por não ter tomado as medidas necessárias para garantir que as contas dos médicos que já não estavam no ativo fossem eliminadas.

A questão foi considerada grave por estarem em causa categorias especiais de dados de Saúde, e a criação de novas contas de acesso não serem controladas pela administração. Além de não ter tomado medidas por iniciativa própria, «a arguida jamais terá tido cuidado de interceder junto da SPMS por forma a corrigir este aspeto do sistema que, como a atualização recente demonstra, devia e podia ser alterado previamente», concluiu a CNPD.