Multa de 400.000 euros por el GDPR impuesta por la Autoridad de Protección de Datos portuguesa. | El hospital paga una enorme multa por permitir el acceso no autorizado a los historiales de los pacientes.
En julio, la Autoridad de Supervisión portuguesa (CNPD) impuso una multa de 400.000 euros a un hospital, por infracción del RGPD. La infracción y la posterior sanción no se hicieron públicas en ese momento.
A principios de esta semana, el hospital anunció públicamente su intención de impugnar la multa.
Durante una investigación, la CNPD descubrió que los empleados del hospital tenían acceso a los datos de los pacientes a través de perfiles falsos. Los investigadores detectaron una anomalía en el sistema de gestión de perfiles del hospital Barreiro Montijo. Al parecer, 985 usuarios estaban registrados en el sistema bajo la categoría "Médico". Sin embargo, sólo se indicaba que 296 médicos trabajaban en el hospital.
Se impone una multa por el GDPR ... por permitir el acceso no autorizado
La CNPD concluyó que el hospital no había establecido medidas técnicas y organizativas adecuadas para proteger los datos de los pacientes.
Además, el hospital no consultó al Ministerio de Sanidad sobre las presuntas deficiencias de seguridad del sistema proporcionado por el gobierno. Tampoco estableció normas y niveles de acceso para la creación de cuentas de usuario, ni eliminó las cuentas de antiguos médicos.
El periódico Publico informó que se han emitido dos multas como resultado de la auditoría de la CNPD. La primera multa, de 300.000 euros, por no respetar la confidencialidad de los pacientes y limitar el acceso a sus datos. La segunda multa, de 100.000 euros, por no "garantizar la confidencialidad, integridad, disponibilidad y resistencia permanente de los sistemas y servicios de tratamiento".
En su defensa, el hospital dijo que utiliza el sistema informático proporcionado a los hospitales públicos por el Ministerio de Sanidad portugués. La CNPD argumentó que era responsabilidad del hospital asegurarse de que los sistemas informáticos que utiliza cumplen con el GDPR.
El hospital también impugnó la competencia de la CNPD para imponer multas porque el proyecto de ley de adaptación del RGPD aún no se había promulgado. Sin embargo, la CNPD respondió que sus competencias en virtud de la actual Ley de Protección de Datos continúan después de la promulgación de la ley del RGPD.
La Ley de Protección de Datos se mantiene - mientras se aplica el GDPR
Portugal aún no ha aplicado el RGPD. Pero, en este caso, la CNPD aplicó los principios del GDPR y se basó en él para determinar la multa. Se trata de una de las mayores multas impuestas por la DPA del país hasta la fecha. La ley actual asigna la mitad de la multa al presupuesto de la CNPD; la futura ley de aplicación contendrá probablemente una disposición similar.
Comentario del editor: Todas las empresas y organizaciones no comerciales tienen la responsabilidad de salvaguardar la información personal de personas vivas almacenada en sus sistemas de datos. El acceso no autorizado a los registros, ya sea internamente o a través de un ciberataque, puede ser inmensamente costoso, en términos de sanciones económicas y daños a la reputación.
Fuentes y créditos:Privacidad interior, Examinar Informatica (Portugués)