O documento lista multas aplicadas a empresas e profissionais de saúde na Europa por violações da GDPR. A maioria das violações se deve a medidas técnicas e organizacionais insuficientes para garantir a segurança da informação dos pacientes, como acessos e compartilhamentos não autorizados de dados médicos. Algumas violações também envolveram base jurídica insuficiente para o processamento de dados ou atraso na notificação de incidentes.
Prontuários e atestado Médicos Dr.Sardinha - Pemc Atibaia 29.05.pdf
Multas aplicadas a empresas e profissionais de saúde na Europa por violações da GDPR
1. País Valor da multa (BRL) Empresa Breve descrição do caso Tipo de violação (GDPR) Fonte
Italia R$ 124.273,00 Università Campus
Bio-medico di Roma
(Polyclinic)
A Universidade Campus Bio-médico de Roma notificou o Fiador de uma
violação de dados pessoais relativo ao sistema de consulta online de
relatórios permitindo alguns utilizadores visualizar "dados relativos à
saúde, (imagens radiológicas) associadas a dados de identificação e
relatórios clínicos" de 74 outros usuários. Durante a integração entre
um sistema e o portal do paciente, devido a um erro humano na
configuração desta integração, alguns utilizadores do referido portal
(apenas aqueles que acessam através do dispositivo móvel) tiveram a
oportunidade de visualizar dados pessoais relativos a outros utilizadores
e que, a universidade após receber a notificação de 'incidente, as
imagens e relatórios de radiologia online foram imediatamente
interrompidos. A base de conhecimento de integração foi atualizada e
contém a recomendação de usar o “Token de usuário” para um fluxo de
trabalho mais robusto ”.
Não conformidade com os
princípios gerais de
processamento de dados
https://www.garanteprivacy.it/w
eb/guest/home/docweb/-
/docweb-
display/docweb/9469345
Holanda R$ 2.858.279,00 Hospital Haga Se constatou que dezenas de funcionários do hospital haviam
inspecionado desnecessariamente o prontuário médico de um
conhecido holandês. A AP aplica uma multa de 460.000 euros ao
Hospital Haga por falta de segurança. A relação entre um profissional
de saúde e um paciente deve ser totalmente confidencial. Mesmo
dentro das paredes de um hospital. Não importa quem você é. Um
hospital deve tomar todas as medidas técnicas e organizacionais para
garantir a segurança dos dados do paciente. O Hospital Haga tomou
medidas de segurança insuficientes em duas áreas:
O hospital deve verificar regularmente quem está consultando qual
arquivo. Dessa forma, o hospital pode sinalizar em tempo hábil quando
alguém está consultando um arquivo sem autorização e tomar medidas
contra isso.
Uma boa segurança requer autenticação que envolve pelo menos dois
fatores. A identidade de um usuário para obter acesso a um arquivo do
paciente é então estabelecida, por exemplo, com um código ou uma
senha em combinação com um cartão de equipe. A empresa pediu
reconsideração após implementar as medidas a resposta foi: A AP não
vê motivos para reconsiderar a multa administrativa. As objeções
levantadas pelo hospital não lançam uma visão diferente sobre o
assunto. Como resultado, fatos e circunstâncias relevantes não mudam.
Medidas técnicas e
organizacionais insuficientes
para garantir a segurança da
informação
https://autoriteitpersoonsgegev
ens.nl/nl/nieuws/haga-beboet-
voor-onvoldoende-interne-
beveiliging-
pati%C3%Abntendossiers
MULTAS APLICADAS PARA EMPRESAS E PROFISSIONAIS DE SAÚDE NA EUROPA
2. País Valor da multa (BRL) Empresa Breve descrição do caso Tipo de violação (GDPR) Fonte
Alemanha R$ 652.433,25 Hospital Medidas técnicas e
organizacionais insuficientes
para garantir a segurança da
informação
https://www.datenschutz.rlp.d
e/de/aktuelles/detail/news/de
tail/News/geldbusse-gegen-
krankenhaus-aufgrund-von-
datenschutz-defiziten-beim-
patientenmanagement/
Irlanda R$ 403.887,25 Cork University Maternity
Hospital
Dados pessoais de 78 de seus pacientes foram descartados
em uma instalação pública de reciclagem em outro local do
condado. A reclamação foi levantada depois que um
membro do público encontrou os documentos e reportou às
autoridades. Acredita-se que a violação no CUMH envolveu
dados confidenciais de saúde de pacientes, incluindo
históricos médicos e futuros programas planejados de
atendimento.
Medidas técnicas e
organizacionais insuficientes
para garantir a segurança da
informação
https://www.irishexaminer.co
m/news/arid-40075673.html
Islândia R$ 128.001,19 National Center of Addiction
Medicine ('SAA')
Um funcionário que pediu demissão do S.Á.Á. no ano
anterior, era para receber uma caixa com dados pessoais.
No momento do parto, no entanto, ele também recebeu
uma quantidade significativa de informações do paciente,
incluindo livros de inscrição com os nomes de cerca de 3.000
pacientes e informações detalhadas de prontuários médicos
de 252 indivíduos
Medidas técnicas e
organizacionais insuficientes
para garantir a segurança da
informação
https://www.personuvernd.is/
urlausnir/nr/2882
Hungria R$ 45.981,01 Hospital Militar Atraso injustificado de notificar à autoridade de incidente de
vazamento de dados. Não existência de um DPO, não havia
proteção de dados
no caso de um incidente com uma política interna de gestão
de incidentes
Cumprimento insuficiente das
obrigações de notificação de
violação de dados
https://www.naih.hu/files/NAI
H-2019-2485-hatarozat.pdf
3. País Valor da multa (BRL) Empresa Breve descrição do caso Tipo de violação (GDPR) Fonte
Espanha R$ 310.682,50 Centro de
Investigación y
Estudio para la
Obesidad, SL
Transferiu dados pessoais sem consentimento para entidade financeira que
por sua vez transferiu também para a empresa de recuperação. Seus dados
foram reportados ao arquivo de solvência de ações e crédito. Afirma que
foi à clínica para solicitar um orçamento para uma redução do estômago e
ele decidiu não aceitar a preço de custo. A documentação no arquivo prova
que o reivindicado, violou o artigo 6.1 do RGPD, toda vez que processou os
dados reivindicações do reclamante sem qualquer legitimidade para fazê-
lo.
Base jurídica insuficiente para
processamento de dados
https://www.aepd.es/es/docum
ento/ps-00206-2020.pdf
Espanha R$ 298.255,20 HM Hospitales Utilização incorreta do consentimento (opt out), compartilhamento de
dados com seguradora de saúde. na ocasião da admissão, paciente ao ser
assistido teve que preencher formulário onde caso não marcasse que
discorda em compartilhar os dados, esses seriam compartilhados. Hospital
enviou o relatório médico da Mapfre, sua seguradora, para solicitar
admissão; Seguradora negou à assistÊncia internação não foi autorizada e
ocasionou recalculo do valor do prêmio da apólice de seguro.
Base jurídica insuficiente para
processamento de dados
https://www.aepd.es/es/docum
ento/ps-00187-2019.pdf
Chipre R$ 86.991,10 Médico privado Médico que publicou informações pessoais confidenciais sobre um paciente
na plataforma de mídia social Instagram
Base jurídica insuficiente para
processamento de dados
https://cyprus-
mail.com/2019/10/11/doctor-
fined-e14000-for-violating-
patient-data-on-instagram/
Suécia R$ 69.592,88 Conselho de Saúde
e Assistência
Médica da Região
Condado de Örebro
Publicou dados pessoais sensíveis no site da região de Örebro County sem
serem compatíveis com os princípios de limitação de propósito e
minimização de dados, não havia uma base legal para isso e em violação da
proibição de tratamento dados pessoais sensíveis. A notificação continha
informações de identidade do notificador (incluindo número do seguro
social), detalhes de contato, informações em que o notificador foi postado
a clínica psiquiátrica forense e as informações de que o reclamante foi
sujeito amostragem de urina.
Base jurídica insuficiente para
processamento de dados
https://www.datainspektionen.s
e/globalassets/dokument/beslut
/beslut-tillsyn-region-orebro-
2020-05-11.pdf
Espanha R$62.136,50 Asociación de
Médicos
Demócratas
Processamento de dados de membros sem seu consentimento; que AMED
continuou a enviar para as contas de e-mail, pessoal e profissional do
colegiado
comunicações electrónicas, tratando ilegalmente os seus dados pessoais.
Base jurídica insuficiente para
processamento de dados
https://www.aepd.es/es/docum
ento/ps-00187-2019.pdf
Bulgaria R$ 3.168,96 Médico privado Médico pessoal transferiu dados de um paciente para outro médico sem
consentimento do paciente. Compartilhamento de banco de dados.
Base jurídica insuficiente para
processamento de dados
https://www.cpdp.bg/?p=eleme
nt_view&aid=2192
Fonte: https://www.enforcementtracker.com/