contato

12 de Dezembro, 2023

DPA Dinamarquesa investiga hospital por fotos de pacientes no Instagram

cirurgioes que operam um paciente na sala de operacoes 124865 4191

Um cidadão dinamarquês apresentou uma reclamação à Autoridade de Proteção de Dados da Dinamarca (DPA) sobre uma foto sua publicada na conta do Instagram do Hospital Universitário de Aarhus (AUH). Com base nisso, em 19 de dezembro de 2022, a DPA iniciou uma investigação contra a Região Central da Dinamarca (o controlador).

Durante a investigação, a DPA descobriu que a conta do Instagram publicava regularmente fotos e vídeos do dia a dia no AUH, incluindo imagens de pacientes, funcionários e parentes, ativa desde junho de 2015, com mais de 15.000 seguidores e mais de 1.400 publicações. Uma revisão da conta revelou que havia posts com fotos e informações sobre pacientes desde 2016, às vezes incluindo condições de saúde.

O controlador explicou que as informações na conta são publicadas para informar o público sobre as atividades e o cotidiano do hospital. Esclareceu ainda que as postagens contendo informações sobre cidadãos, incluindo pacientes, eram publicadas com base no consentimento sob os Artigos 6(1)(a) e 9(2)(a) do GDPR. O consentimento era obtido por escrito antes da publicação do post, e concedê-lo ou não não afetava o tratamento de saúde oferecido ao paciente. O controlador também afirmou que seu processamento atendia aos princípios de legalidade, equidade e transparência sob o Artigo 5(1)(a) do GDPR, bem como ao princípio da minimização de dados de acordo com o Artigo 5(1)(c) do GDPR, já que não processavam dados pessoais não necessários para os fins do hospital. Para limitar isso, também garantiram que informações como números de segurança social e nomes não fossem exibidos em monitores, prontuários e pulseiras de pacientes nas fotos. Por fim, o controlador afirmou observar também o princípio da limitação de armazenamento do Artigo 5(1)(e) do GDPR, já que os titulares dos dados podiam fazer solicitações de exclusão.

O consentimento explícito era necessário sob o Artigo 9(2) do GDPR e as condições para o consentimento de acordo com o Artigo 4(11) do GDPR tinham que ser avaliadas à luz das circunstâncias relevantes nas quais o consentimento foi obtido. Portanto, a DPA concluiu que em situações em que um paciente normalmente está em uma posição vulnerável ao ser hospitalizado ou tratado em um hospital, há uma desigualdade entre o paciente e o hospital e o pessoal hospitalar, o que poderia implicar que o paciente pode ter sofrido pressão ao solicitar consentimento, afetando a sua livre escolha. A DPA também esclareceu que sob o GDPR o processamento de dados pessoais por autoridades públicas não pode ser baseado no consentimento devido à relação desigual inerente entre o controlador e o cidadão.

Apesar da decisão ter sido prolatada na Dinamarca, o caso concreto poderia ser julgado, provavelmente com o mesmo desfecho, com o uso da LGPD. Trata-se de um alerta importante para as instituições de saúde definirem diretrizes rígidas sobre o uso de imagem dos pacientes.

Acesse a decisão Datatilsynet (Denmark) - 2023-432-0016.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Justiça aplica LGPD para responsabilizar empresa por inscrição em SCR sem notificação
13 de Junho, 2025
Guilherme Damasio Goulart
Sem comentários

O Tribunal de Justiça de Minas Gerais negou provimento a recursos de apelação em ação que discutia indenização por danos morais decorrente de inscrição no Sistema de Informações de Crédito (SCR) do Banco Central sem prévia comunicação. O consumidor teve seu nome inscrito pela DM Financeira no cadastro restritivo sem a devida notificação, violando dispositivos […]

Ler Mais
ANPD abre consulta pública sobre regulamentação de dados biométricos
13 de Junho, 2025
Guilherme Damasio Goulart
Sem comentários

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou uma tomada de subsídios para o tratamento de dados biométricos, visando coletar contribuições da sociedade para a regulação dessa categoria de dados sensíveis. A medida surge após o procedimento de fiscalização instaurado contra a Tools for Humanity, empresa responsável pelo projeto Worldcoin que tentava coletar dados […]

Ler Mais
Microsoft corrige 67 vulnerabilidades incluindo falha zero-day no WebDAV
11 de Junho, 2025
Guilherme Damasio Goulart
Sem comentários

A Microsoft lançou correções para 67 falhas de segurança, incluindo uma vulnerabilidade zero-day no Web Distributed Authoring and Versioning (WebDAV) que está sendo explorada ativamente por criminosos cibernéticos. Das 67 vulnerabilidades corrigidas, 11 são classificadas como críticas e 56 como importantes, abrangendo 26 falhas de execução remota de código, 17 de divulgação de informações e […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram