contato

16 de Outubro, 2024

Hospital multado em €200 mil por falhas graves na segurança de dados de pacientes

medico hospital medicina

A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de 200 mil euros ao grupo HM Hospitais devido a graves deficiências na proteção dos dados pessoais de seus pacientes. O procedimento sancionador foi iniciado após uma denúncia feita em 2022 por um ex-funcionário da empresa, que apontou falhas significativas no sistema de gestão hospitalar “Doctoris”, utilizado pela instituição. As investigações da AEPD revelaram que o hospital não implementava medidas técnicas e organizativas adequadas para garantir a segurança dos dados sensíveis.

Entre as principais falhas identificadas estava a ausência de um sistema eficaz de rastreamento de acessos ao histórico clínico dos pacientes. O sistema “Doctoris” não permitia registrar quais usuários acessavam informações específicas, a menos que houvesse modificações nos registros. Além disso, os dados eram mantidos por um período superior ao necessário, sem um mecanismo automatizado de supressão ou bloqueio. Esses problemas configuraram um risco elevado de violação da privacidade dos pacientes, especialmente considerando a natureza sensível das informações tratadas, que incluíam dados sobre saúde, violência de gênero, e origem racial.

Outro ponto crítico foi a inadequação das medidas de criptografia inicialmente implementadas. Durante as investigações, foi constatado que o hospital usava apenas criptografia a nível de hardware, considerado insuficiente para garantir a proteção adequada dos dados. Embora o hospital tenha posteriormente adotado tecnologia de cigragem TDE (Transparent Data Encryption) no servidor SQL, essa medida só foi tomada após o início do procedimento sancionador, evidenciando uma reação tardia às exigências de segurança impostas pelo GDPR.

O hospital apresentou defesa ao longo do processo, argumentando que já havia implementado medidas corretivas, como a restrição no número de usuários com permissões administrativas e a realização de auditorias internas de conformidade. No entanto, a AEPD considerou que essas ações foram insuficientes e que o grupo hospitalar não demonstrou proatividade na adoção de políticas de segurança que minimizassem o risco de violações. Além disso, a falta de auditorias específicas para o sistema “Doctoris” nos últimos três anos foi outro fator agravante apontado pela agência.

A multa de 200 mil euros foi mantida pela AEPD, com base no entendimento de que as falhas de segurança identificadas poderiam comprometer gravemente os direitos e liberdades dos titulares dos dados. A agência destacou que o hospital, embora tenha colaborado durante as investigações, agiu de forma negligente ao não adotar de forma antecipada medidas de segurança adequadas para garantir a proteção dos dados pessoais, como exige o RGPD.

Com informações Agencia Española de Protección de Datos

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana. 

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Discord enfrenta ação judicial por negligência na proteção de crianças
23 de Abril, 2025

O Procurador-Geral de Nova Jersey moveu uma ação judicial contra a plataforma de mensagens Discord, acusando a empresa de práticas comerciais enganosas e irresponsáveis que expõem crianças a conteúdos violentos e sexuais, além de predadores online. A investigação revelou que Discord teria enganado os pais quanto à eficácia de seus controles de segurança, oferecendo garantias […]

Ler Mais
Apple e Meta são multadas pela UE por violação ao DMA
23 de Abril, 2025

A Comissão Europeia anunciou multas inéditas às gigantes Apple e Meta por descumprimento de regras do Digital Markets Act (DMA), legislação criada para coibir práticas anticompetitivas nos mercados digitais da União Europeia. A Apple foi penalizada em €500 milhões (aproximadamente US$ 570 milhões) devido a restrições impostas a desenvolvedores na App Store, conhecidas como “anti-steering”, […]

Ler Mais
BCB define ativos financeiros vinculáveis a boletos dinâmicos para aumentar segurança
23 de Abril, 2025

O Banco Central do Brasil (BCB) publicou a Instrução Normativa nº 611/2025, que estabelece os tipos de ativos financeiros passíveis de vinculação a boletos de cobrança dinâmicos, modalidade criada para modernizar e dar mais segurança a transações envolvendo créditos negociáveis. A medida integra esforços regulatórios para aprimorar a eficiência e a rastreabilidade de operações financeiras, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram