A Comissão Nacional de Proteção de Dados (CNPD) aplicou coimas num valor de 400 mil euros ao Centro Hospitalar Barreiro-Montijo, devido às políticas de acesso às bases de dados, que permitiam que técnicos e médicos consultassem processos clínicos dos doentes sem a devida autorização.
Em causa está a atribuição de credenciais informáticas a pessoas que, pelas suas funções, não as deviam receber, permitindo o acesso indiscriminado a um conjunto excessivo de dados pessoais por parte de profissionais que a eles só deveriam aceder em casos pontuais e previamente justificados, não tendo sido aplicadas medidas técnicas e organizativas suscetíveis de impedir este acesso ilícito. Acrescentando a CNPD, a incapacidade que esta unidade hospitalar mostrou de garantir a confidencialidade, a integridade e a resiliência permanente dos sistemas e serviços de tratamento de dados pessoais dos utentes/pacientes (segurança dos dados): os mecanismos de autenticação de acesso foram considerados insuficientes.
Na prática, este hospital concedeu acesso a pelo menos nove funcionários com funções na área dos serviços sociais a dados que deveriam ser da exclusividade dos médicos, o que se traduz na possibilidade indiscriminada de consulta de processos clínicos de todos os utentes do hospital. Somou-se a isto ainda a possibilidade de aceder a dados clínicos de doentes que se encontravam nos arquivos digitais do Hospital de Santa Cruz (interconexão de dados).
A CNPD concluiu pela responsabilidade da unidade de saúde com «ilicitude elevada», não só por estarem em causa categorias especiais de dados – dados de saúde -, mas por a administração do hospital ter agido com conhecimento do que se passava e nada fez, ou seja, atuou de forma livre, voluntária, consciente, bem sabendo que as suas condutas era proibidas e punidas por lei, podendo e devendo agir de outro modo.
Sublinhe-se, para já, alguns aspetos importantes a ter em conta:
Por um lado, o atraso legislativo em aprovar e publicar a nova lei nacional de proteção de dados pessoais, que virá concretizar o Regulamento Geral de Proteção de Dados (RGPD) e revogar a Lei nº 67/98 (ainda em vigor em tudo o que não contrarie o Regulamento Europeu), a qual, inevitavelmente, ajudaria a resolver muitas daquelas questões, atraso esse que contribui para uma incerteza insustentável, nomeadamente no que respeita ao regime jurídico e sancionatório.
Por outro lado, não podemos deixar de referir que o projeto de lei n.º 120/XIII, ainda em discussão na Assembleia da República, prevê isentar de coimas, durante um período de três anos, as autoridades e organismos públicos, o que não deixa de ser um contrassenso, uma vez que a primeira coima aplicada pela Autoridade de Controlo nacional (CNPD) após a produção de efeitos do RGPD foi precisamente a uma entidade pública,o Centro Hospitalar Barreiro-Montijo, cuja imagem sai assim prejudicada, até pelo eco que a notícia teve além-fronteiras!
Em termos de prevenção geral, a aplicação desta coima acaba por servir deexemplo, principalmente ao sector privado, pois, como se esperava, apesar de tardia, a fiscalização por parte da CNPD revelou-se severa.
Por conseguinte, este atual relaxamento na aplicação do RGPD e demais legislação similar por parte de todas as entidades, sejam elas privadas ou públicas, é um risco de todo aconselhável a evitar. Além das coimas, pois são as empresas que se sujeitam verdadeiramente a elas, há, ainda, que ter atenção a vários outros aspetos.
Desde logo, aos eventuais pedidos de indemnização dos titulares dos dados pessoais por danos materiais ou imateriais que tenham sofrido devido a uma violação dos seus direitos de personalidade e não cumprimento das normas de proteção impostas pelo RGPD que diretamente visam proteger os titulares dos dados pessoais.
Por outro lado, várias são as entidades que são subcontratantes/subcontratadas de outras entidades, isto é, tratam os dados pessoais «por conta» de responsáveis pelo tratamento daqueles dados (ex: contabilista, toc, advogados), e que já começam a exigir a demonstração de que aquelas empresas subcontratas, cumprem, de facto e de direito, com o RGPD. Logo, este atraso na implementação poderá levar, e já tem levado, ao corte de relações comerciais. Além de que, e reforçamos este aspeto, que muitas entidades ainda parecem ignorar, o RGPD consagra uma regra de solidariedade obrigacional entre os corresponsáveis, isto é, cada entidade é responsável pela totalidade dos danos, mesmo que estes se devam, exclusivamente, a uma conduta ilícita de uma empresa subcontratada, de forma a assegurar a efetiva indemnização do titular dos dados. Não se excluindo, naturalmente, a possibilidade de regresso sobre aquela entidade subcontratada, contudo, suportando todos os custos e riscos de não ressarcimento que daí advêm (a falta de solvência patrimonial do subcontratado!).
Por último, a obrigação de notificação quando há violação de dados pessoais, desde logo à CNPD e, em caso de risco elevado para os seus direitos, aos respetivos titulares, o que não deixa de ter um peso considerável, como a aplicação das presentes coimas é demonstrativa disso mesmo, pois a implementação deficitária do RGPD poderá trazer consequência nefastas à reputação da sua empresa/organização.
Não basta a preocupação com aspetos mais superficiais, como a alteração de políticas de privacidade ou pedidos de consentimento. É necessário que todas as entidades implementem, de facto, o RGPD, de forma garantir o cumprimento de todos os princípios relativos ao tratamento de dados pessoais: transparência, limitação das finalidades, minimização, exatidão, limitação da conservação, integridade, confidencialidade e responsabilidade.
O que passará por tarefas verdadeiramente mais complexas, como medidas técnicas ou organizativas, sejam físicas ou digitais, como a criação de uma cultura empresarial, integrada e coerente, que protege verdadeiramente a privacidade das pessoas, o que poderá implicar: alterar sistemas de informação ou repensar procedimentos e metodologias de exercício dos direitos do titular dos dados pessoais.
Concluindo, em Portugal não há, ainda, propriamente uma cultura de proteção de dados pessoais. Porém, por mais relutantes que as empresas ou entidade públicas se mostrem, em breve, a bem ou a mal, isso mudará. A CNPD, como se comprova pela coima de 400 mil euros aplicada a esta unidade hospitalar, está, claramente, empenhada em garantir que essa realidade se altere num futuro próximo, com as legais consequências.
Carlos Costa, José Miguel Pinto e Jorge Artur Costa
(CCIC Advogados )