Autoridade italiana considera abusivo o acesso a dados de pacientes por médicos não envolvidos

As empresas e organizações relacionadas à área da saúde devem implementar todas as medidas técnicas e organizacionais necessárias para impedir o acesso aos dados do paciente por médicos e enfermeiros não envolvidos em seu processo de tratamento. A Agência de Proteção de Dados Italiana reiterou isto, recentemente, ao sancionar duas instituições de saúde da região de Friuli Veneza – Giulia, determinando ainda a adoção de medidas corretivas à empresa de informática responsável por gerenciar os pedidos de consulta à relatórios online.

A Autoridade foi acionada após inúmeras denúncias relacionadas ao tratamento ilícito de dados pessoais realizado através do sistema de informação e comunicação dos serviços prestados pelas estruturas do Serviço de Saúde da região, já objeto de uma disposição anterior.

As verificações realizadas revelaram várias violações do Regulamento Europeu de Proteção de Dados (GDPR). O acesso ao registo de saúde deu-se através de sistemas que, não estando devidamente configurados, permitiam a todos os que serviam nas duas autarquias locais (e em todas as da Região) obter informações sobre qualquer doente presente ou não presente nas duas instalações de saúde. Foi apurado, em um dos casos examinados, que a configuração do dossiê possibilitou aos colaboradores das instituições a acessar sem restrições também os prontuários de seus colegas.

A Autoridade, tendo em conta a colaboração oferecida pelas instituições durante a investigação também para sanar os problemas encontrados, impôs uma multa de 50.000 euros à primeira instituição, e 70.000 euros à segunda. Além disto, também concedeu 60 dias à empresa de TI para implementar ações corretivas ao aplicativo capazes de garantir a segurança e integridade adequada dos dados pessoais e impedir o acesso não autorizado.

Fonte:https://www.garanteprivacy.it/home/docweb//docwebdisplay/docweb/9792301