Blog

Protección de Datos

Primera multa por incumplimiento del RGPD en Portugal

24 octubre, 2018

El Hospital Barreiro-Montijo de Portugal ha sido multado con 400.000 euros por permitir el acceso ilícito a datos clínicos. Se trata de la primera multa por incumplimiento del Reglamento Europeo de Protección de Datos (RGPD) en la Unión Europea.

La autoridad portuguesa, la Comisión Nacional de Protección de Datos (CNPD), inició una inspección tras recibir aviso de la entidad Orden de Médicos.

 

INCIDENCIAS DETECTADAS

La CNPD ha aplicado la sanción al detectar diferentes fallos en los sistemas de autentificación y control de acceso a las bases de datos.

La autoridad portuguesa comprobó que los sistemas del hospital permitían el acceso a usuarios sin la debida autorización. Al menos 9 profesionales de servicios sociales podían acceder a datos exclusivos para médicos. Además, se detectó que más de 900 médicos disponían de acceso a datos clínicos, cuando el Hospital Barreiro sólo cuenta con 296 médicos en plantilla.

La Comisión también añade que el hospital no dispone de protocolo interno para la creación de cuentas de usuario, niveles de acceso a información médica, ni un método de autentificación de la vinculación de profesionales con el hospital.

 

RESOLUCIÓN Y SANCIÓN

La resolución del CNPD identifica tres tipos de infracción: violación del principio de integridad y confidencialidad, violación del principio de minimización, e incapacidad de garantizar la confidencialidad e integridad de los datos.

Las dos primeras infracciones han sido sancionadas con 150.000 euros respectivamente y la tercera con 100.000 euros. En total, las tres infracciones suman un total de 400.000 euros.

 

RESPONSABILIDAD

La autoridad portuguesa reconoce la cooperación y disponibilidad del Hospital Barreiro-Montijo para solventar los diferentes fallos. No obstante, considera que era responsabilidad de la administración del centro médico tomar las medidas adecuadas para garantizar la seguridad. También añade que se actuó deliberadamente al conocer las medidas técnicas y organizativas necesarias y no aplicarlas.

Por el momento, el Hospital ha cuestionado las competencias de la Comisión Nacional de Protección de Datos de Portugal para aplicar la multa y podrá recurrir a la justicia.

 

Más información en el siguiente enlace[en portugués]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *