La Comissão Nacional de Protecção de Dados, el equivalente luso a la Agencia Española de Protección de Datos, impuso a finales del año 2018 las primeras sanciones al sur de Europa por infracción de los principios rectores del Reglamento General de Protección de Datos (RGPD). El agraciado fue el Centro Hospitalar do Barreiro-Montijo del Serviço Nacional de Saúde. Las infracciones detectadas fueron tres y el importe total de las sanciones asciende a la cantidad de 400.000 €.
La denuncia interpuesta por el Sindicato dos Médicos da Zona Sul puso de manifiesto que el sistema de autentificación del centro hospitalario de accedo a la base de datos de historiales clínicos era muy deficiente, por cuanto había un total de 985 cuentas activas con acceso libre a los historiales clínicos, cuando el cuadro de personal del centro era de 296 facultativos. El centro reconoció la existencia de perfiles temporales, correspondientes a facultativos que habían sido contratados bajo el régimen de prestación de servicios. Estas cuentas, una vez terminado el contrato tendrían que haber sido dadas de baja o canceladas, de inmediato.
La Comissão Nacional de Protecção de Dados detectó tres infracciones del RGPD:
1ª.- Violación del artículo 5.1.c) o del principio de «minimización de datos», al permitir el acceso indiscriminado, sin límite de acceso temporal, a un número excesivo de facultativos, sin importar su especialidad ni antigüedad, y violación del artículo 83.5.a) en relación con los principios básicos para el tratamiento, incluidas las condiciones de consentimiento. Se sanciona con 150.000 €.
2ª.- Violación del artículo 5.1.f) o del «principio de integridad y confidencialidad» y es que el centro hospitalario, como responsable del tratamiento, carecía de un protocolo interno para la creación de cuentas de usuarios, de niveles de acceso a informaciones médicas o un método de autenticación de la conexión de profesionales con el hospital. De modo que no se garantizó una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito mediante la aplicación de medidas técnicas u organizativas apropiadas. Se sanciona con 150.000 €.
3ª.- Violación del artículo 32.1 b) y d) por la «falta de capacidad del responsable del tratamiento para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanentes de los sistemas y servicios de tratamiento», teniendo el responsable del tratamiento el deber de implantar las medidas necesarias para garantizar un nivel de seguridad adecuado al riesgo, incluido un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas implantadas. Se sanciona con 100.000 €.
A la hora de graduar las sanciones, la Comissão Nacional de Protecção de Dados tuvo en cuenta la gravedad y la duración de las infracciones, traduciéndose este análisis en el número de afectados, situado en decenas de miles, que corresponde al universo de pacientes del centro hospitalario, y el hecho de que se trata de datos de salud, que son extremadamente sensibles.
La Comissão Nacional de Protecção de Dados consideró dolosa la conducta del centro, atribuyéndole un grado de responsabilidad elevado, ya que los procedimientos de control y de auditoría implantados no eran los adecuados.
