O processo arrasta-se, pelo menos, desde 2018, mas no último dia 10 a Comissão Nacional de Proteção de Dados (CNPD) deliberou, como decisão revista e final, a aplicação de uma coima de 380 mil euros ao Centro Hospitalar Barreiro-Montijo (CHBM), por violação de princípios legais de resguardo de processos clínicos dos doentes. A CNPD deu como provada, neste caso, a violação dos princípios da integridade e confidencialidade e da minimização de dados, que deveria impedir o acesso indiscriminado a elementos clínicos dos doentes. A isto acresceu, segundo a comissão, a incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos processos clínicos.
Em concreto, verificou-se, por exemplo, que nove profissionais com funções na área dos serviços sociais dispunham de acessos que deveriam ser exclusivos dos médicos. O CHBM não tinha, pois, regras internas que definissem e resguardassem os diferentes níveis de acesso aos dados clínicos.
“Deliberadamente”, acusa a CNPD, o CHBM “permitiu associar o grupo funcional de ‘médico’ a quem apenas deveria estar credenciado com o perfil de ‘técnico’”. E, por outro lado, também não eliminou as permissões de acesso a processos clínicos de médicos que saíram daquele centro hospitalar. Ou seja, verificou-se a “existência de credenciais de acesso” que permitiam “a qualquer médico, de qualquer especialidade, a qualquer altura aceder aos dados” dos doentes “de um determinado centro hospitalar”.
Nas suas contra-alegações, o CHBM diz que “os tratamentos de dados pessoais a que procedeu (…) ocorreram no desempenho da sua atividade, a qual se sustenta na prossecução de fins de interesse público”; lembra que, “após a deteção das desconformidades por parte da CNPD, procedeu a um conjunto de alterações por forma a repor a legalidade” nos acessos aos processos clínicos; garante que “não existiram violações de dados pessoais decorrentes das falhas detetadas”; e remete a responsabilidade “por tais falhas” para “outras instituições tuteladas pelo Ministério da Saúde”, em especial “os Serviços Partilhados do Ministério da Saúde”, entidade que responde pela tecnologia usada nos hospitais públicos, incluindo a hierarquia dos perfis de utilizador e as políticas de acesso viabilizadas pelas diferentes aplicações.
A argumentação do CHBM seria chumbada pela CNPD, que nem sequer se mostrou complacente perante a chamada de atenção para o montante da coima aplicada (380 mil euros, recorde-se). A comissão considera-a como “justa resposta ao nível de desrespeito” demonstrado “no incumprimento de obrigações básicas de proteção de dados pessoais de terceiros, sobretudo quando estão envolvidas categorias especiais de dados”.
O CHBM apontou “as dificuldades financeiras que atravessa como elemento relevante para a não aplicação da coima”, sobretudo porque o pagamento da multa o colocaria “perto de uma falência técnica”. A CNPD responde, na sua deliberação do último dia 10, que “a repetição de resultados negativos, se bem que avultados, não podem constituir critério único para a decisão sobre a imposição de uma coima cujo pagamento, ademais, pode ser diferido em várias prestações”. E acrescenta que a alegação de que o pagamento da coima colocaria o CHBM “perto de uma falência técnica” tem de ser “factualmente demonstrada e não meramente avançada como hipótese, cabendo ao interessado oferecer provas cabais que a sustentem” – o que não aconteceu.
O Conselho de Administração do CHBM informou a VISÃO de que, por “não se conformar com o teor” da deliberação da CNPD, “interpôs o competente recurso, aguardando-se decisão judicial”.