E’ portoghese il primo ospedale multato per violazione del GDPR, il nuovo regolamento europeo sulla Data protection in vigore da maggio 2018. La multa di 400mila euro comminata dall’Authority portoghese, la Comissão Nacional de Protecção de Dados (CNPD) ha colpito il Barreiro Montijo, un ospedale vicino a Lisbona, reo di non aver protetto a dovere l’accesso ai dati dei pazienti immagazzinati nel suo archivio digitale.
Le prime indagini sulle falle del sistema erano scattate ad aprile, su segnalazione del personale medico dell’ospedale che ha notato l’accesso non autorizzato ai dati dei pazienti da parte di personale non autorizzato, che utilizzava dati dei pazienti per accedere al sistema di gestione dei pazienti.
Dopodiché, il CNPD ha condotto un audit interno all’ospedale, verificando che ben 985 impiegati avevano l’accesso a dati sensibili su informazioni sanitarie dei pazienti a fronte di un personale medico di appena 296 dottori.
C’è da dire che soltanto il personale medico dovrebbe disporre dell’accesso ai dati sensibili sulla salute dei pazienti, mentre nella struttura il personale amministrativo di ogni livello poteva accedere ai dati e nove di essi potevano accedere a dati confidenziali.
Di conseguenza, non avendo garantito controlli adeguati, l’ospedale ha subito una multa di 400mila euro. L’ospedale ha fatto ricorso, ma poteva andare peggio visto che la multa massima per violazione del GDPR è pari a 20 milioni di euro o il 4% del giro d’affari globale.