La 1ère amende, en application du RGPD est portugaise !
Voià, c’est fait!
Fallait s’y attendre, la première amende infligée dans le cadre du Réglement Général sur la protection des données personnelle est Portugaise.
Elle vise un centre hospitalier de Barreiro-Montijo près de Lisbonne. Le CNPD (Comissão Nacional de Proteção de Dados), l’équivalent de la Cnil, a infligé une sanction financière de 400 000 euros au Centre Hospitalier.
Pour quelle raison? une très mauvaise politique d’accès aux bases de données des patients. En effet, plusieurs personnels administratifs avaient accès aux dossiers des patients alors qu’ils ne doivent l’être que par les médecins. Du coup, suite à un contrôle du CNPD en lien avec une alerte émise par l’ordre des médecins, la sanction est tombée : 400 000 euros.
De plus, il semblerait que les comptes des médecins vacataires n’exerçant plus, n’étaient pas supprimés. 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l’établissement ne comprend que 296 médecins.
Le centre hospitalier a tenté de se défendre en expliquant que le RGPD n’était pas applicable au Portugal car inexistant dans la loi. Chose fausse puisque le règlement produit ses effets directement dans le corpus juridique des Etats membres sans transposition. Deuxième argument: le centre hospitalier dit ne pas avoir les outils informatiques pour gérer les accès aux données patients. Excuse qui ne tient pas puisque les solutions actuelles comprennent une gestion fine des habilitations.
Source: cio-online.com