E' portoghese il primo ospedale multato per aver violato il GDPR: la multa ammonta a 400.000 Euro ed è stata comminata dall'Authority portoghese, la Comissão Nacional de Protecção de Dados (CNPD). L'ospedale multato è invece il Barreiro Montijo, molto vicino a Lisbona, colpevole di non aver protetto a sufficienza l'accesso dai dati dei pazienti contenuti nel suo archivio digitale.

Le prime indagini sulle falle che affliggono il sistema di questo ospedale sono iniziate in Aprile su segnalazione diretta del personale medico dell'ospedale, che aveva notato accessi non autorizzati ai dati dei pazienti contenuti nel sistema di gestione dati della struttura. A queste indagini è seguito un audit interno condotto dall'Authority stessa: è così emerso che erano ben 985 gli impiegati che avevano accesso ai dati sensibili dei pazienti, a fronte di un personale medico di soltanto 296 medici.

Secondo le disposizioni del GDPR, l'accesso a dati riguardanti le condizioni sanitarie dei pazienti andrebbe consentito soltanto al personale medico: al Barreiro Montijo invece anche l'intero corpo del personale amministrativo aveva accesso alle cartelle cliniche (e non solo) degli assistiti.

La multa di 400mila euro origina da qui: l'ospedale ha attualmente fatto ricorso. Avrebbe comunque potuto subire una sanzione ben più salata: ricordiamo infatti che il GDPR prevede sanzioni massime di 20 milioni di euro o il 4% del fatturato annuo globale.