.
A equipe do NHS Lanarkshire – que atende mais de meio milhão de residentes escoceses – usou o WhatsApp para trocar fotos e informações pessoais sobre pacientes, incluindo nomes e endereços de crianças.
Após uma investigação, o Information Commissioner’s Office (ICO) do Reino Unido emitiu uma reprimenda oficial fortemente redigida para a organização, que supervisiona três hospitais, clínicas e muito mais na zona rural e urbana de Lanarkshire, nas terras baixas centrais da Escócia. Ele disse que um bate-papo em grupo criado em março de 2020 – assim que o governo do Reino Unido emitiu o primeiro bloqueio COVID – violava o Artigo 58 do GDPR do Reino Unido.
Não recomendou uma multa, mas sim uma revisão das práticas de proteção de dados do grupo de saúde, mas o documento, uma repreensão oficial [PDF]não deixa de ser revelador.
As informações foram compartilhadas entre 26 funcionários por mais de dois anos – de 1º de abril de 2020 a 25 de abril de 2022 – em centenas de entradas no grupo do WhatsApp que incluíam nomes de pacientes adultos e crianças, além de centenas de números de telefone de pacientes, muitas datas de nascimento , e pelo menos 28 endereços residenciais, “15 imagens, três vídeos e quatro capturas de tela”. Algumas dessas informações incluíam informações clínicas e, portanto, dados de “categoria especial”, violando o Artigo 9 do GDPR do Reino Unido.
Os funcionários estavam usando cópias do WhatsApp baixadas diretamente do portal do NHS Lanarkshire em seus telefones de trabalho, mas alguém, cujo nome foi redigido, foi adicionado ao grupo “por engano”. Esse “indivíduo não autorizado” teve acesso a “nomes e números de alunos de quatro alunos, nome de uma criança e nomes e endereços de duas crianças”.
O ICO observou que, como o WhatsApp declarou que era uma plataforma criptografada, a equipe achou que seria segura. Isso, disse o cão de guarda, “demonstra que as expectativas de governança da informação em relação ao WhatsApp não foram compreendidas pelos funcionários envolvidos no Grupo WhatsApp”.
Os funcionários estavam usando o WhatsApp de seus telefones de trabalho, que estavam sujeitos a controles de segurança. No centro dos bloqueios do COVID-19, os médicos que tentam trocar informações para tratar seus pacientes dificilmente podem ser comparados a certos primeiros-ministros dizendo que esqueceu suas senhas do iPhone ou banqueiros discutindo negociações em plataformas proibidas. No entanto, o ICO considerou que as políticas do NHS Lanarkshire “deveriam ter sido mais específicas para evitar que um incidente como este ocorresse”.
Como mitigação, o documento também afirma que “em termos de fotografias e vídeos, nenhuma equipe teria acesso a isso na prática normal, pois não há um sistema seguro de transferência de imagens clínicas no NHS Lanarkshire e nenhuma captura de tela de registros clínicos é permitida”.
Muitos dos funcionários envolvidos estavam trabalhando remotamente por causa dos bloqueios do COVID.
O órgão de vigilância disse que as políticas não faziam referência clara a aplicativos de mensagens como o WhatsApp e “não havia nenhuma política específica em vigor diretamente para o WhatsApp”.
O ICO disse que a organização deveria ter concluído uma “avaliação de risco antes de disponibilizar o WhatsApp para download no portal do NHS Lanarkshire, para identificar quaisquer riscos potenciais relacionados a dados pessoais, como o risco de a equipe usar o aplicativo para compartilhar dados pessoais de maneira inadequada”.
Acrescentou:
Já suspeitou que banqueiros usavam comunicações do WhatsApp no trabalho? $ 1,8 bilhão diz que você está certo
O ICO disse que a organização deve “considerar se é necessário e/ou obrigatório implementar um sistema seguro de transferência de imagens clínicas”.
Pedimos comentários ao NHS Lanarkshire, incluindo se planeja colocar um sistema seguro de transferência de imagens clínicas em um futuro próximo.
Em comunicado enviado a o RegTrudi Marshall, enfermeira diretora de saúde e assistência social de North Lanarkshire, disse: “Recebemos uma repreensão formal do ICO pelo uso do WhatsApp por uma de nossas equipes comunitárias para trocar dados pessoais de pacientes durante a pandemia.
“Reconhecemos que a equipe adotou essa abordagem como um substituto para as comunicações que normalmente ocorreriam em um ambiente clínico ou de escritório, mas não era possível naquele momento devido às restrições da Covid. No entanto, o uso do Whatsapp nunca foi destinado ao processamento de dados do paciente.
“Oferecemos nossas sinceras desculpas a todos cujos dados pessoais foram compartilhados por meio deste grupo.” Ela acrescentou: “Já tomamos várias medidas, incluindo a busca de aplicativos alternativos que possam ser introduzidos para a transferência e armazenamento de imagens e vídeos em um ambiente de atendimento. Isso está sendo levado em consideração ao considerar os riscos relacionados ao armazenamento de quaisquer dados pessoais.”
O Comissário de Informação, aliás, é outro aspecto da supervisão regulatória que será afetado se o governo do Reino Unido revisar o regime de dados pós-Brexit da maneira que deseja fazê-lo com o projeto de lei DPDI II. O projeto de lei, uma controversa proposta de substituição do GDPR do Reino Unido, atualmente em tramitação na Câmara dos Comuns, propõe “abolir o cargo” de Comissário de Informação e substituir a função por um novo conselho, a “Comissão de Informação”.
De acordo com o último rascunho, o Secretário de Estado pode usar um instrumento estatutário para alterar, adicionar ou remover “os bancos de dados que o Conselho é obrigado a supervisionar”, renomear o Conselho; ou “exigir ou autorizar o Conselho a emitir um código de prática ou orientação” – uma situação que prejudicaria a independência do regulador e influenciaria sua orientação e prioridades. ®
.
