Resumo das Queixas

編號: 0122/2015/IP

標題: Documentos hospitalares espalhados na via pública

立案原因: Iniciativa própria do GPDP

個案簡介:

    Na madrugada do dia 13 de Outubro de 2015, descobriu-se que um grande volume de documentos de pacientes do Centro Hospitalar Conde de São Januário (CHCSJ) dos Serviços de Saúde (SS) tinha sido espalhado na Avenida Dr. Rodrigo Rodrigues. Ao tomar conhecimento da situação, o Gabinete para a Protecção de Dados Pessoais (GPDP) instruiu um processo por sua própria iniciativa, a fim de realizar o respectivo acompanhamento.

分析:

    O GPDP recebeu, em 15 de Outubro de 2015, uma notificação escrita enviada pelos Serviços de Saúde. Posteriormente, oficiou, por duas vezes, os SS para obter as seguintes informações:
  1. Motivo da ocorrência
  Em 12 de Outubro de 2015, aquando da destruição de resíduos confidenciais, dois trabalhadores dos SS em vez de observarem as “Orientações de tratamento de resíduos confidenciais” (segundo as quais, os documentos confidenciais devem ser destruídos por trituradora de papel ou entregues à Divisão de Hotelaria do CHCSJ), colocaram aqueles documentos em sacos de lixo de cor preta, tratando-os como lixo comum. Os trabalhadores em causa depositaram os papéis confidenciais em seis secos pretos.
  Naquela noite, depois da CSR – Companhia de Sistemas de Resíduos, Limitada, ter recolhido o lixo do CHCSJ, uma das viaturas de transporte dos resíduos sólidos teve uma avaria na placa de compactação, não podendo comprimir e compactar o lixo no interior do veículo. O seu condutor pretendeu mudar para um outro camião de lixo, mas no caminho um dos secos pretos acima referidos caiu na rua sem que o condutor se tivesse apercebido.
  Os SS, logo após a recepção da comunicação, enviaram pessoal seu ao local para recolher os documentos espalhados na rua. A CSR também mandou uma equipa de trabalhadores para recolher ao longo da via pública. Após a limpeza da via pública, não ficou espalhado nenhum documento.
  1. Os documentos espalhados na rua eram relatórios clínicos dos laboratórios de patologia clínica e de hematologia, bem como formulários de pedido de vários tipos de análise laboratorial, contendo informação pessoal de doentes, nomeadamente, o n.º de cartão de utente, o n.º de documento de identificação, o nome, a data de nascimento/idade, o sexo, o serviço especializado do hospital que requereu a análise clínica, os itens de análise clínica e o respectivo resultado.
  2. Antes da ocorrência, os SS já tinham elaborado várias orientações, a saber: o “Conjunto de guias da Lei da Protecção de Dados Pessoais”, as “Orientações de tratamento de resíduos confidenciais”, as “Orientações de trabalho sobre o tratamento de resíduos confidenciais destinadas às empresas adjudicatárias e ao seu pessoal” e as “Orientações de trabalho sobre o tratamento de resíduos confidenciais destinadas à Divisão de Hotelaria do CHCSJ”.
  Segundo as “Orientações de tratamento de resíduos confidenciais”, os resíduos que contenham informações pessoais são considerados como resíduos confidenciais. Todas as subunidades do CHCSJ devem cumprir este documento durante o tratamento dos ditos resíduos. Além disso, as mesmas orientações dividem os respectivos resíduos nas seguintes quatro categorias: (i) papéis e fotos, (ii) videotapes, (iii) artigos e materiais médicos; e (iv) equipamentos informáticos. Em relação a cada categoria, define-se o respectivo procedimento de tratamento e qual a subunidade responsável. De acordo com as orientações, os SS têm os seguintes dois meios para tratar os resíduos confidenciais de papel e foto:
(1) As subunidades destruem diariamente os seus próprios resíduos por trituradora de papel. Depois são tratados como lixo comum e a CSR transporta o lixo do CHCSJ para a Central de Incineração de Resíduos Sólidos de Macau situada na Taipa.
 
(2) Quando é necessário tratar um grande volume de resíduos, as subunidades do CHCSJ podem recorrer ao serviço de recolha de resíduos confidenciais, efectuado periodicamente pela Divisão de Hotelaria: as subunidades do hospital público devem colocar os respectivos resíduos nos “sacos de recolha de resíduos confidenciais”, amarrados com abraçadeira; depois, a Divisão de Hotelaria marca uma hora com o fornecedor de serviços de limpeza para recolher os sacos acima referidos. Ao proceder à recolha dos mesmos, o fornecedor de serviços de limpeza faz no local o respectivo registo e verifica se todos os resíduos confidenciais estão colocados dentro dos sacos amarrados. É de referir que se indica na abraçadeira a sigla da subunidade do CHCSJ, para efeito de identificação. O fornecedor usa um carrinho fechado para levar os sacos para os veículos fechados. Todos os sacos são transportados para destruição na Central de Incineração de Resíduos Sólidos de Macau, acompanhados por pessoal da Divisão de Hotelaria. O pessoal da Divisão de Hotelaria é responsável pela fiscalização dos trabalhos do fornecedor de serviço de limpeza: verificar se o número de sacos corresponde ou não ao registo feito aquando da recolha dos mesmos no hospital; se a abraçadeira é ou não adequada; fiscalizar todo o processo de transporte dos resíduos confidenciais desde o início da sua recolha até a incineração; e conservar o respectivo registo.  
  1. Depois da ocorrência, os SS emitiram imediatamente uma ordem interna, determinando que todos os resíduos contendo informações confidenciais ou dados pessoais devem ser destruídos por trituradora e actualizando as “Orientações de tratamento de resíduos confidenciais”. Segundo estas, todas as subunidades devem destruir diariamente os seus próprios resíduos de natureza confidencial por meio de trituradora, tratando-os depois como resíduos gerais. Além disso, foi eliminada a recolha periódica de resíduos confidenciais pela Divisão de Hotelaria. Actualmente, os documentos destruídos por trituradora devem ser colocados em sacos verdes amarrados e só podem ser abandonados depois da sua pesagem. As chefias de subunidade devem controlar o número de sacos verdes de lixo mensalmente solicitados, o número dos sacos realmente utilizados e o peso de cada um dos sacos de lixo, para fins de estatística e fiscalização do tratamento de resíduos confidenciais.
  Os documentos do CHCSJ espalhados na via pública continham informações pessoais de doentes e resultados de análises clínicas, constituindo assim dados sensíveis da área de saúde de pessoas determinadas. Neste sentido, aquando do tratamento de dados sensíveis, os SS devem adoptar as medidas de segurança estabelecidas pelo capítulo IV (Segurança e confidencialidade do tratamento) da Lei n.º 8/2005 (Lei da Protecção de Dados Pessoais), nomeadamente os seus artigos 15.º e 16.º.
  O artigo 15.º da Lei n.º 8/2005 dispõe que:
 
   “1. O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito, devendo elas assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
 
  2. O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
 
  3. A realização de operações de tratamento em subcontratação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente o cumprimento das obrigações referidas no n.º 1.
 
  4. Os elementos de prova da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigências relativas às medidas referidas no n.º 1, são consignados por escrito em documento com valor probatório legalmente reconhecido.
 
  Segundo o artigo 16.º da mesma Lei:
 
  “1. Os responsáveis pelo tratamento dos dados referidos no n.º 2 do artigo 7.º e no n.º 1 do artigo 8.º devem tomar as medidas adequadas para:
 
  1) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);
 
  2) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados);
 
  3) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);
 
  4) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);
 
  5) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso);
 
  6) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão);
 
  7) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos quando e por quem (controlo da introdução);
 
  8) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).
 
  2. Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a autoridade pública pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.
 
  3. Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
 
  4. A autoridade pública pode determinar que, nos casos em que a circulação em rede de dados pessoais referidos no artigo 7.º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares, a transmissão seja cifrada.”
   
  O processo de tratamento de resíduos confidenciais dos SS é a fase final do tratamento de dados pessoais (eliminação ou destruição de dados) e não uma fase intermédia. É de referir que este processo não tem nada a ver com o sistema informático. Assim, perante o processo em análise, não se aplicam os controlos da entrada nas instalações, da inserção, da utilização, da transmissão e da introdução, previstos no âmbito do n.º 1 do artigo 16.º da Lei n.º 8/2005.
  Apesar de os SS definirem duas formas de tratamento para destruir papéis e fotos confidenciais, referiu-se claramente nas “Orientações de tratamento de resíduos confidenciais” que os trabalhadores do CHCSJ deviam dar preferência à destruição na própria subunidade dos documentos obsoletos, para evitar a eventual acumulação de resíduos ou a transferência dos mesmos para tratamento por outras subunidades. Para além disso, de acordo com as mesmas orientações, é de referir que, antes da destruição, os resíduos devem ser tratados e guardados como documentos confidenciais, a fim de diminuir os riscos de fuga de informações.
  Em primeiro lugar, em relação aos resíduos confidenciais destruídos pelas próprias subunidades do CHCSJ e tratados como lixo comum, já não é possível recuperar as suas informações. Além disso, os mesmos lixos são directamente transportados pela CSR do CHCSJ para a Central de Incineração de Resíduos Sólidos de Macau, pelo que os suportes de dados não podem ser lidos ou utilizados por terceiros e os respectivos dados não podem ser copiados, modificados ou retirados. Neste sentido, a forma de tratamento dos resíduos confidenciais preenche requisitos das alíneas 2), 5) e 8) do n.º 1 do artigo 16.º da Lei da Protecção de Dados Pessoais.
  Em segundo lugar, em relação às situações em que as subunidades do CHCSJ não destruíam por elas mesmas os papéis e fotos confidenciais e recorriam ao serviço de tratamento de resíduos confidenciais prestado pela Divisão de Hotelaria, era necessário às subunidades do CHCSJ colocar os documentos obsoletos nos sacos específicos que posteriormente eram amarrados com abraçadeira. Isto significa que nem o pessoal da Divisão de Hotelaria nem o do fornecedor de serviço de limpeza tinham oportunidade de ter contacto físico com os papéis e fotos obsoletos que se encontravam dentro dos sacos. Além disso, na recolha e transporte dos sacos, realizava-se o respectivo registo e o fornecedor de serviço de limpeza levava os sacos aos veículos de lixo em carrinho fechado. Em relação aos sacos de resíduos confidenciais que ficassem soltos ou danificados, devia-se informar o pessoal da Divisão de Hotelaria para o devido acompanhamento. Finalmente, sob fiscalização e verificação do pessoal da mesma Divisão, todos os sacos eram transportados para a Central de Incineração de Resíduos Sólidos de Macau. Assim, estavam definidas as medidas específicas no âmbito do controlo dos suportes de dados, de acesso e de transporte pelos SS, evitando que os dados fossem lidos, copiados, alterados ou retirados por terceiros não autorizados durante o processo de destruição dos resíduos confidenciais (desde o início do seu descarte nas subunidades do CHCSJ até a sua incineração). Por isso, as medidas em causa respeitam as alíneas 2), 5) e 8) do n.º 1 do artigo 16.º da Lei da Protecção de Dados Pessoais.
  Na realidade, a trituração é uma forma de tratamento comum e segura para destruir os papéis e fotos confidenciais que não precisam de ser conservados. Independentemente da forma de tratamento adoptada pelas subunidades do CHCSJ, geralmente os resíduos só foram tratados por pessoal da CSR e do fornecedor de serviço de limpeza (para além dos trabalhadores do CHCSJ). É de referir que os resíduos confidenciais são levados directamente do hospital público para a Central de Incineração de Resíduos Sólidos na Taipa e, durante o processo normal de transporte, não se verifica nenhum contacto ou operação desnecessária que aumente o risco de fuga de informações. Para além disso, os SS elaboraram orientações escritas para o processo de destruição de resíduos confidenciais, destinadas aos três intervenientes (subunidades do CHCSJ, Divisão de Hotelaria e fornecedor de serviço de limpeza) e, em relação ao fornecedor de serviço de limpeza, os SS introduziram as regras e os requisitos de serviço de recolha de resíduos confidenciais nos cadernos de encargos e contratos: o fornecedor obriga-se a 1) um dever de sigilo profissional; 2) não abrir os sacos de resíduos confidenciais ou utilizar os dados dentro dos sacos para outras finalidades; 3) ter os seus trabalhadores sujeitos à fiscalização da Divisão de Hotelaria.
  Pelo exposto, as medidas acima referidas satisfazem os requisitos da protecção de dados do responsável pelo tratamento, bem como os da fiscalização do subcontratante, ambos estabelecidos pelo artigo 15.º da Lei n.º 8/2005.
  Se o pessoal dos SS tivesse cumprido rigorosamente as duas formas de tratamento dos resíduos confidenciais de papel e foto acima referidas, não teria ocorrido o incidente de 12 de Outubro de 2015, isto é, não teriam caído do veículo de transporte de lixo para a via pública resíduos confidenciais de papel não destruído. Considerando que o processo de tratamento dos resíduos confidenciais e as suas medidas correspondem às normas sobre as medidas de segurança estabelecidas pelos artigos 15.º e 16.º da Lei da Protecção de Dados Pessoais, não se pode imputar a ocorrência aos Serviços de Saúde.
  É de referir que, após a ocorrência, os SS tomaram as medidas de aperfeiçoamento: actualmente, a trituração é a única forma para as subunidades do CHCSJ destruírem, por si mesmas, os resíduos confidenciais de papel e foto e estes devem ser colocados dentro de sacos verdes amarrados com abraçadeira. Além disso, só podem ser abandonados após a sua pesagem.
  Com as medidas acima indicadas no âmbito de tratamento de resíduos confidenciais, pode-se garantir que não ocorrerá extravio de papéis ou fotos intactos. Por um lado, isso pode ajudar reduzir as fases ou os recursos humanos do processo de abandono dos resíduos (ou seja, a Divisão de Hotelaria e o fornecedor de serviço de limpeza já não precisam de prestar auxílio às outras subunidades do CHCSJ para a destruição dos resíduos confidenciais não triturados), diminuindo assim possibilidades e riscos de fuga de informações constantes dos documentos obsoletos. Por outro lado, com a adopção destas medidas, estabelece-se um mecanismo permanente para fiscalizar a execução do processo de descarte de resíduos confidenciais, permitindo assim às chefias verificar irregularidades através de estatísticas e evitar actos irregulares ou ilegais dos seus trabalhadores.

處理結果:

    O processo em análise envolve a segurança do tratamento de dados pessoais. Com a análise das orientações em vigor à data da ocorrência do incidente de espalhamento dos documentos do CHCSJ em 12 de Outubro de 2015, considerando que os Serviços de Saúde tinham definido o procedimento de abandono de papéis e fotos contendo dados pessoais, com medidas de segurança conformes às regras dos artigos 15.º e 16.º da Lei da Protecção de Dados Pessoais, não se pode imputar a ocorrência aos Serviços de Saúde.
  No entanto, apesar de o incidente não ter sido causado pelo próprio procedimento dos Serviços de Saúde, estes devem tirar o máximo proveito desta experiência para reforçar a sua fiscalização e verificar com facilidade qualquer actuação do seu pessoal em incumprimento dos procedimentos. Considerando que os Serviços de Saúde tomaram medidas de aperfeiçoamento para evitar a ocorrência futura do mesmo tipo de incidente, especialmente, a criação de um mecanismo permanente para fiscalizar que o processo de abandono de resíduos confidenciais se realiza segundo os regulamentos internos, o processo foi arquivado.

註:
Consulte a “Lei da Protecção de Dados Pessoais”, artigos 15.º e 16.º.