La società informatica Cegedim Santé, che fornisce delle soluzioni verticali per il settore sanitario ha ricevuto una sanzione di €800.000,00 da parte della CNIL (Commission Nationale de l’Informatique et des Libertés) per non aver reso realmente anonimizzato i dati dei pazienti e per aver sottratto illegalmente dati sanitari, riutilizzandoli per scopi commerciali, in contrasto con le finalità per cui erano stati raccolti.
La società sviluppa e commercializza software di gestione per il settore sanitario, molto utilizzati in Franca (circa 25.000 studi medici e circa 500 centri sanitari) per gestire la propria agenda, la cartella clinica dei pazienti e le loro prescrizioni.
Dai controlli effettuati dall’autorità a partire dal 2021, era emerso che la società informatica aveva pseudonimizzato i dati sanitari, ma senza averli resi effettivamente anonimi, trattandoli illecitamente, e trasmettendoli ai propri clienti allo scopo di produrre studi e statistiche in campo sanitario.
Dopo aver effettuato delle verifiche sulle tecniche di pseudonimizzazione, la CNIL ha accertato che tali dati non erano in realtà anonimi, ma solo pseudonimi, essendo quindi tecnicamente possibile la re-identificazione delle persone interessate.
L’autorità francese ha constatato che Cegedim Santé aveva raccolto numerosi dati sulle persone interessate, compresi date di nascita, sesso, categoria socio-professionale, allergie, anamnesi, dati biometrici, diagnosi, prescrizioni mediche, assenze per malattia e risultati delle analisi.
Inoltre, i dati erano stati collegati ad un identificativo univoco per ciascun paziente dello stesso medico, e questo consentiva di collegare tra loro i dati trasmessi anche successivamente e ricostruire così il percorso di cura degli interessati.
Pertanto, la CNIL ha ritenuto che il rischio che l’identità di una persona potesse essere ritrovata fosse troppo elevato, e quindi i dati trattati da Cegedim Santé non potevano essere considerati davvero anonimi. A tal fine, l’autorità ha sottolineato l’esistenza dell’identificativo univoco e la profondità dei dati raccolti, tenendo conto anche della possibilità di combinare i dati raccolti da Cegedim Santé anche con dati in possesso di terzi.
Ritenendo che i dati trattati da Cegedim Santé fossero pseudonimi e non anonimi almeno fino al 2022 (data di fine dei controlli), la CNIL ha stabilito che la società informatica ha violato la legge sulla Protezione dei Dati Personali.
La CNIL ha inoltre denunciato il mancato rispetto dell’obbligo di trattare i dati lecitamente, ritenendo che la Cegedim Santé abbia commesso una violazione dell’articolo 5.1.a del GDPR riguardo all’utilizzo del teleservizio “HRi” predisposto dall’assicurazione sanitaria, che consentiva l’accesso allo storico dei rimborsi sanitari effettuati dalla medesima assicurazione sanitaria, negli ultimi dodici mesi.
La consultazione dei dati di questo tele-servizio da parte di un medico membro dell’“osservatorio” istituito dal Cegedim Santé, avrebbe comportato automaticamente il loro caricamento nella scheda informatica del paziente, consentendo al tempo stesso la loro estrazione da parte del Cegedim Santé. La CNIL ha ritenuto che la Cegedim Santé non abbia trattato i dati in modo lecito non prevedendo la possibilità che i dati potessero essere semplicemente consultati dai medici.
Al termine dell’istruttoria, in data 5 settembre 2024, la CNIL ha quindi pubblicato la propria decisione di infliggere una multa di € 800.000 alla Cegedim Santé.
https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante
