Sanzione da 800.000 euro per la società informatica del settore sanitario che non aveva anonimizzato i dati dei pazienti
Una società informatica operante nel settore sanitario è stata sanzionata per 800.000 euro per non aver reso realmente anonimi i dati dei pazienti e per aver sottratto illegalmente dati sanitari.
A finire sotto la scure della CNIL (Commission Nationale de l’Informatique et des Libertés) è la Cegedim Santé, società che commercializza software di gestione per il settore sanitario che sono utilizzati da 25.000 studi medici e 500 centri sanitari per gestire la propria agenda, la cartella clinica dei pazienti e le loro prescrizioni.
Dai controlli effettuati dall’autorità a partire dal 2021, era emerso che la società informatica aveva pseudonimizzato i dati sanitari, ma senza averli resi effettivamente anonimi, trattandoli illecitamente, e trasmettendoli ai propri clienti allo scopo di produrre studi e statistiche in campo sanitario.
Dopo aver provato a verificare se le persone interessate potevano essere reidentificate con mezzi ragionevoli, la CNIL ha accertato che tali dati non erano in realtà anonimi, ma solo pseudonimi, essendo quindi tecnicamente possibile la reidentificazione delle persone interessate.
Il garante francese ha constatato che Cegedim Santé aveva raccolto numerosi dati sulle persone interessate, compresi l'anno di nascita, il sesso, la categoria socio-professionale, le allergie, l'anamnesi, l'altezza, il peso, la diagnosi, le prescrizioni mediche, le assenze per malattia e i risultati delle analisi.
Inoltre, i dati erano stati collegati ad un identificativo univoco per ciascun paziente dello stesso medico, e questo consentiva di collegare tra loro i dati trasmessi anche successivamente e ricostruire così il percorso di cura degli interessati.
Pertanto, la CNIL ha ritenuto che il rischio che l'identità di una persona potesse essere ritrovata fosse troppo elevato, perché i dati trattati da Cegedim Santé potessero essere considerati davvero anonimi. A tal fine, l’autorità ha sottolineato l'esistenza dell'identificativo univoco e la profondità dei dati raccolti, tenendo conto anche della possibilità di combinare i dati detenuti da Cegedim Santé anche con dati detenuti da terzi.
Ritenendo che i dati trattati da Cegedim Santé fossero pseudonimi e non anonimi almeno fino al 2022 (data di fine dei controlli), la CNIL ha stabilito che la società informatica ha violato la legge sulla privacy.
La CNIL ha inoltre denunciato il mancato rispetto dell’obbligo di trattare i dati lecitamente, ritenendo che la Cegedim Santé abbia commesso una violazione dell'articolo 5.1.a del GDPR riguardo all'utilizzo del teleservizio "HRi" predisposto dall'assicurazione sanitaria, che consentiva l'accesso allo storico dei rimborsi sanitari effettuati dall'assicurazione sanitaria per un paziente negli ultimi dodici mesi.
La consultazione dei dati di questo teleservizio da parte di un medico membro dell'“osservatorio” istituito dal Cegedim Santé, avrebbe comportato automaticamente il loro caricamento nella scheda informatica del paziente, consentendo al tempo stesso la loro estrazione da parte del Cegedim Santé. La CNIL ha ritenuto che la Cegedim Santé non abbia trattato i dati in modo lecito non prevedendo la possibilità che i dati potessero essere semplicemente consultati dai medici.
Al termine dell’istruttoria, in data 5 settembre 2024, la CNIL ha quindi pubblicato la propria decisione di infliggere una multa di € 800.000 alla Cegedim Santé.
