Il 5 settembre 2024, la CNIL ha sanzionato la società CEGEDIM SANTÉ con una multa di 800.000 euro, per aver trattato dati sanitari senza autorizzazione.
Il contesto
La società CEGEDIM SANTÉ pubblica e vende software gestionale ai medici comunitari che lavorano negli ambulatori e nei centri sanitari. Circa 25.000 studi medici e 500 centri sanitari utilizzano questo software. Permettono ai medici di gestire la propria agenda, la cartella clinica dei pazienti e le loro prescrizioni.
I controlli effettuati dalla CNIL nel 2021 hanno permesso in particolare di rivelare che, nell’ambito dell’utilizzo di uno dei suoi software, la società aveva trattato senza autorizzazione dati sanitari non anonimi, trasmessi ai suoi clienti al fine di realizzare studi e statistica nel campo della sanità.
Di conseguenza, l’organismo ristretto – l’organo della CNIL competente a pronunciare le sanzioni – ha inflitto una multa di 800.000 euro alla società CEGEDIM SANTÉ, tenendo conto delle capacità finanziarie della società e della gravità delle violazioni accertate, nonché della natura massiva del trattamento e il fatto che i dati in questione sono dati sanitari, e quindi dati sensibili.
Dati pseudonimi e non anonimi
Nell’ambito della sua attività, la società propone ad un panel di medici che utilizzano uno di questi software di unirsi ad un “osservatorio”, i dati raccolti vengono poi utilizzati dai clienti della società CEGEDIM SANTÉ, in particolare per condurre studi.
Le indagini effettuate dalla CNIL hanno permesso di stabilire che questi dati non erano anonimi, ma solo pseudonimi, essendo tecnicamente possibile la reidentificazione delle persone interessate.
Per quanto riguarda il trattamento dei dati personali, la società avrebbe dovuto avere l’autorizzazione della CNIL per utilizzarli (articolo 66.III della legge sulla protezione dei dati).
Per valutare il carattere anonimo o meno dei dati trattati, il comitato ristretto ha cercato di determinare se le persone interessate potessero essere reidentificate con mezzi ragionevoli, come previsto in particolare dalla giurisprudenza della Corte di giustizia dell’Unione europea e il lavoro svolto dalle autorità di protezione dei dati a livello europeo (parere 05/2014 sulle tecniche di anonimizzazione del 10 aprile 2014).
In pratica, la formazione ristretta ha rilevato che la società CEGEDIM SANTÉ raccoglieva una grande quantità di dati sulle persone interessate, quali anno di nascita, sesso, categoria socioprofessionale, allergie, anamnesi, taglia, peso, diagnosi, prescrizioni mediche, interruzioni del lavoro e risultati delle analisi. Questi dati sono stati associati ad un identificativo univoco per ciascun paziente dello stesso medico, consentendo di collegare tra loro i dati trasmessi successivamente dallo stesso medico riguardanti questo stesso paziente e ricostruire così il suo percorso di cura. Alla luce di questi elementi, la formazione ristretta ha considerato che è possibile isolare un individuo all’interno del database aziendale e che l’azienda dispone di molte informazioni particolarmente ricche che lo riguardano, il che comporta un rischio di reidentificazione.
A queste condizioni, tenendo conto dell’esistenza dell’identificativo univoco e della profondità dei dati raccolti dalla società – e tenendo conto anche della possibilità di combinare i dati detenuti dalla società CEGEDIM SANTÉ con dati detenuti da terzi – il diritto ha ritenuto che il rischio che l’identità di una persona potesse essere ritrovata fosse troppo elevato perché i dati trattati dalla società potessero essere considerati anonimi.
Pertanto, il panel ristretto ha ritenuto che i dati trattati dalla società CEGEDIM SANTÉ almeno fino al 2022 (data di fine dei controlli) fossero pseudonimi e non anonimi.
Promemoria
Se i dati sono anonimi non si tratta di dati personali: in questo caso la normativa sulla protezione dei dati non è applicabile.
Viceversa, se i dati sono pseudonimi, si applica la normativa.
Le violazioni sanzionate
Inosservanza dell’obbligo di espletare formalità preventive in materia sanitaria (articolo 66 Codice Privacy)
La legge sulla protezione dei dati (articolo 66.III) prevede che il trattamento dei dati personali nel settore sanitario possa essere effettuato solo previa autorizzazione della CNIL o a condizione del rispetto di un citato sistema di riferimento (articolo 66.II).
Il panel ristretto ha ritenuto che l’azienda non rispettasse tali requisiti nonostante costituisse un data warehouse sanitario:
- non ha presentato alcuna richiesta di autorizzazione alla CNIL che le consenta di valutare se il trattamento in questione
- non ha inviato alla CNIL una dichiarazione di conformità ad una delle sue norme.
Il mancato rispetto dell’obbligo di trattare i dati lecitamente (articolo 5.1.a del GDPR)
Il collegio ristretto ha ritenuto che la società avesse commesso una violazione dell’articolo 5.1.a del GDPR riguardo all’utilizzo del teleservizio “HRi” predisposto dall’assicurazione sanitaria, che consente l’accesso allo storico dei rimborsi dell’assicurazione sanitaria effettuati per un paziente oltre gli ultimi dodici mesi.
La formazione ristretta ha infatti rilevato che la consultazione dei dati di tale teleservizio da parte di un medico membro dell’“osservatorio” comportava automaticamente il loro download nella cartella informatizzata del paziente, consentendone al contempo l’aspirazione da parte dell’azienda. Il collegio ristretto ha ritenuto che, non prevedendo la possibilità che i dati potessero essere semplicemente consultati dai medici senza dar luogo ad una raccolta automatica, la società non aveva trattato i dati in modo lecito.
Per queste due violazioni, il comitato ristretto ha inflitto alla società CEGEDIM SANTÉ una multa di 800.000 euro.
Il collegio ristretto non ha emesso alcun provvedimento ingiuntivo di adempimento nella misura in cui, dal luglio 2024, la società non è più responsabile del trattamento, ma solo editrice del software in questione. I dati raccolti dai medici non passano più attraverso la società CEGEDIM SANTÉ, ma alimentano direttamente un database gestito da un’altra società del gruppo, che è diventata responsabile di questo trattamento.
https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante