Il presidente dell’Autorità Francese per la Protezione dei Dati (CNIL) ha inviato una diffida alla società privata Francetest per mettere in sicurezza i dati sanitari che raccoglie per conto delle farmacie durante i test di screening COVID-19. Ha anche avvicinato più di 300 farmacie per verificare la loro conformità al GDPR e all’obbligo di sicurezza.
I controlli e la decisione della CNIL
Il 27 agosto 2021, la CNIL ha ricevuto una segnalazione anonima che indicava l’esistenza di una violazione della sicurezza su francetest.fr, un sito web pubblicato da una società privata.
Questa violazione riguardava i dati utilizzati da Francetest nell’ambito di un servizio offerto alle farmacie per semplificare la raccolta dei dati dei pazienti sottoposti ai test antigenici della SARS-CoV-2 e facilitare la loro trasmissione alla piattaforma SI-DEP (un file implementato dal Ministero della Solidarietà e della Salute per centralizzare i risultati dei test).
La CNIL ha condotto controlli online e in loco per indagare sulle circostanze di questa violazione dei dati e per verificare le misure adottate per garantire la sicurezza dei dati. Il database esposto riguardava 386.970 individui unici e comprendeva il loro cognome, nome, indirizzo e-mail, numero di telefono, data di nascita, risultato del test (positivo o negativo) e numero di sicurezza sociale (NIR).
La CNIL ha constatato che l’azienda aveva preso alcune misure per rimediare alla vulnerabilità che ha causato la violazione dei dati. Tuttavia, il servizio Francetest ha ancora diverse lacune nella sicurezza dei dati. I dati sanitari sono ospitati da un provider che non ha l’approvazione HDS (health data hosting), i processi di autenticazione non sono abbastanza robusti, le procedure criptologiche utilizzate sono deboli e il logging (registrazione delle azioni delle persone che accedono allo strumento) delle attività del server è inadeguato.
Di conseguenza, il presidente della CNIL ha deciso di intimare alla società di prendere tutte le misure necessarie per garantire la sicurezza dei dati sanitari che tratta per conto di centinaia di farmacie. L’azienda ha due mesi di tempo per farlo.
Data la sensibilità dei dati trattati e la necessità di informare tutti gli interessati dell’esistenza di violazioni persistenti della sicurezza dei dati, questa comunicazione formale è resa pubblica.
Inoltre, poiché Francetest è un subappaltatore di centinaia di farmacie responsabili dell’esecuzione operativa dei test antigenici, la CNIL ha inviato una lettera a più di 300 farmacie interessate. In questa lettera, il presidente ricorda alle farmacie l’importanza di garantire la sicurezza dei dati sanitari e i loro obblighi relativi al quadro delle relazioni con i loro fornitori di servizi.
I dati sanitari al centro dell’azione della CNIL
Queste diverse azioni condotte dalla CNIL fanno parte della sua strategia di controllo per l’anno 2021, che si concentra sulla sicurezza informatica del web francese e la sicurezza dei dati sanitari.
Sono anche un’estensione naturale delle molteplici campagne di controllo condotte dalla CNIL per rispondere alle sfide poste dal contesto sanitario, in particolare in termini di sicurezza dei dati sanitari.
Oltre alla sua strategia repressiva, la CNIL persegue anche la sua missione di sostenere gli attori interessati nei loro sforzi per rispettare la legge. Per esempio, ha inviato una lettera al Conseil National de l’Ordre des Pharmaciens (CNOP) in cui chiede alla professione di essere più vigile riguardo al trattamento dei dati personali che attua.
Inoltre, nelle prossime settimane, un progetto di quadro di riferimento sul trattamento dei dati personali per la gestione delle farmacie sarà sottoposto a consultazione pubblica sul sito della CNIL.
FONTE: AUTORITÀ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL