La Commissione Nazionale francese per l’informatica e le libertà (CNIL) ha sanzionato la società CEGEDIM SANTÉ con una multa di 800.000 euro per violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) e della legge francese sulla protezione dei dati. La sanzione, emessa a settembre 2024, è il risultato di un’indagine avviata dalla CNIL nel 2021 sulle pratiche di trattamento dei dati sanitari dell’azienda.
Il cuore della questione riguarda la distinzione tra dati anonimi e dati pseudonimizzati, un concetto fondamentale nel GDPR che spesso genera confusione. Questo caso evidenzia l’importanza cruciale di comprendere appieno questa distinzione e le sue implicazioni legali, in particolare per le aziende che operano nel settore sanitario.
CEGEDIM SANTÉ, parte del gruppo CEGEDIM, è specializzata nella gestione digitale dei flussi sanitari e sviluppa software per la gestione delle attività mediche. Tra questi, il software “CROSSWAY”, utilizzato da migliaia di studi medici e centri sanitari in Francia, permette ai medici di gestire agende, cartelle cliniche e prescrizioni dei pazienti.
Il caso
L’indagine della CNIL è stata avviata a seguito di preoccupazioni emerse riguardo alla gestione di un “osservatorio” sanitario creato da CEGEDIM SANTÉ. Questo osservatorio offriva ai medici che utilizzavano il software CROSSWAY la possibilità di condividere dati estratti dalle cartelle cliniche dei loro pazienti per scopi statistici e di studio, in cambio di sconti sull’utilizzo del software. I dati raccolti venivano poi utilizzati dai clienti di CEGEDIM SANTÉ, principalmente per scopi di ricerca.
La CNIL ha scoperto che CEGEDIM SANTÉ raccoglieva e trattava i dati sanitari dei pazienti in un modo che permetteva il monitoraggio continuo delle loro storie cliniche all’interno degli studi medici che utilizzavano il software “CROSSWAY“. I dati trattati includevano informazioni mediche e amministrative sensibili, come diagnosi, prescrizioni mediche, dati biometrici e la storia delle consultazioni mediche.
CEGEDIM SANTÉ sosteneva che i dati raccolti fossero anonimi, quindi non riconducibili ai singoli pazienti. Tuttavia, la CNIL ha stabilito che i dati trattati non erano realmente anonimi, ma solo pseudonimizzati.
La differenza tra anonimizzazione e pseudonimizzazione
Dati Anonimi: Informazioni che non possono più essere ricondotte a una persona fisica identificata o identificabile, nemmeno utilizzando ulteriori dati o strumenti. Il GDPR non si applica ai dati anonimi perché non costituiscono più dati personali.
Dati Pseudonimizzati: Dati personali che sono stati trasformati in modo tale che non possano più essere direttamente associati a un individuo senza l’uso di informazioni aggiuntive. Questa informazione aggiuntiva, che consente di “rimuovere” la pseudonimizzazione, è generalmente conservata separatamente e protetta da misure tecniche e organizzative.
Secondo il GDPR, i dati pseudonimizzati rientrano ancora nella definizione di dati personali e sono quindi soggetti a tutte le regole e le tutele previste dal Regolamento, inclusa la necessità di consenso per il loro trattamento e l’applicazione di misure di sicurezza adeguate.
Nel caso di CEGEDIM SANTÉ, l’azienda utilizzava identificatori univoci per ciascun paziente, il che consentiva di tracciare la loro storia clinica nel tempo e rendeva possibile la re-identificazione. Questo è un chiaro esempio di pseudonimizzazione, non di anonimizzazione.
La CNIL ha evidenziato come il sistema di pseudonimizzazione adottato da CEGEDIM SANTÉ consentisse all’azienda di monitorare longitudinalmente le informazioni sui pazienti, associando diverse consultazioni e trattamenti allo stesso identificatore pseudonimo. Questa pratica comportava il rischio concreto che tali informazioni potessero essere re-identificate utilizzando dati aggiuntivi.
Le violazioni di CEGEDIM SANTÉ del GDPR
Trattamento illecito dei dati: L’azienda non ha ottenuto il consenso esplicito dei pazienti per la raccolta e l’utilizzo dei loro dati a fini di ricerca.
Mancata adozione di misure di sicurezza adeguate: CEGEDIM SANTÉ non ha implementato sufficienti misure di protezione per garantire che i dati fossero effettivamente anonimi o che non potessero essere re-identificati.
Creazione di un “Data Warehouse” sanitario senza autorizzazione: La CNIL ha stabilito che, attraverso il software CROSSWAY, CEGEDIM SANTÉ aveva costituito un archivio sanitario che raccoglieva dati provenienti dalle cartelle cliniche dei pazienti. La creazione di un Data Warehouse sanitario richiede un’autorizzazione specifica dalla CNIL o la dimostrazione di conformità a specifici modelli di riferimento stabiliti dalla stessa. CEGEDIM SANTÉ non ha soddisfatto nessuno di questi requisiti.
La sanzione inflitta a CEGEDIM SANTÉ sottolinea l’importanza di una corretta gestione dei dati sanitari e la necessità di distinguere chiaramente tra anonimizzazione e pseudonimizzazione.
Vuoi contribuire alla discussione?
Cosa ne pensi di questo tema? Quali sono le tue esperienze in materia? Come possono divenire spunto di miglioramento? Scrivi qui ed entra a far parte di Fare Sanità: una comunità libera di esperti ed esperte che mettono assieme le loro idee per portare le cure universali nel futuro.
Il 5-6-7 novembre 2024 questo e molti altri temi importanti per il futuro della sanità saranno al centro di Welfair, la fiera del fare sanità a Fiera di Roma che riunisce gli esperti e le esperte di governance dell’intera filiera sanitaria. Vedi programma. Iscriviti gratuitamente per partecipare alla fiera.
