Trattamento illecito di dati sanitari: maxi sanzione nei confronti di Cegedim Santé

Cegedim Santé, società informatica attiva nel settore sanitario, ha ricevuto una maxi sanzione dalla CNIL – Commissione Nazionale per l’Informatica e le Libertà – per non aver garantito la reale anonimizzazione dei dati dei pazienti e per averli trattati in modo illecito.

 

La vicenda

Cegedim Santé, organizzazione che fornisce software per la gestione di studi medici e centri sanitari, è stata multata dalla CNIL a seguito di indagini avviate nel 2021.

È stato infatti scoperto che, sebbene la società avesse pseudonimizzato i dati sanitari, questi non risultavano effettivamente anonimi. I dati venivano trattati e trasmessi ai clienti per scopi di studio e analisi statistiche nel campo della salute.

La CNIL ha verificato se fosse possibile risalire all’identità delle persone con mezzi ragionevoli. La Commissione ha concluso che i dati non erano veramente anonimi, ma solo pseudonimi, permettendo così una potenziale reidentificazione.

È stato riscontrato, da parte di Cegedim Santé, la raccolta di numerose informazioni personali, tra cui l’anno di nascita, il genere, la categoria socio-professionale, le allergie, l’anamnesi, altezza, peso, diagnosi, prescrizioni, assenze per malattia e risultati di analisi. Inoltre, i dati erano associati a un identificativo univoco per ciascun paziente, consentendo di tracciare il percorso di cura anche attraverso dati successivi.

Questo ha spinto la CNIL a valutare che il rischio di identificazione delle persone fosse troppo alto, escludendo che i dati potessero essere considerati anonimi.

Il Garante ha evidenziato sia l’utilizzo di un identificativo univoco sia la quantità di dati raccolti, sottolineando anche il rischio di combinazione con altre informazioni detenute da terzi.

 

Violazioni rilevate e sanzioni

Cegedim Santé ha violato diversi principi fondamentali della regolamentazione europea sulla protezione dei dati personali, tra cui:

  • Violazione del principio di “liceità, correttezza e trasparenza” (Articolo 5.1.a GDPR): la CNIL ha rilevato che la società non ha trattato i dati in modo lecito e trasparente, in quanto i dati non erano stati anonimizzati. Questo ha esposto le persone al rischio di reidentificazione, il che viola il principio secondo cui i dati devono essere trattati in modo tale da garantire una protezione adeguata e informare adeguatamente gli interessati;

 

  • Violazione del principio di “minimizzazione dei dati” (Articolo 5.1.c GDPR): la raccolta e l’elaborazione di un numero elevato di dati sanitari ha sollevato preoccupazioni in merito all’eccessiva profondità dei dati raccolti. Il GDPR richiede che vengano trattati solo i dati strettamente necessari per le finalità previste. Nel caso in questione, invece, Cegedim Santé ha raccolto più dati del necessario, aumentando il rischio per gli individui;

 

Cegedim Santé ha violato i principi del GDPR in termini di trattamento lecito, minimizzazione dei dati e protezione delle informazioni personali, non garantendo la reale anonimizzazione e gestendo i dati in modo non conforme alle aspettative.

Tenendo in considerazione questi aspetti, la CNIL ha multato la società per 800.000 euro.

Condividi