Sanzione CNIL a CEGEDIM SANTÉ: violazioni GDPR e la gestione dei dati sanitari

Settembre 16, 2024 by Alberto Bozzo Diritto Rovescio
Home | Diritto Rovescio | Sanzione CNIL a CEGEDIM SANTÉ: violazioni GDPR e la gestione dei dati sanitari

Introduzione

1726324344962 itDownload

In data 5 settembre 2024, la CNIL (Commission Nationale de l’Informatique et des Libertés) ha emesso la deliberazione n. SAN-2024-013, sanzionando la società CEGEDIM SANTÉ per violazioni delle normative in materia di protezione dei dati personali, in particolare per il mancato rispetto del GDPR (Regolamento Generale sulla Protezione dei Dati) e della legge francese n. 78-17 del 6 gennaio 1978, nota come Legge sull’informatica, i file e le libertà. 

Questa sanzione è il risultato di un’indagine che ha evidenziato gravi lacune nella gestione dei dati sanitari raccolti e trattati dall’azienda attraverso i suoi software gestionali utilizzati dai medici e dalle strutture sanitarie. 

Il caso rappresenta un’importante lezione per tutte le organizzazioni che operano nel settore sanitario, poiché sottolinea la necessità di garantire una protezione adeguata dei dati sensibili. 

Il presente contributo viene inviato per fare il punto tra dato anonimo e dato pseudo anonimizzato  già trattato in questo corso nelle precedenti lezioni 

Riassunto della vicenda storica

Il gruppo CEGEDIM, di cui CEGEDIM SANTÉ fa parte, è specializzato nella gestione digitale dei flussi sanitari tra i professionisti del settore e sviluppa software specifici per la gestione delle attività mediche, come il software CROSSWAY, utilizzato da circa 25.000 studi medici e 500 centri sanitari. Questo software permette ai medici di gestire l’agenda, le cartelle cliniche e le prescrizioni dei pazienti.

Nel corso del 2020, la CNIL ha avviato un’indagine su CEGEDIM SANTÉ per verificare la conformità delle sue pratiche di trattamento dei dati personali alla normativa vigente.

 L’indagine è stata condotta a seguito di preoccupazioni riguardo alla gestione di un “osservatorio” sanitario creato dall’azienda, al quale i medici potevano aderire per condividere dati estratti dalle cartelle cliniche dei pazienti per fini statistici e di studio, offrendogli in cambio sconti sull’utilizzo del software.

La CNIL ha eseguito un controllo presso la sede dell’azienda il 30 marzo 2021 e ha richiesto ulteriori documenti e chiarimenti nel corso del 2021 e del 2023. 

Durante questo processo, l’azienda ha collaborato con l’ente regolatore, ma sono emerse diverse irregolarità che hanno portato alla formulazione di un rapporto che accusava l’azienda di violare specifici articoli del GDPR, in particolare l’articolo 5(1)(a), relativo al trattamento lecito, equo e trasparente dei dati personali.

L’indagine della CNIL ha evidenziato che CEGEDIM SANTÉ aveva creato un archivio di dati sanitari pseudonimizzati, raccogliendo informazioni dettagliate dai pazienti tramite il software CROSSWAY. 

Tuttavia, la CNIL ha stabilito che questi dati non erano realmente anonimi, poiché l’utilizzo di identificatori univoci per ciascun paziente consentiva di tracciare la loro storia clinica, rendendo possibile la re-identificazione.

Questo ha sollevato preoccupazioni sul rispetto delle normative sulla privacy, in quanto l’azienda non aveva adottato le necessarie misure per garantire la piena tutela dei diritti dei pazienti, inclusa l’assenza di un consenso esplicito per la raccolta e l’utilizzo dei loro dati a fini di ricerca.

Differenza tra Dato Anonimo e Dato Pseudonimizzato

Uno degli aspetti centrali della deliberazione CNIL contro CEGEDIM SANTÉ riguarda la distinzione fondamentale tra dati anonimi e dati pseudonimizzati, concetto che spesso genera confusione, ma che ha implicazioni significative per la conformità al GDPR e alla normativa sulla protezione dei dati personali.

Dato Anonimo

I dati anonimi sono informazioni che non possono più essere ricondotte a una persona fisica identificata o identificabile, neanche con l’utilizzo di ulteriori dati o strumenti.

 In altre parole, una volta che i dati sono stati anonimizzati, è impossibile risalire all’identità del soggetto a cui si riferiscono, nemmeno utilizzando altre fonti o tecnologie avanzate. 

Il GDPR non si applica ai dati anonimi, poiché non costituiscono più dati personali. Perché un dato sia considerato anonimo, deve superare rigorosi test che impediscono l’individuazione dell’interessato anche con tecniche avanzate. 

La vera anonimizzazione implica che il rischio di re-identificazione sia praticamente nullo, considerando anche l’evoluzione delle tecnologie e delle tecniche di elaborazione dei dati.

Un esempio di dato anonimo potrebbe essere l’aggregazione di dati demografici su larga scala, dove non vi è alcun collegamento possibile tra l’informazione e un individuo specifico.

Dato Pseudonimizzato

Il dato pseudonimizzato, invece, è un dato personale che è stato trasformato in modo tale che non possa più essere direttamente associato a un individuo senza l’uso di informazioni aggiuntive. 

Questa informazione aggiuntiva, che consente di “rimuovere” la pseudonimizzazione, è generalmente conservata separatamente e protetta da misure tecniche e organizzative. 

Tuttavia, a differenza dei dati anonimi, i dati pseudonimizzati possono essere re-identificati se si dispone di tali informazioni supplementari.

Secondo il GDPR, i dati pseudonimizzati rientrano ancora nella definizione di dati personali e quindi sono soggetti a tutte le regole e le tutele previste dal Regolamento, inclusa la necessità di consenso per il loro trattamento e l’applicazione di misure di sicurezza adeguate. 

Un esempio di dato pseudonimizzato potrebbe essere l’uso di un codice alfanumerico unico per identificare un paziente all’interno di un database medico, dove solo l’ente che detiene la chiave per decodificare il codice può risalire all’identità del paziente.

Implicazioni Normative

Nel caso di CEGEDIM SANTÉ, la CNIL ha stabilito che i dati trattati dall’azienda erano pseudonimizzati, e non anonimi come sostenuto dalla società. 

Questo ha implicato l’applicazione delle severe misure previste dal GDPR, tra cui l’obbligo di ottenere il consenso esplicito dei pazienti e la necessità di attuare misure di protezione adeguate per prevenire la re-identificazione. 

Questa distinzione è essenziale perché i dati pseudonimizzati, pur offrendo un livello di protezione maggiore rispetto ai dati personali non trattati, non garantiscono l’anonimato completo e, pertanto, sono ancora soggetti alle normative sulla protezione dei dati.

Durante l’indagine della CNIL, è emerso che CEGEDIM SANTÉ trattava i dati sanitari dei pazienti in modo da permettere il monitoraggio continuo delle loro storie cliniche all’interno degli studi medici che utilizzavano il software gestionale CROSSWAY. 

I dati trattati includevano informazioni mediche e amministrative sensibili, come diagnosi, prescrizioni mediche, dati biometrici, e la storia delle consultazioni mediche.

Questi dati, però, non erano stati resi anonimi, come dichiarato inizialmente dall’azienda, ma risultavano pseudonimizzati. Ciò significa che i dati erano stati modificati per rimuovere gli identificatori diretti (ad esempio, il nome o il codice fiscale dei pazienti), ma potevano ancora essere associati a individui specifici tramite l’uso di informazioni supplementari, come un identificatore univoco collegato al paziente per uno specifico medico. 

Questi identificatori pseudonimi permettevano all’azienda di tracciare la storia clinica di ciascun paziente nel tempo all’interno dello stesso studio medico o clinica.

La  CNIL  ha stabilito che i dati trattati da CEGEDIM SANTÉ non erano anonimizzati, poiché era possibile collegare i diversi record relativi allo stesso paziente e ricostruire la loro storia medica, il che implicava un rischio concreto di re-identificazione. 

Come detto, secondo il GDPR, i dati anonimi non possono essere ricollegati a un individuo, mentre i dati pseudonimizzati possono esserlo, sebbene con un livello di difficoltà aggiuntivo.

La CNIL ha argomentato che il livello di protezione offerto dalla pseudonimizzazione non era sufficiente per garantire la completa tutela della privacy degli interessati. 

In particolare, il sistema di pseudonimizzazione adottato consentiva a CEGEDIM SANTÉ  di monitorare longitudinalmente le informazioni sui pazienti, associando diverse consultazioni e trattamenti allo stesso identificatore pseudonimo. Questa operazione permetteva di mantenere una cronologia dettagliata del percorso sanitario dei pazienti, con il rischio che queste informazioni potessero essere re-identificate tramite l’uso di ulteriori dati.

Un esempio evidente citato nel rapporto riguarda il fatto che i pazienti, anche se identificati solo tramite un codice alfanumerico univoco, potevano essere ricondotti alla loro identità reale qualora fosse stato utilizzato un set aggiuntivo di dati o se il codice pseudonimo fosse stato collegato a informazioni accessibili a terzi.

Implicazioni giuridiche

La pseudonimizzazione, pur essendo una misura tecnica utile per ridurre i rischi legati alla privacy, non esonera dall’obbligo di conformità al GDPR.

 Secondo l’articolo 4 del GDPR, i dati pseudonimizzati rimangono dati personali poiché, con informazioni aggiuntive, è ancora possibile risalire all’identità delle persone. 

Pertanto, CEGEDIM SANTÉ era tenuta a rispettare tutti i requisiti previsti dal Regolamento, inclusa l’ottenimento del consenso esplicito per il trattamento dei dati sanitari e l’adozione di misure di sicurezza adeguate per garantire la protezione contro la re-identificazione.

Nel caso in esame, la CNIL ha anche osservato che CEGEDIM SANTÉ* non aveva implementato sufficienti salvaguardie per garantire che i dati fossero effettivamente anonimi o che non potessero essere re-identificati, il che ha portato alla contestazione formale per violazione delle norme sulla protezione dei dati.

Creazione di un “Data Warehouse” sanitario

Un altro elemento cruciale che è emerso durante l’indagine della CNIL su CEGEDIM SANTÉ riguarda la creazione di un archivio di dati sanitari, tecnicamente definito come un “Data Warehouse sanitario”.

Questo tipo di infrastruttura, che consiste nella raccolta, conservazione e gestione di grandi volumi di dati sanitari per fini statistici o di ricerca, comporta particolari obblighi legali e normativi, soprattutto in relazione alla protezione dei dati personali.

Definizione e caratteristiche di un Data Warehouse sanitario

Un Data Warehouse sanitario è un archivio elettronico che raccoglie, aggrega e organizza dati sanitari su larga scala. Può essere utilizzato per diverse finalità, tra cui la ricerca medica, l’analisi statistica sulla gestione della salute pubblica, e la produzione di studi epidemiologici. Questo tipo di infrastruttura è particolarmente utile per analizzare le tendenze sanitarie e migliorare la qualità dei servizi sanitari, ma, proprio per la natura sensibile dei dati trattati, richiede l’adozione di rigide misure di sicurezza e il rispetto di norme specifiche per proteggere i diritti e le libertà degli individui.

Nel caso di CEGEDIM SANTÉ, la CNIL ha evidenziato che l’azienda aveva costituito, attraverso il software CROSSWAY, un archivio sanitario che raccoglieva dati provenienti dalle cartelle cliniche dei pazienti. Tali dati erano poi utilizzati per studi statistici e analisi di vario tipo, che l’azienda forniva ai propri clienti. In particolare, CEGEDIM SANTÉ offriva a un panel di medici la possibilità di aderire a un osservatorio sanitario, estraendo periodicamente i dati clinici dei pazienti dai loro software gestionali e mettendoli a disposizione dei clienti dell’azienda per finalità di studio e ricerca.

Obblighi legali legati ai Data Warehouse sanitari

Secondo la normativa francese e il GDPR, la creazione di un Data Warehouse sanitario comporta l’adozione di una serie di misure specifiche per garantire la tutela dei dati personali, soprattutto quando questi dati sono utilizzati per finalità di ricerca o analisi statistiche. Gli obblighi principali includono:

  1. Autorizzazione preventiva della CNIL: L’azienda deve ottenere un’autorizzazione specifica dall’autorità garante (CNIL) prima di poter trattare dati sanitari su larga scala. Questa autorizzazione serve a verificare che i processi di raccolta, archiviazione e utilizzo dei dati siano conformi alle norme di protezione dei dati, che includono misure di sicurezza adeguate per prevenire la re-identificazione dei soggetti.
  2. Conformità a quadri normativi specifici: In alternativa all’autorizzazione, il trattamento può essere legittimato se conforme a specifici modelli di riferimento stabiliti dalla CNIL, che dettano le regole per la gestione dei dati sanitari in un contesto di ricerca o statistica. In ogni caso, è necessario inviare una dichiarazione di conformità alla CNIL, dimostrando che il trattamento rispetta tali modelli.
  3. Obbligo di minimizzazione dei dati: Un principio cardine del GDPR è che devono essere trattati solo i dati strettamente necessari per raggiungere gli obiettivi prefissati (principio di minimizzazione). Ciò significa che le aziende devono limitare la raccolta di dati e le informazioni trattate devono essere adeguatamente depersonalizzate o pseudonimizzate.
  4. Trasparenza e consenso: Le persone interessate devono essere chiaramente informate del trattamento dei loro dati sanitari e, nella maggior parte dei casi, è necessario ottenere il loro consenso esplicito. In mancanza di consenso, il trattamento deve essere giustificato da un interesse pubblico rilevante o altre basi giuridiche previste dalla normativa.

Violazioni rilevate dalla CNIL

Nel caso di CEGEDIM SANTÉ, la CNIL ha riscontrato che l’azienda non aveva ottenuto le necessarie autorizzazioni per costituire e gestire il proprio Data Warehouse sanitario. In particolare:

  1. Mancata autorizzazione preventiva: L’azienda non aveva richiesto alcuna autorizzazione alla CNIL per la creazione di un archivio di dati sanitari. Questo rappresenta una violazione dell’articolo 66 della legge francese sull’informatica, i file e le libertà, che impone l’obbligo di ottenere un’autorizzazione per il trattamento di dati sanitari, in particolare quando sono coinvolti dati pseudonimizzati o sensibili.
  2. Assenza di conformità a modelli di riferimento: CEGEDIM SANTÉ non aveva nemmeno dimostrato la conformità a un modello di riferimento stabilito dalla CNIL per il trattamento di dati sanitari a fini di ricerca o analisi. Di conseguenza, l’azienda non era in regola con gli obblighi di trasparenza e sicurezza richiesti dalla normativa.
  3. Inadeguata gestione del consenso: L’azienda non aveva implementato meccanismi adeguati per ottenere il consenso esplicito dai pazienti per il trattamento dei loro dati sanitari a fini di ricerca e statistica, violando così il principio fondamentale della trasparenza previsto dal GDPR.

La mancanza di consenso esplicito per il trattamento dei dati sanitari è una grave violazione del GDPR, specialmente per quanto riguarda le informazioni sensibili come quelle mediche.

La CNIL ha evidenziato che l’azienda in questione non ha ottenuto il consenso informato ed esplicito da parte dei pazienti per raccogliere e utilizzare i loro dati sanitari.

Nel trattamento dei dati sanitari, il consenso deve essere esplicito, chiaro e specifico poiché si tratta di informazioni particolarmente sensibili, tutelate in modo rigoroso dal GDPR. Ciò significa che l’interessato deve compiere un’azione inequivocabile, come firmare un modulo o selezionare un’opzione chiaramente descritta, che indichi consapevolmente l’autorizzazione al trattamento. Non basta fornire un consenso generico o implicito (es. scorrendo una pagina web), ma il soggetto deve essere adeguatamente informato sulle finalità e sulle modalità di utilizzo dei dati, con possibilità di revoca in qualsiasi momento.

Questo principio di consenso esplicito tutela l’autonomia decisionale dell’individuo, che deve poter esercitare pieno controllo sulle proprie informazioni personali, soprattutto in un ambito così delicato come quello sanitario.

Questa mancanza di conformità con le norme sul consenso mette a rischio la privacy dei pazienti e potrebbe comportare sanzioni significative per l’azienda, come previsto dal regolamento europeo. La trasparenza è essenziale, e ogni entità che gestisce dati sensibili deve fornire informazioni chiare sulle modalità di trattamento e sulle finalità, in modo che il paziente possa esprimere un consenso effettivamente informato.

Implicazioni della classificazione del Data Warehouse sanitario

La classificazione come Data Warehouse sanitario ha avuto importanti implicazioni legali per CEGEDIM SANTÉ. La gestione di un archivio sanitario di questa portata richiede un livello molto elevato di sicurezza e conformità, e il mancato rispetto di tali obblighi ha comportato gravi sanzioni da parte della CNIL. L’azienda si è trovata non solo a dover affrontare le conseguenze di una violazione del GDPR, ma anche a dover rivedere interamente le proprie procedure di trattamento dei dati sanitari.

Il caso di CEGEDIM SANTÉ rappresenta un chiaro esempio di come la gestione impropria di un Data Warehouse sanitario possa esporre un’azienda a rischi significativi in termini di conformità normativa. La creazione di tali archivi richiede non solo una corretta autorizzazione, ma anche il rispetto di standard elevati per la sicurezza e la protezione dei dati, specialmente quando si tratta di informazioni sensibili come quelle relative alla salute. Le aziende devono assicurarsi di operare in conformità con i requisiti legali, garantendo il rispetto dei diritti degli interessati e adottando tutte le misure necessarie per prevenire eventuali violazioni.

Le sanzioni

In caso di violazioni del GDPR, la CNIL può imporre sanzioni amministrative significative, tra cui multe fino al 4% del fatturato globale annuo o fino a 20 milioni di euro, a seconda di quale importo sia maggiore. La CNIL valuta la gravità della violazione utilizzando una serie di criteri stabiliti dall’art. 83 del GDPR, come la natura, la gravità e la durata della violazione, il numero di persone colpite e il livello di cooperazione dell’azienda. Oltre alle multe, la CNIL può ordinare l’adeguamento delle operazioni di trattamento dei dati per conformarsi alla normativa.

Nel caso di CEGEDIM SANTÉ, la CNIL ha irrogato una sanzione amministrativa in conformità con il GDPR per le violazioni riscontrate nel trattamento dei dati sanitari. La multa è stata determinata tenendo conto di diversi criteri:

  1. Gravità della violazione: La natura sensibile dei dati trattati (sanitari) ha aggravato l’infrazione.
  2. Durata e numero di persone coinvolte: L’azienda ha trattato i dati senza un adeguato consenso esplicito per un periodo prolungato.
  3. Cooperazione dell’azienda: Il livello di collaborazione offerto durante le indagini è stato considerato.