Gravi violazioni del GDPR: multa milionario a Cegedim Santè svela falle sulla privacy dei dati sanitari
Scandalo nella gestione dati sanitari: come Cegedim Santè ha violato il GDPR e messo a rischio la privacy dei pazienti
La CNIL ha multato Cegedim Santé con 800.000 euro per la gestione impropria dei dati sanitari dei pazienti, ritenuti identificabili nonostante la pseudonimizzazione. L’azienda non ha rispettato il GDPR, utilizzando il teleservizio "HRi" in modo illecito.
La Commission Nationale de l’Informatique et des Libertés (CNIL) ha multato la società Cegedim Santé, specializzata nella produzione di software per la gestione sanitaria, con una sanzione di 800.000 euro. La società fornisce i suoi servizi a circa 25.000 studi medici e 500 centri sanitari, facilitando la gestione delle agende, delle cartelle cliniche e delle prescrizioni dei pazienti. Tuttavia, un controllo avviato dall'autorità francese nel 2021 ha messo in luce che Cegedim Santé ha gestito i dati sanitari dei pazienti in modo inappropriato. I dati, infatti, sono stati pseudonimizzati ma non realmente anonimizzati, il che li ha resi identificabili.
Mancata anonimizzazione reale: rischi gravissimi per la privacy
Secondo la CNIL, i dati pseudonimizzati continuavano a contenere informazioni tali da permettere la reidentificazione degli individui, quindi non potevano essere considerati anonimi. La società aveva raccolto una vasta serie di informazioni sui pazienti, come anno di nascita, sesso, categoria socio-professionale, dati sulle allergie, anamnesi, altezza, peso, diagnosi, prescrizioni mediche e risultati delle analisi. Queste informazioni erano collocate sotto un identificativo univoco per ciascun paziente, che consentiva di connettere dati successivamente trasmessi e tracciare il percorso di cura. Tale procedura ha rappresentato un elevato rischio di reidentificazione e ha spinto la CNIL a sanzionare severamente l'azienda.
Illegale trattamento dei dati e mancato rispetto del GDPR
La CNIL ha anche evidenziato la questione del mancato rispetto delle normative sulla privacy da parte di Cegedim Santé, in particolare l’articolo 5.1.a del GDPR, che impone trattamenti dei dati leciti e trasparenti. La società ha illegalmente utilizzato il teleservizio "HRi" dell'assicurazione sanitaria, che permette di accedere allo storico dei rimborsi sanitari di un paziente negli ultimi dodici mesi. I dati consultati tramite questo servizio venivano automaticamente caricati nelle schede informatiche dei pazienti e resi disponibili per estrazioni da parte di Cegedim Santé stessa. La CNIL ha ritenuto questo trattamento dei dati incompatibile con la normativa vigente, senza fornire ai medici la semplice possibilità di consultazione.
Conclusioni dell’indagine e impatto per il settore sanitario
Al termine dell’indagine, il 5 settembre 2024, la CNIL ha emanato la decisione di imporre una multa di 800.000 euro a Cegedim Santé. Questo provvedimento evidenzia i rischi connessi alla gestione impropria dei dati sanitari e sottolinea l'importanza del rispetto scrupoloso delle normative sulla privacy. La decisione della CNIL serve da monito per tutte le aziende del settore sanitario, ribadendo la necessità di adottare misure adeguate per l'anonimizzazione dei dati e il rispetto delle normative GDPR, al fine di garantire la tutela dei dati sensibili e la protezione della privacy dei pazienti.
Seguici su WhatsApp per altre pillole come questa29/09/2024 16:37
Marco Verro