Cegedim Santé, azienda che pubblica e vende software gestionali ai medici di base, è stata multata di 800.000 euro dalla CNIL per aver elaborato dati sanitari non anonimi senza autorizzazione.
Dati sanitari utilizzati per studi, senza che i pazienti ne siano a conoscenza. Giovedì 12 settembre, la Commissione nazionale per l'informatica e le libertà civili (CNIL) ha annunciato di aver multato Cegedim Santé di 800.000 euro per aver elaborato dati sanitari senza autorizzazione.
Questa azienda pubblica e vende software di gestione che consente ai medici cittadini di gestire i loro programmi, le cartelle dei pazienti e le prescrizioni. Circa 25.000 studi medici e 500 centri sanitari li utilizzano.
Trattamento illegale dei dati
Dopo aver effettuato dei controlli nel 2021, la CNIL ha scoperto che Cegedim Santé, proprietaria anche di Maiia (concorrente di Doctolib), aveva elaborato dati sanitari non anonimi senza autorizzazione tramite uno dei suoi software.
Ad alcuni dottori che utilizzavano uno dei software dell'azienda è stato infatti offerto di unirsi a un “osservatorio”. In questo modo, Cegedim Santé ha offerto ai clienti di utilizzare i dati sanitari raccolti con l'aiuto di questi dottori, per condurre degli studi. Cegedim Santé specifica a Tech&Co che i dati raccolti riguardano 2.000 dottori che sono membri di questo osservatorio.
Tra queste informazioni personali figurano “anno di nascita, sesso, categoria socio-professionale, allergie, anamnesi, altezza, peso, diagnosi, prescrizioni mediche, assenze per malattia e risultati dei test”, ha precisato la CNIL.
Poiché le informazioni sono pseudonime e non anonime, possono consentire di identificare nuovamente una persona, sottolinea l'autorità. Un rischio che considera troppo elevato dato che i dati raccolti da Cegedim Santé sono “particolarmente ricchi” e che è possibile isolare un individuo all'interno del database dell'azienda.
“Questi dati sono stati associati a un identificativo univoco per ogni paziente dello stesso medico, consentendo di collegare tra loro i dati trasmessi successivamente dallo stesso medico e riguardanti lo stesso paziente e di ricostruire così il suo percorso di cura”, deplora la CNIL.
Cegedim Santé avrebbe dovuto richiedere l'autorizzazione alla CNIL prima di raccogliere ed elaborare queste informazioni. Concludendo che la società non aveva elaborato questi dati in modo lecito, il che costituisce una violazione del GDPR, l'autorità l'ha condannata.
La CNIL precisa che questa sanzione non è accompagnata da un'ingiunzione di esecuzione, poiché Cegedim Santé non è più responsabile di questo trattamento, ma solo l'editore del software in questione.
Da parte sua, Cegedim Santé ha aggiunto che sta valutando la possibilità di contestare la decisione della CNIL dinanzi al Consiglio di Stato.
Related News :