La CNIL ha impuesto una multa de 800.000 € a Cegedim Santé por el tratamiento no autorizado de datos sensibles de salud.
En 2021, Cegedim Santé, una empresa especializada en software de gestión para médicos generales y centros de salud, fue objeto de una investigación por parte de la autoridad francesa de protección de datos, la CNIL. La empresa proporciona software a 25.000 consultas médicas y 500 centros de salud, permitiendo a los médicos gestionar horarios, historiales de pacientes y precripciones. Sin embargo, las investigaciones de CNIL han revelado que Cegedim Santé estaba tratamiento de manera ilegítima datos sensibles de salud. La empresa había recopilado datos no anónimos de los usuarios de su software sin la debida autorización, utilizándolos para fines de investigación y estadísticos.
Cegedim Santé ha infringido las leyes de privacidad al utilizar datos pseudonimizados con los que se podía de reidentificar a las personas
Cegedim Santé trataba datos pseudonimizados que permitían potencialmente reidentificar a los individuos. Los datos incluían detalles como el año de nacimiento, género, historial médico y prescripciones, todo vinculado a un identificador único de paciente, que hacía posible la reconstrucción del historial médico de un interesado, generando preocupaciones sobre la seguridad y los riesgos de privacidad de los datos. El comité de la CNIL destacó que dichos datos no eran completamente anónimos, y debido a que la reidentificación era posible, infringían las leyes de privacidad.
Cegedim Santé infringió la Ley de Protección de Datos de Francia al tratar datos sensibles de salud sin autorización de la CNIL
De acuerdo con la Ley de Protección de Datos de Francia, el tratamiento de datos de salud debe contar con autorización de la CNIL o cumplir con regulaciones específicas, ninguna de las cuales Cegedim Santé respetó. La empresa no obtuvo la autorización necesaria ni declaró su cumplimiento con el marco regulatorio para el tratamiento de datos personales de salud. Esta infracción, junto con el hecho de que los datos eran altamente sensibles. La CNIL consideró que las acciones de la empresa eran particularmente graves, dado el alcance y la naturaleza de los datos afectados.
Cegedim Santé trató de forma ilegítima los datos de salud de los pacientes al descargar automáticamente historiales de reembolsos del teleservicio «HRi» sin el consentimiento de los pacientes ni la opción de evitarlo
La integración de Cegedim Santé con el teleservicio «HRi» agravó aún más las infracciones. Este servicio, proporcionado por el sistema de seguro de salud de Francia, permite a los médicos acceder a los historiales de reembolsos de salud de los pacientes. Sin embargo, el sistema de Cegedim Santé descargaba automáticamente estos datos sin el consentimiento del paciente ni la opción de evitarlo, lo cual fue considerado un tratamiento ilegal.
Debido a estas infracciones, la CNIL multó a Cegedim Santé con 800.000 €, y señaló la necesidad de cumplir estrictamente con las leyes de protección de datos, a pesar de que la empresa ya no controla los datos objeto de la sanción
Como resultado de estas infracciones, la CNIL impuso una multa de 800.000 € a Cegedim Santé. Aunque la empresa ya no controla los datos afectados, habiendo transferido esta responsabilidad a otra entidad dentro de su grupo, la gravedad de la infracción fue la base para justificar la sanción impuesta. El caso sirve como recordatorio de la importancia de adherirse estrictamente a las regulaciones de privacidad, especialmente cuando se trata de categorías especiales de datos, como datos salud.