Cegedim Santé, empresa que edita y vende programas informáticos de gestión para médicos de cabecera, ha sido multada con 800.000 euros por la CNIL por tratar datos sanitarios no anónimos sin autorización.
Datos sanitarios utilizados para estudios sin el conocimiento de los pacientes. Este jueves 12 de septiembre, la Comisión Nacional de Informática y Libertades (CNIL) anunció que había multado a Cegedim Santé con 800.000 euros por tratar datos sanitarios sin autorización.
Esta empresa edita y vende software de gestión que permite a los médicos de la ciudad gestionar sus agendas, expedientes de pacientes y recetas. Alrededor de 25.000 consultorios médicos y 500 centros de salud lo utilizan.
Tratamiento ilícito de datos
Tras realizar comprobaciones en 2021, la CNIL descubrió que Cegedim Santé, propietaria también de Maiia (competidora de Doctolib), había tratado datos sanitarios no anónimos sin autorización con uno de sus programas informáticos.
A algunos médicos que utilizan uno de los programas de la empresa se les ha ofrecido, de hecho, adherirse a un «observatorio». De este modo, Cegedim Santé ofrece a sus clientes la posibilidad de utilizar los datos sanitarios recopilados con la ayuda de estos médicos para realizar estudios. Cegedim Santé precisa a Tech&Co que los datos recopilados se refieren a 2.000 médicos miembros de este observatorio.
Entre estos datos personales se encuentran “año de nacimiento, sexo, categoría socioprofesional, alergias, historial médico, altura, peso, diagnóstico, prescripciones médicas, bajas laborales y resultados de pruebas”, señaló la CNIL.
Dado que la información es seudónima y no anónima, puede permitir la reidentificación de una persona, subraya la autoridad. Un riesgo que considera demasiado elevado teniendo en cuenta que los datos recopilados por Cegedim Santé son “particularmente ricos” y que es posible aislar a un individuo dentro de la base de datos de la empresa.
«Estos datos estaban asociados a un identificador único para cada paciente del mismo médico, lo que permitía relacionar los datos transmitidos sucesivamente por el mismo médico sobre el mismo paciente y reconstruir así su recorrido de atención», lamenta la CNIL.
Cegedim Santé debería haber solicitado autorización a la CNIL antes de recopilar y tratar esta información. Al concluir que la empresa no había tratado estos datos de manera legal, lo que constituye una infracción del RGPD, la autoridad la condenó.
La CNIL precisa que esta sanción no va acompañada de una orden de cumplimiento porque Cegedim Santé ya no es responsable de este tratamiento, sino únicamente el editor del programa en cuestión.
Por su parte, Cegedim Santé añadió que está estudiando la posibilidad de impugnar la decisión de la CNIL ante el Consejo de Estado.
