La CNIL sanciona con 800.000€ el uso de datos de salud

En este artículo vamos a analizar la resolución SAN-2024-013 de la Commission Nationale de l’Informatique et des Libertés («CNIL») en Francia en la cual se impuso una sanción a CEGEDIM LOGICIEL MEDICAUX FRANCE («la Compañía») por un importe de 800.000 euros por no anonimizar datos personales de salud debidamente para utilizarlos con otros fines, así como, por no pedir autorización a la CNIL para hacer ese tratamiento (este último incumplimiento no se daría en nuestro ordenamiento jurídico). 

¿Qué ocurrió? 
 
La CNIL, en ejercicio de sus facultades de control, llevó a cabo una auditoría sobre los tratamientos de datos personales realizados por la Compañía. Capacidad que no hay que olvidar que nuestra AEPD también tiene, pudiendo realizar incluso inspecciones de manera telemática.

En el caso de CEGEDIM, la investigación se centró en un observatorio, en el cual médicos o profesionales de la salud, que utilizaban el software de gestión médica CROSSWAY, eran invitados a unirse para compartir datos de sus pacientes a cambio de descuentos en la licencia del software. La finalidad era utilizar esos datos en estudios y estadísticas del sector sanitario por parte de clientes de CEGEDIM y los propios profesionales. Por ejemplo, realizando estudios sobre la atención a los pacientes en función de sus patologías, sobre disparidades demográficas y regionales, perfiles asistenciales de los médicos o el consumo sanitario. 

Lo que llamó la atención de la CNIL fue que la Compañía recogía datos de los expedientes de los pacientes contenidos en el software de gestión médica con el que se gestionaban las historias clínicas, recetas, citas etc… Es decir, que para participar en el observatorio se extrajeron y analizaron datos administrativos de los pacientes, tales como, número de paciente, año de nacimiento, sexo, categoría socioprofesional, código postal o fecha de consulta, datos contenidos en las historias clínicas (alergias, antecedentes del paciente, antecedentes familiares, talla, peso, pulso, tensión arterial, diagnósticos diarios, etc.), a las prescripciones farmacéuticas (medicación, posología, duración, etc.) y a otras prescripciones (bajas por enfermedad, vacunas, resultados de pruebas biológicas, etc.).

Según lo que observó la CNIL, los datos de los pacientes se extraían para ser presentados en el panel del médico para trabajarlos en el observatorio, esos datos estaban encriptados y codificados, es decir,  vinculados a un identificador único para cada paciente. CEGEDIM alegó que los datos que trataba son anónimos, por lo que ya no están sujetos al RGPD. 

No obstante, la CNIL consideró que la Compañía creó una base de datos de salud seudonimizados a partir de los datos de los médicos panelistas, con el fin de ponerlos a disposición de sus clientes siendo de aplicación directa el RGPD, ya que, recordamos que los datos seudonimizados son datos personales. Un apunte igual de importante, es que la CNIL consideró que CEGEDIM era responsable del tratamiento en la reutilización de esos datos personales para volcarlos en el observatorio, junto con los profesionales y los clientes que accedían a dicho observatorio. Este punto es de especial relevancia ya que este tipo de reutilización de datos es realmente común entre los proveedores de software (salud o no) y siempre deben pasar por un proceso de anonimización robusto. 

Pero si los datos personales eran anónimos ¿Por qué me sancionan? 

Respuesta corta – Porque no lo hiciste bien. 

Respuesta larga – Porque anonimizar implica algo mucho más complejo que asignar un código a un conjunto de datos personales eliminando identificadores directos como nombre o DNI (porque eso es codificar o seudonimizar datos). Debiendo recurrir a la Dictamen 05/2014 sobre técnicas de anonimización del Grupo de Trabajo sobre protección de datos del Artículo 29 (actualmente el EDPB), el cual, establece que un proceso puede calificarse de anonimización cuando resiste los tres tipos de riesgo siguientes:

• -Singularización o la posibilidad de aislar algunos o todos los registros que identifican a una persona en el conjunto de datos;
• Vinculabilidad o la capacidad de relacionar al menos dos registros relativos al mismo interesado o a un grupo de interesados en la misma base de datos o en distintas. 
• Inferencia o la capacidad de deducir, con un alto grado de probabilidad, el valor de un atributo a partir de los valores de un conjunto de otros atributos.

Volviendo al caso de CEGEDIM, la CNIL observó que, en la creación del observatorio:

• Se recopilaba una cantidad muy significativa de datos sobre los pacientes (incluyendo su año de nacimiento, género, categoría socioprofesional, alergias, historial médico, altura, peso, diagnósticos, prescripciones médicas, bajas por enfermedad y resultados de pruebas) a través del software utilizado por sus médicos.
• Estos datos estaban vinculados a un identificador único asignado a cada paciente por su médico, lo que permitía combinar transmisiones sucesivas del mismo médico y reconstruir de manera efectiva el historial médico del paciente. De hecho, el inspector de este caso pudo rastrear el recorrido médico de un niño de 12 años con una enfermedad de larga duración utilizando un extracto de los datos proporcionados durante la investigación.

Volviendo a los tipos de riesgo mencionados anteriormente, la CNIL determinó que dada (i) la existencia de un identificador único, (ii) la exhaustividad de los datos recopilados y (iii) la posibilidad de combinar estos datos con información de terceros, el riesgo de identificación era demasiado alto para que los datos tratados pudieran considerarse anónimos.

Los almacenes de datos de salud o entrepôts de données dans le domaine de la santé

Otro de los incumplimientos de la Compañía que conllevaron a la sanción de 800.000€ fue el de la constitución ilegítima de un almacén de datos o entrepôts de données.  

Los almacenes de datos, figura únicamente aplicable a la jurisdicción francesa, se crean principalmente para recopilar y poner a disposición datos masivos (datos relativos a la atención médica del paciente, datos sociodemográficos, datos de investigaciones anteriores, registros de enfermedades, etc.) con el objetivo de que sean reutilizados para estudios, investigaciones y evaluaciones en el ámbito sanitario. Estos almacenes sólo se pueden crear bajo tres escenarios: (i) con el consentimiento de los interesados (ii) si se realiza en base a una misión de interés público o (iii) solicitando una autorización a la CNIL. 

En el caso de CEGEDIM, la CNIL consideró que la creación del observatorio constituía un almacén de datos debida a la recolección de datos de salud a gran escala, su actualización continua y la disponibilidad de los datos para su reutilización, para la creación del cual, la Compañía debería haber solicitado autorización de la CNIL porque no tenía el consentimiento de los pacientes ni actuaba en base a una misión de interés público. 

¿Qué aprendizajes nos llevamos de esta resolución? 

La resolución de la CNIL contra CEGEDIM nos enseña que es fundamental entender la diferencia entre seudonimización y anonimización. Aunque CEGEDIM alegó que los datos eran anónimos, la CNIL determinó que seguían siendo identificables, lo que implica que seguían sujetos a las obligaciones del RGPD. Esto resalta la necesidad de aplicar técnicas de anonimización rigurosas para evitar cualquier posibilidad de reidentificación de los datos.

Además, destaca la obligación de obtener autorización previa para crear almacenes de datos de salud, algo que CEGEDIM no hizo. El tratamiento masivo de datos de salud para su reutilización debe cumplir con normas estrictas, y no hacerlo puede resultar en sanciones económicas significativas. Este punto, no es totalmente aplicable a la jurisdicción española pero es algo que a futuro probablemente sí lo sea, se puede utilizar como referencia en la reutilización de datos de salud.