Στις 5 Σεπτεμβρίου 2024, η γαλλική αρχή προστασίας δεδομένων, CNIL, επέβαλε πρόστιμο ύψους 800.000 ευρώ στην εταιρεία CEGEDIM SANTÉ για παράνομη επεξεργασία δεδομένων υγείας χωρίς την απαραίτητη άδεια.
Πιο συγκεκριμένα, η CEGEDIM SANTÉ αναπτύσσει και εμπορεύεται λογισμικά διαχείρισης για ιατρούς και κέντρα υγείας. Περίπου 25.000 ιατρεία και 500 κέντρα υγείας χρησιμοποιούν τις λύσεις της εταιρείας για τη διαχείριση των ραντεβού, των ιατρικών φακέλων και των συνταγών των ασθενών.
Κατά τη διάρκεια επιθεωρήσεων που πραγματοποιήθηκαν το 2021, η CNIL ανακάλυψε ότι η εταιρεία επεξεργαζόταν μη ανωνυμοποιημένα δεδομένα υγείας που παρείχε στους πελάτες της για την εκπόνηση μελετών και στατιστικών στον τομέα της υγείας. Αυτή η επεξεργασία πραγματοποιήθηκε χωρίς την απαραίτητη άδεια, παραβιάζοντας τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).
Η CEGEDIM SANTÉ προσέφερε στους γιατρούς που χρησιμοποιούν το λογισμικό της την ευκαιρία να συμμετάσχουν σε ένα “παρατηρητήριο”, με τα δεδομένα να χρησιμοποιούνται κυρίως για ερευνητικούς σκοπούς. Ωστόσο, η CNIL διαπίστωσε ότι τα δεδομένα δεν ήταν ανώνυμα αλλά ψευδωνυμοποιημένα, καθώς υπήρχε η δυνατότητα επαναπροσδιορισμού της ταυτότητας των ατόμων μέσω της διασταύρωσης των πληροφοριών. Για την ακρίβεια, διαπιστώθηκε ότι η CEGEDIM SANTÉ είχε συλλέξει σημαντικό όγκο προσωπικών δεδομένων για τα άτομα που αφορούσε η επεξεργασία. Αυτά τα δεδομένα περιλάμβαναν πληροφορίες όπως το έτος γέννησης, το φύλο, την κοινωνικο-επαγγελματική κατηγορία, αλλεργίες, ιατρικό ιστορικό, ύψος, βάρος, διαγνώσεις, ιατρικές συνταγές, άδειες ασθενείας και αποτελέσματα ιατρικών αναλύσεων. Αυτά τα στοιχεία συνδέθηκαν με ένα μοναδικό αναγνωριστικό για κάθε ασθενή του ίδιου γιατρού, επιτρέποντας την παρακολούθηση των δεδομένων που διαβιβάζονταν διαδοχικά από τον ίδιο γιατρό για τον ίδιο ασθενή. Αυτό σήμαινε ότι η εταιρεία μπορούσε να ανασυνθέσει την πλήρη υγειονομική πορεία του ασθενούς.
Υπό αυτές τις συνθήκες, λαμβάνοντας υπόψη την ύπαρξη του μοναδικού αναγνωριστικού για κάθε ασθενή και το βάθος των δεδομένων που συλλέγει η CEGEDIM SANTÉ, κρίθηκε ότι ο κίνδυνος επαναταυτοποίησης των ατόμων ήταν ιδιαίτερα υψηλός. Επιπλέον, η δυνατότητα συνδυασμού των δεδομένων που κατέχει η εταιρεία με άλλα δεδομένα που κατέχουν τρίτοι αύξανε ακόμα περισσότερο τον κίνδυνο. Για τον λόγο αυτό, τα δεδομένα που επεξεργαζόταν η CEGEDIM SANTÉ δεν μπορούσαν να θεωρηθούν ανώνυμα.
Τέλος, όπως σημειώνει η γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων, όταν τα δεδομένα είναι ανώνυμα, δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα, γεγονός που σημαίνει ότι δεν εφαρμόζεται ο Γενικός Κανονισμός, κάτι που αντίθετα συμβαίνει στην περίπτωση εκείνη κατά την οποία τα δεδομένα είναι ψευδώνυμα, δηλαδή περιέχουν στοιχεία που επιτρέπουν την επαναταυτοποίηση ενός ατόμου μέσω πρόσθετων πληροφοριών.