Blog

Un software médico sancionado por realizar estudios de pacientes sin legitimación.

viernes, 20 de septiembre de 2024

Contexto

La empresa CEGEDIM comercializa un software de gestión médica, destinado a profesionales de la medicina, que ejercen su profesión en consultas privadas y centros sanitarios en Francia.

En el marco de su actividad, CEGEDIM ofrece a un grupo de médicos usuarios del software, la posibilidad de participar en un observatorio cuya finalidad es la realización de estudios y estadísticas en el ámbito de la salud.

Este observatorio se nutre de las historias clínicas de pacientes incorporadas al software por los médicos adheridos al observatorio. A cambio de la información facilitada, los médicos participantes se benefician de un descuento en la licencia de software, teniendo acceso además a los estudios y estadísticas elaboradas por CEGEDIM.

Inicio de investigaciones

En marzo de 2021, la CNIL abrió una investigación a CEGEDIM en relación con el uso de su software. Al término de la inspección, la autoridad de control constató que CEGEDIM había tratado y comunicado a sus clientes, sin base legal para ello, datos de salud con el fin de elaborar estudios y estadísticas.

En concreto, se concluyó que los datos de los pacientes utilizados para enriquecer el observatorio no eran anónimos, ya que su reidentificación era técnicamente posible. Asimismo, la autoridad consideró que cada paciente podía ser aislado de la base de datos, al tener vinculado un identificador único, de forma que su itinerario asistencial pudiera ser reconstruido. Por tanto, los datos utilizados constaban de forma seudonimizada, siendo plenamente aplicable las obligaciones derivadas de la normativa de protección de datos.

Infracciones

La CNIL impone una sanción a CEGECIM de 800.000 euros por:

1.     Tratar los datos de forma ilícita, incumpliendo el art. 5.1.a) del Reglamento General de Protección de datos (“RGPD”).

2.     Incumplir con los trámites preliminares dispuestos en la Ley de Protección de Datos francesa para el tratamiento de datos de salud.

Ver en medio original