{"id":7306,"date":"2024-09-16T19:50:57","date_gmt":"2024-09-16T19:50:57","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=7306"},"modified":"2024-09-16T19:56:02","modified_gmt":"2024-09-16T19:56:02","slug":"cnil-sanziona-cegedim-sante-violazioni-gdpr","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/","title":{"rendered":"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari"},"content":{"rendered":"\n<h3 class=\"wp-block-heading\" id=\"h-introduzione\"><strong>Introduzione<\/strong><\/h3>\n\n\n\n<div data-wp-interactive=\"core\/file\" class=\"wp-block-file\"><object data-wp-bind--hidden=\"!state.hasPdfPreview\" hidden class=\"wp-block-file__embed\" data=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/1726324344962-it.pdf\" type=\"application\/pdf\" style=\"width:100%;height:600px\" aria-label=\"Embed of 1726324344962 it.\"><\/object><a id=\"wp-block-file--media-250f68de-6045-4bee-a452-9a25b858eb45\" href=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/1726324344962-it.pdf\">1726324344962 it<\/a><a href=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/1726324344962-it.pdf\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-250f68de-6045-4bee-a452-9a25b858eb45\">Download<\/a><\/div>\n\n\n\n<p>In data 5 settembre 2024, la CNIL (Commission Nationale de l&#8217;Informatique et des Libert\u00e9s) ha emesso la deliberazione n. SAN-2024-013, sanzionando la societ\u00e0 CEGEDIM SANT\u00c9 per violazioni delle normative in materia di protezione dei dati personali, in particolare per il mancato rispetto del GDPR (Regolamento Generale sulla Protezione dei Dati) e della legge francese n. 78-17 del 6 gennaio 1978, nota come Legge sull&#8217;informatica, i file e le libert\u00e0.&nbsp;<\/p>\n\n\n\n<p>Questa sanzione \u00e8 il risultato di un&#8217;indagine che ha evidenziato gravi lacune nella gestione dei dati sanitari raccolti e trattati dall&#8217;azienda attraverso i suoi software gestionali utilizzati dai medici e dalle strutture sanitarie.&nbsp;<\/p>\n\n\n\n<p>Il caso rappresenta un&#8217;importante lezione per tutte le organizzazioni che operano nel settore sanitario, poich\u00e9 sottolinea la necessit\u00e0 di garantire una protezione adeguata dei dati sensibili.&nbsp;<\/p>\n\n\n\n<p>Il presente contributo viene inviato per fare il punto tra dato anonimo e dato pseudo anonimizzato&nbsp; gi\u00e0 trattato in questo corso nelle precedenti lezioni&nbsp;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-riassunto-della-vicenda-storica\"><strong>Riassunto della vicenda storica<\/strong><\/h3>\n\n\n\n<p>Il gruppo CEGEDIM, di cui CEGEDIM SANT\u00c9 fa parte, \u00e8 specializzato nella gestione digitale dei flussi sanitari tra i professionisti del settore e sviluppa software specifici per la gestione delle attivit\u00e0 mediche, come il software CROSSWAY, utilizzato da circa 25.000 studi medici e 500 centri sanitari. Questo software permette ai medici di gestire l&#8217;agenda, le cartelle cliniche e le prescrizioni dei pazienti.<\/p>\n\n\n\n<p>Nel corso del 2020, la CNIL ha avviato un&#8217;indagine su CEGEDIM SANT\u00c9 per verificare la conformit\u00e0 delle sue pratiche di trattamento dei dati personali alla normativa vigente.<\/p>\n\n\n\n<p>&nbsp;L&#8217;indagine \u00e8 stata condotta a seguito di preoccupazioni riguardo alla gestione di un &#8220;osservatorio&#8221; sanitario creato dall&#8217;azienda, al quale i medici potevano aderire per condividere dati estratti dalle cartelle cliniche dei pazienti per fini statistici e di studio, offrendogli in cambio sconti sull&#8217;utilizzo del software.<\/p>\n\n\n\n<p>La CNIL ha eseguito un controllo presso la sede dell&#8217;azienda il 30 marzo 2021 e ha richiesto ulteriori documenti e chiarimenti nel corso del 2021 e del 2023.&nbsp;<\/p>\n\n\n\n<p>Durante questo processo, l&#8217;azienda ha collaborato con l&#8217;ente regolatore, ma sono emerse diverse irregolarit\u00e0 che hanno portato alla formulazione di un rapporto che accusava l&#8217;azienda di violare specifici articoli del GDPR, in particolare l&#8217;articolo 5(1)(a), relativo al trattamento lecito, equo e trasparente dei dati personali.<\/p>\n\n\n\n<p>L&#8217;indagine della CNIL ha evidenziato che CEGEDIM SANT\u00c9 aveva creato un archivio di dati sanitari&nbsp;<strong>pseudonimizzati<\/strong>, raccogliendo informazioni dettagliate dai pazienti tramite il software CROSSWAY.&nbsp;<\/p>\n\n\n\n<p>Tuttavia, la CNIL ha stabilito che questi dati non erano realmente&nbsp;<strong>anonimi<\/strong>, poich\u00e9 l&#8217;utilizzo di identificatori univoci per ciascun paziente consentiva di tracciare la loro storia clinica, rendendo possibile la re-identificazione.<\/p>\n\n\n\n<p>Questo ha sollevato preoccupazioni sul rispetto delle normative sulla privacy, in quanto l&#8217;azienda non aveva adottato le necessarie misure per garantire la piena tutela dei diritti dei pazienti, inclusa&nbsp;<strong>l&#8217;assenza di un consenso esplicito per la raccolta e l&#8217;utilizzo dei loro dati a fini di ricerca.<\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-differenza-tra-dato-anonimo-e-dato-pseudonimizzato\"><strong>Differenza tra Dato Anonimo e Dato Pseudonimizzato<\/strong><\/h3>\n\n\n\n<p>Uno degli aspetti centrali della deliberazione CNIL contro CEGEDIM SANT\u00c9 riguarda la distinzione fondamentale tra dati anonimi e dati pseudonimizzati, concetto che spesso genera confusione, ma che ha implicazioni significative per la conformit\u00e0 al GDPR e alla normativa sulla protezione dei dati personali.<\/p>\n\n\n\n<p><strong>Dato Anonimo<\/strong><\/p>\n\n\n\n<p>I dati anonimi sono informazioni che non possono pi\u00f9 essere ricondotte a una persona fisica identificata o identificabile, neanche con l\u2019utilizzo di ulteriori dati o strumenti.<\/p>\n\n\n\n<p>&nbsp;In altre parole, una volta che i dati sono stati anonimizzati, \u00e8 impossibile risalire all\u2019identit\u00e0 del soggetto a cui si riferiscono, nemmeno utilizzando altre fonti o tecnologie avanzate.&nbsp;<\/p>\n\n\n\n<p><strong>Il GDPR non si applica ai dati anonimi<\/strong>, poich\u00e9 non costituiscono pi\u00f9 dati personali. Perch\u00e9 un dato sia considerato anonimo, deve superare rigorosi test che impediscono l\u2019individuazione dell\u2019interessato anche con tecniche avanzate.&nbsp;<\/p>\n\n\n\n<p>La vera anonimizzazione implica che il rischio di re-identificazione sia praticamente nullo, considerando anche l&#8217;evoluzione delle tecnologie e delle tecniche di elaborazione dei dati.<\/p>\n\n\n\n<p>Un esempio di dato anonimo potrebbe essere l\u2019aggregazione di dati demografici su larga scala, dove non vi \u00e8 alcun collegamento possibile tra l\u2019informazione e un individuo specifico.<\/p>\n\n\n\n<p><strong>Dato Pseudonimizzato<\/strong><\/p>\n\n\n\n<p>Il dato pseudonimizzato, invece, \u00e8 un dato personale che \u00e8 stato trasformato in modo tale che non possa pi\u00f9 essere direttamente associato a un individuo senza l\u2019uso di informazioni aggiuntive.&nbsp;<\/p>\n\n\n\n<p>Questa informazione aggiuntiva, che consente di &#8220;rimuovere&#8221; la pseudonimizzazione, \u00e8 generalmente conservata separatamente e protetta da misure tecniche e organizzative.&nbsp;<\/p>\n\n\n\n<p>Tuttavia, a differenza dei dati anonimi, i dati pseudonimizzati possono essere re-identificati se si dispone di tali informazioni supplementari.<\/p>\n\n\n\n<p>Secondo il GDPR, i dati pseudonimizzati rientrano ancora nella definizione di dati personali e quindi sono soggetti a tutte le regole e le tutele previste dal Regolamento, inclusa la necessit\u00e0 di consenso per il loro trattamento e l\u2019applicazione di misure di sicurezza adeguate.&nbsp;<\/p>\n\n\n\n<p>Un esempio di dato pseudonimizzato potrebbe essere l&#8217;uso di un codice alfanumerico unico per identificare un paziente all&#8217;interno di un database medico, dove solo l\u2019ente che detiene la chiave per decodificare il codice pu\u00f2 risalire all\u2019identit\u00e0 del paziente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-implicazioni-normative\"><strong>Implicazioni Normative<\/strong><\/h3>\n\n\n\n<p>Nel caso di CEGEDIM SANT\u00c9, la CNIL ha stabilito che i dati trattati dall&#8217;azienda erano pseudonimizzati, e non anonimi come sostenuto dalla societ\u00e0.&nbsp;<\/p>\n\n\n\n<p>Questo ha implicato l\u2019applicazione delle severe misure previste dal GDPR, tra cui l&#8217;obbligo di ottenere il consenso esplicito dei pazienti e la necessit\u00e0 di attuare misure di protezione adeguate per prevenire la re-identificazione.&nbsp;<\/p>\n\n\n\n<p>Questa distinzione \u00e8 essenziale perch\u00e9 i dati pseudonimizzati, pur offrendo un livello di protezione maggiore rispetto ai dati personali non trattati, non garantiscono l&#8217;anonimato completo e, pertanto, sono ancora soggetti alle normative sulla protezione dei dati.<\/p>\n\n\n\n<p>Durante l\u2019indagine della CNIL, \u00e8 emerso che CEGEDIM SANT\u00c9 trattava i dati sanitari dei pazienti in modo da permettere il monitoraggio continuo delle loro storie cliniche all\u2019interno degli studi medici che utilizzavano il software gestionale CROSSWAY.&nbsp;<\/p>\n\n\n\n<p>I dati trattati includevano informazioni mediche e amministrative sensibili, come diagnosi, prescrizioni mediche, dati biometrici, e la storia delle consultazioni mediche.<\/p>\n\n\n\n<p>Questi dati, per\u00f2, non erano stati resi anonimi, come dichiarato inizialmente dall&#8217;azienda, ma risultavano pseudonimizzati. Ci\u00f2 significa che i dati erano stati modificati per rimuovere gli identificatori diretti (ad esempio, il nome o il codice fiscale dei pazienti), ma potevano ancora essere associati a individui specifici tramite l&#8217;uso di informazioni supplementari, come un identificatore univoco collegato al paziente per uno specifico medico.&nbsp;<\/p>\n\n\n\n<p>Questi identificatori pseudonimi permettevano all&#8217;azienda di tracciare la storia clinica di ciascun paziente nel tempo all&#8217;interno dello stesso studio medico o clinica.<\/p>\n\n\n\n<p>La&nbsp; CNIL&nbsp; ha stabilito che i dati trattati da CEGEDIM SANT\u00c9 non erano anonimizzati, poich\u00e9 era possibile collegare i diversi record relativi allo stesso paziente e ricostruire la loro storia medica, il che implicava un rischio concreto di re-identificazione.&nbsp;<\/p>\n\n\n\n<p>Come detto, secondo il GDPR, i dati anonimi non possono essere ricollegati a un individuo, mentre i dati pseudonimizzati possono esserlo, sebbene con un livello di difficolt\u00e0 aggiuntivo.<\/p>\n\n\n\n<p>La CNIL ha argomentato che il livello di protezione offerto dalla pseudonimizzazione non era sufficiente per garantire la completa tutela della privacy degli interessati.&nbsp;<\/p>\n\n\n\n<p>In particolare, il sistema di pseudonimizzazione adottato consentiva a CEGEDIM SANT\u00c9&nbsp; di monitorare longitudinalmente le informazioni sui pazienti, associando diverse consultazioni e trattamenti allo stesso identificatore pseudonimo. Questa operazione permetteva di mantenere una cronologia dettagliata del percorso sanitario dei pazienti, con il rischio che queste informazioni potessero essere re-identificate tramite l&#8217;uso di ulteriori dati.<\/p>\n\n\n\n<p>Un esempio evidente citato nel rapporto riguarda il fatto che i pazienti, anche se identificati solo tramite un codice alfanumerico univoco, potevano essere ricondotti alla loro identit\u00e0 reale qualora fosse stato utilizzato un set aggiuntivo di dati o se il codice pseudonimo fosse stato collegato a informazioni accessibili a terzi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-implicazioni-giuridiche\"><strong>Implicazioni giuridiche<\/strong><\/h3>\n\n\n\n<p>La pseudonimizzazione, pur essendo una misura tecnica utile per ridurre i rischi legati alla privacy, non esonera dall\u2019obbligo di conformit\u00e0 al GDPR.<\/p>\n\n\n\n<p>&nbsp;Secondo l&#8217;articolo 4 del GDPR, i dati pseudonimizzati rimangono dati personali poich\u00e9, con informazioni aggiuntive, \u00e8 ancora possibile risalire all&#8217;identit\u00e0 delle persone.&nbsp;<\/p>\n\n\n\n<p>Pertanto, CEGEDIM SANT\u00c9 era tenuta a rispettare tutti i requisiti previsti dal Regolamento, inclusa l&#8217;ottenimento del consenso esplicito per il trattamento dei dati sanitari e l\u2019adozione di misure di sicurezza adeguate per garantire la protezione contro la re-identificazione.<\/p>\n\n\n\n<p>Nel caso in esame, la CNIL ha anche osservato che CEGEDIM SANT\u00c9* non aveva implementato sufficienti salvaguardie per garantire che i dati fossero effettivamente anonimi o che non potessero essere re-identificati, il che ha portato alla contestazione formale per violazione delle norme sulla protezione dei dati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-creazione-di-un-data-warehouse-sanitario\"><strong>Creazione di un &#8220;Data Warehouse&#8221; sanitario<\/strong><\/h3>\n\n\n\n<p>Un altro elemento cruciale che \u00e8 emerso durante l&#8217;indagine della <strong>CNIL<\/strong> su <strong>CEGEDIM SANT\u00c9<\/strong> riguarda la creazione di un archivio di dati sanitari, tecnicamente definito come un <strong>\u201cData Warehouse sanitario\u201d<\/strong>. <\/p>\n\n\n\n<p>Questo tipo di infrastruttura, che consiste nella raccolta, conservazione e gestione di grandi volumi di dati sanitari per fini statistici o di ricerca, comporta particolari obblighi legali e normativi, soprattutto in relazione alla protezione dei dati personali.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-definizione-e-caratteristiche-di-un-data-warehouse-sanitario\"><strong>Definizione e caratteristiche di un Data Warehouse sanitario<\/strong><\/h4>\n\n\n\n<p>Un <strong>Data Warehouse sanitario<\/strong> \u00e8 un archivio elettronico che raccoglie, aggrega e organizza dati sanitari su larga scala. Pu\u00f2 essere utilizzato per diverse finalit\u00e0, tra cui la ricerca medica, l&#8217;analisi statistica sulla gestione della salute pubblica, e la produzione di studi epidemiologici. Questo tipo di infrastruttura \u00e8 particolarmente utile per analizzare le tendenze sanitarie e migliorare la qualit\u00e0 dei servizi sanitari, ma, proprio per la natura sensibile dei dati trattati, richiede l&#8217;adozione di rigide misure di sicurezza e il rispetto di norme specifiche per proteggere i diritti e le libert\u00e0 degli individui.<\/p>\n\n\n\n<p>Nel caso di <strong>CEGEDIM SANT\u00c9<\/strong>, la <strong>CNIL<\/strong> ha evidenziato che l&#8217;azienda aveva costituito, attraverso il software <strong>CROSSWAY<\/strong>, un archivio sanitario che raccoglieva dati provenienti dalle cartelle cliniche dei pazienti. Tali dati erano poi utilizzati per studi statistici e analisi di vario tipo, che l&#8217;azienda forniva ai propri clienti. In particolare, <strong>CEGEDIM SANT\u00c9<\/strong> offriva a un panel di medici la possibilit\u00e0 di aderire a un osservatorio sanitario, estraendo periodicamente i dati clinici dei pazienti dai loro software gestionali e mettendoli a disposizione dei clienti dell&#8217;azienda per finalit\u00e0 di studio e ricerca.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-obblighi-legali-legati-ai-data-warehouse-sanitari\"><strong>Obblighi legali legati ai Data Warehouse sanitari<\/strong><\/h4>\n\n\n\n<p>Secondo la normativa francese e il <strong>GDPR<\/strong>, la creazione di un Data Warehouse sanitario comporta l&#8217;adozione di una serie di misure specifiche per garantire la tutela dei dati personali, soprattutto quando questi dati sono utilizzati per finalit\u00e0 di ricerca o analisi statistiche. Gli obblighi principali includono:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Autorizzazione preventiva della CNIL<\/strong>: L&#8217;azienda deve ottenere un\u2019autorizzazione specifica dall&#8217;autorit\u00e0 garante (CNIL) prima di poter trattare dati sanitari su larga scala. Questa autorizzazione serve a verificare che i processi di raccolta, archiviazione e utilizzo dei dati siano conformi alle norme di protezione dei dati, che includono misure di sicurezza adeguate per prevenire la re-identificazione dei soggetti.<\/li>\n\n\n\n<li><strong>Conformit\u00e0 a quadri normativi specifici<\/strong>: In alternativa all&#8217;autorizzazione, il trattamento pu\u00f2 essere legittimato se conforme a specifici <strong>modelli di riferimento<\/strong> stabiliti dalla CNIL, che dettano le regole per la gestione dei dati sanitari in un contesto di ricerca o statistica. In ogni caso, \u00e8 necessario inviare una <strong>dichiarazione di conformit\u00e0<\/strong> alla CNIL, dimostrando che il trattamento rispetta tali modelli.<\/li>\n\n\n\n<li><strong>Obbligo di minimizzazione dei dati<\/strong>: Un principio cardine del <strong>GDPR<\/strong> \u00e8 che devono essere trattati solo i dati strettamente necessari per raggiungere gli obiettivi prefissati (principio di minimizzazione). Ci\u00f2 significa che le aziende devono limitare la raccolta di dati e le informazioni trattate devono essere adeguatamente depersonalizzate o pseudonimizzate.<\/li>\n\n\n\n<li><strong>Trasparenza e consenso<\/strong>: Le persone interessate devono essere chiaramente informate del trattamento dei loro dati sanitari e, nella maggior parte dei casi, \u00e8 necessario ottenere il loro consenso esplicito. In mancanza di consenso, il trattamento deve essere giustificato da un interesse pubblico rilevante o altre basi giuridiche previste dalla normativa.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-violazioni-rilevate-dalla-cnil\"><strong>Violazioni rilevate dalla CNIL<\/strong><\/h3>\n\n\n\n<p>Nel caso di <strong>CEGEDIM SANT\u00c9<\/strong>, la <strong>CNIL<\/strong> ha riscontrato che l&#8217;azienda non aveva ottenuto le necessarie autorizzazioni per costituire e gestire il proprio Data Warehouse sanitario. In particolare:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Mancata autorizzazione preventiva<\/strong>: L&#8217;azienda non aveva richiesto alcuna autorizzazione alla CNIL per la creazione di un archivio di dati sanitari. Questo rappresenta una violazione dell\u2019articolo 66 della legge francese sull\u2019informatica, i file e le libert\u00e0, che impone l&#8217;obbligo di ottenere un\u2019autorizzazione per il trattamento di dati sanitari, in particolare quando sono coinvolti dati pseudonimizzati o sensibili.<\/li>\n\n\n\n<li><strong>Assenza di conformit\u00e0 a modelli di riferimento<\/strong>: <strong>CEGEDIM SANT\u00c9<\/strong> non aveva nemmeno dimostrato la conformit\u00e0 a un modello di riferimento stabilito dalla CNIL per il trattamento di dati sanitari a fini di ricerca o analisi. Di conseguenza, l&#8217;azienda non era in regola con gli obblighi di trasparenza e sicurezza richiesti dalla normativa.<\/li>\n\n\n\n<li><strong>Inadeguata gestione del consenso<\/strong>: L&#8217;azienda non aveva implementato meccanismi adeguati per ottenere il consenso esplicito dai pazienti per il trattamento dei loro dati sanitari a fini di ricerca e statistica, violando cos\u00ec il principio fondamentale della trasparenza previsto dal GDPR.<\/li>\n<\/ol>\n\n\n\n<p>La <strong>mancanza di consenso esplicito<\/strong> per il trattamento dei dati sanitari \u00e8 una grave violazione del GDPR, specialmente per quanto riguarda le informazioni sensibili come quelle mediche. <\/p>\n\n\n\n<p>La <strong>CNIL<\/strong> ha evidenziato che l&#8217;azienda in questione non ha ottenuto il consenso <strong>informato ed esplicito<\/strong> da parte dei pazienti per raccogliere e utilizzare i loro dati sanitari. <\/p>\n\n\n\n<p>Nel trattamento dei dati sanitari, il consenso deve essere <strong>esplicito, chiaro e specifico<\/strong> poich\u00e9 si tratta di informazioni particolarmente sensibili, tutelate in modo rigoroso dal GDPR. Ci\u00f2 significa che l&#8217;interessato deve compiere un&#8217;azione inequivocabile, come firmare un modulo o selezionare un&#8217;opzione chiaramente descritta, che indichi consapevolmente l&#8217;autorizzazione al trattamento. Non basta fornire un consenso generico o implicito (es. scorrendo una pagina web), ma il soggetto deve essere adeguatamente informato sulle finalit\u00e0 e sulle modalit\u00e0 di utilizzo dei dati, con possibilit\u00e0 di revoca in qualsiasi momento.<\/p>\n\n\n\n<p>Questo principio di consenso esplicito tutela l&#8217;autonomia decisionale dell&#8217;individuo, che deve poter esercitare pieno controllo sulle proprie informazioni personali, soprattutto in un ambito cos\u00ec delicato come quello sanitario.<\/p>\n\n\n\n<p>Questa mancanza di conformit\u00e0 con le norme sul consenso mette a rischio la privacy dei pazienti e potrebbe comportare sanzioni significative per l&#8217;azienda, come previsto dal regolamento europeo. La trasparenza \u00e8 essenziale, e ogni entit\u00e0 che gestisce dati sensibili deve fornire informazioni chiare sulle modalit\u00e0 di trattamento e sulle finalit\u00e0, in modo che il paziente possa esprimere un consenso effettivamente informato.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-implicazioni-della-classificazione-del-data-warehouse-sanitario\"><strong>Implicazioni della classificazione del Data Warehouse sanitario<\/strong><\/h3>\n\n\n\n<p>La classificazione come Data Warehouse sanitario ha avuto importanti implicazioni legali per <strong>CEGEDIM SANT\u00c9<\/strong>. La gestione di un archivio sanitario di questa portata richiede un livello molto elevato di sicurezza e conformit\u00e0, e il mancato rispetto di tali obblighi ha comportato gravi sanzioni da parte della CNIL. L&#8217;azienda si \u00e8 trovata non solo a dover affrontare le conseguenze di una violazione del GDPR, ma anche a dover rivedere interamente le proprie procedure di trattamento dei dati sanitari.<\/p>\n\n\n\n<p>Il caso di <strong>CEGEDIM SANT\u00c9<\/strong> rappresenta un chiaro esempio di come la gestione impropria di un Data Warehouse sanitario possa esporre un&#8217;azienda a rischi significativi in termini di conformit\u00e0 normativa. La creazione di tali archivi richiede non solo una corretta autorizzazione, ma anche il rispetto di standard elevati per la sicurezza e la protezione dei dati, specialmente quando si tratta di informazioni sensibili come quelle relative alla salute. Le aziende devono assicurarsi di operare in conformit\u00e0 con i requisiti legali, garantendo il rispetto dei diritti degli interessati e adottando tutte le misure necessarie per prevenire eventuali violazioni.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-le-sanzioni\">Le sanzioni<\/h3>\n\n\n\n<p>In caso di violazioni del GDPR, la CNIL pu\u00f2 imporre sanzioni amministrative significative, tra cui multe fino al 4% del fatturato globale annuo o fino a 20 milioni di euro, a seconda di quale importo sia maggiore. La CNIL valuta la gravit\u00e0 della violazione utilizzando una serie di criteri stabiliti dall\u2019art. 83 del GDPR, come la natura, la gravit\u00e0 e la durata della violazione, il numero di persone colpite e il livello di cooperazione dell\u2019azienda. Oltre alle multe, la CNIL pu\u00f2 ordinare l\u2019adeguamento delle operazioni di trattamento dei dati per conformarsi alla normativa.<\/p>\n\n\n\n<p>Nel caso di <strong>CEGEDIM SANT\u00c9<\/strong>, la <strong>CNIL<\/strong> ha irrogato una sanzione amministrativa in conformit\u00e0 con il GDPR per le violazioni riscontrate nel trattamento dei dati sanitari. La multa \u00e8 stata determinata tenendo conto di diversi <strong>criteri<\/strong>:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Gravit\u00e0 della violazione<\/strong>: La natura sensibile dei dati trattati (sanitari) ha aggravato l&#8217;infrazione.<\/li>\n\n\n\n<li><strong>Durata e numero di persone coinvolte<\/strong>: L&#8217;azienda ha trattato i dati senza un adeguato consenso esplicito per un periodo prolungato.<\/li>\n\n\n\n<li><strong>Cooperazione dell&#8217;azienda<\/strong>: Il livello di collaborazione offerto durante le indagini \u00e8 stato considerato.<\/li>\n<\/ol>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Introduzione In data 5 settembre 2024, la CNIL (Commission Nationale de l&#8217;Informatique et des Libert\u00e9s) ha emesso la deliberazione n. SAN-2024-013, sanzionando la societ\u00e0 CEGEDIM SANT\u00c9 per violazioni delle normative in materia di protezione dei dati personali, in particolare per il mancato rispetto del GDPR (Regolamento Generale sulla Protezione dei Dati) e della legge francese [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":7307,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44],"tags":[],"class_list":["post-7306","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-rovescio"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v23.3 (Yoast SEO v25.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari - PB Consulting<\/title>\n<meta name=\"description\" content=\"Scopri come la CNIL ha sanzionato CEGEDIM SANT\u00c9 per violazioni del GDPR e la gestione inadeguata dei dati sanitari pseudonimizzati.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari\" \/>\n<meta property=\"og:description\" content=\"Scopri come la CNIL ha sanzionato CEGEDIM SANT\u00c9 per violazioni del GDPR e la gestione inadeguata dei dati sanitari pseudonimizzati.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2024-09-16T19:50:57+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-09-16T19:56:02+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1024\" \/>\n\t<meta property=\"og:image:height\" content=\"1024\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"15 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/\",\"name\":\"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg\",\"datePublished\":\"2024-09-16T19:50:57+00:00\",\"dateModified\":\"2024-09-16T19:56:02+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"description\":\"Scopri come la CNIL ha sanzionato CEGEDIM SANT\u00c9 per violazioni del GDPR e la gestione inadeguata dei dati sanitari pseudonimizzati.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#primaryimage\",\"url\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg\",\"contentUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg\",\"width\":1024,\"height\":1024},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari - PB Consulting","description":"Scopri come la CNIL ha sanzionato CEGEDIM SANT\u00c9 per violazioni del GDPR e la gestione inadeguata dei dati sanitari pseudonimizzati.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/","og_locale":"en_US","og_type":"article","og_title":"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari","og_description":"Scopri come la CNIL ha sanzionato CEGEDIM SANT\u00c9 per violazioni del GDPR e la gestione inadeguata dei dati sanitari pseudonimizzati.","og_url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2024-09-16T19:50:57+00:00","article_modified_time":"2024-09-16T19:56:02+00:00","og_image":[{"width":1024,"height":1024,"url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg","type":"image\/jpeg"}],"author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"15 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/","url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/","name":"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#primaryimage"},"image":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#primaryimage"},"thumbnailUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg","datePublished":"2024-09-16T19:50:57+00:00","dateModified":"2024-09-16T19:56:02+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"description":"Scopri come la CNIL ha sanzionato CEGEDIM SANT\u00c9 per violazioni del GDPR e la gestione inadeguata dei dati sanitari pseudonimizzati.","breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#primaryimage","url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg","contentUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/09\/64hB49vfQfuuq2RYK7-hkQ.jpg","width":1024,"height":1024},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/cnil-sanziona-cegedim-sante-violazioni-gdpr\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Sanzione CNIL a CEGEDIM SANT\u00c9: violazioni GDPR e la gestione dei dati sanitari"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=7306"}],"version-history":[{"count":3,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7306\/revisions"}],"predecessor-version":[{"id":7313,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/7306\/revisions\/7313"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media\/7307"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=7306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=7306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=7306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}