La compañía sancionada prestaba servicios de consultoría y realizaba estudios por cuenta propia o en nombre de laboratorios farmacéuticos, para lo que utilizaba diversas bases de datos de salud (que recopilaban datos de diversas farmacias o médicos), cuya creación había sido autorizada por la autoridad de control francesa conforme a lo dispuesto en la normativa francesa.
Para obtener dicha autorización, habida cuenta del carácter sensible de los datos almacenados, la CNIL exigió diversas garantías que permitieran limitar los riesgos derivados de esta conservación y tratamiento de datos. No obstante, debido a que la autoridad de control recibió reclamaciones por la falta de transparencia en el tratamiento de estos datos, procedió a la realización de inspecciones tanto a la empresa consultora, como a farmacias asociadas.
Con ocasión de las investigaciones llevadas a cabo, se ha impuesto una sanción de 5 millones de euros por no respetar los términos y condiciones de las autorizaciones emitidas respecto a la obligación de informar a los titulares de datos, facilitar el ejercicio de sus derechos o aplicar medidas de seguridad adecuadas. En este sentido, se pone de manifiesto por la autoridad de control que no existía ninguna medida que permitiera analizar periódicamente los registros de conexión y, por lo tanto, detectar actividades anómalas, así como que no se había implementado la autenticación multifactor para acceder a los datos. Del mismo modo, tampoco se había desarrollado un procedimiento adecuado para que los titulares pudieran ejercer su derecho de oposición.
Si bien la consultora alegó que los datos conservados en las bases de datos eran anónimos (no resultando de aplicación la normativa de protección de datos), la CNIL ha declarado que únicamente habían sido seudonimizados, siendo posible la reidentificación de los sujetos utilizando medios razonables. En cada base de datos, la información estaba vinculada a un identificador único de cada paciente, permitiendo el seguimiento de su historial.
Adicionalmente, no se informó a los afectados de que sus datos eran cedidos por parte de las farmacias a esta compañía con las finalidades indicadas. En este sentido, se ha declarado que si bien la consultora encomendó a las farmacias (únicas en contacto directo con los interesados) proporcionar esta información en su nombre, era la consultora quien, como responsable del tratamiento, debía garantizar el cumplimiento de esta obligación.
Puede acceder a la resolución aquí.
