El 23 de febrero de 2021 el periódico Liberation publicó un artículo de prensa titulado “Información confidencial de 500.000 pacientes franceses robada de laboratorios y difundida en línea”, dando cuenta de la presencia de un archivo disponible para ser descargado de internet con datos médico-administrativos de casi 500.000 personas. Por tal motivo, la Comisión Nacional de Informática y Libertades de Francia (conocida como CNIL) inició actuaciones el 24 de febrero de 2021 contra la sociedad Dedalus Biologie y el 15 de abril de 2022 se dio a conocer la sanción contra una de las empresas responsables de la filtración.
La CNIL decidió sancionar a la empresa con una multa administrativa de un millón y medio de euros y con la publicación en el sitio Legifrance de la decisión. Sin embargo, la sanción es susceptible de ser apelada ante el Consejo de Estado.
En la actuación de la CNIL se detectó que la base publicada en internet contenía datos personales de 491.840 pacientes, entre ellos:
– datos de identificación: número de seguro social, apellidos, nombres, sexo, dirección postal, número de teléfono, dirección de correo electrónico, fecha de la última visita médica, fecha de nacimiento;
– dos columnas de comentarios que contienen información relativa a las patologías de los pacientes (VIH, cánceres, enfermedades genéticas), el estado del embarazo, los tratamientos farmacológicos seguidos por el paciente o incluso datos genéticos;
– datos de identificación del médico prescriptor: apellido, nombre, dirección postal, número de teléfono, dirección de correo electrónico;
– datos relativos al recolector de los datos: apellido, nombre, dirección, número de teléfono;
– datos relativos al fondo de seguridad social del paciente: ID de pago de terceros (serie de números), dirección postal, número de teléfono;
– una columna “identificador SR” y una columna “MP”, correspondientes, en cuanto a su contenido, a los identificadores y contraseñas utilizados por el paciente para conectarse a su espacio.
El problema se planteó por la forma en que la sociedad trató los datos provistos por distintos laboratorios. Para la CNIL, la empresa incumplió la obligación del artículo 28, apartado 3, del Reglamento Europeo de Protección de Datos Personales (RGPD), que establece que “El tratamiento por parte de un encargado se rige por un contrato u otro acto jurídico en virtud del derecho de la Unión o de un Estado miembro, que vincula al encargado con respecto al responsable, define el objeto y duración del tratamiento, la naturaleza y finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, y las obligaciones y derechos del responsable del tratamiento”. En tal sentido, se sostiene que los distintos documentos que rigen las relaciones contractuales entre la empresa subcontratista y los laboratorios no incluyen la información exigida por el artículo 28 del RGPD y que las condiciones de venta por las cuales los laboratorios contratan los servicios de Dedalus no incluyen ninguna de las informaciones requeridas por ese artículo.
Además, se verificó que hubo un incumplimiento de la obligación del subcontratista de tratar los datos personales únicamente siguiendo instrucciones del responsable del tratamiento. Para la CNIL, la sociedad ha tratado datos más allá de las instrucciones dadas por los responsables del tratamiento, lo que constituye una infracción del artículo 29 del RGPD, que dispone que “el procesador y cualquier persona que actúe bajo la autoridad del controlador o del procesador, que tenga acceso a datos personales, no puede procesar dichos datos, excepto por instrucciones del controlador, a menos que sea requerido para hacerlo. por el Derecho de la Unión o el Derecho de un Estado miembro”.
Finalmente, se sanciona a la empresa por el incumplimiento de la obligación de garantizar la seguridad de los datos (art. 32 del RGPD).
Informe de Jorge Nicolás Lafferriere