DESDE LA AUTORIDAD DE PROTECCIÓN DE DATOS DE FRANCIA: COVID-19 – aviso formal a Francetest por insuficiente seguridad de los datos sanitarios
This post is also available in:
Italiano 
English 
Français
El Presidente de la CNIL ha enviado un requerimiento a la empresa privada Francetest para que asegure los datos sanitarios que recoge en nombre de las farmacias durante las pruebas de detección COVID-19. También se dirigió a más de 300 farmacias para comprobar su cumplimiento del RGPD y de la obligación de seguridad.
Los controles y la decisión de la CNIL
El 27 de agosto de 2021, la CNIL recibió una denuncia anónima que indicaba la existencia de un fallo de seguridad que afectaba a francetest.fr, un sitio web publicado por una empresa privada.
Esta infracción afectaba a los datos utilizados por Francetest en el marco de un servicio que ofrece a las farmacias para simplificar la recogida de datos de los pacientes que se someten a las pruebas antigénicas del SRAS-CoV-2 y facilitar su transmisión a la plataforma SI-DEP (un fichero implantado por el Ministerio de Solidaridad y Sanidad para centralizar los resultados de las pruebas).
La CNIL realizó controles en línea e in situ para investigar las circunstancias de esta violación de datos y verificar las medidas adoptadas para garantizar la seguridad de los datos. La base de datos expuesta afectaba a 386.970 individuos únicos e incluía sus apellidos, nombre, dirección de correo electrónico, número de teléfono, fecha de nacimiento, resultado de la prueba (positivo o negativo) y número de la seguridad social (NIR).
La CNIL constató que la empresa había tomado ciertas medidas para remediar la vulnerabilidad que causó la violación de datos. Sin embargo, el servicio Francetest sigue presentando varias deficiencias en cuanto a la seguridad de los datos. Los datos sanitarios son alojados por un proveedor que no tiene la aprobación de HDS (alojamiento de datos sanitarios), los procesos de autenticación no son lo suficientemente robustos, los procedimientos criptológicos utilizados son débiles y el registro (grabación de las acciones de las personas que acceden a la herramienta) de las actividades del servidor es inadecuado.
Por ello, el presidente de la CNIL ha decidido emplazar a la empresa a tomar todas las medidas necesarias para garantizar la seguridad de los datos sanitarios que trata por cuenta de cientos de farmacias. La empresa tiene dos meses para hacerlo.
Dada la sensibilidad de los datos tratados y la necesidad de informar a todos los interesados de la existencia de violaciones persistentes de la seguridad de los datos, se hace pública esta notificación formal.
Además, como Francetest es un subcontratista de cientos de farmacias responsables de la realización operativa de las pruebas antigénicas, la CNIL envió una carta a más de 300 farmacias afectadas. En esta carta, el Presidente recuerda a las farmacias la importancia de garantizar la seguridad de los datos sanitarios y sus obligaciones en el marco de las relaciones con sus proveedores de servicios.
Los datos sanitarios en el centro de la acción de la CNIL
Estas diversas acciones llevadas a cabo por la CNIL se enmarcan en su estrategia de control para el año 2021, que se centra en la ciberseguridad de la web francesa y en la seguridad de los datos sanitarios.
También son una extensión natural de las múltiples campañas de control llevadas a cabo por la CNIL para hacer frente a los retos que plantea el contexto sanitario, especialmente en materia de seguridad de los datos sanitarios.
Además de su estrategia represiva, la CNIL también persigue su misión de apoyar a los agentes afectados en sus esfuerzos por cumplir la ley. Por ejemplo, ha enviado una carta al Conseil national de l’ordre des pharmaciens (CNOP) en la que pide a la profesión que esté más atenta al tratamiento de datos personales que realiza.
Además, en las próximas semanas se someterá a consulta pública en el sitio web de la CNIL un proyecto de marco de referencia sobre el tratamiento de datos personales para la gestión de las farmacias.
