Parecer CADA – Naturalização Portuguesa Roman Abramovich
10 de Maio, 2022Conferência Tribunais e Regulamento Geral de Proteção de Dados @CEJ
26 de Maio, 2022
A 15 de abril a autoridade de controlo francesa – CNIL – aplicou uma coima de € 1. 5000. 000 60 à Dedalus Biology por esta não ter assegurado as condições de segurança necessárias para a proteção de dados de saúde (artigo 9.º do RGPD) numa migração de dados entre software distinto. Esta ação afetou 500 00 titulares de dados.
Trata-se, já, de uma das mais importantes decisões das autoridades de proteção de dados no domínio da segurança da informação pessoal na área da saúde.
Leia artigo em inglês aqui.
Abaixo encontra em francês um excerto:
60.
En premier lieu, la formation restreinte relève qu’il ressort des constations effectuées par la CNIL que la société ne disposait pas de procédure spécifique établie s’agissant des opérations de migration de données. Aucune mesure de sécurité n’était notamment prévue pour l’envoi des données, pourtant sensibles au sens de l’article 9 du RGPD. Les fichiers d’extractions de données étaient donc envoyés " en clair " (c’est-à-dire lisibles directement, car non transformées préalablement via une fonction de hachage), sans aucune mesure de chiffrement ou de sécurité.
61. La formation restreinte considère que la société n’a pas pris la mesure des problèmes de sécurité qu’elle rencontrait à l’époque, lesquels ont fini par aboutir à la violation de données de février 2021 ayant concerné près de 500 000 personnes.
62. En troisième lieu, la formation restreinte note que plusieurs mesures de sécurité élémentaires en matière de sécurité faisaient défaut en l’espèce. La formation restreinte note d’abord que les données à caractère personnel stockées sur le serveur FTP MEGABUS n’étaient pas chiffrées et étaient donc directement lisibles, alors qu’il s’agit de données sensibles qui, de par leur nature, nécessitent des mesures de sécurité particulières.
76. Les données concernées par la violation sont des données de santé, lesquelles sont des catégories particulières de données au sens de l’article 9 du RGPD (dites données " sensibles "). Compte tenu de la nature des données concernées, la formation restreinte considère que la société aurait dû faire preuve d’une vigilance particulière en ce qui concerne la sécurisation de telles données, pour éviter qu’elles puissent être réutilisées par des tiers non autorisés, portant ainsi préjudice aux personnes concernées par la violation de données. Or les négligences commises en matière de sécurité ont été multiples et particulièrement graves, alors que la société traite de données sensibles et qu’elle avait d’ores et déjà été alertée sur l’existence potentielle de risques, dont certains se sont réalisés. La formation restreinte considère que le manquement ayant conduit à la violation de données est d’une particulière gravité.
82. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements aux articles 28, paragraphe 3, 29 et 32 du RGPD.
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
- prononcer à l’encontre de la société DEDALUS BIOLOGIE une amende administrative d’un montant de 1 500 000 (un million cinq cent mille) euros ;
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.