La pseudonimizzazione dei dati sanitari non basta per sottrarsi all’applicazione del GDPR: sanzione da 5 milioni di euro a IQVIA
La gestione dei dati sanitari continua a rappresentare uno dei terreni più delicati e scivolosi per chi si occupa di protezione dei dati personali. Lo dimostra la recente sanzione da 5 milioni di euro inflitta dall'autorità francese per la protezione dei dati (CNIL), alla società IQVIA Operations France, filiale del gruppo multinazionale specializzato nell'analisi di dati sanitari e nella realizzazione di studi per il settore farmaceutico. La decisione, pubblicata il 28 maggio 2026, assume particolare rilievo non soltanto per l'importo della multa, ma soprattutto per i principi che riafferma in materia di trattamento di dati relativi alla salute.
La IQVIA svolge attività di consulenza e di ricerca, anche per conto di aziende farmaceutiche, utilizzando grandi archivi di dati sanitari autorizzati dalla stessa CNIL. In particolare, la società si avvaleva di due distinti database: il primo, (denominato LRX), alimentato dai dati raccolti presso circa 14.000 farmacie francesi; il secondo, (denominato EMR), costruito grazie alle informazioni provenienti da migliaia di medici. Attraverso tali banche dati venivano realizzati studi su patologie, trattamenti e percorsi terapeutici.
Secondo la CNIL, tuttavia, la società non avrebbe rispettato le condizioni e le garanzie previste nelle autorizzazioni rilasciate dall'autorità. Le violazioni contestate riguardano innanzitutto l'informazione degli interessati. Molti cittadini non sarebbero stati adeguatamente informati del fatto che i propri dati sanitari venivano raccolti e utilizzati nell'ambito di tali sistemi di analisi. Parallelamente, la società non avrebbe predisposto modalità efficaci per consentire alle persone di esercitare i propri diritti, compreso quello di opposizione al trattamento.
Ulteriori criticità sono state rilevate sul fronte della sicurezza e della governance dei dati. La CNIL ha infatti ritenuto che IQVIA non avesse adottato tutte le misure richieste per limitare i rischi connessi alla gestione di archivi contenenti informazioni così sensibili. Proprio il mancato rispetto delle specifiche prescrizioni contenute nelle autorizzazioni amministrative ha costituito uno degli elementi centrali della decisione sanzionatoria.
Uno degli aspetti più interessanti del provvedimento riguarda però la distinzione tra dati anonimizzati e dati pseudonimizzati. Richiamando la sentenza C-413/23 della Corte di giustizia dell’Unione europea del 4 settembre 2025, nel corso del procedimento IQVIA aveva sostenuto che le informazioni trattate fossero ormai anonime e che, pertanto la normativa sulla protezione dei dati personali non fosse applicabile, ma la CNIL ha respinto questa tesi, affermando che i dati conservavano natura personale poiché la reidentificazione degli interessati risultava ragionevolmente possibile.
I database contenevano infatti un'enorme quantità di informazioni riferibili ai pazienti: anno di nascita, sesso, dati sulle prescrizioni, indicazioni sul medico consultato e, nel caso dell'archivio EMR, ulteriori elementi quali situazione familiare, numero di figli, categoria socio-professionale, diagnosi, sintomi, allergie, vaccinazioni, esami clinici e persino informazioni relative ad eventuali periodi di malattia. Tali dati erano inoltre collegati a un identificativo univoco che consentiva di seguire nel tempo il percorso sanitario di ciascun individuo.
Secondo l'autorità francese, proprio la presenza di questo identificativo, unita alla profondità delle informazioni raccolte e alla possibilità di incrociarle con dati pubblicamente accessibili, rendeva troppo elevato il rischio di reidentificazione. Di conseguenza, i dati dovevano essere considerati soltanto pseudonimizzati e non realmente anonimi, con la piena applicazione delle regole previste dal GDPR.
Tra le violazioni riscontrate, la CNIL ha contestato a IQVIA le violazioni dell'obbligo di rispettare le autorizzazioni rilasciate dalla stessa autorità francese (art. 66 della Legge francese sulla protezione dei dati), e la mancata informazione degli interessati in merito al data warehouse (art. 14 del GDPR)
Nel determinare l'importo della sanzione, la CNIL ha tenuto conto di diversi fattori aggravanti: la particolare sensibilità dei dati trattati, il numero estremamente elevato di persone coinvolte, pari a decine di milioni di individui, la posizione di rilievo occupata da IQVIA nel mercato dei servizi di analisi sanitaria e la sua capacità economica. Oltre alla multa, la società è stata destinataria di specifiche ingiunzioni volte a eliminare alcune delle irregolarità riscontrate entro sei mesi, con la previsione di una penalità di 10.000 euro per ogni giorno di ritardo nell'adempimento.
La vicenda rappresenta un importante monito per tutte le organizzazioni che operano nel settore sanitario e delle life sciences. La pseudonimizzazione costituisce certamente una misura di sicurezza preziosa, ma non trasforma automaticamente i dati personali in dati anonimi, per cui occorre adottare estrema prudenza nel concludere frettolosamente che dopo la sentenza C-413/23 della Corte UE il concetto di dato personale sarebbe stato in qualche modo “svuotato”. Quando permane una ragionevole possibilità di risalire all'identità degli interessati, il GDPR continua ad applicarsi integralmente, imponendo obblighi stringenti in termini di trasparenza, tutela dei diritti e adeguatezza delle misure di sicurezza.
Fonte: Commission Nationale de l'Informatique et des Libertés
