Si la controversia sobre la decisión de la CNIL para validar la elección de Microsoft para alojar los datos sanitarios del programa europeo EMC2 (incluidos los de Seguros de Salud), el regulador se interesa mucho por el DPI (ficha informatizada del paciente). De hecho, la Comisión acaba de notificar formalmente a varios establecimientos de salud (sin dar nombres) por no tomar medidas para preservar la seguridad y confidencialidad de la información del DPI.

La CNIL, que ha recibido numerosas alertas, ha llevado a cabo varias comprobaciones entre 2020 y 2024. Los resultados muestran varias deficiencias. "Las medidas de seguridad informática y la política de gestión de las autorizaciones no han sido adecuadas en ocasiones", subraya en un comunicado de prensa. Esto significa que los profesionales sanitarios, que no tienen ningún vínculo asistencial con el paciente, han podido acceder a datos sensibles (informes de consultas y estancias hospitalarias, exámenes biológicos o radiológicos, prescripciones médicas, etc.). Sin embargo, la CNIL recuerda que la DPI debe beneficiarse de "medidas de seguridad reforzadas".

Medidas correctivas propuestas

Además de las notificaciones formales, el regulador ofrece soluciones a los establecimientos afectados. En primer lugar, es imperativo establecer una política de autenticación sólida, en particular con contraseñas suficientemente complejas. Además, la Comisión recomienda una gestión más estricta de las autorizaciones. Deben concederse de forma específica en función de las profesiones ejercidas; los derechos no son los mismos entre un médico y un miembro del personal administrativo.

Las medidas correctivas prevén excepciones. Así, en caso de urgencia, la política de autorización debe incluir un modo de "ruptura de cristal" que permita a los agentes administrativos y profesionales de la salud acceder a otros datos de cualquier paciente. Por último, la CNIL exige un seguimiento regular del acceso a la DPI para garantizar la trazabilidad y detectar los accesos fraudulentos e ilegítimos.