Después de la tragedia del Health Data Hub (HDH) Comenzó en 2019 con Microsoft Antes de ser pausado en 2022 Entonces Relanzado en mayo de 2023, todavía en la nube del editor estadounidense al menos hasta el tercer trimestre de 2025La CNIL acaba de poner una moneda en la máquina. No en el HDH como tal, sino en el hecho de validar la creación de un almacén de datos sanitarios basado en el tratamiento automatizado de datos personales (sexo, mes y año de nacimiento, municipio de residencia, etc.) alojados de nuevo en la nube de la empresa de Redmond. Hay que decir en su defensa que tiene mucha experiencia en este ámbito.

¿De qué se trata exactamente esta vez? El organismo regulador ha recibido una solicitud de autorización del grupo de interés público Plataforma de datos sanitarios (GIP PDS) para el tratamiento automatizado de datos personales con el fin de crear un almacén de datos en el ámbito sanitario. El objetivo de este almacén de datos, denominado EMC2, es avanzar en la investigación farmacoepidemiológica sobre los efectos a largo plazo de los tratamientos médicos. En una deliberación del 21 de diciembre de 2023, publicado únicamente el 31 de enero de 2024 en el Diario OficialNos enteramos de que la CNIL ha dado su acuerdo y ha validado la elección del GIP PDS de confiar su alojamiento a Microsoft. "Los datos del almacén se almacenarán en los centros de datos de Microsoft situados en Francia", ¿Podemos leer? En la sentencia se afirma que "de la información facilitada se desprende que, en vista del contrato con Microsoft y del funcionamiento de las operaciones de administración de la plataforma técnica, es posible que los datos técnicos sobre el uso de la plataforma (que no revelan ninguna información sanitaria) puedan ser transferidos a administradores ubicados en Estados Unidos".

La CNIL lamenta la falta de proveedores de servicios europeos

Sobre este último punto, la CNIL quiere ser tranquilizadora: "Estas transferencias de datos a Estados Unidos se rigen por las cláusulas contractuales tipo de la Comisión Europea. Los particulares deben ser específicamente informados de estas transferencias". Pero no es así en lo que respecta a los riesgos de acceso por parte de las autoridades estadounidenses: "El proveedor de alojamiento seleccionado por el GIP PDS pertenece a un grupo cuya empresa matriz está situada en Estados Unidos y está sujeta a la legislación de ese Estado. Por consiguiente, en aplicación de esta legislación, las autoridades estadounidenses corren el riesgo de enviar a Microsoft requerimientos judiciales para que comunique los datos que aloja". [...] El hecho es que los datos almacenados por un servidor sujeto a una legislación no europea pueden estar expuestos a un riesgo de comunicación a potencias extranjeras.

Lejos de sentirse en desacuerdo, el regulador aprovecha su decisión para dar una buena patada en el trasero a quienes tienen derecho a ella: "la CNIL deplora que ningún proveedor de servicios capaz de responder actualmente a las necesidades expresadas por el GIP PDS proteja los datos contra la aplicación de leyes extraterritoriales de terceros países". [...] En general, lamenta que la estrategia puesta en marcha para favorecer el acceso de los investigadores a los datos sanitarios no haya permitido estimular una oferta europea capaz de responder a esta necesidad. El contrato que vincula el GIP PDS con Microsoft tiene una duración de 3 años.