El diagnóstico es definitivo y la prescripción dura para Doctissimo que recibeuna sanción financiera de 380.000 euros por parte de la CNIL. Recordemos que el portal de información médica era propiedad de TF1 antes de ser comprado por Reworld Media en junio de 2022. Los hechos alegados por el regulador se remontan al verano de 2020 tras una denuncia presentada por la asociación Privacy International. Planteó varios delitos relacionados con el procesamiento de datos personales en virtud del RGPD. Allá CNIL investigó y actuó como ventanilla única para otros reguladores europeos, también preocupados por el asunto.

En el punto de mira de la Comisión, están en primer lugar los cuestionarios disponibles en el sitio sobre diferentes temas: cáncer de colon, endometriosis, etc. La Cnil destaca estas pruebas por varios motivos. El plazo de conservación de los datos de 24 meses se considera excesivo y no justificado. Además, la anonimización solicitada por Doctissimo a su subcontratista que organiza las pruebas no es efectiva. De hecho, el proveedor de servicios ha implementado un sistema de hash de direcciones IP en SHA 256, sin clave hash, lo que a los ojos de la CNIL no constituye un medio de anonimización. Aún sobre la retención de datos, la formación restringida señaló que Doctissimo conservaba información, sin anonimización, de cuentas de usuarios que habían estado inactivas durante 3 años. Finalmente, el sitio no había implementado un mecanismo para recopilar el consentimiento para estas pruebas “a fin de garantizar que el usuario conocía y aceptaba el procesamiento de su información”. datos de saludconsidera especialmente sensible.

Cookies sin consentimiento y seguridad obsoleta

Esta cuestión del consentimiento se remonta a la política de cookies de Doctissimo. Durante su investigación, la CNIL constató que “se colocaron dos cookies en su terminal nada más llegar a la página de inicio del sitio web” sin poder rechazarlas. El regulador reitera su posición y su política en materia de cookies dejando un período transitorio a las empresas hasta el 1ejem Abril de 2021 para instalar los botones “Rechazar” o “Continuar sin aceptar”.

Por último, los medios de seguridad de los datos personales se consideran demasiado débiles. La navegación en HTTP y no en HTTPS está siendo abordada por el regulador, que recuerda que no es una obligación, sino una buena práctica. Sin embargo, precisa que, en vista de los datos sensibles que gestiona el sitio de información médica, éste tuvo que adoptar HTTPS. Asimismo, la formación restringida observa que proteger el almacenamiento de contraseñas está obsoleto al depender del algoritmo hash MD5. Este último “ya no se considera el estado de la técnica desde 2004 y su uso en criptografía o seguridad está prohibido”.

A raíz de todas estas denuncias, la CNIL impuso a Doctissimo una multa de 380.000 euros. La sanción se desglosa en 280.000 euros por infracciones de los artículos 5-1-e), 9-2, 26 y 32 del RGPD. Y 100.000 euros por incumplimientos del artículo 82 del RGPD.