Índice
La CNIL ha sancionado a IQVIA OPERATIONS FRANCE con una multa de 5 millones de euros por la deliberación SAN-2026-008 del 26 de mayo de 2026, hecha pública el 28 de mayo de 2026 (la formación restringida había tenido sesión el 26 de marzo de 2026). El procedimiento se refería a dos almacenes de datos de salud explotados por la filial del grupo estadounidense IQVIA: LRX, autorizado en 2018 y alimentado por aproximadamente 14,000 farmacias francesas, y EMR, autorizado en 2021 y alimentado por varios miles de médicos. La deliberación sostiene que los datos tratados afectarían a varias decenas de millones de personas - año de nacimiento, sexo, prescripciones, diagnósticos, síntomas, alergias, elementos socio-profesionales e identificador único del recorrido de atención. La reguladora ordena paralelamente una puesta en conformidad en un plazo de seis meses, bajo pena de una sanción de 10,000 euros por día de retraso, según el comunicado oficial de la CNIL. La empresa se reserva el derecho de apelar. La multa queda por debajo del techo del 4 % del volumen de negocios anual mundial consolidado fijado en el artículo 83 del RGPD.
Un alcance que supera a IQVIA: 102 operadores comparten la misma arquitectura
Al 1 de septiembre de 2025, el portal esante.gouv.fr registraba 125 almacenes de datos de salud autorizados por la CNIL, gestionados por 102 actores distintos - editores farmacéuticos, organismos de investigación pública, plataformas aseguradoras, estructuras hospitalarias convencionadas. Todos se basan en el mismo componente técnico: la seudonimización de los datos de pacientes antes de abrir a un uso secundario. El razonamiento sostenido por la reguladora contra IQVIA - la seudonimización no equivale a anonimización para la entidad que posee las claves - apunta por construcción a un rasgo de arquitectura, no a una particularidad del expediente. La CNIL ya había hecho de los datos de salud un eje explícito de su doctrina a través de su convocatoria de proyectos dedicada. La deliberación del 26 de mayo de 2026 extiende este fundamento doctrinal a la calificación jurídica misma, y expone estructuralmente a cada uno de los otros 101 operadores, en tanto que controlador inicial poseedor de las claves de reidentificación, a la misma interpretación - con reserva de las arquitecturas técnicas propias de cada dispositivo, ya sea de la industria farmacéutica, del seguro o de la investigación pública.
Seudonimización: un componente de arquitectura alcanzado por la calificación del controlador inicial
Para un DSI que explota un almacén, la seudonimización es una capa técnica: tabla de correspondencia cifrada por un lado, conjuntos de datos derivados por otro. La defensa de IQVIA se apoyaba en esta separación, basándose en el fallo del TJUE C-413/23 P EDPS contra SRB del 4 de septiembre de 2025 - el EDPS, controlador europeo de protección de datos, contra el Consejo de Resolución Único, autoridad bancaria cuyo régimen de referencia (reglamento 2018/1725, equivalente institucional del RGPD aplicable a las instituciones de la Unión) se transpone aquí de manera idéntica. El Tribunal de Luxemburgo estableció que la seudonimización es un estatus relativo al observador: mientras la entidad conserve las claves de reidentificación, los datos siguen siendo de carácter personal - calificación que la CNIL transpone al RGPD a través de las definiciones paralelas de los artículos 4(1) y 4(5). «Las medidas de seudonimización solo tienen el efecto de reducir los riesgos de correlación... pero no de eliminarlos», sostuvo la formación restringida. Para el responsable del almacén, la consecuencia arquitectónica es clara: mientras la tabla de correspondencia esté en su perímetro operativo, el régimen de datos personales se aplica a todo el sistema, y no solo a la zona que aún contiene identificadores directos. A este fundamento de calificación se añaden cinco incumplimientos técnicos y procedimentales documentados: información insuficiente a las personas afectadas, derecho de oposición inoperante en la práctica, ausencia de autenticación multifactor en el almacén EMR, registros de conexión no analizados de manera regular, notificaciones de información inexactas - a los que se añade el hecho de que ninguna de las farmacias controladas informaba a sus clientes sobre la transmisión. Queda un matiz de arquitectura que el fallo SRB plantea explícitamente y que la decisión de la CNIL no resuelve: si un destinatario no dispone de medios razonablemente susceptibles de ser utilizados para relacionar los datos con una persona identificable, los datos seudonimizados no constituyen, para él, datos personales. En otras palabras, dos componentes de una misma cadena pueden estar sujetos a regímenes diferentes según su acceso a las claves. La sanción apunta a IQVIA en tanto que controlador inicial; no prejuzga el régimen aplicable a terceros que reciben extracciones sin acceso a la tabla de reidentificación.
Dos horizontes regulatorios definen la ventana de preparación de los equipos técnicos
Para un DSI o un CTO que explota un almacén hoy en día, el estatus de los terceros destinatarios sigue pendiente de dos plazos que delimitan la ventana de preparación operativa. El reglamento UE 2025/327 del 11 de febrero de 2025 que instituye el Espacio Europeo de Datos de Salud fija para el mes de marzo de 2029 la entrada en aplicación de su componente de uso secundario, que organizará precisamente las condiciones técnicas de acceso a los datos seudonimizados por parte de terceros - investigación académica, industriales farmacéuticos, autoridades públicas. ActuIA detallaba los cinco casos de uso canónicos del futuro EEDS desde la fase de negociación del texto. Mientras este componente no sea aplicable, el régimen de cada flujo saliente - extracciones, API de terceros, comparticiones de proyecto - sigue pendiente de arbitraje caso por caso sobre la base del RGPD iluminado por el fallo SRB. El otro horizonte es doctrinal: el Comité Europeo de Protección de Datos (EDPB) organizó el 12 de diciembre de 2025 un evento de partes interesadas acompañado de un discussion paper, destinado a integrar el aporte de SRB en sus directrices 01/2025 sobre la seudonimización. La deliberación SAN-2026-008 fija el régimen aplicable al responsable de tratamiento poseedor de las claves; para los flujos hacia terceros sin acceso a las claves, las directrices del EDPB 01/2025 - cuya consulta pública se cerró a finales de 2025 - proporcionarán la respuesta, su finalización siguiendo el calendario habitual de 12 a 18 meses post-consulta, es decir, 2027 como muy pronto.