La CNIL ha sanzionato IQVIA OPERATIONS FRANCE con una multa di 5 milioni di euro con deliberazione SAN-2026-008 del 26 maggio 2026, resa pubblica il 28 maggio 2026 (la sessione ristretta si era tenuta il 26 marzo 2026). La procedura riguardava due magazzini di dati sanitari gestiti dalla filiale del gruppo americano IQVIA: LRX, autorizzato nel 2018 e alimentato da circa 14.000 farmacie francesi, ed EMR, autorizzato nel 2021 e alimentato da diverse migliaia di medici. La deliberazione sostiene che i dati trattati riguarderebbero diverse decine di milioni di persone - anno di nascita, sesso, prescrizioni, diagnosi, sintomi, allergie, elementi socio-professionali e identificativo unico del percorso di cura. Il regolatore ordina parallelamente una messa in conformità entro sei mesi, sotto pena di una penalità di 10.000 euro per ogni giorno di ritardo, secondo il comunicato ufficiale della CNIL. La società si riserva il diritto di fare appello. La multa rimane sotto il limite del 4% del fatturato annuo mondiale consolidato fissato all'articolo 83 del RGPD.
Un impatto che supera IQVIA: 102 operatori condividono la stessa architettura
Al 1° settembre 2025, il portale esante.gouv.fr recensiva 125 magazzini di dati sanitari autorizzati dalla CNIL, gestiti da 102 attori distinti - editori farmaceutici, organismi di ricerca pubblica, piattaforme assicurative, strutture ospedaliere convenzionate. Tutti si basano sullo stesso componente tecnico: la pseudonimizzazione dei dati dei pazienti prima dell'apertura a un uso secondario. Il ragionamento adottato dal regolatore contro IQVIA - la pseudonimizzazione non equivale ad anonimizzazione per l'entità che detiene le chiavi - mira per costruzione a un tratto di architettura, non a una particolarità del dossier. La CNIL aveva già fatto dei dati sanitari un asse esplicito della sua dottrina tramite il suo bando di progetti dedicato. La deliberazione del 26 maggio 2026 estende questo fondamento dottrinale alla qualificazione giuridica stessa, ed espone strutturalmente ciascuno degli altri 101 operatori, in quanto controllore iniziale detentore delle chiavi di reidentificazione, alla stessa griglia di lettura - sotto riserva delle architetture tecniche proprie di ciascun dispositivo, che si tratti dell'industria farmaceutica, dell'assicurazione o della ricerca pubblica.
Pseudonimizzazione: un componente architetturale ripreso dalla qualificazione del controllore iniziale
Per un DSI che gestisce un magazzino, la pseudonimizzazione è uno strato tecnico: tabella di corrispondenza cifrata da un lato, insiemi di dati derivati dall'altro. La difesa di IQVIA si basava su questa separazione, appoggiandosi alla sentenza CJUE C-413/23 P EDPS contro SRB del 4 settembre 2025 - l'EDPS, controllore europeo della protezione dei dati, contro il Consiglio di risoluzione unico, autorità bancaria il cui regime di riferimento (regolamento 2018/1725, pendant istituzionale del RGPD applicabile alle istituzioni dell'Unione) si applica qui in modo identico. La Corte di Lussemburgo ha stabilito che la pseudonimizzazione è uno status relativo all'osservatore: finché l'entità conserva le chiavi di reidentificazione, i dati restano a carattere personale - qualificazione che la CNIL trasferisce al RGPD tramite le definizioni parallele degli articoli 4(1) e 4(5). «Le misure di pseudonimizzazione hanno solo l'effetto di ridurre i rischi di correlazione... ma non di eliminarli», ha stabilito la sessione ristretta. Per il responsabile del magazzino, la conseguenza architetturale è chiara: finché la tabella di corrispondenza è nel suo perimetro operativo, il regime dei dati personali si applica all'intero sistema, e non solo all'area che contiene ancora identificativi diretti. A questo fondamento di qualificazione si aggiungono cinque mancanze tecniche e procedurali documentate: informazione insufficiente delle persone interessate, diritto di opposizione reso inefficace in pratica, assenza di autenticazione multifattoriale sul magazzino EMR, registri di connessione non analizzati regolarmente, avvisi informativi inesatti - a cui si aggiunge il fatto che nessuna delle farmacie controllate informava i propri clienti della trasmissione. Resta una sfumatura architetturale che la sentenza SRB porta esplicitamente e che la decisione CNIL non risolve: se un destinatario non dispone dei mezzi ragionevolmente suscettibili di essere utilizzati per collegare i dati a una persona identificabile, i dati pseudonimizzati non costituiscono, per lui, dati personali. In altre parole, due componenti di una stessa catena possono ricadere in regimi diversi a seconda del loro accesso alle chiavi. La sanzione mira IQVIA in quanto controllore iniziale; non pregiudica il regime applicabile ai terzi che ricevono estrazioni senza accesso alla tabella di reidentificazione.
Due orizzonti regolamentari definiscono la finestra di preparazione dei team tech
Per un DSI o un CTO che gestisce un magazzino oggi, lo status dei destinatari terzi rimane sospeso a due scadenze che delimitano la finestra di preparazione operativa. Il regolamento UE 2025/327 dell'11 febbraio 2025 che istituisce lo Spazio europeo dei dati sanitari fissa al mese di marzo 2029 l'entrata in vigore della sua parte sull'uso secondario, che organizzerà precisamente le condizioni tecniche di accesso ai dati pseudonimizzati da parte di terzi - ricerca accademica, industrie farmaceutiche, autorità pubbliche. ActuIA dettagliava i cinque casi d'uso canonici del futuro EEDS già nella fase di negoziazione del testo. Finché questa parte non è applicabile, il regime di ciascun flusso uscente - estrazioni, API terzi, condivisioni progetto - rimane da decidere caso per caso sulla base del RGPD illuminato dalla sentenza SRB. L'altro orizzonte è dottrinale: il Comitato europeo per la protezione dei dati (EDPB) ha organizzato il 12 dicembre 2025 un evento per le parti interessate basato su un discussion paper, destinato a integrare il contributo di SRB nelle sue linee guida 01/2025 sulla pseudonimizzazione. La deliberazione SAN-2026-008 stabilisce il regime applicabile al responsabile del trattamento detentore delle chiavi; per i flussi verso terzi senza accesso alle chiavi, le linee guida EDPB 01/2025 - la cui consultazione pubblica si è chiusa nel 2025 - forniranno la risposta, con la loro finalizzazione seguendo il calendario abituale di 12-18 mesi post-consultazione, ovvero 2027 al più presto.