Índice
A CNIL sancionou a IQVIA OPERATIONS FRANCE com uma multa de 5 milhões de euros por deliberação SAN-2026-008 de 26 de maio de 2026, tornada pública em 28 de maio de 2026 (a sessão restrita ocorreu em 26 de março de 2026). O processo visava dois armazéns de dados de saúde operados pela filial do grupo americano IQVIA: LRX, autorizado em 2018 e abastecido por cerca de 14.000 farmácias francesas, e EMR, autorizado em 2021 e abastecido por vários milhares de médicos. A deliberação conclui que os dados tratados poderiam envolver dezenas de milhões de pessoas - ano de nascimento, sexo, prescrições, diagnósticos, sintomas, alergias, elementos socioprofissionais e identificador único de histórico de cuidados. A reguladora ordena, paralelamente, uma conformidade dentro de seis meses, sob pena de uma penalidade de 10.000 euros por dia de atraso, segundo o comunicado oficial da CNIL. A empresa se reserva o direito de apelar. A multa permanece abaixo do teto de 4% do faturamento anual mundial consolidado estabelecido no artigo 83 do RGPD.
Um alcance que ultrapassa a IQVIA: 102 operadores compartilham a mesma arquitetura
Em 1 de setembro de 2025, o portal esante.gouv.fr listava 125 armazéns de dados de saúde autorizados pela CNIL, geridos por 102 atores distintos - editores farmacêuticos, organizações de pesquisa pública, plataformas de seguros, estruturas hospitalares convencionadas. Todos se baseiam no mesmo bloco técnico: a pseudonimização dos dados dos pacientes antes de serem abertos para um uso secundário. O raciocínio adotado pela reguladora contra a IQVIA - a pseudonimização não equivale a anonimização para a entidade que possui as chaves - visa, por construção, um traço de arquitetura, não uma particularidade do caso. A CNIL já havia feito dos dados de saúde um eixo explícito de sua doutrina através de seu apelo a projetos dedicados. A deliberação de 26 de maio de 2026 estende essa base doutrinal à qualificação jurídica em si, e expõe estruturalmente cada um dos outros 101 operadores, como controlador inicial detentor das chaves de reidentificação, à mesma grade de leitura - sujeita às arquiteturas técnicas próprias de cada dispositivo, seja ele da indústria farmacêutica, de seguros ou de pesquisa pública.
Pseudonimização: um bloco de arquitetura alcançado pela qualificação do controlador inicial
Para um DSI que opera um armazém, a pseudonimização é uma camada técnica: tabela de correspondência criptografada de um lado, conjuntos de dados derivados do outro. A defesa da IQVIA baseava-se nessa separação, apoiando-se na decisão do TJUE C-413/23 P EDPS contra SRB de 4 de setembro de 2025 - o EDPS, controlador europeu de proteção de dados, contra o Conselho de Resolução Única, autoridade bancária cujo regime de referência (regulamento 2018/1725, equivalente institucional do RGPD aplicável às instituições da União) se transpõe aqui de forma idêntica. O Tribunal de Luxemburgo estabeleceu que a pseudonimização é um status relativo ao observador: enquanto a entidade mantiver as chaves de reidentificação, os dados permanecem com caráter pessoal - qualificação que a CNIL transpõe ao RGPD através das definições paralelas dos artigos 4(1) e 4(5). "As medidas de pseudonimização têm apenas o efeito de reduzir os riscos de correlação... mas não de eliminá-los", decidiu a formação restrita. Para o responsável pelo armazém, a consequência de arquitetura é clara: enquanto a tabela de correspondência estiver em seu perímetro operacional, o regime de dados pessoais se aplica ao sistema inteiro, e não apenas à zona que ainda contém identificadores diretos. A esse núcleo de qualificação se somam cinco falhas técnicas e procedurais documentadas: informação insuficiente das pessoas envolvidas, direito de oposição tornado inoperante na prática, ausência de autenticação multifator no armazém EMR, registros de conexão não analisados regularmente, avisos de informação imprecisos - além da constatação de que nenhuma das farmácias controladas informava seus clientes sobre a transmissão. Resta uma nuance de arquitetura que a decisão SRB explicita e que a decisão da CNIL não resolve: se um destinatário não tiver meios razoavelmente suscetíveis de serem usados para associar os dados a uma pessoa identificável, os dados pseudonimizados não constituem, para ele, dados pessoais. Em outras palavras, dois componentes de uma mesma cadeia podem estar sujeitos a regimes diferentes dependendo de seu acesso às chaves. A sanção visa a IQVIA como controlador inicial; não prejudica o regime aplicável a terceiros que recebem extrações sem acesso à tabela de reidentificação.
Dois horizontes regulatórios definem a janela de preparação das equipes técnicas
Para um DSI ou CTO que opera um armazém hoje, o status dos terceiros destinatários permanece suspenso a duas datas que delimitam a janela de preparação operacional. O regulamento UE 2025/327 de 11 de fevereiro de 2025 que institui o Espaço Europeu de Dados de Saúde fixa para março de 2029 a entrada em vigor de seu componente de uso secundário, que organizará precisamente as condições técnicas de acesso aos dados pseudonimizados por terceiros - pesquisa acadêmica, indústrias farmacêuticas, autoridades públicas. A ActuIA detalhou os cinco casos de uso canônicos do futuro EEDS desde a fase de negociação do texto. Enquanto esse componente não for aplicável, o regime de cada fluxo de saída - extrações, APIs de terceiros, compartilhamentos de projeto - permanece a ser arbitrado caso a caso com base no RGPD iluminado pela decisão SRB. O outro horizonte é doutrinário: o Comitê Europeu de Proteção de Dados (EDPB) organizou em 12 de dezembro de 2025 um evento com partes interessadas associado a um discussion paper, destinado a integrar a contribuição do SRB em suas diretrizes 01/2025 sobre pseudonimização. A deliberação SAN-2026-008 estabelece o regime aplicável ao responsável pelo tratamento que detém as chaves; para os fluxos para terceiros sem acesso às chaves, as diretrizes EDPB 01/2025 - cuja consulta pública se encerrou no final de 2025 - fornecerão a resposta, sua finalização seguindo o calendário habitual de 12 a 18 meses pós-consulta, ou seja, 2027 no mais cedo.