Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 21 000 euro mot Menarini Silicon Biosystems S.p.A. (MSB) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att MSB är ett forskningsföretag inom livsvetenskap och ingår i läkemedelskoncernen Menarini. Garante genomförde en tillsyn av företaget på eget initiativ för att bedöma om dess forskningsverksamhet uppfyllde kraven i GDPR. Garante fokuserade särskilt på utvecklingen av CellFind, ett programvaruverktyg för screening av cancer genom analys av blodprover.
CellFind baserades på bildigenkänningsalgoritmer som skiljde cancerceller från friska celler. MSB utvecklade dessa algoritmer genom att träna ett AI-bildigenkänningssystem på datamängder bestående av bilder av blodceller. CellFinds algoritm var låst, i den meningen att de som använde verktyget inte kunde vidareutveckla eller ändra det på något sätt. MSB tränade CellFind på flera datamängder relaterade till olika typer av cancer. Varje datamängd bestod av bilder från både cancerpatienter och friska individer (som fungerade som kontrollgrupp). Datamängderna tillhandahölls av ett antal personuppgiftsbiträden och underbiträden, däribland ett amerikanskt dotterbolag till Menarini-koncernen. Alla registrerade fick ett integritetsmeddelande om behandlingen av deras personuppgifter och samtyckte till att deras uppgifter behandlades för att utveckla verktyget.
Garante tillsyn visade att MSB planerade att lagra personuppgifter under en obestämd tid, upp till maximalt 25 år. MSB uppgav att syftet med lagringen var att möjliggöra distribution, support och utfasning av CellFind i händelse av att MSB beslutade att göra det tillgängligt på marknaden. MSB uppgav att lagringstiden inte kunde fastställas på förhand utan måste utvärderas i ett senare skede, särskilt beroende på om MSB beslutade att göra CellFind tillgängligt på marknaden.
Garante ansåg dock att lagringen av personuppgifter inte var nödvändig för att stödja verktygets livscykel. I detta avseende påpekade Garante att CellFinds algoritm var låst och inte kunde tränas ytterligare efter verktygets införande. Garante drog därför slutsatsen att uppgifterna inte var nödvändiga för att stödja hela CellFinds (planerade) livscykel, och att MSB brutit mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR.
Garante tillsyn visade även att MSB angett två olika syften med behandlingen i de integritetsmeddelanden som lämnades till de registrerade; utveckling av nya produkter och utveckling av nya algoritmer. Under utredningen uppgav MSB dock att de två syftena var oskiljaktiga och i praktiken utgjorde ett enda syfte. Garante ansåg att integritetsmeddelandet kunde vilseleda de registrerade att tro att behandlingen har två syften istället för ett. Garante konstaterade därför att MSB dessutom överträtt artiklarna 5.1 (a) och 13 GDPR genom att tillhandahålla otydlig information till de registrerade.