Secondo un nuovo studio, nonostante i recenti sforzi per affrontare il problema, i siti web di carattere medico continuano a essere sfruttati per raccogliere dati sanitari, comprese informazioni mediche personali, in un’apparente violazione del diritto alla privacy dei pazienti da parte delle Big Tech. Lo sostiene uno studio della società di sicurezza informatica Feroot Security, che ha rilevato sui siti web specializzati in salute alcuni dei pixel di tracciamento “firmati” da Google, Microsoft, Meta e ByteDance (la parent company di TikTok).
Feroot ha analizzato centinaia di siti Web di assistenza sanitaria e telemedicina e ha scoperto che oltre l’86% raccoglie e trasferisce dati senza ottenere il consenso dell’utente. Oltre il 73% delle pagine di accesso e registrazione dispone di tracker che espongono informazioni sanitarie personali. Secondo il rapporto, circa il 15% dei pixel di tracciamento identificati da Feroot leggono e raccolgono i tasti digitati dall’utente, il che significa che potrebbero identificare numeri di previdenza sociale, nomi, indirizzi e-mail, date di appuntamenti, indirizzi IP, informazioni di fatturazione e persino una diagnosi e un trattamento medico.
I tracker inseriscono una piccola porzione di codice su un sito Web e registrano il modo in cui un utente interagisce con la pagina. Quindi, il tracker invia un pacchetto di informazioni sull’utente all’azienda tecnologica che lo ha posizionato. I dati raccolti possono fornire informazioni sull’analisi dei siti Web, sulle campagne di marketing e sul targeting degli annunci. Può anche essere trasferito fuori dagli Stati Uniti o dall’Europa se la società ospitante ha sede in un altro Paese. Nel caso degli Stati Uniti, se le informazioni sanitarie personali sono raccolte tramite un tracker o terze parti senza il consenso dell’utente ciò rappresenterebbe una violazione dell’Health Insurance Portability and Accountability Act, noto come HIPAA, secondo l’amministratore delegato di Feroot Ivan Tsarynny. Le informazioni sulla salute personale possono includere qualsiasi cosa, dalle attuali condizioni di salute mentale o fisica alle informazioni di fatturazione. In Italia ed Europa si violano una serie di leggi sulla privacy di paragonabile portata all’HIPAA.
I rappresentanti di Facebook, Google e Microsoft hanno negato l’uso dei loro pixel di tracciamento per raccogliere dati sensibili. Un portavoce di Google ha detto che i proprietari del sito, non Google, hanno il controllo su come vengono raccolte le informazioni e che il sito deve informare gli utenti su qualsiasi raccolta di dati. La politica di analisi di terze parti di Google vieta ai clienti di raccogliere informazioni sanitarie protette per alimentare i banner pubblicitari personalizzati. Un portavoce di Facebook sostiene che qualsiasi utilizzo dell’invio di dati sensibili tramite strumenti aziendali e di analisi è contrario alla politica aziendale e ha aggiunto che il sistema è progettato per filtrare i dati sensibili. TikTok non ha risposto a una richiesta di commento di Bloomberg
“Mentre le Big Tech hanno politiche che parlano di protezione delle informazioni sanitarie, l’applicazione di queste politiche nel mondo reale è una storia diversa”, ha detto Tsarynny in una e-mail. Il rapporto non indica siti Web specifici o istanze da cui sono state estratte informazioni mediche. Secondo una dichiarazione del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, le aziende sanitarie sono responsabili della protezione dei dati sanitari personali dalla divulgazione a siti Web di terzi. Secondo il punto di vista di Iliana Peters, avvocato specializzato in privacy presso lo studio legale Polsinelli PC negli States, le pagine web che richiedono un login pongono una preoccupazione maggiore poiché i dati personali sono esposti a terzi, creando potenziali azioni legali sulla privacy se l’utente non ha concesso il consenso.
Il rapporto di Feroot sostiene inoltre che i suoi ricercatori hanno trovato il tracker analitico di TikTok su alcuni siti Web. Secondo un articolo di Bloomberg Law di maggio, il governo degli Stati Uniti e 38 stati hanno adottato un divieto totale o parziale della popolare app sui dispositivi governativi. Inoltre, oltre il 4% dei siti web sanitari analizzati da Feroot caricava strumenti di tracciamento o trasferiva dati di pazienti ad aziende vietate da ordini esecutivi federali e statali.
Lo studio di Feroot segue altre notizie o cause legali che hanno cercato di evidenziare o affrontare la questione. Ad esempio, un’indagine del 2022 di The Markup ha trovato il tracker Meta pixel sui siti web di un terzo dei 100 migliori ospedali degli Stati Uniti. Quel tracker ha poi inviato i dati dei pazienti da quei siti a Facebook, ha rilevato l’indagine. Nel dicembre 2022, HHS ha pubblicato linee guida sulle tecnologie di tracciamento e sulla conformità HIPAA. Per esempio, secondo le linee guida dell’HHS, le aziende e le organizzazioni sanitarie non sono autorizzate a utilizzare la tecnologia di tracciamento se le informazioni sanitarie protette potrebbero essere divulgate a terzi.
Da allora, secondo l’avvocato Valerie Montague di Nixon Peabody LLP, sono aumentati i contenziosi sulla condivisione di informazioni, anche da parte della Federal Trade Commission e degli uffici dei procuratori generali statali. A luglio, HHS e FTC hanno inviato lettere a 130 organizzazioni sanitarie avvisandole della potenziale divulgazione di dati ai tracker e dei rischi derivanti dall’utilizzo dei tracker di Google e Facebook. Secondo le linee guida della FTC pubblicate a marzo, le aziende sanitarie sono responsabili del monitoraggio dei trasferimenti di dati sanitari .
