L’app di supporto psicologico che condivideva i dati sanitari con TikTok e Facebook

I dati sanitari sono il “bene digitale” che merita più protezione. Come abbiamo già spiegato in occasione del recente attacco ransomware contro l’ASL1 Abruzzo, il valore economico di quei dati è enorme (non a caso, il GDPR li indica come “categorie particolari di dati personali“). A tutto ciò si aggiunge un aspetto ancor più primario: occorre salvaguardare la dignità e i dettagli privati (in ambito sanitario) dei pazienti. Il digitale, dunque, ha un ruolo fondamentale in questa dinamica e – in alcuni casi – è proprio all’interno di piattaforme e applicazioni mobile che si configura una condivisione illecita di questi dati. Come successo nel mese di marzo a Cerebral, startup americana di telemedicina che ha tra le sue caratteristiche anche quella di fornire un supporto psicologico agli utenti.

LEGGI ANCHE > Perché gli attacchi informatici prendono di mira le aziende sanitarie pubbliche?

L’ammissione è arrivata dalla stessa Cerebral che ha spiegato – con una nota che ancora è presente sul fondo della homepage – come dal 2019 (anno della sua creazione), la piattaforma utilizzasse degli script (i “pixel”) forniti dalle aziende Big Tech. Si tratta di veri e propri tracker che, per loro natura, condividevano i dettagli degli utilizzatori dell’app (anche nella versione web) per scopi pubblicitari. Ora, dopo questa rilevazione, la stessa azienda statunitense ha detto di aver eliminato l’utilizzo di quei codici di tracciamento forniti da grandi aziende come Meta e Google. Il danno, però, è stato ormai fatto ed è andato avanti per tre anni e mezzo.

Cerebral, l’app di psicologi che condivideva dati sanitari

Quali dati sono stati condivisi? Leggendo il comunicato di Cerebral, la situazione è molto preoccupante:

«Se un individuo ha creato un account Cerebral, le informazioni divulgate potrebbero includere nome, numero di telefono, indirizzo e-mail, data di nascita, indirizzo IP, numero ID cliente e altre informazioni demografiche o. Se, oltre a creare un account, un individuo ha anche completato qualsiasi parte dell’autovalutazione della salute mentale online, le informazioni divulgate potrebbero includere anche il servizio selezionato dall’individuo, le risposte alla valutazione e alcune informazioni sulla salute associate.
Se, oltre a creare un account e completare l’autovalutazione della salute mentale online, un individuo ha anche acquistato un piano di abbonamento, le informazioni divulgate potrebbero includere anche il tipo di piano di abbonamento, le date dell’appuntamento e altre informazioni sulla prenotazione, il trattamento e altre informazioni cliniche, informazioni sui benefici dell’assicurazione sanitaria/farmaceutica (ad esempio, nome del piano e numero di gruppo/membro) e importo della quota assicurativa».

Dunque, una miriade di dati. Dai più “semplici” a quelli particolari. Si parla di oltre 3,1 milioni di utenti coinvolti, visto che questa startup ha avuto il suo grande successo durante i mesi più severi dalla pandemia Covid-19, ovvero quando moltissime persone (in tutto il Mondo) hanno iniziato a usufruire dei servizi online, anche per quel che riguarda la telemedicina.

I dati a Meta e Google

Gli utenti di Cerebral, dunque, hanno visto – inconsapevolmente, anche se la privacy policy dell’azienda spiega che vengono condivisi dati con terze parti – i loro dati sanitari utilizzati a fini pubblicitarie da grandi aziende come Google e Meta. Dunque, per la profilazione sulle principali piattaforme social. Secondo l’OCR, l’ufficio per la protezione dei diritti civili all’interno del Dipartimento della Salute degli Stati Uniti, le persone potenzialmente colpite da questa violazione sono oltre 3,1 milione. Per questo motivo, è stata aperta una indagine.

Perché la privacy dei dati sanitari è fondamentale

Indagine necessaria negli Stati Uniti, perché a differenza di quel che accade sistema europeo (regolamentato dal GDPR che impone un consenso esplicito da parte dell’utente sul trattamento di questa tipologia di dati), negli USA basta accettare la policy di una piattaforma per procedere – qualora previsto, come nel caso Cerebral – con il trattamento dei dati da terze parti. Dunque, Google, TikTok e Meta – secondo il sistema a Stelle e Strisce – non hanno l’obbligo di cancellare quei dati raccolti in quanto tutto ciò era previsto dalla privacy policy. In Italia, invece, abbiamo un esempio diverso. Come ha spiegato ai nostri microfoni Danila De Stefano, CEO & Founder della piattaforma Unobravo: 

«Seguiamo rigorosamente le direttive del Codice Deontologico degli Psicologi italiani e le normative europee del Regolamento Generale sulla Protezione dei Dati (GDPR). Utilizziamo solo strumenti che hanno la stessa cura e attenzione anche a costo di investire più tempo e budget per essere sicuri che sia tutto protetto e sicuro. Ci preoccupiamo, inoltre, di lavorare con agenzie di cybersecurity che ogni tot di mesi mettono alla prova la nostra piattaforma per verificare che sia tutto sicuro e non accessibile». 

Impostazioni normative differenti che obbligano, in Europa, ad avere una gestione più oculata di questa categoria particolare di dati degli utenti. Una differenza fondamentale anche in vista dell’accordo sul Data Privacy Framework tra Stati Uniti e Unione Europea per il trasferimento dei dati degli utenti del Vecchio Continente verso gli USA.