I dati sensibili raccolti da siti web di ospedali sono finiti nelle mani di Facebook

Questo è quanto emerge da una ricerca di The Markup che ha coinvolto i siti web di 100 ospedali tra i più importanti negli Stati Uniti. Su 33 di questi siti è stato trovato il tracker Meta Pixel, che invia a Facebook un pacchetto di dati ogni volta che un utente clicca su un pulsante per fissare una visita medica. Le informazioni raccolte sono collegate a un indirizzo IP (quindi riconducibili a uno specifico individuo o a una specifica famiglia) e, una volta fissato l’appuntamento, Facebook è a conoscenza deli dati generati. Secondo la legge federale Usa questo metodo di tracciamento utilizzato da alcuni ospedali sarebbe irregolare vista la mancata protezione dei dati sanitari. I dati medici a Facebook non sono solo relativi all’appuntamento con il medico ma anche alle condizioni mediche del paziente e alle prescrizioni, ergo dettagli privati e sensibili.

LEGGI ANCHE >>> Sono 10 milioni gli utenti Facebook caduti in una truffa Messenger

I dati medici a Facebook raccolti con Meta Pixel

Di Meta Pixel avevamo parlato anche qualche tempo fa relativamente all’utilizzo di questo strumento per la raccolta dati di studenti che finiscono dritti dritti nelle mani di Facebook. Secondo The Markup, questo stesso strumento è istallato anche nei portali di sette sistemi sanitari protetti da password utilizzati da pazienti. Quali dati vengono inviati secondo la ricerca? I pazienti si trovavano a consegnare informazioni come i nomi dei farmaci, la descrizione delle loro reazioni allergiche e – ancora una volta – i dettagli sui loro successivi appuntamenti medici. Dopo l’uscita del rapporto molti degli ospedali e dei sistemi sanitari coinvolti hanno rimosso lo strumento.

Legge violata?

Secondo esperti di sicurezza di dati sanitari e ex regolatori che hanno consultato i risultati della ricerca, una violazione ci sarebbe e sarebbe relativa alla legge federale HIPAA (Health Insurance Portability and Accountability Act). Questa legge Usa, nello specifico, proibisce agli ospedali e alle strutture sanitarie di condividere informazioni sensibili a terze parti come Facebook salvo casi in cui l’individuo abbia espresso il suo consenso esplicito o – ancora – nell’ambito di specifici contratti.

The Markup non ha trovato prove relative al fatto che Meta o gli ospedali abbiano ricevuto questo tipo di consenso da parte dei pazienti i cui dati sono stati trasmessi. Facebook non è soggetto alla legge federale HIPAA però – come si legge su Ars Technica – ma sono diversi gli esperti che esprimono serie preoccupazioni rispetto al modo in cui il colosso raccoglie dati di tipo sanitario sfruttandoli per arricchirsi. The Markup, comunque, non è riuscito a trovare prove dell’utilizzo o meno di questi dati da parte di Facebook per indirizzare la pubblicità, educare algoritmi affinché raccomandino determinati contenuti o trarre profitto in altri modi.

Meta, dal canto suo, non ha voluto commentare la questione salvo una breve e-mail del portavoce Dale Hogan in cui si ribadiscono le politiche Meta in termini di trattamento dati sensibili (se la piattaforma riceve dati, e può anche accadere per errore, essi vengono immediatamente rimossi prima che possano essere memorizzati nel sistema di annunci).

Cos’è e come funziona Meta Pixel?

Considerata la sua azione, vale la pena spendere qualche parola per spiegare – in maniera semplice – come funziona Meta Pixel. Si tratta di un frammento di codice che Meta fornisce ai proprietari di siti web che, installandolo, ottengono una serie di annunci su Facebook e Instagram più una serie di strumenti per indirizzare le persone che visitano le loro pagine.

Il frammento di codice traccia gli utenti durante la navigazione raccogliendo tutta una serie di dati, dalle pagine visitate ai pulsanti cliccati più alcune informazioni inserite in eventuali moduli, e risulta essere uno degli strumento di tracciamento più prolifici del web. The Markup ha sottolineato come sia presente su oltre il 30% dei più popolari siti nel mondo.

Una volta raccolte le informazioni, Meta Pixel agisce inviando le informazioni a Facebook tramite script eseguiti nel browser internet di un utente. Ogni pacchetto dati viene così etichettato con un indirizzo IP che potrà essere utilizzato in combinazione con altri dati per identificare un individuo o una famiglia.