La società Blutspendedienst controllata dalla Croce Rossa bavarese, che si occupa della raccolta delle donazioni di sangue, integrando un cookie di profilazione di Facebook all’interno del proprio sito ha permesso per mesi al colosso californiano di raccogliere i dati degli utenti.
Fin qui nulla di strano visto che la profilazione è del tutto normale, il problema è che sul sito del Blutspendedienst gli utenti hanno la possibilità di fare un check sulla propria idoneità come donatori: nel questionario proposto vengono raccolte informazioni sullo stato di salute e vengono richieste informazioni su malattie croniche, HIV, l’uso di droghe e gravidanza.
Questo particolare è stato notato da un utente che lo ha immediatamente segnalato a un giornalista della Süddeutschen Zeitung, il quale, ha condotto delle indagini e analisi tecniche che hanno portato ad un risultato sconcertante: i dati provenienti dal questionario potrebbero essere stati acquisiti ed elaborati da Facebook tramite il cookie Facebook Pixel per poi essere usati per attività di marketing mirato.
Indice degli argomenti
Il cookie Facebook Pixel
Facebook Pixel è uno strumento per la raccolta di dati statistici che consente di misurare l’efficacia di una campagna di marketing analizzando le azioni che le persone eseguono sul sito web. Tecnicamente è semplicemente un codice di qualche riga inserito all’interno del sito web che è capace di tenere memoria di tutti gli utenti che visitano e agiscono sulle pagine del sito nel quale è stato inserito il pixel, come per esempio un’aggiunta di un articolo al carrello o un acquisto, oppure, come nel presente caso, un click sul “sì” o “no” del questionario.
Queste azioni possono essere visualizzate sulla pagina Pixel di Facebook, il che significa che Facebook dispone di informazioni che sono utilizzate per la profilazione dell’utente, che a sua volta, dopo aver fatto login al proprio account Facebook, viene associato al profilo rilevato.
Il caso Blutspendedienst
Secondo la Süddeutschen Zeitung è stato commesso un errore di configurazione del sito, per cui cliccando sulle risposte del questionario, quest’ultime venivano automaticamente rilevate da Facebook che così ha avuto accesso a dati sensibili che godono di una particolare protezione secondo il GDPR. Dagli screenshots pubblicati dal quotidiano si possono persino individuare nel codice riferimenti anche a Google Analytics.
Preventivamente la società “Blutspendedienst”, si è immediatamente rivolta all’autorità del Garante della protezione dei dati di Ansbach per verificare se dovesse procedere alla di notifica di data breach. Il Garante ha confermato che non si è trattato di un data breach, ma ha comunque predisposto un controllo approfondito del sito internet della società e ha rilevato oltre al cookie Facebook Pixel anche “un altro cookie di profilazione” (ndr, citato comunicato stampa dell’Autorità del Garante).
Nel frattempo la società ha preventivamente disattivato tutti i cookies in questione smentendo, tramite comunicato stampa, che Facebook potesse aver acquisito dati sensibili degli utenti.
L’analisi di quanto accaduto
Questo caso dimostra con quale superficialità molti webmaster e aziende utilizzino strumenti di cui, non hanno capito in maniera approfondita il funzionamento. Il presidente del Garante tedesco della protezione dei dati, Thomas Kranig, a tal proposito, “Se l’imputazione fosse confermata, si tratterebbe di una violazione grave, che deve essere sanzionata seriamente. Ciò che non è chiaro a molti, che un tale strumento di profilazione implementato sul sito web, non trasmette i dati ai fornitori del cookie, ma sono i fornitori stessi che acquisiscono direttamente i dati dall’utente. Questo non vale solo per Facebook Pixel, ma anche per altri cookies di profilazione come Google Analytics che, tra l’altro, abbiamo rilevato sul sito della società.
Sempre il presidente dell’autorità tiene a precisare inoltre che l’opinione pubblica, come in questo caso, è oramai molto attenta alla tematica e perlopiù può, senza conoscenze tecniche specifiche, verificare in prima persona il tipi di cookies utilizzati dai siti internet: “Questo caso dimostra che non solo le autorità di vigilanza controllano i siti web, ma in linea di principio chiunque può verificare quali strumenti di tracciamento sono integrati nel sito web con poco sforzo attraverso il browser. Il rischio che gli utenti vengano a conoscenza di una violazione e la segnalino all’autorità di vigilanza è particolarmente elevato nei siti web. Per questo motivo, gli operatori del sito web dovrebbero prestare particolare attenzione al loro sito web e non utilizzare molti strumenti che non conoscono nemmeno le modalità di trattamento dei dati dell’utente”.
Infatti proprio questo aspetto, ovvero l’opzione che un controllo da parte delle autorità possa scaturire proprio da una segnalazione da parte di un interessato, viene spesso sottovalutato.
Diritti degli interessati e accountability
Il diritto dell’interessato di rivolgersi direttamente al Garante non consente solo di ottenere la punizione per una violazione della privacy ma principalmente di garantire all’interessato di ottenere il risarcimento del danno subito a causa di un trattamento illecito dei dati personali.
Questo presuppone che l’interessato sia informato del trattamento con un linguaggio semplice e chiaro e, qualora necessario, sia richiesto il consenso. Ovviamente questo implica anche che il titolare del trattamento abbia consapevolezza di tutti gli strumenti usati per poi accertarsi della liceità del trattamento stesso.
L’accountability, quindi, si conferma principio cardine del GDPR per le attività del trattamento dei dati all’interno delle imprese. La conoscenza degli strumenti, la consapevolezza, la chiara definizione delle finalità perseguite e la capacità di valutare la proporzionalità degli strumenti di profilazione impiegati rispetto alle categorie dei dati personali trattati si conferma fondamentale e imprescindibile.
