Una ricerca della web agency Avantgrade.com, effettuata sulla scorta di uno studio statunitense, ha scoperto che Meta riesce a raccogliere i dati sanitari degli utenti dei siti web degli ospedali italiani grazie all’uso del Pixel di Facebook, anche se installato per il solo monitoraggio dell’efficacia delle inserzioni. Chi gestisce dati sanitari, quindi, dovrebbe correre subito ai ripari.
Cookie di Google Analytics: le nuove precisazioni, anche su GA4, del Garante danese
Indice degli argomenti
Il fatto
In particolare, i risultati della ricerca evidenziano come il 16% dei cinquanta migliori ospedali italiani (secondo la classifica 2022 di Newsweek) ha installato sui propri siti web il Pixel di Facebook, chiamato ora Pixel di Meta, ossia quello strumento utilizzato per il rilevamento dell’efficacia delle proprie inserzioni sui social del colosso di Menlo Park.
Dalla ricerca, ispirata a quella condotta negli USA da “The MarkUp” (che ha evidenziato come il problema riguardi addirittura il 30% degli ospedali statunitensi), è emerso che il Pixel, che di norma dovrebbe attivarsi solo qualora si accetti l’installazione dei cookie sul suo dispositivo, è in grado di identificare se l’utente ha visitato una determinata pagina di un sito web, ad esempio quella per la prenotazione di una visita ortopedica, e di inviare a Meta i dati così raccolti.
Tali dati potrebbero essere utilizzati poi dagli algoritmi di Meta stessa per mostrare all’utente sui suoi social (Facebook e Instagram, ma, perché no, anche su Horizons World) delle inserzioni pubblicitarie che possano riguardare tutori, bendaggi neuromuscolari o anche istituti sanitari concorrenti.
Come funziona il Pixel di Facebook
Leggendo la pagina informativa sul sito web “Centro assistenza per le aziende di Meta”, «Il pixel di Meta è una porzione di codice che applichi sul tuo sito web e che ti consente di misurare l’efficacia delle inserzioni, dandoti la possibilità di capire quali azioni eseguono le persone sul sito web» e può essere utilizzato per «mostrare le inserzioni alle persone giuste», «aumentare le vendite» oppure «misurare i risultati delle tue inserzioni».
Ciò che però Meta non rende chiaro sin da subito, ma solo in un’altra pagina più difficile da raggiungere, è che il Pixel raccoglie le intestazioni HTTP (ossia indirizzi IP, informazioni sul browser web, posizione della pagina, documento, reindirizzamento e persona che utilizza il sito web), i dati specifici sul Pixel (ID del pixel e cookie di Facebook), dati sui clic sui pulsanti (eventuali pulsanti sui quali i visitatori hanno cliccato, le etichette di tali pulsanti ed eventuali pagine visitate a seguito di tali clic), nomi del campo del modulo (comprende nomi del campo del sito web come e-mail, address, quantity ecc., per quando viene acquistato un prodotto o un servizio) e dei valori opzionali che possono essere decisi da chi installa il Pixel sul proprio sito, tra cui il tipo di pagina visitato.
Insomma, il Pixel, se opportunamente configurato per migliorare il rendimento delle proprie inserzioni, può raccogliere dati davvero importanti per chi lo utilizza come strumento per pubblicizzare la propria attività, ma anche e soprattutto per Meta stessa che, così, potrà avere maggiori e preziose informazioni sui propri utenti, ivi inclusi i dati sanitari.
Il trasferimento all’estero dei dati sanitari
Il problema, però, non è solo circoscritto alla raccolta dei dati sanitari dei visitatori dei siti web degli ospedali o degli altri istituti sanitari, ma anche al loro trasferimento all’estero.
In maniera non dissimile a Google Analytics, il cui funzionamento, come è noto, è già stato esaminato qualche mese fa dall’Autorità Garante per la Protezione dei Dati Personali, il Pixel di Facebook, grazie ai dati raccolti, è in grado di delineare il profilo dell’interessato, identificandolo in maniera univoca.
Peraltro, i dati sanitari così raccolti da Meta possono essere trasferiti e trattati all’estero, senza alcuna garanzia per gli interessati.
Senza volersi dilungare troppo in questa sede, detto trasferimento rischia di essere preoccupante esattamente alla stregua di quello effettuato da Google Analytics: la sentenza Schrems II, dichiarando l’invalidità del c.d. Privacy Shield, ha ben evidenziato che l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Survelliance Act, comportino deroghe alla normativa in materia protezione dei dati personali, deroghe che eccedono le restrizioni necessarie in una società democratica.
Invero, le Autorità pubbliche statunitensi possono accedere senza adeguate limitazioni ai dati personali oggetto del trasferimento.
Dunque, il problema del Pixel di Facebook evidenziato da Avantgrade.com rischia di avere una portata molto più ampia rispetto a quanto emerso dalla ricerca pubblicata.
Cosa fare
Esattamente come Google, Meta ben evidenzia nella propria knowledge base che il titolare del trattamento dei dati personali è colui che utilizza il Pixel di Facebook sul proprio sito web.
Dunque, è il gestore del sito a scegliere di usare il sistema di inserzioni di Meta e, quindi, a dover porre in essere accorgimenti che impediscano la raccolta dei dati personali, ancorché sanitari come nel caso dei cinquanta ospedali oggetto di ricerca, a dover implementare quelle misure tecniche ed organizzative atte ad impedire che i dati degli interessati siano oggetto di trasferimento all’estero senza il loro consenso.
Ove non sia possibile non utilizzare il Pixel, il titolare del trattamento, che sia una struttura sanitaria o un normale e-commerce, dovrebbe configurare opportunamente il Pixel di modo da impedire che a Meta siano trasmessi dati particolari, come, per l’appunto, i dati relativi alle visite delle pagine di prenotazione degli esami medici.
Una maggiore attenzione da parte dei titolari del trattamento si traduce, quindi, in una maggior privacy per i loro utenti, ma, soprattutto, nell’evitare sanzioni al termine di un procedimento di accertamento da parte delle Autorità competenti.
