In Germania il sito web del servizio di donazione di sangue della Croce Rossa è finito sotto la lente del Garante per la privacy bavarese.
In particolare, la Bavarian Data Protection Authority (BayLDA) esaminerà adesso se i dati sensibili sulla salute degli utenti sono stati usati da Facebook attraverso gli strumenti di monitoraggio sul sito web del servizio di donazione di sangue.
La Croce Rossa bavarese, offre infatti un servizio di cosiddetto “controllo delle donazioni” sul proprio sito web, che consente agli utenti di determinare se sono idonei o meno per una donazione di sangue.
Il candidato donatore di sangue deve rispondere a varie domande sul proprio stato di salute, comprese informazioni su malattie gravi, uso di droghe, e stato gravidanza.
E’ stato scoperto che il sito web utilizzava strumenti di terze parti, incluso il tool di marketing “Facebook Pixel”, uno script che traccia l’attività di navigazione degli utenti sul sito web in cui è installato, permettendo ad esempio di individuare da dove proviene un utente, quale dispositivo sta utilizzando, e a quali contenuti è interessato. Questi dati possono essere utilizzati per vari scopi, ad esempio per proporre pubblicità mirata, per l’ottimizzazione del sito web o per la prevenzione di frodi negli shop online.
A tal fine, i dati personali vengono prima raccolti e poi aggregati con i dati di altri siti web per creare un profilo dell’utente più preciso possibile.
Quando vengono utilizzati simili strumenti di tracciamento, è necessario però rispettare numerosi requisiti della normativa sulla protezione dei dati personali, a partire dal presupposto che esista una base giuridica per trattare lecitamente tali dati, o che gli utenti abbiano dato consapevolmente il loro consenso.
Poichè in Germania i media accusano il servizio di donazione di sangue di aver trasmesso i dati sanitari degli utenti a Facebook, spetterà adesso al Garante per la privacy bavarese accertare se l’uso di Facebook Pixel era legale, e se questo ha effettivamente comportato il trattamento dei dati sulla salute degli utenti.
“Se l’accusa si dimostrasse giustificata, rappresenterebbe una grave violazione, che può essere sanzionata – ha affermato Thomas Kranig, Presidente della Bavarian Data Protection Authority – A molti operatori di siti web potrebbe non essere chiaro che i dati personali non vengono trasmessi ai provider di tali strumenti di tracciamento, ma gli stessi provider raccolgono i dati direttamente dall’utente. Questo vale non solo per Facebook Pixel, ma anche per altri strumenti di monitoraggio come Google Analytics, altro tool che abbiamo trovato sul sito web del servizio di donazione di sangue”
A questo riguardo, la Conferenza delle autorità di vigilanza indipendenti sulla protezione dei dati del governo federale e dei Länder, un organo delle autorità di controllo tedesche, ha fornito informazioni complete sull’uso degli strumenti di monitoraggio con le linee guida pubblicate a marzo 2019.
Come è ormai noto, il Gdpr conferisce alle autorità di controllo ampi poteri per porre fine a un’infrazione o sanzionarla con multe fino a 20 milioni di euro o fino al 4% del fatturato annuo globale del trasgressore, e una volta completata l’indagine sul servizio di donazione di sangue, starà quindi alla Bavarian Data Protection Authority stabilire quali saranno i provvedimenti più opportuni da adottare.
Thomas Kranig avverte però che non sono solo le autorità per la privacy a controllare la conformità dei siti web al Gdpr, ma “in generale chiunque può verificare quali strumenti di monitoraggio sono integrati in un sito web con pochi sforzi tramite un browser. Il rischio che gli utenti notino una violazione e la segnalino all’autorità di controllo è elevato”.
Le aziende e i loro webmaster dovrebbero quindi prestare particolare attenzione quando i loro siti web utilizzano un mucchio di tools e cookies vari che trattano dati personali degli utenti, ma che spesso non sanno neanche in realtà a cosa servono.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi