Pensavano di raccontare i loro traumi e i loro disagi solo allo psicologo online in via confidenziale e riservata, ma in realtà i pazienti erano di fatto spiati e le informazioni venivano condivise con social media come Facebook, TikTok, e Google.
Ad ammettere di aver “accidentalmente” condiviso i dati con i giganti della tecnologia, è la startup americana di telemedicina Cerebral, che aveva guadagnato popolarità con la propria app di servizi di salute mentale durante i primi giorni dell’emergenza sanitaria del Covid-19, quando le persone iniziavano a manifestare i primi segnali degli stress emotivi della pandemia e costretti a casa dal lockdown cercavano supporto psicologico e terapie sul web.
Nei giorni scorsi, la Cerebral ha infatti postato sul proprio sito un avviso in cui la società rivela che fin dal 2019 aveva utilizzato i “pixel”, ovvero quegli script di tracciamento online che società come Meta e Google offrono a sviluppatori di terze parti per scopi pubblicitari, raccogliendo tramite tali strumenti enormi flussi di dati sensibili degli utenti spesso inconsapevoli che le loro questioni intime e i loro dati vengono passati a società esterne che le sfruttano per finalità di marketing, e forse anche per altri scopi non sempre chiari quando si tratta di informazioni sulla salute mentale.
Anche se di rado gli utenti si cimentano nella lettura di complesse informative sul trattamento dei dati personali ma preferiscono paradossalmente rischiare di rinunciare alla propria privacy pur di procedere frettolosamente al download e all’installazione dell’app desiderata, in realtà la policy fornita da Cerebral sul proprio sito effettivamente spiega che essa condivide i dati dell’utente con terze parti, specificando peraltro che oltre ai suoi dati anagrafici, attraverso la app di supporto psicologico i social possono poi raccogliere ed analizzare anche foto, video, persone che lo stesso utente segue o i suoi follower, i suoi post, e anche i “like” che mette sui post.
Dopo essersi accorta della propria “svista”, la Cerebral ha dichiarato di aver provveduto a rimuovere il codice di tracciamento dalle sue app, mentre da parte loro i giganti della tecnologia non avrebbero l’obbligo di cancellare i dati che hanno ricevuto perché sarebbero ottenuti lecitamente, perlomeno secondo la normativa statunitense, perché in Europa il GDPR richiederebbe in linea di principio un consenso esplicito e consapevole da parte degli utenti.
La notizia di quanto accaduto alla Cerebral arriva poco dopo che la Federal Trade Commission aveva multato l’app per farmaci GoodRx per 1,5 milioni di dollari per aver condiviso le informazioni sui pazienti con Meta e Google, e dopo che la stessa FTC nelle settimane scorse aveva annunciato un risarcimento da 7,8 milioni di dollari che la società di consulenza online BetterHelp dovrà sborsare agli utenti dopo che era stato scoperto che i loro dati sanitari erano in vendita su internet per pochi spiccioli.
Nel frattempo, visto che oltreoceano i dati sanitari sono tutelati dall’Health Insurance Portability and Accountability Act (HIPAA), il Dipartimento della salute degli Stati Uniti ha aperto un’indagine su Cerebral.
Per quanto riguarda invece i malcapitati pazienti, perlomeno quelli che tengono un minimo alla loro privacy, dato che le restrizioni della pandemia non sono più un ostacolo a recarsi nello studio dello psicologo, quando possibile sarebbe forse meglio tornare a raccontare di persona i propri disagi.
di Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi