L’organizzazione non profit The Markup, specializzata nel data journalism, ha condotto un’inchiesta sull’utilizzo dei tracker sulle pagine web degli ospedali americani, andando ad analizzare i siti internet dei primi 100 nosocomi secondo l’ultima edizione del World’s Best Hospitals redatta dal settimanale Newsweek.
In trentatré di essi è stata riscontrata la presenza di un tracker, denominato Meta Pixel, che ogni volta che un utente procedeva alla prenotazione di una visita medica attraverso i portali in questione, inviava a Facebook un pacchetto di dati comprendente, oltre all’indirizzo IP del soggetto, anche il nome del medico, l’oggetto della visita e, in alcuni casi, altre informazioni come il nome, il cognome, l’indirizzo email ed il numero di telefono, il codice di avviamento postale, la città di residenza del richiedente ed ogni altra informazione da lui inserita nei moduli online.
Si tratta, potenzialmente, di informazioni di oltre 26 milioni di persone giacché nei nosocomi in questione sono stati registrati così tanti ingressi nell’anno 2020. A ciò si aggiunge la presenza di Meta Pixel sui portali di gestione dei fascicoli dei pazienti di 7 sistemi sanitari, scoperta grazie al progetto Pixel Hunt, che ha visto la collaborazione tra The Markup e Mozilla Rally, un programma – presente solo negli Stati Uniti d’America – che consente agli utenti, come riportato dettagliatamente sul suo sito, di “donare i propri dati di navigazione per aiutare Mozilla a capire il Web, come le persone interagiscono con esso e come utilizzano i loro browser” e che ha permesso di scoprire la condivisione anche di dati riguardanti i farmaci assunti ed eventuali intolleranze.
Purtroppo, sia gran parte degli ospedali in questione che l’azienda di Menlo Park, contattati da The Markup, si sono rifiutati di commentare. Dale Hogan, portavoce di Meta, ha dichiarato che le policy di Meta Business Tools prevedono che, qualora Meta riceva dati sanitari potenzialmente sensibili, gli stessi vengano rimossi prima di essere inseriti nei server che gestiscono gli annunci pubblicitari. Si tratta di un sistema sviluppato nel 2020 a seguito di un’inchiesta del Dipartimento dei servizi finanziari dello Stato di New York.
Tornando a Meta Pixel, questo è uno snippet di codice JavaScript che traccia la navigazione degli utenti e, al pari di un keylogger, memorizza tutti i click e la compilazione dei moduli, fornendo in cambio ai proprietari dei siti web analisi dei dati e servizi attinenti le pubblicità inserite da questi ultimi sui social network del gruppo Meta.
A differenza dei dati sanitari anonimizzati o aggregati, ai sensi del Federal Health Insurance Portability and Accountability Act (HIPAA), gli ospedali non possono condividere informazioni sanitarie protette con terze parti se non in base ad un consenso espresso e preventivo dell’interessato o sulla base di contratti.
A seguito della pubblicazione dell’inchiesta, otto dei trentatré ospedali e cinque dei sette portali hanno disabilitato Meta Pixel. Quanto alle implicazioni legali, negli ultimi anni ci sono state numerose class action con esiti diversi: non sempre è stato dimostrato che Facebook avesse raccolto dati sanitari protetti. I maggiori dubbi permangono circa l’utilizzo che Meta può fare di questa mole di informazioni: il pericolo di un nuovo caso di “Pizzeria Google” è dietro l’angolo.
