Se la diffidenza è quasi sempre alta quando si tratta di aziende, non sempre lo è nel momento in cui si ha a che fare con strutture ospedaliere. Sarà che si affida loro la propria salute, sarà che si entra in un territorio di fragilità comune, ma le difese tendono ad abbassarsi e si può rischiare di scordare il diritto alla privacy. Un diritto che spetta tutti ma a cui a volte sembriamo disposti a rinunciare, per salvarci la vita. Come se fosse necessario e corretto chiederci di farlo, come se fosse lecito condividere i nostri dati con terze parti a nostra insaputa. Avviene e si cerca di non pensarci, probabilmente, ma alcuni ricercatori continuano a sottolineare tale fenomeno a suon di dati, ricerche e analisi. Lo fanno dall’altra parte dell’oceano, ma le “onde” delle loro rivelazioni arrivano anche in Europa e mettono la pulce nell’orecchio di autorità e singoli.
Trattamento dati e tracciamento dati allo studio
Un gruppo di accademici dell’Università della Pennsylvania ha di recente pubblicato una ricerca sull’uso di tecnologie di tracciamento da parte di 100 ospedali degli Stati Uniti. Lo scopo sarebbe piuttosto chiaro: condividere le informazioni degli utenti che visitano i propri siti web con chi ne “fa tesoro”. Google e Meta, per esempio, ma non solo: anche tante realtà meno note ma altrettanto interessate come data broker e altre terze parti.
Per arrivare a questa conclusione, il team di ricerca a inizio anno ha controllato la homepage di ogni struttura ospedaliera considerata, usufruendo di uno strumento open source chiamato webXray per rilevare le richieste HTTP di terze parti e abbinarle alle organizzazioni che ricevono i dati. Per ottenere un quadro più completo, sono stati registrati anche i cookie di terze parti presenti per ogni pagina, un accorgimento che ha confermato una situazione piuttosto “tragica” dal punto di vista di chi usufruisce delle cure.
Quasi la totalità degli ospedali è emersa trasmettere i dati degli utenti a terzi (96%), l’informativa sulla privacy per molti era “un optional” e spesso mancava anche il minimo controllo su chi potesse accedere realmente alle informazioni raccolte.
E se gli ospedali pensano al business?
Se queste cifre non bastano per far percepire nel concreto ciò che significano i risultati dello studio per la privacy dei cittadini, lo studio statunitense mostra anche quali tipi di informazioni sono state raccolte dagli utenti. Le più comuni riguardano gli indirizzi IP (80%), il nome e la versione del browser web (75%), le pagine visitate sul sito web (73%) e il sito web di provenienza (73%). Molto meno interesse, anche da parte degli stessi ospedali, rispetto alle aziende che ricevono i dati catturati: solo poco più della metà si prende la briga di identificarle in modo preciso (56%).
Per quello che ci è quindi concesso intuire, l’azienda che più beneficia di questo “tradimento” ospedaliero è Google, quasi onnipresente nelle liste, mentre il nome di Meta non compare poi tanto: solo in poco più della metà delle pagine web degli ospedali.
Affianco a queste due realtà notoriamente golose di dati personali, emergono altri player che potrebbero sembrare meno attivi in tal senso. Un esempio è Adobe, nota per i PDF ma più silenziosamente impegnata anche nel tracciamento per spingere la propria business unit pubblicitaria. Tra il 20 e il 30% degli ospedali analizzati risulterebbe condividere i dati con questa azienda e c’è chi lo fa anche con realtà provenienti dal settore telecomunicazioni e marketing digitale, come The Trade Desk e Verizon, dal mondo della tecnologia, come Oracle, Microsoft e Amazon, o da quello di chi fa analisi o è un broker di dati. Tutti “in fila” per avere i nostri dati.
Se non è affatto necessario spiegare i motivi che spingono queste aziende ad attingere ai dati di chi frequenta siti web di ospedali, su quelli che muovono questi stessi a condividerli ci si può interrogare. Il farlo potrebbe infatti rappresentare un rischio nei confronti di autorità di regolamentazione come, per gli Stati Uniti, la Federal Trade Commission. Non mancano esempi di azioni legali collettive di successo. Gli stessi autori dell’analisi hanno quindi cercato di spiegarsi e spiegare la scelta di violare la privacy, ipotizzando l’intenzione di alcuni ospedali accademici di progettare nuovi strumenti e startup. Una “linea di business” parallela e sempre più attraente e che troverebbe spazio di realizzazione anche grazie all’assenza di una legge federale sulla privacy. La protezione delle informazioni personali oggi spetta all’individuo e non tutti hanno mezzi, competenze e occasioni per agire, soprattutto in un ambito come quello sanitario dove spesso “si ha la testa altrove”. Comprensibilmente.