La organización neerlandesa de prevención del suicidio 113 Zelfmoordpreventie ha sido criticada después de que los investigadores descubrieran que su sitio web compartía datos sensibles de visitantes con Google y Microsoft, lo que podría violar las leyes europeas de privacidad.
El problema fue descubierto por un hacker Mick Beer from Hackedemia.nl ético, que descubrió que los visitantes del sitio web de prevención del suicidio estaban siendo rastreados mediante herramientas de análisis y monitorización, incluso cuando no habían dado su consentimiento a las cookies. Según la investigación, la información compartida incluía la ubicación de los visitantes, detalles del navegador y del dispositivo, sitios web previamente visitados y grabaciones de pantalla de la actividad en la plataforma.
Los investigadores advirtieron que simplemente visitar un sitio web de prevención del suicidio ya constituye información sanitaria altamente sensible bajo el marco de privacidad del RGPD europeo. La preocupación es que las empresas tecnológicas que reciben estos metadatos podrían utilizarlos para enriquecer la publicidad o perfiles de comportamiento vinculados a los usuarios.
“Si alguien abre la página 113, o hace clic en el chat o el menú de llamadas, eso ya es información sensible en sí misma”, dijo Beer a los medios holandeses.
La investigación concluyó que cierta información se transmitía a Google independientemente de si los usuarios aceptaban o no las cookies de rastreo. También se informó que los datos se compartían con Microsoft a través de sistemas analíticos adicionales cuando se aceptaban las cookies.
Aunque la organización afirmó que no se compartieron mensajes de chat ni contenido directo de conversación, los expertos en privacidad afirman que los metadatos por sí solos pueden revelar información profundamente personal sobre usuarios vulnerables que buscan apoyo en salud mental. Visitar una página de prevención del suicidio, abrir un chat de crisis o acceder a recursos de apoyo de emergencia puede indicar ya que una persona está en angustia psicológica.
Tras la divulgación, Stichting 113 desactivó temporalmente todas las herramientas de análisis y medición en su página web mientras investigaba el alcance del problema. La organización reconoció sus preocupaciones sobre la privacidad de los usuarios y afirmó que estaba revisando cómo se habían implementado los sistemas de seguimiento.
“Somos conscientes de que los visitantes deben poder confiar en que su privacidad está protegida”, dijo un portavoz tras hacerse públicas las conclusiones.
El incidente ha generado preocupaciones más amplias sobre las tecnologías de seguimiento integradas en sitios web de salud, terapia y salud mental. Los investigadores de privacidad han advertido repetidamente que los scripts de análisis, los píxeles publicitarios y las herramientas de grabación de sesiones pueden, de forma involuntaria, exponer información médica o psicológica sensible a terceros.
Según las normas del RGPD, las organizaciones que manejan datos relacionados con la salud están obligadas a aplicar protecciones de privacidad más estrictas y a obtener consentimiento explícito antes de tratar información sensible. Los reguladores podrían ahora examinar si la organización de prevención del suicidio ha violado las leyes europeas de protección de datos al permitir que sistemas de seguimiento de terceros recopilen metadatos de visitantes.