L’organizzazione olandese per la prevenzione del suicidio 113 Zelfmoordpreventie è stata criticata dopo che i ricercatori hanno scoperto che il suo sito condivideva dati sensibili dei visitatori con Google e Microsoft, potenzialmente violando le leggi europee sulla privacy.
Il problema è stato scoperto da un hacker Mick Beer from Hackedemia.nl etico, che ha scoperto che i visitatori del sito di prevenzione del suicidio venivano tracciati tramite strumenti di analisi e monitoraggio, anche quando non avevano acconsentito ai cookie. Secondo l’indagine, le informazioni condivise includevano la posizione dei visitatori, dettagli del browser e dei dispositivi, siti web precedentemente visitati e registrazioni dello schermo delle attività sulla piattaforma.
I ricercatori hanno avvertito che semplicemente visitare un sito web di prevenzione del suicidio costituisce già informazioni sanitarie altamente sensibili secondo il quadro europeo sulla privacy GDPR. La preoccupazione è che le aziende tecnologiche che ricevono questi metadati potrebbero potenzialmente usarli per arricchire profili pubblicitari o comportamentali legati agli utenti.
“Se qualcuno apre la pagina 113, o clicca sul menu della chat o delle chiamate, quella è già un’informazione sensibile di per sé,” ha detto Beer ai media olandesi.
L’indagine ha rilevato che alcune informazioni sono state trasmesse a Google indipendentemente dal fatto che gli utenti accettassero o meno i cookie di tracciamento. I dati sarebbero stati inoltre condivisi con Microsoft tramite ulteriori sistemi di analisi quando i cookie venivano accettati.
Sebbene l’organizzazione abbia dichiarato che non sono stati condivisi messaggi di chat o contenuti diretti di conversazione, gli esperti di privacy affermano che i metadati da soli possono rivelare informazioni profondamente personali su utenti vulnerabili che cercano supporto per la salute mentale. Visitare una pagina di prevenzione del suicidio, aprire una chat di crisi o accedere a risorse di supporto d’emergenza può già indicare che una persona è in difficoltà psicologica.
Dopo la divulgazione, Stichting 113 ha temporaneamente disattivato tutti gli strumenti di analisi e misurazione sul proprio sito web mentre indagava sull’entità del problema. L’organizzazione ha riconosciuto le preoccupazioni riguardanti la privacy degli utenti e ha dichiarato di stare rivedendo come i sistemi di tracciamento sono stati implementati.
“Siamo consapevoli che i visitatori devono poter fidarsi che la loro privacy sia protetta”, ha detto un portavoce dopo che i risultati sono diventati pubblici.
L’incidente ha sollevato preoccupazioni più ampie riguardo alle tecnologie di tracciamento integrate nei siti web di sanità, terapia e salute mentale. I ricercatori sulla privacy hanno ripetutamente avvertito che script di analisi, pixel pubblicitari e strumenti di registrazione delle sessioni possono esporre involontariamente informazioni mediche o psicologiche sensibili a terze parti.
Secondo le regole GDPR, le organizzazioni che gestiscono dati sanitari sono tenute a applicare tutele più forti alla privacy e a ottenere un consenso esplicito prima di elaborare informazioni sensibili. I regolatori potrebbero ora esaminare se l’organizzazione di prevenzione del suicidio abbia violato le leggi europee sulla protezione dei dati permettendo ai sistemi di tracciamento di terze parti di raccogliere i metadati dei visitatori.