A organização holandesa de prevenção ao suicídio 113 Zelfmoordpreventie foi criticada após pesquisadores descobrirem que seu site compartilhava dados sensíveis de visitantes com Google e Microsoft, potencialmente violando as leis europeias de privacidade.
A questão foi descoberta por um hacker Mick Beer from Hackedemia.nl ético, que descobriu que visitantes do site de prevenção ao suicídio estavam sendo rastreados por meio de ferramentas de análise e monitoramento, mesmo quando não haviam consentido com cookies. De acordo com a investigação, as informações compartilhadas incluíam localizações dos visitantes, detalhes do navegador e dos dispositivos, sites já visitados anteriormente e gravações de tela da atividade na plataforma.
Pesquisadores alertaram que simplesmente visitar um site de prevenção ao suicídio já constitui informações altamente sensíveis relacionadas à saúde sob o marco de privacidade do GDPR da Europa. A preocupação é que empresas de tecnologia que recebem esses metadados possam usá-los para enriquecer publicidade ou perfis comportamentais vinculados aos usuários.
“Se alguém abrir a página 113, ou clicar no chat ou menu de chamadas, isso já é informação sensível por si só”, disse Beer à mídia holandesa.
A investigação constatou que algumas informações foram transmitidas ao Google independentemente de os usuários aceitarem cookies de rastreamento. Os dados também teriam sido compartilhados com a Microsoft por meio de sistemas analíticos adicionais quando os cookies eram aceitos.
Embora a organização tenha afirmado que nenhuma mensagem de chat ou conteúdo direto de conversas foi compartilhado, especialistas em privacidade afirmam que os metadados sozinhos podem revelar informações profundamente pessoais sobre usuários vulneráveis que buscam apoio em saúde mental. Visitar uma página de prevenção ao suicídio, abrir um chat de crise ou acessar recursos de apoio emergencial pode já indicar que a pessoa está em sofrimento psicológico.
Após a divulgação, a Stichting 113 desativou temporariamente todas as ferramentas de análise e medição em seu site enquanto investigava a dimensão do problema. A organização reconheceu preocupações relacionadas à privacidade dos usuários e disse que estava revisando como os sistemas de rastreamento foram implementados.
“Sabemos que os visitantes devem poder confiar que sua privacidade é protegida”, disse um porta-voz após as descobertas se tornarem públicas.
O incidente levantou preocupações mais amplas sobre tecnologias de rastreamento incorporadas em sites de saúde, terapia e saúde mental. Pesquisadores de privacidade alertaram repetidamente que scripts analíticos, pixels de publicidade e ferramentas de gravação de sessões podem, sem querer, expor informações médicas ou psicológicas sensíveis a terceiros.
Segundo as regras do GDPR, organizações que lidam com dados relacionados à saúde são obrigadas a aplicar proteções de privacidade mais rigorosas e obter consentimento explícito antes de processar informações sensíveis. Os reguladores agora poderiam examinar se a organização de prevenção ao suicídio violou as leis europeias de proteção de dados ao permitir que sistemas de rastreamento de terceiros coletassem metadados de visitantes.