Due aziende che vendono farmaci online – Apoteket AB e Apohem AB – sono state recentemente sanzionate per aver inavvertitamente condiviso dati sensibili dei loro clienti con Meta, la nota società di Mark Zuckerberg.
La vicenda
Il caso in questione riguarda il trasferimento non autorizzato di informazioni personali tramite Metapixel – strumento di analisi presente sui rispettivi siti web – utilizzato per ottimizzare le attività di marketing su piattaforme come Facebook e Instagram. L’inconveniente è stato causato dall’attivazione del suddetto strumento – senza la piena comprensione delle sue conseguenze – portando così alla trasmissione di una quantità significativa di dati sensibili verso Meta.
Questo avveniva nel momento in cui gli utenti accettavano i cookie durante l’acquisto, ignari del fatto che stavano permettendo anche la condivisione delle loro informazioni con i social network. Sebbene i dati trasmessi non comprendessero le prescrizioni mediche, la normativa sulla privacy è stata comunque violata.
Questo errore ha determinato una violazione della privacy di circa un milione di utenti, i quali hanno inconsapevolmente condiviso informazioni legate all’acquisto di farmaci.
Questa violazione del Regolamento Generale sulla Protezione dei Dati ha spinto l’autorità– IMY- a intervenire, dopo che alcuni clienti avevano segnalato anomalie relative ai loro dati. Infatti, l’indagine dell’IMY ha rivelato che Apoteket AB e Apohem AB non avevano implementato adeguate misure tecniche e organizzative per garantire la sicurezza delle informazioni personali.
Violazione dei dati: le sanzioni
Le sanzioni inflitte sono state significative: Apoteket AB ha ricevuto una multa di circa 3.2 milioni di euro, mentre Apohem AB di circa 700.000 euro.
L’IMY ha sottolineato che, dato il carattere estremamente sensibile dei dati trattati, le due aziende avrebbero dovuto adottare standard di sicurezza molto più rigorosi.
Il trasferimento dei dati verso Meta è continuato per diversi anni, fino a quando le segnalazioni dei clienti non hanno portato alla luce la questione. Dopo l’incidente, entrambe le farmacie hanno rivisto le loro procedure interne per migliorare la protezione e il trattamento dei dati personali in futuro.
Protezione e trattamento dei dati personali
Da questo caso si evince che il Regolamento Generale sulla Protezione dei Dati impone standard molto elevati per la protezione delle informazioni personali, in particolare quando si tratta di dati particolari, come quelli relativi alla salute degli utenti.
Prendendo in considerazione questo caso, è importante ricordare i seguenti aspetti fondamentali del GDPR:
- Obbligo di protezione rigorosa dei dati personali: il GDPR richiede alle aziende di implementare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, soprattutto se si tratta di dati particolari come quelli sanitari;
- Responsabilità: le aziende sono direttamente responsabili per l’uso e la protezione dei dati personali che raccolgono. Un’infrazione involontaria o causata da errori tecnici è considerata una violazione del GDPR, poiché le aziende devono prevedere i rischi e proteggere i dati in ogni fase;
- Trasparenza e consenso informato: il GDPR richiede che gli utenti siano chiaramente informati su come i loro dati saranno utilizzati e che diano un consenso esplicito e consapevole. Nel caso in particolare, gli utenti non erano pienamente consapevoli del fatto che, accettando i cookie, stavano anche permettendo la condivisione dei loro dati con Meta.
- Monitoraggio e intervento delle autorità: nel momento in cui vengono rilevate violazioni, è possibile imporre sanzioni e richiedere modifiche nelle pratiche aziendali. Le autorità per la protezione dei dati personali, come l’IMY in Svezia, possono intervenire a seguito di segnalazioni e, al contempo, possono condurre indagini approfondite per verificare il rispetto del GDPR.