Con un semplice consenso per i cookie, i clienti che acquistavano farmaci online si trovavano a condividere informazioni sensibili con i social network.
Due farmacie online, Apoteket AB e Apohem AB, sono state multate per aver condiviso inconsapevolmente dati sensibili dei clienti con Meta, l’azienda di Mark Zuckerberg. Questo grave episodio ha avuto origine dal trasferimento di informazioni personali tramite Metapixel, uno strumento di analisi utilizzato dai loro siti web per ottimizzare il marketing su piattaforme come Facebook e Instagram.
In sintesi
Un grave errore di privacy
Questa situazione ha comportato la violazione della privacy di circa un milione di clienti, che hanno condiviso dati relativi ad acquisti di farmaci, test per malattie sessualmente trasmissibili e persino di giocattoli sessuali, senza esserne consapevoli. Le farmacie online avevano attivato una funzione del Metapixel senza comprendere le implicazioni, trasmettendo una notevole quantità di informazioni sensibili a Meta. La condivisione di questi dati avveniva nel momento in cui gli utenti accettavano i cookie durante il processo di acquisto, ignari del fatto che stavano concedendo anche l’accesso ai loro dati personali ai social network. Fortunatamente, i dati trasferiti non includevano ricette mediche, ma questo non ha evitato la violazione delle norme sulla privacy.
Le conseguenze legali
In seguito a segnalazioni da parte dei clienti, l’autorità svedese per la protezione dei dati personali (IMY) è intervenuta. Dopo un’indagine approfondita, è emerso che Apoteket e Apohem avevano violato il Regolamento Generale sulla Protezione dei Dati (GDPR). Le aziende non avevano adottato misure tecniche e organizzative necessarie per proteggere adeguatamente le informazioni personali dei clienti, come prescritto dal GDPR.
Le sanzioni sono state severe: Apoteket ha ricevuto una multa di 37 milioni di corone svedesi (circa 3,2 milioni di euro), mentre Apohem ha dovuto pagare 8 milioni di corone svedesi (circa 700.000 euro). Gli avvocati dell’IMY hanno evidenziato come il trattamento di dati sensibili richieda elevati standard di sicurezza, standard che entrambe le aziende non hanno rispettato.
Il trasferimento di dati verso Meta era continuato per anni fino a quando i clienti hanno segnalato l’accaduto. A seguito di questo incidente, le farmacie hanno rivisto le loro procedure interne per garantire una protezione adeguata e il trattamento corretto dei dati personali in futuro.
Fonte: IMY