• Privacy - Istruzione sanità e servizi sociali

3 settembre 2019

Croce Rossa sotto esame del Garante per la privacy bavarese

di Maria Alessandra Monanni

In Germania, l’Autorità Garante per la privacy bavarese (Bavarian Data Protection Authority - BayLDA) ha messo sotto esame il sito web del servizio di donazione del sangue della Croce Rossa in relazione ad una specifica revisione dei dati personali.

Il motivo che ha portato a tale controllo è stato il riscontro di un uso di strumenti di monitoraggio di terze parti per il tracciamento dell’attività di navigazione degli utenti, in cui si includeva, tra gli altri, anche il tool di marketing di Facebook - “Facebook Pixel”.


Facebook Pixel - Strategia della conversione

Questo strumento - tool - (che prevede un accesso al codice di un sito web in cui è installato) permette la “conversione” dell’utente in cliente: si attiva nel momento in cui l’utente visita un sito e agisce su di esso, per cui il titolare del sito avrà modo di monitorare quando un cliente esegue un’azione all’interno dello stesso, acquisendo così i suoi dati personali.

In questo modo l’attività di navigazione dell’utente viene tracciata, consentendo di individuarne la provenienza, quale dispositivo ha in uso in quel momento e verso quale tipologia di contenuti è rivolto il suo interesse.

Questi dati così acquisiti e aggregati, insieme con i dati di altri siti web, sono impiegati per proporre una pubblicità personalizzata. Infatti, tutti i dati personali sono raccolti al fine di creare un profilo utente più dettagliato e personalizzato possibile, con i propri interessi e caratteristiche personali che vengono convogliati in un target di riferimento, a cui appunto inviare specifici messaggi pubblicitari.

Il cliente diventa di fatto obiettivo di sponsorizzate, di campagne pubblicitarie in funzione delle proprie caratteristiche e preferenze.

Più conversioni si creano su un determinato sito web, più Facebook sarà in grado di inviare le inserzioni personalizzate, inerenti tale sito, a utenti potenzialmente operativi sul sito stesso: in tal senso si parla di “ottimizzazione delle conversioni”, relativo monitoraggio e remarketing dei visitatori del sito.

Le aziende tendono ad utilizzare molto questo strumento, con lo scopo di attuare una pubblicità mirata e ottimizzare il proprio sito web.


Analisi dell’Autorità Garante bavarese

Il problema di fondo del sito web del servizio di donazione del sangue della Croce Rossa bavarese, che ha messo in allarme l’Autorità, è dato dal fatto che i dati ivi trattati, sono dati sensibili sulla salute degli utenti.

Infatti, questo servizio della Croce Rossa prevede, tramite il sito web, una procedura per poter dare la propria disponibilità alla donazione del sangue, tramite il cosiddetto “controllo delle donazioni”, al fine di stabilire l’idoneità o meno alla donazione. A tal fine il potenziale donatore deve rispondere a diverse domande sul proprio stato di salute, comprensive di informazioni sensibili, quali eventuali malattie gravi, uso di droghe, stato di gravidanza.

L’analisi dell’Autorità bavarese è volta proprio a verificare:

  • se l’impiego del Pixel di Facebook fosse ritenuto legale;

  • se l’uso di tale strumento abbia di fatto implicato il trattamento dei dati sanitari degli utenti, raccolti tramite il sito del servizio di donazione di sangue della Croce Rossa ed elaborati;

  • se i dati siano stati usati da Facebook in maniera lecita o meno;

  • se gli utenti abbiano dato il loro consenso consapevolmente.

In Germania le accuse in merito sono state mosse dagli stessi media, al punto che il Presidente della Bavarian Data Protection Authority, Thomas Kranig, asserisce che Se l’accusa si dimostrasse giustificata, rappresenterebbe una grave violazione, che può essere sanzionata. A molti operatori di siti web potrebbe non essere chiaro che i dati personali non vengono trasmessi ai provider di tali strumenti di tracciamento, ma gli stessi provider raccolgono i dati direttamente dall’utente. Questo vale non solo per Facebook Pixel, ma anche per altri strumenti di monitoraggio come Google Analytics, altro tool che abbiamo trovato sul sito web del servizio di donazione di sangue”.

A tal proposito, infatti, la Conferenza delle autorità di vigilanza indipendenti sulla protezione dei dati del governo federale e dei Länder, quale organo delle autorità di controllo tedesche, ha pubblicato a marzo del 2019 le Linee guida da seguire per un adeguato uso degli strumenti di monitoraggio in conformità anche alla normativa.


Informazione e consenso dell’utente

Occorre ricordare che, nell’utilizzo di strumenti di tracciamento, è bene rispettare i requisiti di protezione dei dati e quindi non rischiare di ricadere in una violazione del GDPR.

Quindi, il titolare del sito web dovrà accertarsi che l’utente sia informato rispetto all’uso di un sistema di tracciamento, che questo sia lecitamente integrato e che sia presente una base giuridica che consenta questa integrazione. Oltre al fatto che gli utenti abbiano effettivamente dato anticipatamente il loro consenso all’utilizzo dei dati.


Attenzione alla normativa GDPR

Il GDPR concede alle Autorità di controllo tedesche ampi poteri al fine di contrastare eventuali violazioni della normativa e sanzionarle, con multe di importo fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dell’impresa inadempiente.

Pertanto, una volta conclusa l’indagine sul servizio di donazione di sangue, spetterà all’Autorità Garante bavarese il compito di definire gli opportuni provvedimenti da applicare.

Il Presidente dell’Autorità però sottolinea che la verifica sulla conformità dei siti web al GDPR non spetta solamente alle Autorità per la protezione dei dati, ma in generale chiunque può verificare quali strumenti di monitoraggio sono integrati in un sito web con pochi sforzi tramite un browser. Il rischio che gli utenti notino una violazione e la segnalino all’autorità di controllo è elevato.

Diventa quindi essenziale che aziende e webmaster abbiano piena consapevolezza rispetto all’elevato utilizzo di tools e cookies - che trattano dati personali - all’interno dei loro siti web, e delle rispettive funzionalità.
 


Dott.ssa Maria Alessandra Monanni

Legal Specialist in Proprietà Intellettuale 
Copywriter e Blogger