Due farmacie online, Apoteket AB e Apohem AB, sono state recentemente multate per la condivisione involontaria di dati sensibili dei propri clienti con Meta, la società di Mark Zuckerberg. L’episodio ha riguardato il trasferimento di informazioni personali tramite il Metapixel, uno strumento di analisi utilizzato sui loro siti web per migliorare il marketing su piattaforme come Facebook e Instagram.

Questo errore ha causato una violazione della privacy di circa un milione di clienti, che inconsapevolmente hanno condiviso dati relativi all’acquisto di farmaci, test per malattie sessualmente trasmissibili e persino giocattoli sessuali.

Le farmacie online hanno attivato una funzione del Metapixel senza rendersi conto delle implicazioni, provocando così la trasmissione di una grande quantità di informazioni sensibili verso Meta. Questo avveniva quando gli utenti accettavano i cookie durante il processo di acquisto, ignari del fatto che, oltre al consenso per i cookie, stavano accettando anche la condivisione dei loro dati con i social network. Fortunatamente, il trasferimento di dati non includeva le ricette mediche, ma ciò non ha impedito che venissero violate le norme sulla privacy.

Hanno violato il Regolamento Generale sulla Protezione dei Dati (GDPR)

L’autorità svedese per la protezione dei dati personali (IMY) è intervenuta dopo aver ricevuto segnalazioni dai clienti che avevano notato attività sospette riguardanti i loro dati. Dopo un’accurata indagine, l’IMY ha concluso che Apoteket e Apohem avevano violato il Regolamento Generale sulla Protezione dei Dati (GDPR). Le aziende non avevano implementato le misure tecniche e organizzative necessarie per proteggere adeguatamente le informazioni personali dei propri clienti, come richiesto dal GDPR.

Le sanzioni sono state pesanti: Apoteket è stata multata per 37 milioni di corone svedesi (circa 3,2 milioni di euro), mentre Apohem ha ricevuto una multa di 8 milioni di corone svedesi (circa 700.000 euro). Gli avvocati dell’IMY hanno sottolineato che il trattamento di dati così sensibili richiede un alto livello di protezione e che le due aziende non hanno seguito un adeguato protocollo di sicurezza.

Il trasferimento di dati verso Meta è proseguito per anni, fino a quando le aziende non sono state avvertite dai clienti. A seguito dell’incidente, entrambe le farmacie hanno rivisto le loro procedure interne per garantire la protezione e il corretto trattamento dei dati personali in futuro.

