I clienti acquistavano medicine dando il consenso per i cookie, ignari che la farmacia online condivideva i dati sensibili con i social di Mark Zuckerberg
Due aziende che vendono farmaci online usavano sui loro siti web il cosiddetto Metapixel di Meta, e a partire dal 2017 hanno condiviso imprudentemente per diversi anni dati sensibili di circa un milione di clienti con la società di Mark Zukerberg, fino a quando non è intervenuta l’autorità che le ha sanzionate per un totale di quasi 4 milioni di euro.
La Apoteket e la Apohem utilizzavano infatti lo strumento di analisi Metapixel sui loro siti per migliorare il loro marketing su Facebook e Instagram, ma a quanto pare i flussi dei dati verso l’esterno erano inavvertitamente fuori controllo, come denota la dichiarazione rilasciata da Anna Rogmark, direttore generale della Apoteket AB, che in un'intervista a un quotidiano svedese ha affermato: "Non è mai stata intenzione di Apoteket condividere informazioni in questa misura, e ora stiamo imparando da quello che è accaduto".
Il trasferimento errato dei dati personali verso Meta era stato causato dalle stesse farmacie online che avevano attivato una nuova sotto-funzione del Meta pixel, non rendendosi conto che, quando gli utenti entravano sul sito per comprare i medicinali dovevano prestare il consenso sui cookie, ignari che così facendo attivavano però la condivisione automatica delle loro informazioni sensibili con i social network.
Anche se trasferimento dei dati verso i social non includeva le ricette mediche, così facendo le due aziende hanno comunque inviato a Meta una mole enorme di dati personali violando la privacy di un gran numero di clienti, trasmettendo tra le varie informazioni anche dati sull'acquisto di medicinali da banco per il trattamento di specifici problemi di salute, autotest e prodotti per la cura di malattie veneree, nonché sexy toys, tutte informazioni sensibili per cui il GDPR impone l'obbligo di adottare misure di protezione adeguate.
Ma tale condivisione di dati personali è andata avanti a lungo, e come spiega Maja Welander, avvocato del garante della privacy svedese (IMY), ed è stata interrotta solo dopo che le aziende sono state informate dell'incidente dagli utenti che si stavano rendendo conto che c’era qualcosa che non quadrava, motivo per cui il garante svedese apriva un’indagine.
Dopo aver fatto i debiti accertamenti, l'autorità per la protezione dei dati scandinava ha infine deciso di irrogare una sanzione di 37 milioni di corone svedesi contro Apoteket AB e una di 8 milioni di corone svedesi contro Apohem AB, corrispondenti a un importo complessivo di circa 3,96 milioni di euro.
