La protezione dei dati personali è una questione cruciale per la sanità digitale, e a ricordarlo è la sanzione da 1,1 milioni di euro inflitta a fine maggio dalla Tietosuojavaltuutetun Toimisto – l’autorità finlandese per la protezione dei dati – alla catena di farmacie Yliopiston Apteekki (Ya), una delle più importanti del Paese. La violazione riguarda il sito e-commerce della catena, dove tecnologie di tracciamento come Google Analytics e il pixel di Meta avrebbero trasmesso a terze parti informazioni riconducibili alla salute degli utenti, in violazione del Regolamento europeo per la protezione dei dati (Gdpr).
Il caso è emerso da una ricerca dell’Università di Turku, che ha analizzato il comportamento di alcune farmacie online finlandesi con riferimento alla trasmissione di dati sensibili. Gli studiosi hanno scoperto che le attività degli utenti sul sito di Ya – come la ricerca di farmaci o l’aggiunta al carrello – venivano registrate e trasmesse, insieme all’indirizzo Ip e ad altri identificatori univoci, a Google, Meta e ad altri fornitori di servizi di analisi. Le informazioni includevano il nome e la quantità del farmaco selezionato, e poiché potevano essere collegate all’utente attraverso l’indirizzo Ip, sono state considerate dall’autorità come dati sanitari, cioè appartenenti alle “categorie particolari” di dati tutelate dal Gdpr.
Secondo la ricostruzione dell’authority, Ya non avrebbe messo in atto misure adeguate per garantire l’integrità, la riservatezza e la sicurezza del trattamento, violando in particolare l’articolo 5, paragrafo 1, lettera f del Gdpr e l’articolo 32, che impone la protezione dei dati personali mediante misure tecniche e organizzative adeguate. Inoltre, la farmacia non avrebbe rispettato il principio di minimizzazione dei dati, perché le informazioni trasmesse a Google e Meta andavano ben oltre quanto necessario per monitorare le prestazioni del sito web.
«L’uso di tecnologie di tracciamento sul sito di una farmacia non può tradursi nella divulgazione di informazioni sulla salute dei pazienti» ha dichiarato l’authority nel provvedimento. Ya, secondo quanto riferisce la stampa locale, ha rimosso gli strumenti di tracciamento incriminati nel settembre 2022, ma contesta la sanzione e ha già annunciato ricorso al tribunale amministrativo.
Nella sua difesa, la catena ha affermato che nessun dato direttamente identificabile – come nome, indirizzo o coordinate bancarie – sarebbe stato condiviso. Tuttavia, secondo l’autorità, anche un insieme di informazioni apparentemente innocue può diventare identificabile se messo in relazione con altri dati disponibili a chi riceve la trasmissione, come nel caso degli utenti loggati a un account Google o Facebook.
Il caso Ya è attualmente la seconda sanzione più elevata mai inflitta dall’authority finlandese in ambito Gdpr, e rappresenta un precedente importante per l’intero settore sanitario, compreso quello delle farmacie. Le implicazioni sono chiare: anche l’utilizzo standard di strumenti analitici o pubblicitari può comportare rischi legali se non gestito con attenzione, soprattutto quando si tratta di dati relativi alla salute.
