Blue Shield of California ha ammesso di aver involontariamente condiviso dati sanitari con Google Analytics, riutilizzati.
L’incidente ha coinvolto fino a 4,7 milioni di persone e solleva gravi questioni di privacy. Nel contesto attuale, caratterizzato dall’esplosione del digitale e dall’uso intensivo dei dati, la protezione delle informazioni personali è diventata una questione di primaria importanza.
Ogni volta che interagiamo online, che sia compilando un modulo o creando un account, una parte delle nostre informazioni personali viene condivisa, spesso in modi che non possiamo completamente controllare.
L’incidente di Blue Shield e Google
La preoccupazione aumenta notevolmente quando si tratta di dati sensibili, come quelli relativi alla nostra salute. Un recente incidente avvenuto in California ha messo in luce questo problema, coinvolgendo Blue Shield of California, uno dei principali fornitori di piani sanitari nello stato, e Google, il gigante della tecnologia.
L’episodio è emerso quando Blue Shield ha rivelato che, a causa di un errore tecnico, informazioni sanitarie riservate di milioni di membri sono state involontariamente condivise con Google Analytics. Questa violazione dei dati ha avuto conseguenze dirette e preoccupanti, poiché le informazioni sensibili sono state utilizzate per veicolare annunci pubblicitari attraverso Google Ads, mirati proprio verso quegli utenti. Secondo le stime, fino a 4,7 milioni di persone potrebbero essere state coinvolte, rendendo questo uno dei più significativi data breach nel settore sanitario statunitense.
Blue Shield ha sottolineato che non si è trattato di una vendita intenzionale dei dati a Google. L’errore è stato attribuito a una configurazione errata durante l’utilizzo di Google Analytics, strumento adottato da molte aziende per monitorare e migliorare l’esperienza degli utenti sui loro siti web. Tuttavia, la scoperta dell’anomalia ha rivelato una realtà inquietante: la condivisione dei dati è avvenuta senza il consenso dei membri e si è protratta per un periodo prolungato, dall’aprile 2021 fino al gennaio 2024.
Tipologie di dati coinvolti
Ma quali dati sono stati coinvolti in questa grave violazione? Blue Shield ha fornito un elenco dettagliato che include informazioni come il nome del piano assicurativo, il tipo di gruppo, la città di residenza, il genere, la dimensione del nucleo familiare, e identificativi degli account online. Inoltre, sono state condivise informazioni relative alle prestazioni mediche, comprese le date dei servizi, i nomi dei fornitori e le responsabilità finanziarie dei pazienti. I criteri di ricerca utilizzati per trovare medici tramite il sito di Blue Shield sono stati anch’essi compromessi, inclusi dettagli sulla localizzazione e le specializzazioni ricercate.
La natura di queste informazioni solleva interrogativi etici e preoccupazioni riguardo alla privacy. L’idea che dati così personali possano essere utilizzati per la profilazione pubblicitaria è allarmante. Gli utenti che cercano informazioni su condizioni mediche specifiche o medici specialisti si trovano a essere bersaglio di annunci mirati, il che non solo è invasivo, ma può anche influire negativamente sulla loro esperienza di salute.
Nonostante la gravità della situazione, Blue Shield ha rassicurato i membri che alcune categorie di dati particolarmente sensibili, come i numeri di Social Security, informazioni bancarie o dati di carte di credito, non sono state condivise. Tuttavia, questo non elimina le preoccupazioni legate alla fuga di informazioni sanitarie. L’azienda ha iniziato a notificare i membri coinvolti, anche se senza poter confermare con certezza i dati specifici di ogni singolo individuo. Blue Shield ha anche fornito linee guida su come monitorare le attività sospette e ha incoraggiato i clienti a contattare le autorità competenti, come la Federal Trade Commission (FTC), in caso di preoccupazioni.