Nel mondo digitale odierno la tracciabilità dei nostri dati personali è diventata una preoccupazione costante. Ogni volta che clicchiamo su “Invia modulo” o “Crea account”, una parte delle nostre informazioni viaggia online, spesso verso destinazioni che non possiamo controllare completamente.
Questa realtà assume contorni particolarmente allarmanti quando ad essere coinvolti sono dati estremamente sensibili, come quelli relativi alla nostra salute. Un recente episodio proveniente dalla California getta un’ombra inquietante proprio su questo fronte, coinvolgendo un importante assicuratore sanitario e il colosso della tecnologia Google.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Alcuni dati sanitari privati sono stati usati per la pubblicità Google: ecco tutto ciò che c’è da sapere
Blue Shield of California, uno dei principali fornitori di piani sanitari dello stato americano, ha recentemente ammesso una grave falla nella gestione dei dati dei propri clienti. L’azienda ha rivelato che, a causa di un errore di configurazione, informazioni sanitarie private e protette di un numero considerevole di suoi membri sono state involontariamente condivise con Google Analytics.
La conseguenza più diretta e preoccupante? Questi dati sensibili sono stati poi utilizzati dalla piattaforma pubblicitaria di Google, Google Ads, per veicolare annunci mirati proprio verso quegli stessi utenti. Secondo le ultime stime riportate da diverse fonti autorevoli e confermate dalla notifica al Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti, l’incidente potrebbe aver coinvolto fino a 4,7 milioni di persone, rendendolo uno dei data breach più significativi nel settore sanitario statunitense per l’anno in corso.
È fondamentale sottolineare, come precisato dalla stessa Blue Shield, che non si è trattato di una vendita volontaria di dati a Google, magari per addestrare algoritmi di intelligenza artificiale o per altri scopi commerciali diretti. L’incidente, secondo la ricostruzione ufficiale fornita dall’assicuratore, è derivato da un errore tecnico. Blue Shield utilizzava Google Analytics, come molte altre aziende, per monitorare l’utilizzo del proprio sito web da parte degli utenti, con l’obiettivo dichiarato di migliorare i servizi offerti. Tuttavia, una configurazione errata ha fatto sì che i dati raccolti da Analytics fluissero direttamente nel sistema di Google Ads.
La scoperta di questa anomalia è avvenuta relativamente di recente. Stando alla comunicazione ufficiale di Blue Shield, l’azienda si è resa conto del problema l’11 febbraio 2025. L’indagine interna ha però rivelato che la condivisione involontaria dei dati si è protratta per un periodo di tempo allarmante: dall’aprile 2021 fino al gennaio 2024. Quasi tre anni durante i quali informazioni sanitarie protette sono finite nelle mani della macchina pubblicitaria di Google.
Ma di quali dati stiamo parlando esattamente? L’elenco fornito da Blue Shield è dettagliato e fa comprendere la gravità della situazione. Tra le informazioni potenzialmente condivise figurano: nome del piano assicurativo, tipo e numero di gruppo; città e codice postale (ZIP code) di residenza; genere; dimensione del nucleo familiare; identificativi assegnati da Blue Shield per gli account online dei membri. Ma non finisce qui.
Sono state condivise anche informazioni relative alle prestazioni mediche, come la data del servizio e il fornitore medico, il nome del paziente e la sua responsabilità finanziaria (cioè quanto dovuto dal paziente). Inoltre, sono stati trasmessi anche i criteri di ricerca e i risultati ottenuti tramite la funzione “Trova un Medico” presente sul sito, includendo dettagli come la località, il nome e il tipo di piano, nonché il nome e la specializzazione del medico cercato.
Si tratta, senza dubbio, di informazioni estremamente personali e sensibili. Il fatto che siano state utilizzate per la profilazione pubblicitaria solleva questioni etiche e di privacy molto serie. Immaginate di cercare informazioni su una specifica condizione medica o un medico specialista e, poco dopo, iniziare a vedere annunci pubblicitari correlati su altri siti web o piattaforme. È l’equivalente sanitario dell’esempio classico: cerchi uno smartphone su Google e vieni bombardato da pubblicità di smartphone per giorni. Applicato alla salute, però, questo meccanismo assume una connotazione decisamente più invasiva e potenzialmente dannosa.
Blue Shield ha comunque tenuto a precisare che alcune categorie di dati particolarmente critici non sono state coinvolte nella fuga di informazioni. Nello specifico, non sarebbero stati condivisi numeri di Social Security (l’equivalente americano del nostro codice fiscale), numeri di patente, informazioni bancarie o dati relativi a carte di credito.
Una magra consolazione, considerando la natura delle informazioni comunque trapelate. L’azienda ha anche rassicurato i propri membri sul fatto che non ci sono prove del coinvolgimento di “bad actor” (attori malevoli) e che, per quanto ne sappiano, Google avrebbe utilizzato i dati esclusivamente per scopi pubblicitari, senza condividerli ulteriormente a terze parti. Da parte sua, un portavoce di Google ha ribadito che la gestione dei dati raccolti spetta alle aziende che utilizzano i loro strumenti e che Google ha policy stringenti contro la raccolta di informazioni sanitarie protette (PHI) e la pubblicità basata su dati sensibili.
Cosa possono fare ora i clienti di Blue Shield of California coinvolti? L’azienda sta notificando l’accaduto ai membri potenzialmente interessati (anche se ammette di non poter confermare con certezza quali specifici dati di ogni singolo individuo siano stati effettivamente condivisi, data la complessità della situazione) e consiglia vivamente di monitorare attentamente i propri account e le comunicazioni ricevute.
Anche se la questione non ci riguarda direttamente, in caso di attività sospette è fondamentale contattare le autorità competenti. Blue Shield suggerisce di rivolgersi alla Federal Trade Commission (FTC) statunitense, fornendo anche un numero di telefono dedicato (1-877-438-4338). L’assicuratore ha inoltre messo a disposizione alcuni link informativi sul proprio sito per chi teme che i propri dati possano essere stati compromessi.
Blue Shield ha dichiarato di aver interrotto la connessione problematica tra Google Analytics e Google Ads già nel gennaio 2024, prima quindi della scoperta ufficiale della falla a febbraio 2025, e assicura che da allora non ci sono state ulteriori condivisioni di dati. L’azienda ha anche avviato una revisione completa dei propri siti web e dei protocolli di sicurezza per garantire che altri strumenti di analisi di terze parti non stiano condividendo impropriamente informazioni protette.
Questo incidente riaccende prepotentemente i riflettori sulla delicata questione della gestione dei dati sanitari online e sull’uso (e abuso) delle tecnologie di tracciamento da parte delle grandi piattaforme tecnologiche. Solleva interrogativi sulla responsabilità delle aziende sanitarie nella protezione delle informazioni dei pazienti e sulla trasparenza richiesta quando si utilizzano strumenti di terze parti che potrebbero avere implicazioni sulla privacy.
La vicenda è ancora in evoluzione e sicuramente emergeranno ulteriori dettagli con il proseguire delle indagini. Nel frattempo, per i milioni di clienti di Blue Shield coinvolti, resta l’amara consapevolezza che le loro informazioni sanitarie più private potrebbero essere state usate per vendergli qualcosa.
- Google rivela in tribunale che Gemini ha raggiunto 350 milioni di utenti mensili
- Il Google I/O 2025 prende forma: ecco le novità di cui si parlerà durante l’evento
- Alcuni Google Pixel 7a hanno un problema alla batteria: ecco che cosa si può fare
- Notifiche in ritardo su Google Pixel? Non è un problema solo vostro
- L’amministrazione Trump esclude smartphone, computer e chip dai dazi più elevati