L'autorità californiana garante della privacy ha multato un broker di dati texano per 45.000 dollari e gli ha vietato di vendere le informazioni personali dei californiani dopo che questi aveva venduto i dati dei pazienti affetti da Alzheimer. Secondo la California Privacy Agency (CPPA) , la società texana Rickenbacher Data LLC, che opera con il nome commerciale Datamasters, ha acquistato e rivenduto nomi, indirizzi, numeri di telefono e indirizzi e-mail di persone affette da gravi patologie.
L'ordinanza definitiva della CPPA contro Datamasters afferma che la società gestiva un database contenente 435.245 indirizzi postali di pazienti affetti da Alzheimer. Ma non si è fermata qui. Erano disponibili anche i dati relativi a 2.317.141 persone non vedenti o ipovedenti e 133.142 tossicodipendenti. Ha inoltre venduto i dati relativi a 857.449 persone con problemi di controllo della vescica.
I dati relativi alla salute non erano l'unica categoria trattata da Datamasters. L'azienda vendeva anche informazioni legate all'etnia, tra cui le cosiddette "liste ispaniche" contenenti oltre 20 milioni di nomi, nonché "liste di anziani" basate sull'età e indicatori di vulnerabilità finanziaria. Ad esempio, vendeva i dati relativi a persone con mutui ipotecari ad alto tasso di interesse.
E se gli acquirenti desideravano dati su altre caratteristiche e azioni probabili dei clienti, come ad esempio chi fosse probabilmente di orientamento liberale rispetto a chi fosse di orientamento conservatore, anche questo era possibile grazie a 3.370 "modelli di previsione dei consumatori" che coprivano le preferenze automobilistiche, l'attività finanziaria, l'uso dei media, l'affiliazione politica e l'attività senza scopo di lucro.
Datamasters offre l'acquisto definitivo dei dati contenuti nel proprio database nazionale dei consumatori, che secondo quanto dichiarato dall'azienda copre 114 milioni di famiglie e 231 milioni di individui. I clienti possono anche acquistare aggiornamenti su abbonamento.
Le autorità di regolamentazione della California hanno avviato un'indagine su Datamasters dopo aver scoperto che la società non si era registrata come broker di dati nello Stato, come richiesto dal Delete Act della California. La legge impone ai broker di dati di registrarsi dal 31 gennaio 2025.
Inizialmente l'azienda aveva negato di operare in California o di possedere dati relativi a cittadini californiani. Tuttavia, tale affermazione è stata smentita quando le autorità di regolamentazione hanno trovato sul sito web un foglio Excel contenente 204.218 record relativi a studenti californiani.
Datamasters ha inizialmente affermato di non aver filtrato il proprio database nazionale per rimuovere i dati relativi ai cittadini californiani. Dopo aver consultato un legale, ha cambiato versione, affermando di aver effettivamente filtrato i dati relativi ai cittadini californiani. Ciò non ha tuttavia convinto la CPPA.
L'autorità di regolamentazione ha riconosciuto che Datamasters ha cercato di conformarsi alle leggi californiane sulla privacy, ma che
"non disponeva di politiche e procedure scritte sufficienti per garantire la conformità con il Delete Act".
La sanzione inflitta a Datamasters tiene conto anche del fatto che la società non era iscritta nel registro statale dei broker di dati. I broker di dati che non si registrano sono soggetti a sanzioni pari a 200 dollari al giorno, mentre la mancata cancellazione dei dati dei consumatori comporta sanzioni pari a 200 dollari al giorno per ciascun consumatore.
A partire dal 1° gennaio 2028, anche i broker di dati registrati in California saranno tenuti a sottoporsi ogni tre anni a verifiche di conformità indipendenti da parte di terzi.
Perché vendere dati sensibili dei clienti è così pericoloso
"La storia ci insegna che certi tipi di liste possono essere pericolosi".
Michael Macko, responsabile dell'applicazione della legge della CPPA, ha sottolineato.
La ricerca ci ha dimostrato che i pazienti affetti dal morbo di Alzheimer sono particolarmente vulnerabili allo sfruttamento finanziario. Se pensate che i truffatori non cerchino tali elenchi, ripensateci: è stato scoperto che in passato alcuni criminali hanno avuto accesso ai dati di almeno tre broker di dati. Sebbene non vi siano prove che Datamasters abbia venduto consapevolmente i dati ai truffatori, sembra facile per chiunque acquistare gli elenchi dei broker di dati.
Non occorre nemmeno un dottorato di ricerca per capire perché molti di questi dati (che, ricordiamo, l'azienda detiene su persone di tutto il Paese) potrebbero essere particolarmente sensibili nell'attuale clima politico statunitense.
C'è anche una questione più ampia relativa alla privacy. Sebbene molti americani possano presumere che la legge federale HIPAA (Health Insurance Portability and Accountability Act) protegga i loro dati sanitari, essa si applica solo agli operatori sanitari. Sorprendentemente, i broker di dati non rientrano nel suo ambito di applicazione.
Cosa puoi fare per proteggerti?
Il primo passo da compiere è consultare la legge sulla protezione dei dati del proprio Stato. Quest'anno la California ha introdotto il sistema DROP (Data Request and Opt-out Platform) nell'ambito del Delete Act. Si tratta di un sistema di opt-out che consente ai residenti della California di richiedere a tutti i broker di dati iscritti al registro di cancellare i dati in loro possesso.
Se non vivi in uno Stato che prende sul serio i dati sensibili, le tue opzioni sono più limitate. Potresti trasferirti, magari in Europa, dove la protezione della privacy è notevolmente più forte.
Non ci limitiamo a fornire informazioni sulla privacy dei dati, ma vi aiutiamo a rimuovere le vostre informazioni personali.
I rischi di cybersecurity non dovrebbero mai diffondersi al di là di un titolo di giornale. Con Malwarebytes Personal Data Removerè possibile effettuare una scansione per scoprire quali siti espongono le vostre informazioni personali e quindi eliminare i dati sensibili da Internet.
