Nell’aprile 2019, la società inglese Bounty è stata multata per 400mila sterline dall’autorità per la protezione dei dati personali del Regno Unito (ICO) per aver condiviso, come data broker, le informazioni private di oltre 14 milioni di mamme e bambini con ben 39 aziende. Un data broker è una società che raccoglie, acquista e vende dati personali. Le azioni di Bounty sembrano essere state motivate da un guadagno finanziario, dato che la condivisione dei dati era parte integrante del suo modello di business in quel momento. La sentenza di data breach nomina solo i quattro maggiori destinatari dei suddetti dati personali: l’agenzia di riferimento del credito Equifax, il broker di dati Acxiom (che a sua volta vende i dati personali ad altri), poi Indicia e Sky, che hanno ricevuto anche loro ora delle sanzioni. Le restanti 35 società sono rimaste anonime.
La vendita dei dati personali: le motivazioni dell’ICO
L’ICO ha inoltre testualmente affermato che “il numero di persone colpite in questa vicenda non ha precedenti nella storia delle indagini sull’industria dell’intermediazione di dati e sulle organizzazioni ad essa collegate”. Sempre secondo l’ICO, “Bounty UK Limited”, nel momento della richiesta dei dati, non è stata sufficientemente chiara e trasparente circa il fatto che tali dati potessero essere trasmessi, a loro volta, a un numero così elevato di aziende. Qualsiasi consenso dato da queste persone, quindi, è stato chiaramente “non informato”. L’ICO ha inoltre evidenziato che, probabilmente, una condivisione così incauta di dati personali ha causato angoscia a molte persone, dal momento che queste stesse non sapevano che le loro informazioni personali, comprese quelle sulla gravidanza e sui neonati, venivano a loro volta più volte condivise con altre aziende. Inoltre, al paragrafo 46.2 della sentenza, ICO afferma che Bounty ha tracciato i dati che ha condiviso, scambiandoli fino a 17 volte in un periodo di 12 mesi… in un modo assolutamente sproporzionato rispetto all’originario trattamento dei dati cui le persone hanno acconsentito.
Purtroppo, rimane sconosciuto se e come i dati raccolti e condivisi da Bounty UK Limited siano continuati a essere utilizzati per profilare e controllare quei 14 milioni di madri e i loro bambini anche oggi e come quelle informazioni possano essere attualmente rivendute e con quali finalità.
Chi è Bounty UK Limited
Chi vive nel Regno Unito, probabilmente conosce Bounty UK Limited. Fondata nel 1959, Bounty UK Limited” è un’azienda che fornisce informazioni, consiglio e supporto a future mamme e neomamme. Si occupa inoltre di assistenza all’infanzia con servizi destinati alla salute, alla nutrizione e al benessere del bambino.
Prima della pandemia da Covid 19, Bounty UK Limited era un’azienda nota al vasto pubblico per la distribuzione di campioni gratuiti di prodotti per l’infanzia presso gli ambulatori di ostetricia e nei reparti maternità del Regno Unito, oltre che per la vendita online tramite il sito Web e app. Inoltre, i rappresentanti di Bounty vendevano anche pacchetti fotografici dei neonati alle neomamme in ospedale. A marzo 2020, causa lockdown per la diffusione della pandemia da Coronavirus, i rappresentanti di Bounty non hanno più avuto accesso ai reparti maternità e nel novembre 2020 la società è entrata in amministrazione controllata. Tuttavia, Bounty ha continuato a mantenere la propria presenza online e a gestire ancora alcune parti della sua attività sotto nuova entità legale. Contemporaneamente il sito web dell’azienda ricordava al pubblico che i propri rappresentanti sarebbero tornati nei reparti maternità una volta revocate le restrizioni anti-Covid.
La app di Bounty
La vendita dei dati personali: le ragioni della sanzione dell’Ico
Secondo quanto appurato, Bounty ha stipulato accordi di distribuzione di prodotti per l’infanzia e di pacchetti fotografici con oltre 175 ospedali del Regno Unito, avendo perciò accesso ai reparti maternità e potendo così avvicinare le neomamme anche subito dopo il parto.
Bounty, grazie ai suddetti accordi, ha raccolto dati personali da una varietà di canali, sia online che offline: il suo sito Web, l’app mobile, le carte di richiesta del “pacchetto Bounty” di campioni gratuiti e direttamente dalle neomamme nei reparti maternità. E proprio qui ha chiesto alle neomamme di compilare documenti che descrivessero sé stesse e il loro bambino. Nello specifico, l’azienda ha raccolto il nome, la data di nascita e il sesso del neonato; della madre, invece, ha chiesto il nome, la data di nascita, l’indirizzo, l’indirizzo e-mail, il luogo di nascita, se si trattava di una prima gravidanza e persino se la mamma in questione fosse di madrelingua inglese.
Nel corso degli anni ci sono state lamentele, anche molto “importanti”, riguardanti il fatto che i rappresentanti di Bounty potessero avere accesso ai reparti maternità del Regno Unito. Molte neomamme hanno segnalato invasioni della privacy e tattiche di vendita spregiudicata. Altre si sono lamentate di essere state avvicinate a poche ore dal parto, mentre ancora dovevano riprendersi o cercavano di riposare o provavano ad allattare. Dai rapporti emerge che molte puerpere si sono sentite costrette a consegnare i propri dati personali o spinte ad acquistare pacchetti fotografici, anche quando non potevano permetterselo. Una neomamma è stata avvicinata quando il suo bambino stava lottando per la propria vita in terapia intensiva. Un’altra, invece, dopo che il proprio bambino era tragicamente morto poco dopo la nascita.
Conclusioni
Il caso Bounty è sicuramente “insolito”, in quanto i broker di dati sono spesso aziende di cui la gente non ha mai sentito parlare. Raramente sono aziende pubbliche o aziende note che forniscono altri servizi. I broker di dati sono, perlopiù, società defilate che operano dietro le quinte e che raccolgono in modo poco trasparente grandi quantità di informazioni su ciò che le persone fanno online e offline.
Ciò che manca, però, nella sentenza dell’ICO come risposta all’illecito compiuto dalla Bounty è il riconoscimento che dietro ciascuna di quelle informazioni diffuse c’è una persona, che ora, oltre a non sapere se fa parte o meno del gruppo dei 14 milioni, non sa nemmeno dove siano i suoi dati e per cosa vengano utilizzati. Una persona che merita di essere trattata con dignità e rispetto. Una persona che ha tutto il diritto di far individuare quei dati affinché possano essere cancellati ma che, per farlo, ha bisogno di sapere dove essi si trovino.
Chiunque, dunque, può esercitare il proprio diritto legale e chiedere alla Bounty UK Limited di riferire se i dati personali raccolti sono stati condivisi con una delle 39 società sopra citate. Inoltre, ognuna delle 39 aziende dovrebbe essere contattata separatamente per verificare se ha ancora quei dati, se li ha condivisi con altre terze parti e chiedere, infine, che le varie parti coinvolte, a loro volta, cancellino i dati. In generale, infatti, se le persone non sono consapevoli del fatto che i loro dati vengono venduti, non sono in grado di accettare o meno consapevolmente e correttamente tale condivisione di dati.
Infine, appare chiaro che le società di vendita e marketing non dovrebbero poter accedere ai reparti maternità, in quanto anche le puerpere, come tutti i pazienti di un qualsiasi reparto, devono vedere garantiti i propri diritti, compreso quello alla privacy. Proviamo a immaginare come potremmo sentirci se, all’uscita dalla sala operatoria, trovassimo accanto al nostro letto uno sconosciuto che cerca di venderci qualcosa…