App per la salute: la condivisione dei dati sensibili mette a rischio la privacy

(da Doctor33)   La condivisione dei dati degli utenti da parte delle più diffuse applicazioni per cellulari per la salute è la norma e non è sufficientemente trasparente, secondo uno studio pubblicato sul British Medical Journal. «I regolatori dovrebbero enfatizzare le responsabilità di coloro che controllano ed elaborano i dati degli utenti, e gli sviluppatori di app per la salute dovrebbero divulgare tutte le pratiche di condivisione dei dati e consentire agli utenti di scegliere con precisione quali dati sono condivisi e con chi» spiega Quinn Grundy, della University of Toronto, primo nome dello studio. Per valutare il modo in cui i dati degli utenti sono condivisi, i ricercatori hanno identificato 24 app relative a medicinali sulla piattaforma Android in Regno Unito, Stati Uniti, Canada e Australia. Tutte le app erano disponibili al pubblico, fornivano informazioni su erogazione, somministrazione, prescrizione o uso di medicinali, ed erano interattive.    Gli autori hanno scaricato ciascuna app su uno smartphone e utilizzato quattro profili utente fittizi per simulare l’uso nel mondo reale, rilevando le informazioni sensibili inviate a un server remoto. In seguito hanno identificato le aziende che ricevevano dati sensibili tramite indirizzo IP, per analizzare i loro siti Web e le loro politiche sulla privacy. L’analisi ha mostrato che la maggior parte (19 su 24; 79%) delle app campionate ha condiviso i dati degli utenti con un totale di 55 entità uniche, di proprietà di 46 società madri, tra cui sviluppatori e case madri (prime parti) e fornitori di servizi (terze parti). Di questi ultimi, 18 (33%) hanno fornito servizi relativi alle infrastrutture come lo spazio su cloud e 37 (67%) servizi relativi alla raccolta e all’analisi dei dati dell’utente. Amazon.com e Alphabet, la società madre di Google, hanno ricevuto il maggior volume di dati, seguiti da Microsoft. Terze parti hanno reso pubblica la possibilità di condividere i dati degli utenti con 216 “quarte parti”, delle quali solo tre erano prevalentemente caratterizzabili come appartenenti al settore sanitario. Diverse aziende, tra cui Alphabet, Facebook e Oracle, hanno occupato posizioni centrali all’interno della rete con la capacità di aggregare e identificare i dati dell’utente. «Gli operatori sanitari dovrebbero essere consapevoli dei rischi per la privacy nell’uso delle app e spiegare questo pericolo come parte del consenso informato» concludono gli autori.
(BMJ. 2019. doi: 10.1136/bmj.l920 https://www.ncbi.nlm.nih.gov/pubmed/30894349)