Il tuo medico ha condiviso i tuoi dati con Meta
I pixel di Meta e TikTok raccolgono dati sanitari protetti da siti ospedalieri come MarinHealth, violando l'HIPAA. Le autorità infliggono multe, ma il tracciamento continua a evolversi.
La causa collettiva ha portato a un risarcimento da 3 milioni di dollari per la violazione della privacy sanitaria.
Immagina di entrare sul sito di un ospedale, cercare un dermatologo, prenotare una visita. Tutto normale, tutto privato — o almeno così pensi. In realtà, in quel preciso momento, un frammento di codice invisibile potrebbe star trasmettendo quelle informazioni ai server di Meta o TikTok, trasformando una ricerca medica personale in un dato pubblicitario. Non è fantascienza, e non è nemmeno un caso isolato. È la realtà documentata di milioni di siti web, ospedali inclusi. Secondo la ricerca di Jscrambler sui pixel pubblicitari, questi strumenti vanno molto oltre la semplice analisi del traffico: raccolgono email, numeri di telefono, indirizzi fisici e li trasformano in profili utente persistenti e identificabili.
Quando il tracker colpisce in ospedale
Il caso più emblematico — e per certi versi sconcertante — riguarda MarinHealth, un sistema ospedaliero californiano. Secondo l’accordo da 3 milioni di dollari nella causa collettiva, l’ospedale ha installato il codice Meta Pixel sul proprio sito web dal 2019 al 2025, per sei anni interi. Durante tutto quel tempo, i dati sanitari dei pazienti — informazioni protette dalla legge americana sulla privacy medica, nota come HIPAA — venivano trasmessi a Meta senza che i pazienti ne fossero consapevoli, e men che meno avessero dato il consenso.
Il problema non è nato ieri. Già nel dicembre 2022, l’OCR, l’ufficio americano per i diritti civili in ambito sanitario, aveva pubblicato le sue prime linee guida sul tracciamento online, avvertendo esplicitamente che molti ospedali statunitensi stavano usando queste tecnologie su siti web e app, raccogliendo informazioni sanitarie protette e trasmettendole a terze parti in violazione delle regole HIPAA. Eppure, nonostante gli allarmi, la pratica è continuata. E MarinHealth non era un’eccezione: stando ai dati sul tracciamento nei siti sanitari americani, nel 2024 ancora un terzo delle organizzazioni sanitarie — il 33% — aveva Meta Pixel installato sulle proprie pagine. Un terzo. In ambito medico. Dove la riservatezza dovrebbe essere sacra.
La domanda che sorge spontanea è: ma come funziona esattamente questo meccanismo? E perché è così difficile da bloccare?
I meccanismi invisibili dei pixel
Pensate ai pixel di tracciamento come a minuscole spie aziendali incorporate nei siti che visitate. Tecnicamente sono frammenti di JavaScript — poche righe di codice — che le aziende come Meta e TikTok mettono a disposizione gratuitamente dei gestori di siti web per “misurare le conversioni pubblicitarie”. In pratica, però, fanno molto di più. La ricerca di Jscrambler ha documentato come questi pixel raccolgano sistematicamente dati commerciali dettagliatissimi: nomi dei prodotti, prezzi unitari, quantità nel carrello, valore totale, valuta. Registrano ogni azione: quando aggiungi qualcosa al carrello, quando inserisci i dati di pagamento. Ogni passo del tuo percorso d’acquisto viene catalogato e inviato.
Ma c’è di peggio. Il pixel di Meta include una funzione chiamata Automatic Events, attiva per impostazione predefinita, che scansiona automaticamente gli elementi della pagina e cattura i dettagli delle carte di pagamento visibili: le ultime cifre, la data di scadenza, il nome del titolare. TikTok, dal canto suo, è stato trovato a catturare indirizzi fisici inseriti nei campi di ricerca dei negozi — i classici “trova il punto vendita vicino a te” — presso grandi retailer francesi e tedeschi, trasmettendoli ai propri server anche prima che l’utente avesse avuto la possibilità di esprimere o negare il consenso. In alcuni casi, la raccolta avveniva persino dopo che l’utente aveva cliccato su “Rifiuta tutto”. Come se il lucchetto della porta non funzionasse. E per finire, questi dati vengono a volte trasmessi in chiaro — non cifrati — esponendoli a storie del browser, log dei server e strumenti di debug. Chiunque intercetti il traffico può leggere tutto.
Le autorità di regolazione europee non sono rimaste a guardare, e le conseguenze finanziarie per TikTok sono state pesanti. Ma le sanzioni da sole bastano a cambiare le cose?
Il futuro tra sanzioni e innovazioni
Nel 2025, l’autorità di vigilanza irlandese — che per il GDPR europeo ha competenza su molte big tech con sede a Dublino — ha inflitto a TikTok una multa complessiva di 530 milioni di euro: 45 milioni per aver violato l’obbligo di informativa agli utenti (articolo 13 del GDPR) e ben 485 milioni per aver trasferito dati verso paesi terzi senza le garanzie previste dalla legge. Numeri che fanno effetto, certo. Ma per un’azienda con la capitalizzazione di TikTok, il rischio reputazionale pesa probabilmente più della cifra stessa.
La risposta tecnologica al problema è ambivalente. Da un lato, strumenti come Blacklight — un servizio che analizza i tracker presenti sui siti web — si sono aggiornati per rilevare anche i pixel di TikTok e X, offrendo agli utenti più consapevolezza su cosa succede dietro le quinte. Dall’altro, a dicembre 2025, TikTok ha rilasciato un aggiornamento importante del suo pixel: lo script è cresciuto di circa il 30% e ha introdotto nuovi meccanismi di raccolta dati. In pratica, mentre le sanzioni arrivano, il codice di tracciamento si fa più sofisticato. Nel frattempo, Google Analytics 4 continua a raccogliere dati estesi su traffico, demografia e comportamento degli utenti su tutto il web, come parte di un panorama in cui il tracciamento è ormai la norma, non l’eccezione.
La battaglia per la privacy digitale è appena iniziata, e il campo di gioco è tutto tranne che equilibrato. Da una parte utenti che nella stragrande maggioranza non sanno cosa viene raccolto su di loro — e tantomeno che un ospedale potrebbe star condividendo la loro ricerca per uno psicologo con un algoritmo pubblicitario. Dall’altra, pixel sempre più grandi, sempre più veloci, sempre più invisibili. Regolatori e aziende stanno giocando a guardie e ladri con strumenti che si evolvono a velocità asimmetrica. La domanda non è se il tracciamento continuerà — continuerà — ma se riusciremo a costruire regole abbastanza solide da rendere davvero costoso ignorarle. Finché la risposta è “non ancora”, tenete gli occhi aperti sulle tracce che lasciate online. Anche quando state solo cercando un medico.
