Lloyds Pharmacy ha estado compartiendo datos de clientes que han hecho compras delicadas, como Viagra, con TikTok y Facebook, con el fin de darles información para sus sistemas de publicidad dirigida, según ha revelado una investigación.
La gran empresa es una de los cientos de farmacias en línea que se sabe que han estado utilizando pequeños fragmentos de código informático que pueden compartir datos personales (como nombres completos y números de teléfono) con las grandes empresas de tecnología.
Una investigación conjunta de The Guardian y Radio Sweden descubrió que los sitios web contenían “píxeles” publicitarios incrustados en su página de cobros por las compras en línea. En otros casos, los píxeles se incluían en los resultados de las búsquedas, permitiendo que las redes sociales tuvieran acceso a los síntomas específicos de los usuarios.
En una de las pruebas, los píxeles recopilaron los términos exactos de búsqueda introducidos en el sitio web de Lloyds —como “disfunción eréctil” y “síndrome del intestino irritable”—, así como los productos concretos añadidos al carrito de compras —entre ellos, Viagra, crema para la candidiasis y una prueba de clamidia—.
Al monitorizar el tráfico en la red, fue posible ver los términos que se enviaban a las empresas de redes sociales. En el proceso de pagar por la compra, tanto los píxeles de seguimiento de Facebook como los de TikTok recopilaban la dirección de correo electrónico del usuario. Lloyds también enviaba a Facebook el nombre y apellidos del usuario, mientras que a TikTok le enviaba su número de teléfono.
En ningún momento se dio el consentimiento explícito para compartir la información, y no había opción de desactivar la transmisión en la descripción de la información sobre cookies.
Más de 200 farmacias de toda Europa tienen píxeles publicitarios de Facebook, TikTok o ambos, y pueden estar compartiendo correos electrónicos de los clientes, y otros datos de identificación personal, con las redes sociales.
Pero un análisis detallado de las farmacias más grandes descubrió que solo Lloyds estaba enviando, a TikTok específicamente, información médica confidencial, así como datos de identificación personal.
Poco después de contactar a Lloyds para solicitar comentarios, desapareció por completo el píxel de TikTok de su sitio web, mientras que el píxel de Facebook se actualizó para que solo funcionara después de que el usuario aceptara las cookies. La farmacia afirma que esta medida no tuvo nada que ver con las investigaciones, sino que se debió a un cambio en el sistema informático.
Otra farmacia británica en línea, E-surgery, también envió información médica a Facebook a través de un píxel, incluyendo las respuestas dadas al sitio, a través de su cuestionario de consulta en línea.
Facebook dice que tiene incorporado un filtro para detectar y eliminar información médica sensible antes de que se haya almacenado en sus sistemas. Pero la empresa no pudo responder a las preguntas sobre su efectividad.
En otra prueba que se llevó a cabo el año pasado, los investigadores de Radio Sweden crearon su propio sitio web fingiendo ofrecer servicios de farmacia y cargaron un píxel de Facebook en la página de cobro por las compras en línea. Al visitar al gestor de publicidad de la farmacia falsa, se pudo ver que los datos confidenciales, como las búsquedas y los nombres de los productos, habían sido almacenados por la red social.
Un portavoz de Meta dijo en una declaración: “Los publicistas no deben enviar información sensible sobre las personas a través de nuestras herramientas comerciales. Hacerlo va en contra de nuestras políticas y enseñamos a los publicistas a configurar correctamente las herramientas comerciales para evitar que esto ocurra. Nuestro sistema está diseñado para filtrar los datos potencialmente sensibles que es capaz de detectar”.
“No queremos que los sitios web o las aplicaciones nos envíen información sensible de las personas”, añadió el portavoz. “Si una empresa nos envía datos potencialmente sensibles, lo que en algunos casos puede ocurrir por error, nuestro mecanismo de filtrado está diseñado para eliminar los datos potencialmente confidenciales que este detecta antes de que se puedan almacenar en nuestros sistemas de anuncios. Como cualquier tecnología, nuestros filtros no siempre podrán detectar todo. Sin embargo, estamos mejorando constantemente nuestros mecanismos para asegurarnos de que detectamos lo máximo posible”.
Lloyds dijo: “Lloyds Pharmacy revisa periódicamente sus políticas de cookies y de privacidad para garantizar que estén en consonancia con nuestras obligaciones legales y reglamentarias. Actualmente estamos investigando las cuestiones que Sweden Radio y The Guardian han planteado.
“Mientras tanto, Lloyds Pharmacy podrá aclarar que el cambio en el uso de píxeles, al que se refieren Sweden Radio y The Guardian, no se produjo a raíz de esas investigaciones, sino que fue el resultado de la transición de sus sistemas informáticos al Hallo Healthcare Group el 6 de abril de 2023”.
“Es norma de la industria que los minoristas compartan información anonimizada con sus socios de las redes sociales, en nuestro caso así se establece en las políticas de privacidad y cookies de LloydsPharmacy”.
E-surgery no respondió a las solicitudes de comentarios.
Según un portavoz de TikTok: “Al igual que otras plataformas, los publicistas utilizan el píxel de TikTok para medir la eficacia de sus anuncios, mostrar anuncios a los usuarios que han visitado su sitio web, y ayudar a mejorar las campañas en función de las señales específicas que los ellos mismos han decidido enviarnos”.
“Usar el píxel de TikTok para recibir datos confidenciales, incluyendo información personal de salud, sería una violación de nuestros términos. Trabajamos continuamente con nuestros socios para evitar la transmisión involuntaria de dichos datos”.
La Oficina del Comisario de Información del Reino Unido dijo que no haría comentarios sobre ejemplos concretos, añadiendo: “Cuando las organizaciones procesan información personal en un espacio en línea, se aplica la ley de protección de datos. Las empresas que procesan datos personales con fines comerciales deben hacerlo de forma justa, legal y transparente”.