La Federal Trade Commission (FTC) vieta al servizio di consulenza psicologica online BetterHelp Inc. di condividere i dati sanitari dei suoi utenti, comprese le informazioni sui problemi di salute mentale, a scopo pubblicitario. La proposta di ordinanza prevede anche che l’azienda paghi 7,8 milioni di dollari di risarcimento agli utenti per aver rivelato i loro dati a terzi, come Facebook e Snapchat. BetterHelp offre servizi di consulenza online con questo nome e con versioni specializzate per un pubblico particolare – i.e. Pride Counseling per i membri della comunità LGBTQ, Faithful Counseling per le persone di fede cristiana, Terappeuta per i clienti di lingua spagnola e Teen Counseling per gli adolescenti che si iscrivono con il permesso dei genitori -. I consumatori interessati ai servizi di BetterHelp devono compilare un questionario che chiede dati relativi alla salute mentale, come ad esempio se hanno sofferto di depressione o pensieri suicidi e se stanno assumendo farmaci. Inoltre forniscono il loro nome, l’indirizzo e-mail, la data di nascita e altre informazioni personali. I consumatori vengono poi abbinati a un consulente e pagano tra i 60 e i 90 dollari a settimana per la consulenza. In diversi punti del processo di iscrizione, BetterHelp ha promesso ai consumatori che non avrebbe utilizzato o divulgato i loro dati sanitari personali se non per scopi limitati, come la fornitura di servizi di consulenza. Ma così non è stato nella pratica, stando alle valutazioni della FTC. Così, a BetterHelp sarà vietato di condividere i dati personali dei consumatori con alcune terze parti per il re-targeting. La FTC pubblicherà a breve una descrizione del consent agreement package nel Federal Register. L’accordo sarà soggetto a commenti pubblici per 30 giorni dopo la pubblicazione nel Federal Register, dopodiché la Commissione deciderà se renderlo definitivo.
Nel Regno Unito, una madre ha dichiarato di essere stata lasciata sola “nel deserto” mentre tentava di ottenere informazioni dalle tech companies sulla morte di sua figlia adolescente. La ragazza si era suicidata circa cinque anni or sono, dopo aver visto materiale autolesionistico online. La famiglia ha cercato più volte di ottenere informazioni e si è trovata “assolutamente in difficoltà”. Perciò, insieme ad altre famiglie, stanno conducendo una campagna per cambiare le cose. In particolare, vogliono un emendamento all’Online Safety Bill, al momento in corso di approvazione in Parlamento, che consenta alle famiglie e ai medici legali di ottenere il supporto delle authorities (una su tutte, dell’Ofcom) per ottenere dalle piattaforme informazioni sul materiale a cui i loro figli accedevano prima della loro morte. Il gruppo ha scritto al Primo Ministro, al Ministro della Giustizia e al Segretario di Stato per la Scienza e la Tecnologia, chiedendo che la legge venga modificata. Nella lettera inviata al Governo – e citata parzialmente dalla BBC – si legge: “Ognuno di noi ha perso un figlio in circostanze legate al mondo digitale, e ognuno di noi ha lottato per ottenere le informazioni necessarie a comprendere meglio la sua morte. Purtroppo, ogni anno, ci sono centinaia di famiglie che si trovano in circostanze altrettanto dolorose. Il processo di accesso ai dati è stato disumano. In alcuni casi, ci sono voluti anni e siamo stati lasciati in loop automatici, parlando con bot online, come se stessimo contattando oggetti smarriti”.
Il cammino verso l’introduzione del Data Protection Bill in India non è certo privo di colpi di scena. L’ultimo è stata la smentita da parte del deputato Lok Sabha della dichiarazione del ministro dell’Elettronica e della Tecnologia dell’Informazione Ashwini Vaishnaw, secondo cui la Commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato un “grande pollice in su” alla proposta legislativa del Governo. Dal 2017, quando la Corte Suprema indiana con la storica sentenza Puttaswamy, ha stabilito all’unanimità che la privacy è un diritto fondamentale dei cittadini indiani, si sono già avvicendate quattro versioni della legge sulla protezione dei dati. L’ultima è il Digital Personal Data Protection (DPDP) Bill, pubblicato dal Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) per la consultazione pubblica il 18 novembre 2022. In una recente dichiarazione, il ministro Ashwini Vaishnaw ha affermato che la commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato parere favorevole al progetto di legge. Ma forse si è trattato di eccessivo ottimismo. Nel corso della seduta dello scorso dicembre, la Commissione aveva, infatti, invitato i rappresentanti del MeitY per ascoltare il loro punto di vista sulla “sicurezza dei dati dei cittadini e la privacy” (in una sorta di discussione preliminare sulla proposta di DPDP), ma i membri della Commissione avevano, però, sollevato diverse questioni. Soprattutto, dal momento che la proposta non è stata inviata formalmente alla commissione, l’approvazione o la disapprovazione del Data Protection Bill in questa fase non risulta all’ordine del giorno. Peraltro, vengono sollevate aspre critiche sotto vari profili giuridici. In particolare, viene affermato che il disegno di legge sul DPDP non riuscirebbe a soddisfare il quadruplice test sulla privacy, (legalità, finalità proporzionalità e garanzie procedurali) stabilito dalla Corte Suprema nella sentenza Puttaswamy.
English version
The Federal Trade Commission (FTC) issued a proposed order prohibiting the online psychological counselling service BetterHelp Inc. from sharing its users’ health data, including information about mental health problems, for advertising purposes. The proposed order also requires the company to pay $7.8 million to compensate users for disclosing their data to third parties, such as Facebook and Snapchat. BetterHelp offers online counselling services under this name and with specialised versions for particular audiences – i.e. Pride Counseling for members of the LGBTQ community, Faithful Counseling for people of the Christian faith, Terappeuta for Spanish-speaking clients, and Teen Counseling for teenagers who sign up with parental permission -. Consumers interested in BetterHelp’s services must fill out a questionnaire that asks for mental health data, such as whether they have suffered from depression or suicidal thoughts and whether they are taking medication. They also provide their name, e-mail address, date of birth and other personal information. Consumers are then matched with a counsellor and pay between $60 and $90 per week for counselling. At several points in the sign-up process, BetterHelp promised consumers that it would not use or disclose their personal health data except for limited purposes, such as providing counselling services. But this has not been the case in practice, according to the FTC’s assessments. Thus, BetterHelp will be prohibited from sharing consumers’ personal data with certain third parties for re-targeting purposes. The FTC will shortly publish a description of the consent agreement package in the Federal Register. The agreement will be subject to public comment for 30 days after publication in the Federal Register, after which the Commission will decide whether to make it final.
In the UK, a mother claimed to have been left ‘in the wilderness’ while trying to get information from tech companies about the death of her teenage daughter. The girl had died by suicide about five years ago after seeing self-harming material online. The family tried several times to obtain information and found themselves ‘absolutely at a loss’. Therefore, together with other families, they are campaigning to change this. In particular, they want an amendment to the Online Safety Bill, currently pending in Parliament, which would allow families and forensic scientists to get support from the authorities (particularly Ofcom) to obtain information from platforms about the material their children accessed before their death. The group has written to the Prime Minister, the Minister of Justice and the Secretary of State for Science and Technology, requesting that the law be amended. The letter sent to the government – and viewed by the BBC – reads: ‘Each of us has lost a child in circumstances related to the digital world, and each of us has struggled to get the information we need to better understand their death. Sadly, every year, there are hundreds of families who find themselves in similarly painful circumstances. The process of accessing data has been inhuman. In some cases, it took years and we were left in automated loops, talking to online bots, as if we were contacting lost and found’.
The path towards the introduction of the Data Protection Bill in India has certainly not been without its twists and turns. The latest was MP Lok Sabha’s denial of Electronics and Information Technology Minister Ashwini Vaishnaw’s statement that the Parliamentary Standing Committee on Communications and Information Technology had given a ‘big thumbs up’ to the government’s legislative proposal. Since 2017, when the Indian Supreme Court in its landmark Puttaswamy judgment unanimously ruled that privacy is a fundamental right of Indian citizens, there have already been four versions of the Data Protection Act. The latest is the Digital Personal Data Protection (DPDP) Bill, published by the Ministry of Electronics and Information Technology (MeitY) for public consultation on 18 November 2022. In a recent statement, Minister Ashwini Vaishnaw said that the Parliamentary Standing Committee on Communications and Information Technology would give the bill a favourable opinion. But this may have been over-optimism. At its meeting last December, the commission had, in fact, invited representatives of MeitY to hear their views on ‘citizen data security and privacy’ (in a kind of preliminary discussion on the DPDP proposal), but the members of the commission had, however, raised several questions. Above all, since the proposal has not been formally sent to the commission, approval or disapproval of the Data Protection Bill is not on the agenda at this stage. Moreover, sharp criticism is raised in various legal respects. In particular, it is argued that the DPDP Bill would fail to meet the fourfold privacy test (legality, purpose, proportionality and procedural safeguards) established by the Supreme Court in the Puttaswamy judgment.
