La collaborazione tra Unione Europea e Corea del Sud in materia di privacy è sempre più stretta. Nel loro ultimo incontro, il presidente della Commissione per la protezione dei dati personali coreana Haksoo Ko e il commissario europeo per la Giustizia Didier Reynders hanno accolto con favore il forte partenariato tra la Repubblica di Corea e l’UE in materia di privacy e flussi di dati personali e hanno esplorato le possibili vie per un’ulteriore cooperazione. Sulla base dell’elevato grado di convergenza tra i regimi di protezione dei dati della Corea e dell’UE, la Commissione europea ha adottato una decisione di adeguatezza per il trasferimento di dati personali dall’Unione europea alla Repubblica di Corea nel dicembre 2021. Su questa base, i dati personali viaggiano in modo sicuro dall’UE alla Corea del Sud, senza bisogno di ulteriori autorizzazioni o meccanismi di trasferimento aggiuntivi. Grazie al suo ampio campo di applicazione – che copre sia il settore privato che quello pubblico – la decisione sostiene i flussi di dati transfrontalieri tra le imprese e facilita la cooperazione normativa. La recente riforma della legge sulla protezione dei dati personali ha ulteriormente aumentato le sinergie tra i quadri normativi della Repubblica di Corea e dell’UE in materia di protezione dei dati. Entrambe le parti hanno convenuto che ciò apre nuove possibilità per una cooperazione ancora più stretta in materia di privacy e flussi di dati. Hanno inoltre concordato di esplorare i modi per sviluppare ulteriormente il quadro per i flussi di dati Corea-UE.
Un errore informatico mette a rischio decine di migliaia di mutuatari in Irlanda. Nel corso della vendita dei prestiti da KBC Bank Ireland a Bank of Ireland, si è verificato un errore che ha fatto sì che il mutuante non inviasse gli aggiornamenti mensili sull’andamento dei prestiti al Central Credit Register (CCR). I dati mancanti da febbraio possono influire sulla capacità dei mutuatari di ottenere prestiti o credito altrove, benché la banca si dimostri scettica in tal senso. La Bank of Ireland ha comunicato ai suoi nuovi clienti, con lettere inviate di recente, che il problema si è verificato al momento del trasferimento, dove la “data di inizio” del prestito è stata inserita in modo errato nei suoi sistemi. Un portavoce della banca ha dichiarato che il problema riguardava circa 35.000 conti ipotecari, ovvero circa la metà dei prestiti KBC acquisiti. La notizia dell’errore nei dati arriva un anno dopo che la Bank of Ireland è stata multata per 463.000 euro dalla Data Protection Commission (DPC), dopo che un’indagine ha rilevato che 47.000 conti di clienti sono stati accidentalmente alterati in modo tale da danneggiare il loro rating creditizio e impedire loro di ottenere prestiti. Tra novembre 2018 e giugno 2019, la DPC ha ricevuto 22 notifiche di data breach da parte della Bank of Ireland in relazione a dati errati che la banca inviava al Central Credit Register. In totale, 19 di questi incidenti rispondevano alla definizione di “violazione dei dati personali”.
La legge sulla privacy indiana sembra ormai in dirittura d’arrivo. Il governo dell’Unione ha informato la Corte Suprema che è “pronta” una nuova legge, il Digital Personal Data Protection Bill 2022, per far rispettare la privacy individuale nello spazio online. Il nuovo disegno di legge, se approvato dal Parlamento, sostituirà l’attuale Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, adottato nel 2011. Nel 2017 la Corte Suprema ha riconosciuto la privacy come diritto fondamentale e ha sottolineato la necessità di proteggere i dati personali online. A gennaio, in una dichiarazione giurata depositata in tribunale, il governo aveva affermato che il Ministero delle tecnologie dell’informazione aveva avviato una consultazione delle parti interessate sulla bozza di legge. Il Ministero aveva poi informato la Corte che stava “raccogliendo e analizzando i feedback e i suggerimenti ricevuti, al fine di portare avanti il progetto di legge”. Aveva assicurato alla Corte che il disegno di legge sarebbe stato presentato in Parlamento al più presto. Lo scopo del disegno di legge 2022 è quello di “prevedere il trattamento dei dati personali digitali in modo da riconoscere sia il diritto delle persone a proteggere i propri dati personali sia la necessità di trattare i dati personali per scopi leciti”. Il nuovo disegno di legge definisce i “dati” come una “rappresentazione di informazioni, fatti, concetti, opinioni o istruzioni in un modo adatto alla comunicazione, all’interpretazione o all’elaborazione da parte di esseri umani o di mezzi automatizzati”.
English version
Collaboration between the European Union and South Korea on privacy issues is growing closer. In their latest meeting, Korean Data Protection Commission Chairman Haksoo Ko and European Commissioner for Justice Didier Reynders welcomed the strong partnership between the Republic of Korea and the EU on privacy and personal data flows and explored possible avenues for further cooperation. Based on the high degree of convergence between the data protection regimes of Korea and the EU, the European Commission adopted an adequacy decision for the transfer of personal data from the EU to the Republic of Korea in December 2021. On this basis, personal data travel securely from the EU to South Korea, without the need for additional authorizations or transfer mechanisms. With its broad scope-covering both the private and public sectors-the decision supports cross-border data flows between businesses and facilitates regulatory cooperation. The recent reform of the Personal Data Protection Act has further increased synergies between the Republic of Korea and EU data protection regulatory frameworks. Both sides agreed that this opens up new possibilities for even closer cooperation on privacy and data flows. They also agreed to explore ways to further develop the framework for Korea-EU data flows.
A computer error puts tens of thousands of borrowers in Ireland at risk. During the sale of loans from KBC Bank Ireland to Bank of Ireland, an error occurred that caused the lender not to send monthly updates on loan performance to the Central Credit Register (CCR). The missing data since February may affect borrowers’ ability to obtain loans or credit elsewhere, although the bank is skeptical of this. Bank of Ireland told its new customers in letters sent recently that the problem occurred at the time of transfer, where the “start date” of the loan was entered incorrectly into its systems. A spokesman for the bank said the problem affected about 35,000 mortgage accounts, or about half of the KBC loans acquired. The news of the data error comes a year after Bank of Ireland was fined 463,000 euros by the Data Protection Commission (DPC) after an investigation found that 47,000 customer accounts were accidentally altered in a way that damaged their credit rating and prevented them from obtaining loans. Between November 2018 and June 2019, DPC received 22 data breach notifications from Bank of Ireland related to incorrect data the bank was sending to the Central Credit Register. In total, 19 of these incidents met the definition of “personal data breach.”
India’s privacy law now seems to be in the home stretch. The Union government has informed the Supreme Court that a new law, the Digital Personal Data Protection Bill 2022, is “ready” to enforce individual privacy in the online space. The new bill, if passed by Parliament, will replace the current Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, adopted in 2011. In 2017, the Supreme Court recognized privacy as a fundamental right and stressed the need to protect personal data online. In January, in an affidavit filed with the court, the government had said that the Ministry of Information Technology had initiated a stakeholder consultation on the draft law. The ministry had then informed the court that it was “collecting and analyzing the feedback and suggestions received in order to move the draft law forward.” It had assured the Court that the draft law would be submitted to Parliament as soon as possible. The purpose of Bill 2022 is to “provide for the processing of personal digital data in a manner that recognizes both the right of individuals to protect their personal data and the need to process personal data for lawful purposes.” The new bill defines “data” as a “representation of information, facts, concepts, opinions or instructions in a manner suitable for communication, interpretation or processing by human beings or automated means.”
