L’industria sanitaria è in subbuglio negli Stati Uniti. Al centro del ciclone, una serie di provvedimenti federali sulla privacy che sta complicando il modo in cui le aziende commercializzano i loro servizi online. La Federal Trade Commission ha aperto la strada a questa nuova iniziativa, sanzionando le aziende di teleassistenza per aver violato la privacy dei loro clienti e vietando loro di farlo in futuro. La direttrice dell’Ufficio per i diritti civili dell’HHS ha dichiarato che il suo staff ha avviato una propria indagine, definendo la raccolta di dati sanitari online “problematica” e “diffusa”. Ciò sta sconvolgendo le pratiche commerciali di lunga data e sta mettendo in crisi l’industria sanitaria. In alcuni casi, le aziende stanno tagliando i legami con giganti tecnologici come Google e Facebook, mentre cercano di comprendere il panorama normativo e di misurare le ricadute sui loro profitti. Per i consumatori, dicono gli esperti del settore sanitario, il cambiamento offre una maggiore privacy, ma potrebbe anche rendere più difficile trovare assistenza primaria, salute mentale e altri servizi medici online. Lo sfondo di questa nuova preoccupazione è la tendenza crescente degli americani a ricevere informazioni o servizi da app per la salute mentale, servizi di teleassistenza e siti web degli ospedali. Le persone potrebbero non sapere che questi servizi acquisiscono informazioni personali dettagliate che vengono poi utilizzate per il marketing e la pubblicità. Ora che le autorità di regolamentazione fissano nuovi limiti all’uso e alla condivisione di questi dati, alcune aziende hanno dichiarato che i clienti le hanno tempestate di domande su quali dati stanno raccogliendo e con chi li stanno condividendo. Si tratta di un cambiamento sismico per il settore che si sta manifestando nei numeri.
Dopo vari mesi di sonnolenza, la riforma britannica della legislazione sulla privacy è stata discussa in Parlamento. Il Data Protection and Digital Information Bill, che introdurrà una serie di modifiche alla versione britannica del GDPR ha raggiunto la seconda lettura alla Camera dei Comuni. Questa fase era originariamente prevista per il settembre dello scorso anno, ma è stata rinviata in seguito alle dimissioni di Boris Johnson da Primo Ministro e al successivo insediamento di Liz Truss. Il disegno di legge è ora tornato sul tavolo legislativo. La riforma del regime di protezione dei dati prevista da Londra ha attirato una notevole attenzione a Bruxelles, viste le potenziali implicazioni per l’accordo di adeguatezza dei dati UE-Regno Unito raggiunto nel 2019, che facilita i trasferimenti di dati in corso tra le due parti. La riconfigurazione delle leggi esistenti ha suscitato preoccupazione per la possibilità che i cambiamenti comportino la condivisione dei dati dei cittadini dell’UE con terze parti che potrebbero non soddisfare gli standard di protezione dei dati di Bruxelles, in seguito al loro trasferimento nel Regno Unito. La questione dell’adeguatezza dei dati è stata sollevata durante il dibattito parlamentare, con i deputati che hanno espresso le preoccupazioni delle imprese e dei ricercatori britannici in merito alla possibilità che il disegno di legge la metta a repentaglio. È stata sollevata anche la questione dell’Autorità garante privacy (ICO). Il disegno di legge intende “modernizzare” l’organo di controllo della protezione dei dati, ristrutturandolo in un nuovo organismo, la Commissione per l’informazione, e sostituendo il suo attuale capo – il Commissario per l’informazione – con un consiglio, un presidente e un amministratore delegato. Questo aspetto del disegno di legge è stato criticato da alcuni che sostengono che ridurrà l’indipendenza dell’autorità. Il disegno di legge introdurrà cambiamenti anche in settori come i requisiti amministrativi interni alle imprese, una mossa che secondo il governo è volta a ridurre gli oneri burocratici. Altre misure si concentrano sull’aumento della flessibilità dei dati utilizzati nella ricerca e sul problema dei pop-up ripetuti dei cookie.
Il governo vietnamita ha emanato un decreto sulla protezione dei dati personali. Il provvedimento entrerà in vigore il 1° luglio 2023 e stabilisce le misure gestionali e tecniche che devono essere attuate dalle organizzazioni e dalle persone coinvolte nel trattamento dei dati personali. Il decreto prevede anche le misure che devono essere adottate dagli organi pubblici competenti in conformità con le leggi e i regolamenti correlati, nonché le misure investigative e giudiziarie attuate dagli organi statali. Tali misure devono essere applicate sin dall’inizio e durante tutto il processo di trattamento dei dati personali. Il Dipartimento per la Cybersecurity e la Prevenzione dei Crimini ad Alta Tecnologia del Ministero della Polizia è l’agenzia designata a vegliare sull’attuazione della gestione pubblica sulla protezione dei dati personali. Il Portale nazionale sulla protezione dei dati personali fornisce informazioni sulle politiche del Partito comunista del Vietnam e sulle leggi statali sulla protezione dei dati personali e pubblica informazioni sulla valutazione delle attività di protezione dei dati personali delle agenzie, delle organizzazioni e dei singoli interessati. Inoltre, riceve anche notifiche di violazioni delle norme sulla protezione dei dati personali, emette avvisi sui rischi e sulle azioni di violazione dei dati personali in conformità con la legge e svolge altre attività in conformità con le norme in vigore. Il decreto stabilisce che le agenzie, le organizzazioni e i singoli individui sono responsabili della diffusione delle conoscenze, delle competenze e della sensibilizzazione dell’opinione pubblica in materia di protezione dei dati personali, nonché della garanzia di strutture e condizioni materiali per lo svolgimento dei compiti dell’agenzia specializzata. Il Ministero della Polizia è responsabile dello sviluppo di programmi e piani specifici per lo sviluppo di personale specializzato.
English version
The healthcare industry is in turmoil in the United States. At the centre of the storm is a series of federal privacy measures that is complicating the way companies market their services online. The Federal Trade Commission has paved the way for this new initiative, sanctioning telehealth companies for violating the privacy of their customers and banning them from doing so in the future. The director of the HHS Office for Civil Rights said her staff had launched its own investigation, calling the online collection of health data ‘problematic’ and ‘widespread’. This is disrupting long-standing business practices and undermining the healthcare industry. In some cases, companies are cutting ties with tech giants like Google and Facebook as they try to understand the regulatory landscape and measure the impact on their bottom line. For consumers, health industry experts say, the change offers greater privacy, but could also make it harder to find primary care, mental health and other medical services online. The background to this new concern is the growing trend of Americans receiving information or services from mental health apps, telehealth services and hospital websites. People may not be aware that these services capture detailed personal information that is then used for marketing and advertising. Now that regulators are setting new limits on the use and sharing of this data, some companies have reported that customers have been pestering them with questions about what data they are collecting and with whom they are sharing it. This is a seismic shift for the industry that is manifesting itself in numbers.
After several months of dormancy, the UK reform of privacy legislation has been debated in Parliament. The Data Protection and Digital Information Bill, which will introduce a number of changes to the UK version of the GDPR has reached its second reading in the House of Commons. This was originally scheduled for September last year, but was postponed following the resignation of Boris Johnson as Prime Minister and the subsequent inauguration of Liz Truss. The bill is now back on the legislative table. London’s planned reform of the data protection regime has attracted considerable attention in Brussels, given the potential implications for the EU-UK data adequacy agreement reached in 2019, which facilitates ongoing data transfers between the two parties. The reconfiguration of existing laws has raised concerns that the changes may result in EU citizens’ data being shared with third parties that may not meet Brussels’ data protection standards, following their transfer to the UK. The issue of data adequacy was raised during the parliamentary debate, with MPs voicing the concerns of UK businesses and researchers that the bill would jeopardise it. The issue of the Privacy Authority (ICO) was also raised. The bill seeks to ‘modernise’ the data protection watchdog by restructuring it into a new body, the Information Commission, and replacing its current head – the Information Commissioner – with a board, chairman and chief executive. This aspect of the bill has been criticised by some who argue that it will reduce the authority’s independence. The bill will also introduce changes in areas such as internal administrative requirements for companies, a move the government says is aimed at reducing red tape. Other measures focus on increasing the flexibility of data used in searches and the problem of repeated cookie pop-ups.
The Vietnamese government has issued a decree on the protection of personal data. The decree will come into force on 1 July 2023 and sets out the management and technical measures to be implemented by organisations and individuals involved in the processing of personal data. The decree also provides for measures to be taken by competent public bodies in accordance with related laws and regulations, as well as investigative and judicial measures implemented by state bodies. These measures must be applied from the outset and throughout the entire personal data processing process. The Cybersecurity and High-Tech Crime Prevention Department of the Ministry of Police is the designated agency to oversee the implementation of public management on the protection of personal data. The National Portal on Personal Data Protection provides information on Communist Party policies and state laws on personal data protection and publishes information on the evaluation of personal data protection activities of agencies, organisations and individuals. It also receives notifications of breaches of personal data protection regulations, issues notices on personal data breach risks and actions in accordance with the law, and carries out other activities in accordance with the regulations in force. The decree states that agencies, organisations and individuals are responsible for the dissemination of knowledge, expertise and public awareness of personal data protection, as well as for ensuring material facilities and conditions for the performance of the tasks of the specialised agency. The Ministry of Police is responsible for the development of specific programmes and plans for the development of specialised personnel.
