Privacy Daily

PRIVACYDAILY

aggiornato il

N. 125/2023

LE TRE NEWS DI OGGI:

  • USA: FTC VERSO LA REPRESSIONE DELLE AZIENDE SANITARIE CHE USANO I DATI DEI CLIENTI A SCOPI DI MARKETING
  • UK: I PARLAMENTARI CHIEDONO ALL’ICO DI AVVIARE UN’ISTRUTTORIA SU BGI GROUP L’AZIENDA CINESE LEADER NEL SETTORE DELLA GENOMICA
  • KENIA, PREOCCUPAZIONE PER LA PRIVACY E ID DIGITALE

L’avviso della Federal Trade Commission della scorsa settimana sul suo piano di repressione delle aziende sanitarie che utilizzano i dati dei clienti per il marketing è un segnale di guerra legale in arrivo. Il piano di utilizzare una norma sulla cybersicurezza vecchia di 14 anni “sta davvero superando il limite”, ha dichiarato Kirk Nahra, avvocato specializzato in privacy presso lo studio legale WilmerHale. Ha aggiunto: che l’agenzia sta cercando “retroattivamente” di “rivedere la norma per adattarla alle azioni esecutive che ha già intrapreso”. Nahra si aspetta molti commenti sulla portata dell’avviso – che a questo punto rimane una proposta, non una norma definitiva – e potenziali sfide legali se la FTC non lo ridimensiona. “Hanno ragione al 100% sul fatto che i dati sanitari… necessitano di una regolamentazione più completa in materia di privacy, ma non sono sicuro che la FTC abbia ricevuto dal Congresso gli strumenti sufficienti per farlo”, ha aggiunto Deven McGraw, ex funzionario di alto livello dell’HHS Office for Civil Rights e responsabile della gestione e condivisione dei dati presso l’azienda biotecnologica Invitae. Cosa contiene la proposta? L’obiettivo è spiegare come la norma sulla notifica delle violazioni sanitarie del 2009 della FTC, inizialmente concepita per definire le responsabilità delle aziende quando gli hacker accedono ai loro sistemi, si applichi alla condivisione dei dati per scopi di marketing. Se finalizzata, la proposta richiederebbe alle aziende sanitarie di ottenere l’approvazione del cliente prima di condividere le informazioni sanitarie di identificazione personale dei clienti. Chiarirà che le app per la salute, comprese quelle che offrono servizi e forniture per la salute – con una definizione ampia che include prodotti e servizi per il fitness, il sonno, la dieta e la salute mentale, oltre a un elenco di categorie – saranno soggette a regolamenti che impongono alle aziende di informare i clienti se i loro dati identificabili sono accessibili ai partner commerciali o condivisi a scopo di marketing. Fino a febbraio, quando ha raggiunto un accordo con il fornitore di servizi di monitoraggio dei prezzi dei farmaci e di teleassistenza GoodRx per presunta violazione della norma, la FTC non l’aveva mai utilizzata contro le aziende che condividevano consapevolmente i dati dei clienti con i partner commerciali.

Nel Regno Unito un gruppo di parlamentari ha avvertito che un’azienda cinese che vende test di gravidanza nel Paese sarà indagata per il rischio potenziale che i dati genetici possano essere  condivisi con il governo di Pechino. Deputati hanno chiesto che l’Information Commissioner’s Office (ICO) avvii un’indagine sul BGI Group, la principale azienda cinese di genomica. I deputati hanno utilizzato un’indagine condotta dall’agenzia di stampa Reuters nel 2021, secondo la quale l’azienda avrebbe utilizzato le informazioni genetiche raccolte da madri in attesa in tutto il mondo “per ricerche a tappeto sui tratti delle popolazioni”.Il rapporto affermava che il test prenatale non invasivo NIFTY è una fonte di dati genetici per l’azienda, che secondo il rapporto stava lavorando con l’esercito cinese per migliorare la “qualità della popolazione” e sulla ricerca genetica per combattere la perdita dell’udito e il mal di montagna nei soldati.L’azienda ha negato di essere legata allo Stato cinese e ha dichiarato di aver “precedentemente smentito” le accuse fatte dai politici nella loro lettera all’ICO.I parlamentari hanno sollevato preoccupazioni dopo che, a marzo, alcune entità del BGI sono state inserite nella lista nera del governo statunitense per le accuse di aver condotto analisi genetiche e attività di sorveglianza per conto di Pechino, che secondo Washington sarebbero state utilizzate per reprimere le minoranze etniche in Cina. Nella loro lettera all’ICO, i politici hanno affermato che: “È fondamentale che i consumatori abbiano piena trasparenza per valutare attentamente i rischi associati alla condivisione di tali dati con aziende cinesi legate allo Stato”.

Le iniziative governative in materia di identità digitale in Africa devono fare i conti con una mancanza di fiducia che potrebbe ostacolarne la diffusione, in quanto i civili si interrogano sul loro intento e sulla loro sicurezza. In Kenya, il piano del governo di sostituire le attuali carte d’identità di seconda generazione con un documento d’identità digitale di terza generazione, denominato Unique Personal Identifier (UPI), sta già sollevando le preoccupazioni dei gruppi della società civile, che chiedono una sufficiente protezione dei dati dei civili, nonché trasparenza e inclusione nel processo di transizione. Il governo ha comunque assicurato ai kenioti che l’UPI non ripeterà gli errori commessi durante l’introduzione dell’Huduma Number, che nonostante abbia consumato miliardi di denaro dei contribuenti, è finito per essere un altro progetto “elefante bianco” con milioni di carte che giacciono non ritirate negli uffici di registrazione civile di tutto il Paese. Parlando durante l’avvio della settima conferenza IF4Africa a Nairobi, alla quale hanno partecipato delegati provenienti da 90 Paesi, il responsabile dell’ICT Eliud Owalo ha dichiarato che il piano è di avere tutti i kenioti con un’identità digitale nella prima metà del prossimo anno. “Stiamo perseguendo questo obiettivo perché, a nostro avviso, dobbiamo trasformare il Kenya in un’economia digitale, vogliamo gestire un governo senza carta da un lato e, dall’altro, un’economia digitale che non può essere raggiunta se non abbiamo un’identità digitale”, ha dichiarato l’ICT CS Eliud Owalo. Ha chiarito che il governo non sta cercando di reinventare il numero Huduma, che ha affermato essere diverso dall’identità digitale UPI. “L’intenzione dell’Huduma Number era quella di mettere insieme un database della popolazione abilitato alle TIC; il nostro interesse qui non è quello di sviluppare un database della popolazione, ma di assicurare che ci sia una via tecnologica attraverso la quale il governo possa determinare con chi sta facendo affari, un ID virtuale per utilizzare i servizi governativi comodamente da dove si trovano (cittadini/stranieri/rifugiati) senza doversi recare fisicamente negli uffici governativi”, ha spiegato il CS Owalo, che ha anche messo in dubbio la tempistica dell’introduzione dell’Huduma Number, affermando che ciò ha contribuito al suo fallimento.

English version

  • USA: FTC TOWARDS REPRESSION OF HEALTH CARE COMPANIES USING CUSTOMER DATA FOR MARKETING PURPOSES
  • UK: PARLIAMENTARIANS ASK ICO TO LAUNCH INSTRUCTORY ON BGI GROUP THE CHINESE LEADER IN GENOMICS
  • KENYA, CONCERNS ABOUT PRIVACY AND DIGITAL ID

The Federal Trade Commission’s warning last week about its plan to crack down on healthcare companies that use customer data for marketing is a sign of a coming legal war. The plan to use a 14-year-old cybersecurity rule “is really crossing the line,” said Kirk Nahra, a privacy lawyer at the law firm WilmerHale. He added: that the agency is “retroactively” seeking to “revise the rule to fit the enforcement actions it has already taken.” Nahra expects much comment on the scope of the notice – which at this point remains a proposal, not a final rule – and potential legal challenges if the FTC does not scale it back. ‘They’re 100 per cent right that health data… needs more comprehensive privacy regulation, but I’m not sure the FTC has been given enough tools by Congress to do that,’ added Deven McGraw, a former senior official at the HHS Office for Civil Rights and head of data management and sharing at biotech firm Invitae. What does the proposal contain? It aims to explain how the FTC’s 2009 health breach notification rule, initially designed to define companies’ responsibilities when hackers access their systems, applies to data sharing for marketing purposes. If finalised, the proposal would require healthcare companies to obtain customer approval before sharing customers’ personally identifiable health information. It will clarify that health apps, including those offering health services and supplies – with a broad definition including fitness, sleep, diet and mental health products and services, as well as a list of categories – will be subject to regulations requiring companies to inform customers whether their personally identifiable data is accessed by business partners or shared for marketing purposes. Until February, when it reached a settlement with drug price monitoring and telehealth service provider GoodRx for allegedly violating the rule, the FTC had never used it against companies that knowingly shared customer data with business partners.

A parliamentary group has warned that a Chinese company selling pregnancy tests in the UK will be investigated over the potential risk that genetic data could be shared with the Beijing government. MPs called for the Information Commissioner’s Office (ICO) to launch an investigation into BGI Group, China’s leading genomics company. The MPs used an investigation conducted by the Reuters news agency in 2021, according to which the company used genetic information collected from expectant mothers around the world ‘for blanket research into population traits’.The report claimed that the NIFTY non-invasive prenatal test is a source of genetic data for the company, which according to the report was working with the Chinese army to improve ‘population quality’ and on genetic research to combat hearing loss and altitude sickness in soldiers. The company denied being linked to the Chinese state and said it had ‘previously denied’ the allegations made by the politicians in their letter to the ICO.The MPs raised concerns after some BGI entities were blacklisted by the US government in March over allegations that they had conducted genetic analysis and surveillance activities on behalf of Beijing, which Washington said were used to suppress ethnic minorities in China. In their letter to the ICO, the politicians stated that: “It is critical that consumers have full transparency to carefully assess the risks associated with sharing such data with Chinese state-linked companies.”

Government digital identity initiatives in Africa face a lack of trust that could hinder their deployment, as civilians question their intent and security. In Kenya, the government’s plan to replace the current second-generation ID cards with a third-generation digital ID, called Unique Personal Identifier (UPI), is already raising concerns from civil society groups, who are demanding sufficient protection of civilian data, as well as transparency and inclusiveness in the transition process. The government has however assured Kenyans that the UPI will not repeat the mistakes made during the introduction of the Huduma Number, which despite consuming billions of taxpayers’ money, ended up being another ‘white elephant’ project with millions of cards lying uncollected in civil registration offices across the country. Speaking during the launch of the seventh IF4Africa conference in Nairobi, attended by delegates from 90 countries, ICT head Eliud Owalo said the plan is to have all Kenyans with a digital identity in the first half of next year. “We are pursuing this because, in our view, we need to transform Kenya into a digital economy, we want to run a paperless government on the one hand and, on the other hand, a digital economy that cannot be achieved if we do not have a digital identity,” said ICT CS Eliud Owalo. He clarified that the government is not trying to reinvent the Huduma number, which he said is different from the UPI digital identity. “The intention of the Huduma Number was to put together an ICT-enabled database of the population; our interest here is not to develop a population database, but to ensure that there is a technological avenue through which the government can determine who it is doing business with, a virtual ID to use government services from the comfort of where they (citizens/foreigners/refugees) are without having to physically go to government offices,” explained CS Owalo, who also questioned the timing of the introduction of the Huduma Number, saying that this contributed to its failure.

Related posts:

  1. PRIVACY DAILY 6/2023
  2. PRIVACY DAILY 103/2023
  3. PRIVACY DAILY 106/2023
  4. PRIVACY DAILY 111/2023