N. 194/2023
LE TRE NEWS DI OGGI:
- OHIO, CLASS ACTION CONTRO COLUMBUS HOSPITAL CHE CONDIVIDE I DATI DEI PAZIENTI CON META
- AMAZON, NUOVO CLOUD INDIPENDENTE PER L’EUROPA
- NIGERIA, IL PAESE DIVENTA MEMBRO DELL’ASSEMBLEA GLOBALE PER LA PRIVACY
La Columbus Regional Health sta fronteggiando una proposta di azione legale collettiva in cui si sostiene che condivide illegalmente le informazioni sanitarie personali dei pazienti con Meta, la società madre di Facebook, e altri giganti tecnologici, in violazione delle leggi federali e statali sulla privacy.L’azione legale, depositata presso il tribunale commerciale dell’Indiana nella Marion Superior Court 1 di Indianapolis, sostiene che CRH ha inserito nel proprio sito web una tecnologia di tracciamento che raccoglie e condivide informazioni sui propri pazienti con Meta, Google e Microsoft. Secondo la denuncia, questo includeva la funzione di ricerca del sito web, i moduli di richiesta di appuntamento e la funzione di ricerca del medico “Find a Doctor”.La denuncia sostiene inoltre che l’uso della tecnologia da parte di CRH viola l’HIPAA, la legge federale sulla privacy dei pazienti, nonché l’Indiana Deceptive Consumer Sales Act e l’Indiana Wiretapping Act.Brian e Annie Elkins, residenti a Columbus e pazienti del CRH, sono indicati come querelanti nella causa. Annie Elkins è identificata nella denuncia anche come ex dipendente del CRH. L’azione legale propone una categoria composta da tutti i residenti dell’Indiana le cui informazioni private sono state divulgate dal CRH attraverso la tecnologia di tracciamento.”Quando i querelanti e i membri della classe hanno utilizzato queste piattaforme online, pensavano di comunicare esclusivamente con il loro fornitore di assistenza sanitaria di fiducia”, si legge nella causa. “Tuttavia, all’insaputa dei querelanti e dei membri della classe, la convenuta aveva incorporato pixel di Facebook, Google e Microsoft nelle sue piattaforme online, costringendo surrettiziamente i querelanti e i membri della classe a trasmettere a terzi dettagli intimi sulle loro cure mediche”.Da quando è stata presentata a maggio, la causa è passata tra i tribunali statali e federali. A giugno, CRH ha cercato di trasferire la causa alla corte federale, sostenendo, tra l’altro, che la denuncia comporta presunte violazioni degli standard federali sulla privacy, come risulta dai documenti del tribunale.Gli avvocati che rappresentano il CRH hanno dichiarato in un documento del tribunale che intendono sostenere in tribunale federale che il sistema ospedaliero non ha violato gli standard federali sulla privacy e che “le informazioni specifiche che sarebbero state “divulgate” non rientrano nell’ambito delle informazioni sanitarie protette”.Tuttavia, il 10 ottobre un giudice federale ha rinviato la causa alla Corte Superiore di Marion, stabilendo, tra l’altro, che l’utilizzo di presunte violazioni degli standard federali come prova per la responsabilità civile ai sensi della legge statale non conferisce di default la giurisdizione a un tribunale federale.
Amazon Web Services ha dichiarato mercoledì che il suo AWS European Sovereign Cloud, che sarà situato e opererà in Europa, avrà la stessa sicurezza, disponibilità e prestazioni delle regioni AWS esistenti, ma sarà separato da queste. Il cloud consentirà ai clienti di conservare tutti i metadati creati nell’Unione Europea e disporrà di propri sistemi di fatturazione e misurazione dell’utilizzo.”L’AWS European Sovereign Cloud rafforza il nostro impegno nell’offrire ai clienti AWS l’insieme più avanzato di controlli di sicurezza, tutele della privacy e funzionalità di protezione disponibili nel cloud”, ha dichiarato Max Peterson, vicepresidente di Sovereign Cloud di AWS, in una nota scritta. Il tribunale ha dichiarato all’epoca che l’accordo, che consentiva alle aziende di trasferire i dati negli Stati Uniti in base alle severe norme sulla privacy dell’UE, non era valido perché non si spingeva abbastanza in là per impedire al governo americano di spiare i dati degli utenti. Nel 2021 Microsoft ha dichiarato che avrebbe permesso alle aziende e ai clienti del settore pubblico dell’Unione Europea di mantenere i dati del cloud computing all’interno del blocco dei 27 Paesi per evitare le preoccupazioni sull’accesso del governo americano alle informazioni sensibili.
La Nigeria è stata ammessa come membro della Global Privacy Assembly (GPA) in riconoscimento dei suoi sforzi in materia di privacy e protezione dei dati.La decisione di ammettere la Nigeria è stata annunciata nel corso della 45a sessione chiusa della Global Privacy Assembly, tenutasi dal 15 al 20 ottobre 2023 alle Bermuda.L’adozione della legge sulla protezione dei dati della Nigeria (Nigeria Data Protection Act, NDPA), firmata dal presidente Bola Tinubu nel giugno di quest’anno, era un requisito per l’adesione all’AAP. Analogamente, un parametro cruciale per valutare il livello di protezione dei dati di una nazione è la creazione della Commissione per la protezione dei dati della Nigeria (Nigeria Data Protection Commission, NDPC) ai sensi della legge, che la designa come organismo autonomo per la protezione dei dati in Nigeria.Con il riconoscimento dato alla Nigeria, il Paese è ora considerato uno dei Paesi al mondo con disposizioni adeguate per la sicurezza e la protezione dei dati. Nella sua reazione, il Commissario nazionale/CEO dell’NDPC, Dr. Vincent Olatunji, dopo aver ricevuto la notizia dello status della Nigeria come membro dell’AAP, ha espresso ottimismo sul fatto che gli sforzi del governo federale per la trasformazione digitale stanno dando risultati positivi.Olatunji ha invitato le parti interessate all’ecosistema del trattamento dei dati a mantenere un elevato standard di cura nella gestione dei dati personali, aggiungendo che ciò contribuirà a rafforzare la fiducia nell’economia digitale emergente della Nigeria.
English version
- OHIO, CLASS ACTION AGAINST COLUMBUS HOSPITAL SHARING PATIENT DATA WITH META
- AMAZON, NEW INDEPENDENT CLOUD FOR EUROPE
- NIGERIA, COUNTRY BECOMES MEMBER OF GLOBAL PRIVACY ASSEMBLY
Columbus Regional Health is facing a proposed class-action lawsuit alleging that it unlawfully shares the personal health information of patients with Meta, the parent company of Facebook, and other tech giants in violation of federal and state privacy laws.The lawsuit, filed on the Indiana Commercial Court docket in Marion Superior Court 1 in Indianapolis, claims that CRH embedded tracking technology on its website that collects and shares information about its patients with Meta, Google and Microsoft. This included the website’s search function, appointment-request forms and the “Find a Doctor” physician search function, the lawsuit alleges.The complaint further alleges that CRH’s use of the technology violates HIPAA, the federal patient privacy law, as well as the Indiana Deceptive Consumer Sales Act and the Indiana Wiretapping Act.Columbus residents and CRH patients Brian and Annie Elkins are listed as plaintiffs in the lawsuit. Annie Elkins also is identified in the complaint as a former CRH employee. The lawsuit proposes a class made up of any Indiana resident whose private information was disclosed by CRH through the tracking technology.“When plaintiffs and class members used these online platforms, they thought (they) were communicating exclusively with their trusted healthcare provider,” the lawsuit alleges. “Unbeknownst to plaintiffs and class members, however, defendant had embedded pixels from Facebook, Google and Microsoft into its online platforms, surreptitiously forcing plaintiff and class members to transmit intimate details about their medical treatment to third parties.”Since being filed in May, the lawsuit has bounced between the state and federal court systems. In June, CRH sought to move the lawsuit to federal court, arguing, among other things, that the complaint involves alleged violations of federal privacy standards, court records show.Attorneys representing CRH said in a court filing they planned to argue in federal court that the hospital system did not violate federal privacy standards, and the “specific information that is purportedly ‘disclosed’ are outside of the purview of protected health information.”However, a federal judge sent the lawsuit back to Marion Superior Court on Oct. 10, finding, among other things, that using alleged violations of federal standards as evidence for civil liability under state law does not, by default, confer jurisdiction to a federal court.
Amazon is rolling out an independent cloud for Europe as it looks to address strict regulations that companies and those in the public sector face in the European Union.Amazon Web Services said Wednesday that its AWS European Sovereign Cloud, which will be located in and operate out of Europe, will have the same security, availability, and performance as existing AWS regions but will be separate from them. The cloud will let customers keep all metadata they create in the European Union and will have its own billing and usage metering systems.“The AWS European Sovereign Cloud reinforces our commitment to offering AWS customers the most advanced set of sovereignty controls, privacy safeguards, and security features available in the cloud,” Max Peterson, vice president of Sovereign Cloud at AWS, said in a written statement.European Union’s top court struck down a data sharing agreement in 2020 known as Privacy Shield. The court said at the time that the agreement, which allowed businesses to transfer data to the U.S. under the EU’s strict data privacy rules, was invalid because it didn’t go far enough to prevent the American government from snooping on user data. In 2021 Microsoft said that it would let business and public sector customers in the European Union keep cloud computing data inside the 27-nation bloc to avert concerns about U.S. government access to sensitive information.
Nigeria has been admitted as a member of the Global Privacy Assembly (GPA) in recognition of its efforts in data privacy and protection.The decision on Nigeria’s accreditation was announced during the 45th Global Privacy Assembly Closed Session, held between October 15th through 20th, 2023 in Bermuda.The adoption of the Nigeria Data Protection Act (NDPA), which President Bola Tinubu signed into law in June of this year, was a requirement for GPA membership.Analogously, a crucial metric for evaluating a nation’s level of data protection is the creation of the Nigeria Data Protection Commission (NDPC) pursuant to the Act, which designates it as the autonomous data protection body for Nigeria.With the recognition given to Nigeria, the country is now seen as one of the countries in the world with adequate provisions for data safety and protection. This is expected to boost foreign investments in the country as investors are assured of their data safety while doing business in Nigeria.In his reaction, the National Commissioner/CEO, NDPC, Dr. Vincent Olatunji, upon receiving the news of Nigeria’s status as a member of the GPA, expressed optimism that the effort of the federal government on digital transformation is yielding positive results.Olatunji called on stakeholders in the Data Processing ecosystem to maintain a high standard of care in handling personal data, adding that this would go a long way in strengthening trust and confidence in Nigeria’s emerging digital economy.
