Privacy Daily

PRIVACYDAILY

aggiornato il

N. 140/2023

LE TRE NEWS DI OGGI:

  • GRECIA, SECONDO L’AUTORITA’ DI PROTEZIONE DEI DATI SONO 92 I SOGGETTI BERSAGLIO DELLO SCANDALO REGISTRAZIONI
  • USA, FTC E OCR DEL DIPARTIMENTO DELLA SALUTE METTONO IN GUARDIA OSPEDALI E FORNITORI DI TELEASSISTENZA DAI RISCHI PER LA PRIVACY LEGATI ALL’USO DI TECNOLOGIE DI TRACCIAMENTO NEI SITI WEB E NELLE APP
  • RWANDA, IMPRESE E PUBBLICHE AMMINISTRAZIONI VOGLIONO ESSERE COMPLIANT ENTRO OTTOBRE QUANDO ENTRERA’ IN VIGORE LA NUOVA LEGGE SULLA PRIVACY

L’Autorità indipendente greca per la protezione dei dati ha annunciato giovedì scorso che sono stati inviati più di 350 SMS relativi al programma di intercettazione Predator e che 92 persone sono state individuate come bersagli, scatenando una forte reazione da parte dell’opposizione, mentre il cosiddetto “Watergate greco” rimane oscuro.Lo scandalo delle intercettazioni greche – che ha visto politici, giornalisti e uomini d’affari mettere sotto controllo i loro telefoni – ha scosso la politica del Paese mediterraneo per più di un anno, ma ancora nessuno è stato chiamato a risponderne. Il governo conservatore nega qualsiasi coinvolgimento con il software spia Predator e insiste nel dire che è a conoscenza solo della sorveglianza effettuata attraverso i canali legali dei servizi segreti. La linea ufficiale del governo è che qualsiasi attività di tracciamento illegale avviene da “individui a individui”.Quando lo scandalo è scoppiato nel luglio 2022, il capo dell’ufficio del primo ministro greco e il capo dei servizi segreti si sono dimessi. Giovedì, l’autorità greca per la tutela della privacy ha rilasciato una dichiarazione in seguito alla decisione del Dipartimento del Commercio degli Stati Uniti di aggiungere l’azienda greca Intellexa, che avrebbe commercializzato Predator, alla sua lista nera del commercio economico. Nella sua dettagliata dichiarazione, l’Autorità ha sottolineato di aver riscontrato l’invio di oltre 350 SMS – alcuni dei quali attraverso la piattaforma elettronica statale per la vaccinazione durante la pandemia – a potenziali “obiettivi” di Predator, spiegando di essere riuscita finora a identificare 92 obiettivi. Secondo la stampa, uno di questi era Artemis Seaford, un ex manager di Facebook con sede in Grecia. Il partito di opposizione Syriza si è scagliato contro il governo, accusandolo di rimanere in silenzio su uno scandalo che danneggia l’immagine del Paese nel mondo.”È stato dimostrato nel modo più assoluto che si è trattato di un’operazione coordinata di intercettazione sistematica dei dati personali di decine di obiettivi”, ha dichiarato Syriza in un comunicato. La scorsa settimana, il sito web investigativo Inside Story ha rivelato informazioni che suggeriscono che Intellexa ha lavorato a stretto contatto con i servizi segreti greci e con l’ufficio del governo greco.

La Federal Trade Commission e l’Office for Civil Rights (OCR) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti mettono in guardia gli ospedali e i fornitori di servizi di teleassistenza dai rischi per la privacy e la sicurezza legati all’uso di tecnologie di tracciamento online integrate nei loro siti web o nelle loro applicazioni mobili, che potrebbero divulgare in modo inappropriato i dati sanitari personali sensibili dei consumatori a terze parti. “Quando i consumatori visitano il sito web di un ospedale o si rivolgono a servizi di teleassistenza, non devono preoccuparsi che le loro informazioni sanitarie più private e sensibili possano essere divulgate a operatori pubblicitari e ad altre terze parti nascoste e senza denominazione”, ha dichiarato Samuel Levine, direttore dell’Ufficio per la tutela dei consumatori della FTC. “La FTC sta nuovamente avvertendo che le aziende devono usare estrema cautela nell’utilizzo delle tecnologie di tracciamento online e che continueremo a fare tutto ciò che è in nostro potere per proteggere le informazioni sanitarie dei consumatori da potenziali abusi e sfruttamenti”.” Sebbene le tecnologie di tracciamento online possano essere utilizzate per scopi utili, i pazienti e gli altri non devono sacrificare la privacy delle loro informazioni sanitarie quando utilizzano il sito web di un ospedale”, ha dichiarato Melanie Fontes Rainer, Direttore dell’OCR. “L’OCR continua a essere preoccupato per le divulgazioni inammissibili di informazioni sanitarie a terzi e utilizzerà tutte le sue risorse per affrontare questo problema”.Le due agenzie hanno inviato la lettera congiunta a circa 130 sistemi ospedalieri e fornitori di teleassistenza per avvertirli dei rischi e delle preoccupazioni legate all’uso di tecnologie, come il Meta/Facebook pixel e Google Analytics, che possono tracciare le attività online di un utente. Queste tecnologie di tracciamento raccolgono informazioni identificabili sugli utenti, di solito a loro insaputa e con modalità difficilmente evitabili, durante l’interazione con un sito web o un’applicazione mobile.Nella loro lettera, le due agenzie hanno ribadito i rischi posti dalla divulgazione non autorizzata a terzi delle informazioni sanitarie personali di un individuo. Ad esempio, la divulgazione di tali informazioni potrebbe rivelare dati sensibili, tra cui condizioni di salute, diagnosi, farmaci, trattamenti medici, frequenza delle visite ai professionisti della salute e luoghi in cui un individuo si rivolge alle cure mediche.L’HHS ha espresso queste preoccupazioni in un bollettino emesso alla fine dello scorso anno, in cui si rammentava alle persone coperte dall’Health Insurance Portability and Accountability Act (HIPAA) la responsabilità di proteggere i dati sanitari dalla divulgazione non autorizzata prevista dalla legge.Le aziende non soggette all’HIPAA hanno comunque la responsabilità di proteggere dalla divulgazione non autorizzata di informazioni sanitarie personali, anche se il sito web o l’applicazione mobile sono stati sviluppati da terzi. Attraverso le recenti azioni esecutive nei confronti di BetterHelp, GoodRx e Premom, nonché le recenti linee guida dell’Office of Technology della FTC, la FTC ha messo in guardia le aziende dall’obbligo di monitorare il flusso di informazioni sanitarie verso terzi che utilizzano tecnologie di tracciamento integrate in siti web e app. La divulgazione non autorizzata di tali informazioni può violare l’FTC Act e potrebbe costituire una violazione della sicurezza ai sensi della FTC’s Health Breach Notification Rule.I principali collaboratori della FTC in questo caso sono Ryan Mehm del Bureau of Consumer Protection della FTC ed Erika Wodinsky dell’ufficio regionale di San Francisco della FTC.

Con l’avvicinarsi della scadenza per la completa applicazione della legge sulla protezione dei dati personali e sulla privacy, prevista per il 15 ottobre 2023, le imprese private e le istituzioni pubbliche stanno lavorando per garantire la conformità ai requisiti per il trattamento legittimo dei dati personali. La Banca di Kigali (BK) e le sue filiali – BK Capital, BK Techouse e BK Insurance – sono in prima linea negli sforzi di conformità e hanno formalmente soddisfatto tutti i requisiti di un responsabile del trattamento dei dati. In tutto il mondo, la protezione dei dati e la privacy sono diventate componenti essenziali per le aziende e le istituzioni, richiedendo la conformità alle migliori pratiche globali nel rispetto delle leggi e dei regolamenti nazionali. Per il Gruppo Bank of Kigali, la salvaguardia dei dati dei clienti e il mantenimento della loro privacy sono di assoluta importanza per costruire e preservare la fiducia. In occasione di una recente cerimonia, l’amministratore delegato di BK, la dott.ssa Diane Karusisi, ha ribadito l’importanza del raggiungimento di questo traguardo di conformità. In linea con i requisiti di legge, la Banca di Kigali ha istituito un quadro completo di misure di salvaguardia tecniche e organizzative per proteggere le informazioni dei clienti, impedire l’accesso non autorizzato e ridurre le potenziali violazioni dei dati. Queste misure non solo soddisfano gli obblighi di legge, ma garantiscono anche i più alti standard di privacy e riservatezza per i clienti.Durante la cerimonia, il Col. David Kanamugire, CEO della National Cybersecurity Authority (NCSA), l’organo di controllo dell’Ufficio per la protezione dei dati personali responsabile dell’attuazione della legge sulla protezione dei dati personali e sulla privacy, ha lodato l’approccio proattivo di BK verso la conformità. Ha sottolineato l’importanza della protezione dei dati nell’odierna era digitale.Accettando le disposizioni della legge e implementando in modo proattivo le necessarie misure di salvaguardia, la Banca di Kigali ha raggiunto un traguardo fondamentale, stabilendo un punto di riferimento per le altre aziende che dovranno seguirne l’esempio. La conformità alla legge sulla protezione dei dati personali e sulla privacy indica la dedizione di un’organizzazione alla salvaguardia degli interessi e della privacy dei propri clienti.Con l’avvicinarsi del 15 ottobre, altre aziende e istituzioni stanno lavorando per rispettare la scadenza. Con le violazioni dei dati e i problemi di privacy sempre più diffusi, la conformità a questa legge è un passo fondamentale per promuovere la fiducia, proteggere le informazioni personali e sostenere i principi della privacy dei dati, che sono essenziali per fornire servizi sociali ed economici.

English version

  • GREECE, ACCORDING TO THE DATA PROTECTION AUTHORITY THERE ARE 92 SUBJECTS TARGETED BY THE REGISTRATIONS SCANDAL
  • U.S., FTC AND DEPARTMENT OF HEALTH’S OCR WARN HOSPITALS AND TELEASSISTANCE PROVIDERS FROM PRIVACY RISKS LINKED TO THE USE OF TRACKING TECHNOLOGIES IN WEBSITES AND APPS
  • RWANDA, BUSINESSES AND PUBLIC ADMINISTRATIONS WANT TO BE COMPLIANT BY OCTOBER WHEN NEW PRIVACY LAW TAKES EFFECT

Greece’s independent Data Protection Authority announced on Thursday that more than 350 SMS related to the Predator spyware programme had been sent, and 92 people have been spotted as targets, triggering a strong reaction from the opposition as the so-called “Greek Watergate” remains in the dark.The Greek wiretapping scandal – which saw politicians, journalists and businessmen having their phones bugged – has been shaking politics in the Mediterranean country for more than a year, but still, no one has been held accountable.The conservative government denies any involvement with Predator spyware and insists that it is aware only of surveillance under the legal channels of secret services.The official government line is that any illegal spyware activity occurs from “individuals to individuals”.When the scandal erupted in July 2022, the head of the Greek prime minister’s office and the secret services’ chief resigned.On Thursday, Greece’s privacy watchdog issued a statement which followed the decision of the US Commerce Department to add Greek firm Intellexa, which allegedly trades Predator, to its economic trade blacklist.In its detailed statement, the Authority stressed that it found that more than 350 SMS have been sent – some of them through the state’s electronic platform for vaccination during the pandemic – to potential Predator “targets”.The Authority explained that it has so far managed to identify 92 targets. According to press reports, one of them was Artemis Seaford, a former Facebook manager based in Greece.The opposition Syriza party lashed out against the government, accusing it of remaining silent over a scandal damaging the country’s image worldwide.“It is proven in the most official way that it was a coordinated operation of systematic interception of personal data of dozens of targets,” Syriza said in a statement.Last week, investigative website Inside Story revealed information suggesting that Intellexa worked closely with Greek secret services as well as the office of the Greek.

The Federal Trade Commission and the U.S. Department of Health and Human Services’ Office for Civil Rights (OCR) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties.“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.”“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.”The two agencies sent the joint letter to approximately 130 hospital systems and telehealth providers to alert them about the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app.In their letter, both agencies reiterated the risks posed by the unauthorized disclosure of an individual’s personal health information to third parties. For example, the disclosure of such information could reveal sensitive information including health conditions, diagnoses, medications, medical treatments, frequency of visits to health care professionals, and where an individual seeks medical treatment.HHS highlighted these concerns in a bulletin it issued late last year that reminded entities covered by the  Health Insurance Portability and Accountability Act (HIPAA) of their responsibilities to protect health data from unauthorized disclosure under the law.Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelp, GoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. The primary FTC staffers on this matter are Ryan Mehm from the FTC’s Bureau of Consumer Protection and Erika Wodinsky from the FTC’s San Francisco regional office.

As the deadline for the full enforcement of the Personal Data Protection and Privacy Law on October 15, 2023 approaches, private businesses and public institutions are actively working to ensure compliance with the requirements for the lawful processing of personal data.Leading the way in compliance efforts is the Bank of Kigali (BK) and its subsidiaries – BK Capital, BK Techouse, and BK Insurance – which have formally met all the requirements of a Data Controller.Across the globe, data protection and privacy have become essential components for businesses and institutions, requiring adherence to global best practices while complying with national laws and regulations.For the Bank of Kigali Group, safeguarding clients’ data and maintaining their privacy are of utmost importance in building and preserving trust.At a recent Handover Ceremony, BK’s CEO, Dr. Diane Karusisi, highlighted the significance of achieving this compliance milestone. She emphasized the institution’s commitment to protecting client data and pledged to continue investing in robust data protection measures to remain at the forefront in an ever-evolving digital landscape.In line with the law’s requirements, the Bank of Kigali has established a comprehensive framework of technical and organizational safeguards to secure client information, prevent unauthorized access, and mitigate potential data breaches. These measures not only meet legal obligations but also ensure the highest standards of privacy and confidentiality for customers.During the handover ceremony, Col. David Kanamugire, CEO of The National Cybersecurity Authority (NCSA), the supervisory organ for the Data Protection Office responsible for implementing the Personal Data Protection and Privacy Law, commended BK’s proactive approach towards compliance. He stressed the importance of data protection in today’s digital era.By embracing the law’s provisions and proactively implementing the necessary safeguards, The Bank of Kigali has achieved an essential milestone, setting a benchmark for other businesses to follow suit. Compliance with the Personal Data Protection and Privacy Law signifies an organization’s dedication to safeguarding the interests and privacy of its clients.As the 15th of October draws near, other businesses and institutions are diligently working to meet the deadline. With data breaches and privacy concerns becoming more prevalent, compliance with this law is a critical step towards fostering trust, protecting personal information, and upholding the principles of data privacy, which are essential for providing social and economic services.

Related posts:

  1. PRIVACYDAILY
  2. PRIVACYDAILY
  3. PRIVACYDAILY
  4. PRIVACYDAILY