PRIVACY DAILY 96/2023

L’industria sanitaria è in subbuglio negli Stati Uniti. Al centro del ciclone, una serie di provvedimenti federali sulla privacy che sta complicando il modo in cui le aziende commercializzano i loro servizi online. La Federal Trade Commission ha aperto la strada a questa nuova iniziativa, sanzionando le aziende di teleassistenza per aver violato la privacy dei loro clienti e vietando loro di farlo in futuro. La direttrice dell’Ufficio per i diritti civili dell’HHS ha dichiarato che il suo staff ha avviato una propria indagine, definendo la raccolta di dati sanitari online “problematica” e “diffusa”. Ciò sta sconvolgendo le pratiche commerciali di lunga data e sta mettendo in crisi l’industria sanitaria. In alcuni casi, le aziende stanno tagliando i legami con giganti tecnologici come Google e Facebook, mentre cercano di comprendere il panorama normativo e di misurare le ricadute sui loro profitti. Per i consumatori, dicono gli esperti del settore sanitario, il cambiamento offre una maggiore privacy, ma potrebbe anche rendere più difficile trovare assistenza primaria, salute mentale e altri servizi medici online. Lo sfondo di questa nuova preoccupazione è la tendenza crescente degli americani a ricevere informazioni o servizi da app per la salute mentale, servizi di teleassistenza e siti web degli ospedali. Le persone potrebbero non sapere che questi servizi acquisiscono informazioni personali dettagliate che vengono poi utilizzate per il marketing e la pubblicità. Ora che le autorità di regolamentazione fissano nuovi limiti all’uso e alla condivisione di questi dati, alcune aziende hanno dichiarato che i clienti le hanno tempestate di domande su quali dati stanno raccogliendo e con chi li stanno condividendo. Si tratta di un cambiamento sismico per il settore che si sta manifestando nei numeri. 

Dopo vari mesi di sonnolenza, la riforma britannica della legislazione sulla privacy è stata discussa in Parlamento. Il Data Protection and Digital Information Bill, che introdurrà una serie di modifiche alla versione britannica del GDPR ha raggiunto la seconda lettura alla Camera dei Comuni.  Questa fase era originariamente prevista per il settembre dello scorso anno, ma è stata rinviata in seguito alle dimissioni di Boris Johnson da Primo Ministro e al successivo insediamento di Liz Truss. Il disegno di legge è ora tornato sul tavolo legislativo.  La riforma del regime di protezione dei dati prevista da Londra ha attirato una notevole attenzione a Bruxelles, viste le potenziali implicazioni per l’accordo di adeguatezza dei dati UE-Regno Unito raggiunto nel 2019, che facilita i trasferimenti di dati in corso tra le due parti.  La riconfigurazione delle leggi esistenti ha suscitato preoccupazione per la possibilità che i cambiamenti comportino la condivisione dei dati dei cittadini dell’UE con terze parti che potrebbero non soddisfare gli standard di protezione dei dati di Bruxelles, in seguito al loro trasferimento nel Regno Unito. La questione dell’adeguatezza dei dati è stata sollevata durante il dibattito parlamentare, con i deputati che hanno espresso le preoccupazioni delle imprese e dei ricercatori britannici in merito alla possibilità che il disegno di legge la metta a repentaglio. È stata sollevata anche la questione dell’Autorità garante privacy (ICO). Il disegno di legge intende “modernizzare” l’organo di controllo della protezione dei dati, ristrutturandolo in un nuovo organismo, la Commissione per l’informazione, e sostituendo il suo attuale capo – il Commissario per l’informazione – con un consiglio, un presidente e un amministratore delegato.  Questo aspetto del disegno di legge è stato criticato da alcuni che sostengono che ridurrà l’indipendenza dell’autorità. Il disegno di legge introdurrà cambiamenti anche in settori come i requisiti amministrativi interni alle imprese, una mossa che secondo il governo è volta a ridurre gli oneri burocratici. Altre misure si concentrano sull’aumento della flessibilità dei dati utilizzati nella ricerca e sul problema dei pop-up ripetuti dei cookie. 

Il governo vietnamita ha emanato un decreto sulla protezione dei dati personali. Il provvedimento  entrerà in vigore il 1° luglio 2023 e stabilisce le misure gestionali e tecniche che devono essere attuate dalle organizzazioni e dalle persone coinvolte nel trattamento dei dati personali. Il decreto prevede anche le misure che devono essere adottate dagli organi pubblici competenti in conformità con le leggi e i regolamenti correlati, nonché le misure investigative e giudiziarie attuate dagli organi statali. Tali misure devono essere applicate sin dall’inizio e durante tutto il processo di trattamento dei dati personali. Il Dipartimento per la Cybersecurity e la Prevenzione dei Crimini ad Alta Tecnologia del Ministero della Polizia è l’agenzia designata a vegliare sull’attuazione della gestione pubblica sulla protezione dei dati personali. Il Portale nazionale sulla protezione dei dati personali fornisce informazioni sulle politiche del Partito comunista del Vietnam e sulle leggi statali sulla protezione dei dati personali e pubblica informazioni sulla valutazione delle attività di protezione dei dati personali delle agenzie, delle organizzazioni e dei singoli interessati. Inoltre, riceve anche notifiche di violazioni delle norme sulla protezione dei dati personali, emette avvisi sui rischi e sulle azioni di violazione dei dati personali in conformità con la legge e svolge altre attività in conformità con le norme in vigore. Il decreto stabilisce che le agenzie, le organizzazioni e i singoli individui sono responsabili della diffusione delle conoscenze, delle competenze e della sensibilizzazione dell’opinione pubblica in materia di protezione dei dati personali, nonché della garanzia di strutture e condizioni materiali per lo svolgimento dei compiti dell’agenzia specializzata. Il Ministero della Polizia è responsabile dello sviluppo di programmi e piani specifici per lo sviluppo di personale specializzato.

English version

The healthcare industry is in turmoil in the United States. At the centre of the storm is a series of federal privacy measures that is complicating the way companies market their services online. The Federal Trade Commission has paved the way for this new initiative, sanctioning telehealth companies for violating the privacy of their customers and banning them from doing so in the future. The director of the HHS Office for Civil Rights said her staff had launched its own investigation, calling the online collection of health data ‘problematic’ and ‘widespread’. This is disrupting long-standing business practices and undermining the healthcare industry. In some cases, companies are cutting ties with tech giants like Google and Facebook as they try to understand the regulatory landscape and measure the impact on their bottom line. For consumers, health industry experts say, the change offers greater privacy, but could also make it harder to find primary care, mental health and other medical services online. The background to this new concern is the growing trend of Americans receiving information or services from mental health apps, telehealth services and hospital websites. People may not be aware that these services capture detailed personal information that is then used for marketing and advertising. Now that regulators are setting new limits on the use and sharing of this data, some companies have reported that customers have been pestering them with questions about what data they are collecting and with whom they are sharing it. This is a seismic shift for the industry that is manifesting itself in numbers.

After several months of dormancy, the UK reform of privacy legislation has been debated in Parliament. The Data Protection and Digital Information Bill, which will introduce a number of changes to the UK version of the GDPR has reached its second reading in the House of Commons. This was originally scheduled for September last year, but was postponed following the resignation of Boris Johnson as Prime Minister and the subsequent inauguration of Liz Truss. The bill is now back on the legislative table. London’s planned reform of the data protection regime has attracted considerable attention in Brussels, given the potential implications for the EU-UK data adequacy agreement reached in 2019, which facilitates ongoing data transfers between the two parties. The reconfiguration of existing laws has raised concerns that the changes may result in EU citizens’ data being shared with third parties that may not meet Brussels’ data protection standards, following their transfer to the UK. The issue of data adequacy was raised during the parliamentary debate, with MPs voicing the concerns of UK businesses and researchers that the bill would jeopardise it. The issue of the Privacy Authority (ICO) was also raised. The bill seeks to ‘modernise’ the data protection watchdog by restructuring it into a new body, the Information Commission, and replacing its current head – the Information Commissioner – with a board, chairman and chief executive. This aspect of the bill has been criticised by some who argue that it will reduce the authority’s independence. The bill will also introduce changes in areas such as internal administrative requirements for companies, a move the government says is aimed at reducing red tape. Other measures focus on increasing the flexibility of data used in searches and the problem of repeated cookie pop-ups.

The Vietnamese government has issued a decree on the protection of personal data. The decree will come into force on 1 July 2023 and sets out the management and technical measures to be implemented by organisations and individuals involved in the processing of personal data. The decree also provides for measures to be taken by competent public bodies in accordance with related laws and regulations, as well as investigative and judicial measures implemented by state bodies. These measures must be applied from the outset and throughout the entire personal data processing process. The Cybersecurity and High-Tech Crime Prevention Department of the Ministry of Police is the designated agency to oversee the implementation of public management on the protection of personal data. The National Portal on Personal Data Protection provides information on Communist Party policies and state laws on personal data protection and publishes information on the evaluation of personal data protection activities of agencies, organisations and individuals. It also receives notifications of breaches of personal data protection regulations, issues notices on personal data breach risks and actions in accordance with the law, and carries out other activities in accordance with the regulations in force. The decree states that agencies, organisations and individuals are responsible for the dissemination of knowledge, expertise and public awareness of personal data protection, as well as for ensuring material facilities and conditions for the performance of the tasks of the specialised agency. The Ministry of Police is responsible for the development of specific programmes and plans for the development of specialised personnel.

PRIVACY DAILY 82/2023

Dopo sette anni di ambiguità sulla legge tedesca sulla conservazione dei dati, la Corte costituzionale federale tedesca l’ha dichiarata inapplicabile e incompatibile con il diritto dell’UE. La Corte non ha accettato le disposizioni della legge tedesca sulle telecomunicazioni e del codice di procedura penale che prevedevano la conservazione dei dati relativi al traffico e all’ubicazione senza un motivo specifico. La sentenza conferma la posizione della Corte di giustizia dell’UE del 20 settembre 2022, secondo cui la legge tedesca sulla conservazione dei dati non ha più alcun effetto legale e non può più essere applicata. La norma invalidata prevedeva la conservazione di tutti i dati delle chiamate, dei messaggi di testo e degli indirizzi IP, comprese le informazioni sulla posizione dell’intera popolazione. Negli ultimi anni, in tutta Europa ci sono stati diversi tentativi di implementare regimi di sorveglianza per conservare tali dati per le indagini delle forze dell’ordine o per motivi di sicurezza interna. Questi tentativi sono stati regolarmente respinti dai tribunali europei, in quanto, alla luce della Carta dei diritti fondamentali dell’UE, la pratica colpisce in modo sproporzionato il diritto alla privacy delle persone estranee alle indagini. “Con la sua sentenza, la Corte Costituzionale Federale conferma e ribadisce la giurisprudenza della Corte di Giustizia Europea in materia di conservazione dei dati e chiarisce che la legge tedesca non prevede alcun margine di manovra per continuare ad applicare la conservazione dei dati senza alcuna ragione”, ha dichiarato Konstantin Macher di Digitalcourage, un’organizzazione che si occupa della questione dal 2002. “Chiediamo ai politici di accettare finalmente la fine della conservazione dei dati”, ha aggiunto Macher. Con la sentenza del 2022, la CGUE ha chiarito che la conservazione generalizzata dei dati di connessione costituisce sempre una grave violazione dei diritti fondamentali delle persone interessate. Pertanto, la conservazione dei dati senza un motivo specifico è incompatibile con i diritti fondamentali dell’Europa.

La maggior parte dei lavoratori in smartworking potrebbe non avere così tanta privacy come si potrebbe pensare. All’inizio della pandemia, quando praticamente tutti i dipendenti sono stati mandati a casa dagli uffici, molti datori di lavoro hanno investito in software di monitoraggio per tenere traccia di ogni loro spostamento, per evitare che si dedicassero ad attività personali mentre erano in servizio. Tre anni dopo, secondo un’indagine condotta da ResumeBuilder.com su 1.000 aziende, il monitoraggio dei dipendenti attraverso strumenti come i feed video e il software di monitoraggio dei tasti è di fatto la norma, mentre prima della pandemia esso interessava solo il 10% delle aziende. La forma più invasiva di monitoraggio è rappresentata da una trasmissione video in diretta, sempre attiva, alla quale ricorre più di un datore di lavoro su tre (37%), anche se solo pochi datori di lavoro – poco più del 5% – tengono d’occhio questi feed video per tutto il giorno. Sono però più comuni altre forme di controllo, come il tracciamento dell’attività di navigazione sul web e dell’uso delle app da parte dei lavoratori (62%) o la limitazione dell’accesso dei lavoratori a determinati siti web o applicazioni come le piattaforme di streaming video (49%). Inoltre, le aziende tengono traccia dell’attenzione dei lavoratori utilizzando la biometria, catturando schermate casuali e registrando i tasti premuti, che in teoria possono rivelare se i lavoratori sono impegnati in attività lavorative o personali. Secondo ResumeBuilder.com, quasi il 70% delle aziende ha dichiarato di aver avuto dipendenti che si sono licenziati per problemi di monitoraggio. Di questo gruppo, il 35% afferma che l’azienda ha perso da sei a dieci dipendenti a causa della sorveglianza indesiderata. Oltre il 70% delle aziende, inoltre, ha anche utilizzato i dati raccolti attraverso il monitoraggio per licenziare i lavoratori ritenuti improduttivi.

L’Information Commissioner’s Office (ICO) ha ammonito l’NHS Highland per aver violato i dati di alcuni pazienti che usufruiscono di servizi HIV. Il consiglio sanitario aveva inserito in chiaro le mail di 37 persone, così da rendere visibile a tutti i destinatari gli indirizzi personali degli altri che le ricevevano. L’ICO ha dichiarato che il mancato utilizzo di CCN nelle mail è una delle forme di data breach più comuni, con quasi 1.000 incidenti segnalati dal 2019 e ha pertanto chiesto di apportare miglioramenti alle misure tecniche e organizzative di protezione dei dati. Stephen Bonner, vicecommissario per la supervisione normativa, ha dichiarato: “Quello che abbiamo visto al NHS Highland è stata una grave violazione della riservatezza e fiducia di coloro che accedono a servizi vitali come quello per l’HIV”. Le raccomandazioni dell’ICO sono state incluse nel piano d’azione per la governance delle informazioni dell’NHS Highland, che entro giugno dovrà adeguare le proprie misure di sicurezza. Secondo le leggi sulla protezione dei dati, le organizzazioni devono infatti disporre di sistemi in grado di garantire che i dati personali, tanto più quelli appartenenti alle categorie particolari (art.9 Gdpr) siano al sicuro.

English version

After seven years of ambiguity surrounding the German Data Retention Act, the German Federal Constitutional Court declared it inapplicable and incompatible with EU law. The Court did not accept the provisions of the German Telecommunications Act and the Code of Criminal Procedure that provided for the retention of traffic and location data without a specific reason. The ruling confirms the EU Court of Justice’s position of 20 September 2022 that the German Data Retention Act no longer has any legal effect and can no longer be applied. The invalidated rule provided for the retention of all call data, text messages and IP addresses, including the location information of the entire population. In recent years, there have been several attempts across Europe to implement surveillance schemes to retain such data for law enforcement investigations or internal security purposes. These attempts have been routinely rejected by the European courts on the grounds that, in light of the EU Charter of Fundamental Rights, the practice disproportionately affects the right to privacy of persons unconnected with investigations. “With its ruling, the Federal Constitutional Court confirms and reaffirms the jurisprudence of the European Court of Justice on data retention and makes it clear that German law does not provide any leeway to continue to apply data retention for no reason,” said Konstantin Macher of Digitalcourage, an organisation that has been working on the issue since 2002. ‘We call on politicians to finally accept the end of data retention,’ Macher added. In its 2022 judgment, the CJEU made it clear that the generalised retention of connection data always constitutes a serious violation of the fundamental rights of the persons concerned. Therefore, the retention of data without a specific reason is incompatible with Europe’s fundamental rights.

Most smartworking employees may not have as much privacy as one might think. At the beginning of the pandemic, when virtually all employees were sent home from their offices, many employers invested in monitoring software to keep track of their every move, to prevent them from engaging in personal activities while on the job. Three years later, according to a survey of 1,000 companies conducted by ResumeBuilder.com, employee monitoring through tools such as video feeds and keystroke monitoring software is in fact the norm, whereas before the pandemic it affected only 10% of companies. The most invasive form of monitoring is a live, always-on video feed, which is used by more than one in three employers (37%), although only a few employers – just over 5% – keep an eye on these video feeds throughout the day. However, other forms of monitoring are more common, such as tracking workers’ web browsing activity and app usage (62%) or restricting workers’ access to certain websites or apps such as video streaming platforms (49%). In addition, companies track workers’ attention using biometrics, capturing random screenshots and recording keystrokes, which in theory can reveal whether workers are engaged in work or personal activities. According to ResumeBuilder.com, nearly 70 per cent of companies said they had employees who quit because of monitoring problems. Of this group, 35% stated that the company lost six to ten employees due to unwanted surveillance. In addition, more than 70% of the companies also used the data collected through monitoring to dismiss workers deemed unproductive.

The Information Commissioner’s Office (ICO) has admonished NHS Highland for hacking into the data of some patients using HIV services. The health board had unencrypted the emails of 37 people, making the personal addresses of others who received them visible to all recipients. The ICO said that failure to use CCN in emails is one of the most common forms of data breach, with almost 1,000 incidents reported since 2019, and therefore called for improvements to technical and organisational data protection measures. Stephen Bonner, deputy commissioner for regulatory oversight, said: ‘What we saw at NHS Highland was a serious breach of the confidentiality and trust of those accessing vital services such as HIV services. The ICO’s recommendations have been included in NHS Highland’s information governance action plan, which will have to adapt its security measures by June. According to data protection laws, organisations must in fact have systems in place to ensure that personal data, especially those in special categories (Art. 9 GDPR), are secure.

PRIVACY DAILY 43/2023

La Corte Suprema degli Stati Uniti potrebbe rivoluzionare il funzionamento delle piattaforme online. Il 21 febbraio, infatti, verrà discussa la causa Gonzalez v. Google, in cui si pronuncerà sugli “algoritmi di raccomandazione”, vale a dire il meccanismo che ordina la maggior parte dei contenuti online e determina la priorità dei post, delle notizie e degli account sulle piattaforme digitali. Il caso di specie ha ad oggetto delle accuse di presunta violazione dell’Anti-Terrorism Act commesse da Google, per via della raccomandazione di contenuti dell’ISIS da parte degli algoritmi di YouTube. Entra, così, in gioco la Sezione 230 del Titolo 47 dell’U.S. Code, cioè il fondamento giuridico su cui, per decenni, tutte le grandi aziende di Internet con contenuti generati dagli utenti hanno costruito le loro policy e le loro attività. In particolare, la Corte Suprema è chiamata a sciogliere la seguente questione: raccomandare un contenuto equivale a mostrarlo? Per rispondere al non facile quesito i giudici dovranno stabilire dove cade la linea di demarcazione tra l’hosting di contenuti e gli algoritmi di raccomandazione, che li ordinano in base alla cronologia, alla posizione geografica o ad altri criteri. In poche parole, vengono messi in discussione gli algoritmi che gestiscono la visualizzazione della maggior parte dei contenuti. Se la Sezione 230 venisse abrogata o ampiamente reinterpretata, le Big Tech potrebbero essere costrette a trasformare non solo il loro approccio alla moderazione dei contenuti, ma tutta l’architettura delle piattaforme. Alcuni esperti sostengono che i danni inflitti dagli algoritmi agli individui e alla società hanno raggiunto un livello inaccettabile e che, sebbene sarebbe preferibile un intervento legislativo, la Corte Suprema potrebbe cogliere questa opportunità per cambiare le regole su Internet, intaccando uno degli elementi di base del c.d. “capitalismo della sorveglianza”.

L’Austria vuole facilitare l’accesso ai dati sanitari dei pazienti. Dopo l’introduzione del Gesundheitsakte (versione austriaca del fascicolo sanitario elettronico) e del passaporto vaccinale sullo smartphone, il Ministro della Salute Johannes Rauch vuole intraprendere questo passo ulteriore con l’obiettivo di migliorare l’assistenza ai pazienti e di favorire un risparmio per l’Amministrazione. Al momento, l’Austria è alle prese con una serie di problemi relativi alle diverse modalità registrazione dei dati dei pazienti da parte di ospedali, medici di base e assicurazioni sociali. Nei piani del Ministro Rauch c’è, pertanto, il superamento di quest’impasse attraverso un miglioramento dell’accesso alle diagnosi e ai farmaci prescritti, seguendo il modello di digitalizzazione già applicato dalla Finlandia. “Ogni austriaco dovrebbe avere una panoramica dei propri dati sanitari premendo un pulsante” ha affermato il Sottosegretario alla Digitalizzazione, Florian Tursky, aggiungendo che occorre eliminare “i doppioni nel sistema sanitario” e “ridurre l’onere amministrativo per i medici”. Questo proposito ha, però, incontrato qualche preoccupazione da parte degli attivisti per la protezione dei dati personali che hanno sottolineato la particolare natura dei dati sanitari e delle conseguenze negative nel caso in cui “finiscano nelle mani sbagliate”. Gli attivisti rivendicano inoltre che i pazienti dovrebbero “poter decidere autonomamente e in qualsiasi momento con chi condividere i propri dati sanitari e per quanto tempo le istituzioni sanitarie interessate potranno accedervi”.

La Munster Technological University (MTU) si prepara a riaprire dopo il pesante attacco hacker subito. Il personale e gli studenti sono stati esortati a essere vigili dopo l’accesso abusivo ai dati contenuti nei suoi sistemi informatici, che sono stati poi copiati e condivisi sul dark web. Intanto, l’MTU sta collaborando con il National Cyber Security Centre per indagare sull’attacco, che si ritiene sia stato condotto da un collettivo di hacker con sede in Russia noto come Blackcat o APLHV. Ancora non è chiaro quali informazioni siano state diffuse, secondo il direttore del National Cyber Security Centre, Richard Browne. “Purtroppo è una conseguenza di ciò che accade in questi casi”, ha dichiarato, aggiungendo che: “gli aggressori hanno fatto quello che dovevano fare. Si tratta di un gruppo estremamente prolifico”. Anche la Data Protection Commission è stata informata della violazione. Agli studenti e al personale è stato peraltro raccomandato di prestare attenzione a potenziali attacchi via e-mail o SMS. Perfino la Student Union (il sindacato studentesco) dell’Università ha condiviso informazioni su come riconoscere una “e-mail di phishing” o, comunque, quando un’e-mail contiene link dannosi.

English version

The US Supreme Court could revolutionise the functioning of online platforms. On 21 February, in fact, the case Gonzalez v. Google will be discussed, in which it will rule on ‘recommendation algorithms’, i.e. the mechanism that orders most online content and determines the priority of posts, news items and accounts on digital platforms. The present case concerns allegations of an alleged violation of the Anti-Terrorism Act committed by Google, due to the recommendation of ISIS content by YouTube’s algorithms. Thus, Section 230 of Title 47 of the U.S. Code comes into play, i.e. the legal foundation on which, for decades, all large Internet companies with user-generated content have built their policies and activities. In particular, the Supreme Court is called upon to resolve the following question: does recommending content amount to showing it? To answer this not easy question, the judges will have to determine where the dividing line between hosting content and recommending algorithms, which sort them according to chronology, geographical location or other criteria, falls. In short, the algorithms that manage the display of most content are called into question. If Section 230 is repealed or widely reinterpreted, Big Tech could be forced to transform not only their approach to content moderation, but the entire architecture of the platforms. Some experts argue that the damage inflicted by algorithms on individuals and society has reached an unacceptable level and that, although legislative intervention would be preferable, the Supreme Court could seize this opportunity to change the rules on the Internet, eroding one of the basic elements of so-called ‘surveillance capitalism’.

Austria wants to facilitate access to patients’ health data. After the introduction of the Gesundheitsakte (Austria’s version of the electronic health record) and the vaccination passport on the smartphone, Health Minister Johannes Rauch wants to take this further step with the aim of improving patient care and saving the administration money. At the moment, Austria is grappling with a number of problems relating to different ways of recording patient data by hospitals, general practitioners and social insurance companies. In Minister Rauch’s plans, therefore, is to overcome this impasse by improving access to diagnoses and prescribed drugs, following the digitisation model already applied by Finland. “Every Austrian should have an overview of their health data at the push of a button,” said the Undersecretary for Digitalisation, Florian Tursky, adding that “duplication in the health system” should be eliminated and “the administrative burden on doctors should be reduced”. This has, however, met with some concern from data protection activists, who have emphasised the special nature of health data and the negative consequences if they ‘fall into the wrong hands’. The activists also claim that patients should ‘be able to decide for themselves at any time with whom they want to share their health data and for how long the health institutions concerned will have access to it’.

Munster Technological University (MTU) is preparing to reopen after the heavy hacking attack it suffered. Staff and students have been urged to be vigilant after data was ‘accessed and copied’ from its computer systems during the attack and shared on the dark web. Meanwhile, MTU is working with the National Cyber Security Centre to investigate the attack, which is believed to have been conducted by a Russian-based hacker collective known as Blackcat or APLHV. It is still unclear what information was leaked, according to National Cyber Security Centre director Richard Browne. “Unfortunately it is a consequence of what happens in these cases,” he said, adding that: “the attackers did what they had to do. This is an extremely prolific group”. The Data Protection Commission was also informed of the breach. Students and staff were also advised to watch out for potential attacks via e-mail or SMS. Even the university’s Student Union has shared information on how to recognise a ‘phishing e-mail’ or, in any case, when an e-mail contains malicious links.

Le iniziative delle altre Autorità

L’Autorità garante finlandese sanziona un’azienda per 122.000 euro per aver trattato dati particolari senza un esplicito consenso

L’Autorità garante finalndese (Tietosuojavaltuutetun toimisto) ha sanzionato un’azienda per aver trattato dati personali relativi alla salute senza specificare le tipologie di dati trattati e le finalità di ciascun trattamento. L’Autorità ha, così, irrogato una sanzione per un importo pari a 122.000 euro e ha ammonito la società, invitandola a correggere la propria prassi.

L’istruttoria del Tietosuojavaltuutetun toimisto aveva avuto origine da alcuni reclami ricevuti tra il 2018 e il 2019. Dalle verifiche svolte è emerso che l’azienda trattava alcuni dati relativi alla salute degli interessati – in particolare, quelli concernenti l’indice di massa corporea e la capacità massima di ossigeno – senza averne ricevuto l’esplicito consenso come richiesto dal GDPR.

L’azienda, infatti, aveva richiesto agli utenti del suo servizio un consenso di carattere generale, senza identificare precisamente quali dati raccogliesse e trattasse. Ma il consenso così raccolto, secondo l’Autorità, non può essere adatto a soddisfare i requisiti del GDPR in quanto non è individualizzato e informato.

Il Tietosuojavaltuutetun toimisto ha così ritenuto che, sebbene avesse informato gli interessati, il titolare non avesse fornito informazioni sufficienti sui tipi di dati personali trattati e sulle finalità di ciascun trattamento. Sulla decisione, inoltre, ha pesato molto anche il fatto che il trattamento su larga scala dei dati sanitari rappresenta una parte essenziale del core business dell’azienda.

Dal momento che i servizi dell’azienda vengono offerti anche in altri Paesi europei, la questione è stata affrontata nell’ambito della procedura di cooperazione tra Autorità garanti prevista dal GDPR (era stato, peraltro, presentato un reclamo anche in un altro Stato membro dell’Unione Europea). Ovviamente, essendo il trattamento dei dati personali effettuato dallo stabilimento della società in Finlandia, il Tietosuojavaltuutetun toimisto ha agito come autorità capofila nel corso dell’istruttoria.

«Le cartelle cliniche di Messina Denaro? È il diritto di cronaca mal interpretato», il parere di Vitalba Azzollini

#daleggere L’intervista di Vitalba Azzolini su Giornalettismo

Va letta tutto d’un fiato l’intervista di Vitalba Azzolini su Giornalettismo perché ci ricorda – o dovrebbe ricordarci – che nessuno e neppure un criminale come Matteo Messina Denaro, per il fatto solo di essere tratto in arresto – per quanto dopo una latitanza durata trent’anni – può vedere la sua riservatezza e la sua dignità andare in frantumi per un fraintendimento pericoloso sui limiti del diritto di cronaca.

È, peraltro, una delle tante questioni che affronto, con Eduardo Meligrana, in La privacy degli ultimi, il libretto appena uscito per Rubbettino a proposito delle gravi, ripetute, direi sistematiche violazioni della privacy che si consumano nelle nostre prigioni quasi che il detenuto, entrandovi, perdesse, tra le altre libertà e diritti, anche il diritto alla sua privacy, an he laddove ciò non sia previsto dalla legge e indispensabile a garantire che sconti la sua pena con la necessaria sicurezza.

È una riflessione scomoda e probabilmente impopolare alla quale, tuttavia, non credo che possiamo sottrarci.