PRIVACY DAILY 73/2023

È morto Spiros Simitis, primo giurista ad aver formulato il diritto alla protezione dei dati personali. Si è spento all’età di 88 anni a Königsstein (Taunus) il professore greco, naturalizzato tedesco, padre della prima legge sulla protezione dei dati personali in Europa, adottata dal Land dell’Assia nel 1970. La storia globale della protezione dei dati inizia, infatti, proprio con questa legge, da cui hanno preso le mosse tutte le normative successive. Simitis, allora giovane professore presso l’Università Johann Wolfgang Goethe di Francoforte, ha messo a punto il testo normativo ed è stato, poi, commissario per la protezione dei dati dell’Assia dal 1975 al 1991. “Forse non è riuscito a far rispettare a tutti la protezione dei dati, ma è riuscito a farla conoscere a tutti” commenta la stampa tedesca. Ed in effetti, Spiros Simitis ha iniziato a studiare la protezione dei dati quando i computer erano ancora delle enormi scatole e venivano programmati con il nastro perforato, arrivando fino al cloud computing. Per lui, però, è stato subito chiaro che la protezione dei dati non era soltanto un aspetto della privacy, ma una forma di protezione della democrazia stessa. Nel pensiero di Simitis, il controllo sulle informazioni rappresenta, infatti, un prerequisito fondamentale delle società democratiche. Nato ad Atene, figlio di un avvocato, Spiros Simitis è arrivato in Germania all’età di 17 anni per studiare legge con il fratello Kostas, che in seguito è diventato primo ministro della Grecia. Ha conseguito il dottorato a 22 anni e l’abilitazione a 29. È stato professore prima a Giessen, poi a Francoforte, con cattedre di diritto civile, diritto commerciale, diritto del lavoro e informatica giuridica, nonché visiting professor in prestigiosi Atenei, tra cui Yale, Berkeley e Parigi.

Allo staff del Cremlino coinvolto nella campagna elettorale per le presidenziali del 2024 è stato vietato l’uso degli iPhone. Il giorno dopo la prima visita di Putin in Ucraina, si è diffusa la notizia, riferita dal giornale russo Kommersant, che ai membri dello staff coinvolti nella campagna per la rielezione dello stesso Putin alle presidenziali del 2024 è stato vietato, a partire dal prossimo 1° aprile, l’uso degli iPhone per il timore che i dispositivi possano essere vulnerabili alle agenzie di intelligence occidentali. Secondo la fonte citata dal Kommersant, i funzionari sono stati esortati a sostituire i loro iPhone con telefoni Android o con i loro analoghi di produzione cinese o russa. Finora provvedimenti di questo genere erano stati presi solo «in direzione opposta», ovvero da Occidente ad Oriente e in relazione ad aziende (e prodotti) cinesi, causando in alcuni casi veri e propri terremoti sul mercato degli smartphone, come quando nel 2019 il governo degli Stati Uniti ha messo al bando Huawei per timori analoghi o quando recentemente — riportava giorni fa il Financial Times — ha sospeso l’emissione di licenze per le esportazioni tecnologiche «made in Usa» a Huawei e imposto restrizioni all’esportazione di semiconduttori a diversi gruppi cinesi, per il timore che la società aiuti il governo di Pechino nello spionaggio. Non si dimentichi, inoltre, l’arresto da parte della polizia canadese, su mandato di cattura americano, della direttrice finanziaria di Huawei, Meng Wanzhou, figlia del fondatore dell’azienda, nel dicembre 2018. Sempre in Occidente, tre settimane fa la Commissione Ue ha chiesto a tutti i dipendenti, come già aveva fatto il governo americano, di disinstallare l’app cinese TikTok dai telefoni professionali, consentendone l’uso solo su quelli personali se non contengono documenti di lavoro.

Abuso di posizione dominante all’interno del suo mercato online, potenziali violazioni della privacy dei consumatori connesse alle sue telecamere Ring e all’assistente digitale Alexa. Sono i tre filoni lungo i quali l’Amministrazione Biden intende agire nei confronti del colosso Amazon, che ha all’attivo almeno una dozzina di importanti indagini a suo carico e che potrebbero creare non pochi problemi. Da ultimo, si è anche aggiunta da parte dell’FTC, l’istruttoria sull’acquisto del produttore di aspirapolveri iRobot. Sebbene Amazon sia già stata colpita da diverse controversie legali sotto il profilo antitrust a livello statale – sia a Washington che in California – le prossime cause federali rappresenterebbero le sfide più significative per l’azienda. Lunga è la contrapposizione tra l’FTC e Amazon, citata in giudizio anche con l’accusa di aver trattenuto illegalmente le mance da alcuni autisti addetti alle consegne. L’azienda ha risolto il caso, pagando quasi 60 milioni di dollari per rimborsare gli autisti. Nell’ultimo anno, i funzionari dell’Amministrazione Biden hanno seguito e con molta decisione le fusioni aziendali e le mosse delle aziende tecnologiche. L’anno scorso, ad esempio, la FTC ha fatto causa per bloccare l’acquisto di Activision da parte di Microsoft per 69 miliardi di dollari, e il Dipartimento di Giustizia ha due cause contro Google per le sue attività di ricerca e pubblicità, oltre a preparare un caso antitrust contro Apple. Stando a indiscrezioni, ci sono almeno due indagini della FTC aperte sulla privacy, una sul business delle videocamere e dei sistemi di sicurezza Ring di Amazon e l’altra sull’assistente vocale Alexa per potenziali violazioni del Children’s Online Privacy Protection Act. L’esito di almeno una di queste potrebbe arrivare nei prossimi due mesi. I rappresentanti della FTC e di Amazon hanno, però, rifiutato di commentare le indagini.

English version

Spiros Simitis, the first jurist to formulate the right to personal data protection, has died. The Greek professor, naturalised German, father of the first data protection law in Europe, adopted by the Land of Hesse in 1970, died at the age of 88 in Königsstein (Taunus). In fact, the global history of data protection begins with this very law, from which all subsequent regulations have been based. Simitis, then a young professor at Frankfurt’s Johann Wolfgang Goethe University, developed the regulatory text and was then Hessen’s data protection commissioner from 1975 to 1991. ‘He may not have succeeded in enforcing data protection for everyone, but he managed to make it known to everyone,’ comments the German press. And indeed, Spiros Simitis started studying data protection when computers were still huge boxes and were programmed with punched tape, all the way to cloud computing. For him, however, it was immediately clear that data protection was not just an aspect of privacy, but a form of protection of democracy itself. In Simitis’ thinking, control over information is, in fact, a fundamental prerequisite of democratic societies. Born in Athens, the son of a lawyer, Spiros Simitis came to Germany at the age of 17 to study law with his brother Kostas, who later became prime minister of Greece. He obtained his doctorate at the age of 22 and his habilitation at 29. He was a professor first in Giessen, then in Frankfurt, holding professorships in civil law, commercial law, labour law and legal informatics, as well as a visiting professor at prestigious universities, including Yale, Berkeley and Paris.

Kremlin staff members involved in the 2024 presidential election campaign have been banned from using iPhones. The day after Putin’s first visit to Ukraine, news broke, reported by the Russian newspaper Kommersant, that staff members involved in Putin’s 2024 presidential re-election campaign have been banned from using their iPhones as of 1 April due to fears that the devices could be vulnerable to Western intelligence agencies. According to the source quoted by Kommersant, officials were urged to replace their iPhones with Android phones or their Chinese- or Russian-made analogues. Until now, such measures had only been taken ‘in the opposite direction’, i.e. from West to East and in relation to Chinese companies (and products), in some cases causing real earthquakes on the smartphone market, such as when in 2019 the US government banned Huawei due to similar fears, or when recently – the Financial Times reported days ago – it suspended the issuing of licences for ‘made in the USA’ technology exports to Huawei and imposed restrictions on the export of semiconductors to several Chinese groups, due to fears that the company would aid the Beijing government in spying. Let us also not forget the arrest by Canadian police, on a US arrest warrant, of Huawei’s chief financial officer, Meng Wanzhou, daughter of the company’s founder, in December 2018. Also in the West, three weeks ago the EU Commission asked all employees, as the US government had already done, to uninstall the Chinese app TikTok from professional phones, allowing its use only on personal ones if they do not contain work documents.

Abuse of dominant position within its online marketplace, potential violations of consumer privacy related to its Ring cameras and digital assistant Alexa. These are the three strands along which the Biden administration intends to take action against the giant Amazon, which has at least a dozen major investigations against it to its credit and which could create quite a few problems. Most recently, the FTC has also added the investigation into Amazon’s purchase of vacuum cleaner manufacturer iRobot. Although Amazon has already been hit by several antitrust litigations at the state level – both in Washington and California – the upcoming federal lawsuits would represent the most significant challenges for the company. Long is the dispute between the FTC and Amazon, which is also being sued on charges of illegally withholding tips from some delivery drivers. The company settled the case, paying nearly $60 million to reimburse the drivers. Over the past year, Biden administration officials have been very vocal in following corporate mergers and moves by technology companies. Last year, for example, the FTC sued to block Microsoft’s $69 billion purchase of Activision, and the Justice Department has two lawsuits against Google over its search and advertising activities, as well as preparing an antitrust case against Apple. According to rumours, there are at least two open FTC privacy investigations, one on Amazon’s Ring camera and security systems business and the other on the voice assistant Alexa for potential violations of the Children’s Online Privacy Protection Act. The outcome of at least one of these could come within the next two months. Representatives of the FTC and Amazon have, however, declined to comment on the investigation.

PRIVACY DAILY 63/2023

Dopo la burrasca di questi giorni, TikTok tenta di recuperare la fiducia degli Occidentali: arriva il “Progetto Trifoglio”. Questo progetto prevede che una società di sicurezza separata “controlli i flussi di dati” e che TikTok renda più difficile l’identificazione dei singoli utenti nei dati. Così si vogliono fugare i timori di una possibile condivisione dei dati degli utenti con la Cina. Inoltre, i “gateway di sicurezza” aggiungeranno un ulteriore livello di controllo sull’accesso dei dipendenti alle informazioni degli utenti europei e sui trasferimenti di dati al di fuori dell’Europa. Peraltro, i dirigenti di TikTok che hanno presentato il Progetto Trifoglio hanno ripetutamente affermato che si stanno spingendo più in là di altri grandi social network per proteggere la privacy degli utenti. Nell’ambito dell’attuale sforzo di archiviare localmente i dati degli utenti europei, la società ha anche rivelato i piani per la costruzione di due nuovi data center: a Dublino – oltre a quello già annunciato – e nella regione di Hamar in Norvegia. Ciò allo scopo di convincere i legislatori europei che TikTok è sicuro. Ma la realtà è che il futuro di TikTok rimarrà in bilico fintanto che non si quieteranno le acque negli Stati Uniti. E, al momento, l’ipotesi sembra remota. Esattamente un giorno prima dell’annuncio del Progetto Trifoglio, il Presidente Joe Biden ha dato il suo sostegno a una proposta di legge di un gruppo di senatori – promossa dal democratico Warner e dal repubblicano Thune – volta a vietare la tecnologia di proprietà straniera. Ma la Cina si oppone fermamente a questa azione. “Quanto può essere insicura di sé la massima superpotenza mondiale come gli Stati Uniti per temere in questo modo l’app preferita dai giovani?”. Ha dichiarato la portavoce del ministero degli Esteri cinese Mao Ning. L’impressione è che l’app sia finita al centro di una dinamica di confronto geopolitico tra USA e Cina.

Twitter dell’era Musk non conosce pace. La Federal Trade Commission (FTC) degli Stati Uniti intende approfondire le indagini sulle pratiche di Twitter in materia privacy e dati degli utenti e sta cercando di sentire come testimone Elon Musk in persona. Stando a quanto riportato, l’indagine della FTC vuole capire se Twitter – anche alla luce del gran numero di tagli al personale – continui ad avere adeguate risorse in termini organizzativi, di bugdet e di personale, per proteggere la privacy dei suoi utenti. L’inchiesta della Trade Commission prende forma la scorsa estate sulle scia di alcune affermazioni di un ex dirigente di Twitter in merito a problemi di sicurezza dei dati degli utenti e alle clamorose dimissioni di altri tre alti dirigenti responsabili del settore privacy e sicurezza. La FTC peraltro aveva raggiunto un accordo con Twitter nel 2011, ampliato nel 2022, in base al quale Twitter si è impegnata a condurre regolari controlli di sicurezza e a tenere informata l’Autorità sulla gestione dei dati particolari. Nei confronti però della FTC non sono mancate critiche da parte di una sottocommissione del House Judiciary Committee, a guida repubblicana, che l’ha accusata di condurre una “campagna aggressiva per infastidire Twitter”con oltre 350 richieste di informazioni solo da quando Musk ha rilevato l’azienda in ottobre. La sottocommissione ha anche criticato la FTC per aver chiesto a Twitter l’accesso ai file interni dell’azienda che aveva fornito poi a un gruppo di giornalisti. Un portavoce della FTC ha dichiarato però che la Trade Commissione formuli abitualmente tali richieste di informazioni alle aziende sottoposte ai suoi controlli. Ma quella della FTC però non è l’unica indagine che pende sul social network: anche altre Autorità statunitensi ed europee hanno avviato da tempo inchieste che riguardano ulteriori profili ritenuti meritevoli di approfondimento.

I data breach non risparmiano neanche il latte materno. L’Autorità garante privacy dell’Ontario sta indagando su una violazione dei dati presso la Rogers Hixon Ontario Human Milk Bank, che fornisce latte materno a bambini fragili dal punto di vista medico in tutta la provincia. Questa banca del latte fa parte del Sinai Health (un sistema ospedaliero di Toronto), il quale ha comunicato la violazione il 10 febbraio. Così gli Uffici dell’Autoritò hanno aperto un fascicolo, anche se la violazione sembra essere avvenuta prima di quella data. Il Sinai Health ha infatti dichiarato che il suo fornitore, Timeless Medical Systems, ha informato la banca del latte il 21 dicembre 2022 che stava avendo “problemi di servizio”. A quel punto, la banca del latte ha smesso di caricare i documenti sui suoi server e ha chiesto aggiornamenti regolari sulla situazione. Il 12 gennaio il fornitore ha comunicato al Sinai Health che i problemi di servizio erano legati a un “evento di cybersecurity”. “Subito dopo la notifica dell’evento di cybersecurity, abbiamo lavorato per garantire che i nostri dati fossero restituiti e ripristinati in modo sicuro. I donatori della banca del latte interessati sono stati identificati, contattati e assistiti durante tutto il processo”, ha dichiarato Jennifer Specht, portavoce del Sinai Health, aggiungendo che “Stiamo prendendo la questione molto seriamente e siamo profondamente dispiaciuti dell’impatto che questo evento di cybersecurity ha avuto sui nostri donatori di latte”. Secondo una lettera della banca del latte alle famiglie, infine, una “terza parte non autorizzata” ha avuto accesso ai dati prelevandoli dall’archivio cloud del fornitore, che comprendeva informazioni sulla salute personale dei donatori e di “alcuni richiedenti” nonché nomi, indirizzi, numeri di telefono, indirizzi e-mail, stile di vita familiare e dati anamnestici. Il fornitore ha successivamente comunicato di aver recuperato i dati.

English version

After the storm of recent days, TikTok is attempting to regain the trust of Westerners: ‘Project Clover’ is coming. This project provides for a separate security company to ‘control data flows’ and for TikTok to make it more difficult to identify individual users in the data. Thus, fears of possible sharing of user data with China are to be dispelled. In addition, ‘security gateways’ will add an extra layer of control over employee access to European user information and data transfers outside Europe. Moreover, TikTok executives who presented the Clover Project have repeatedly stated that they are going further than other large social networks to protect user privacy. As part of the ongoing effort to store European users’ data locally, the company also revealed plans to build two new data centres: in Dublin – in addition to the one already announced – and in the Hamar region of Norway. This is in order to convince European regulators that TikTok is safe. But the reality is that TikTok’s future will remain in the balance until the waters in the United States clear. And, at the moment, the hypothesis seems remote. Exactly one day before Project Clover was announced, President Joe Biden gave his support to a bill by a group of senators – sponsored by Democrat Warner and Republican Thune – to ban foreign-owned technology. But China strongly opposes this action. “How self-insecure can the world’s top superpower like the United States be to fear the young people’s favourite app in this way?” Said Chinese Foreign Ministry spokeswoman Mao Ning. The impression is that the app has ended up at the centre of a dynamic geopolitical confrontation between the US and China.

Musk-era Twitter knows no peace. The US Federal Trade Commission (FTC) intends to further investigate Twitter’s privacy and user data practices and is seeking to hear Elon Musk himself as a witness. According to reports, the FTC investigation wants to understand whether Twitter – even in light of the large number of staff cuts – continues to have adequate resources in terms of organisation, bugdet and personnel to protect the privacy of its users. The Trade Commission’s investigation took shape last summer in the wake of allegations by a former Twitter executive about user data security problems and the sensational resignations of three other senior executives responsible for privacy and security. The FTC had, moreover, reached an agreement with Twitter in 2011, extended to 2022, under which Twitter undertook to conduct regular security audits and to keep the Authority informed about its handling of special data. However, the FTC was not without criticism from a subcommittee of the Republican-led House Judiciary Committee, which accused it of conducting an “aggressive campaign to harass Twitter” with over 350 requests for information since Musk took over the company in October alone. The subcommittee also criticised the FTC for asking Twitter for access to the company’s internal files, which it then provided to a group of journalists. An FTC spokesman said, however, that the Trade Commission routinely makes such requests for information from companies under its scrutiny. But that of the FTC is not the only investigation hanging over the social network: other US and European authorities are also raising doubts.

Data breaches do not spare even breast milk. The Ontario Privacy Authority is investigating a data breach at the Rogers Hixon Ontario Human Milk Bank, which provides breast milk to medically fragile babies across the province. This milk bank is part of Sinai Health (a Toronto hospital system), which reported the breach on 10 February. So the authorities opened a file, even though the violation appears to have occurred before that date. In fact, Sinai Health stated that its supplier, Timeless Medical Systems, informed the milk bank on 21 December 2022 that it was having ‘service problems’. At that point, the milk bank stopped uploading documents to its servers and asked for regular updates on the situation. On 12 January, the supplier notified Sinai Health that the service problems were related to a ‘cybersecurity event’. “Immediately after notification of the cybersecurity event, we worked to ensure that our data was returned and restored securely. Affected milk bank donors were identified, contacted and assisted throughout the process,” said Jennifer Specht, spokesperson for Sinai Health, adding that “We are taking this matter very seriously and are deeply sorry for the impact this cybersecurity event has had on our milk donors.” According to a letter from the milk bank to the families, an ‘unauthorised third party’ accessed the data by taking it from the supplier’s cloud archive, which included personal health information of donors and ‘some applicants’ as well as names, addresses, phone numbers, email addresses, family lifestyle and medical history data. The provider later reported that it had recovered the data.

PRIVACY DAILY 60/2023

La Federal Trade Commission (FTC) vieta al servizio di consulenza psicologica online BetterHelp Inc. di condividere i dati sanitari dei suoi utenti, comprese le informazioni sui problemi di salute mentale, a scopo pubblicitario. La proposta di ordinanza prevede anche che l’azienda paghi 7,8 milioni di dollari di risarcimento agli utenti per aver rivelato i loro dati a terzi, come Facebook e Snapchat. BetterHelp offre servizi di consulenza online con questo nome e con versioni specializzate per un pubblico particolare – i.e. Pride Counseling per i membri della comunità LGBTQ, Faithful Counseling per le persone di fede cristiana, Terappeuta per i clienti di lingua spagnola e Teen Counseling per gli adolescenti che si iscrivono con il permesso dei genitori -. I consumatori interessati ai servizi di BetterHelp devono compilare un questionario che chiede dati relativi alla salute mentale, come ad esempio se hanno sofferto di depressione o pensieri suicidi e se stanno assumendo farmaci. Inoltre forniscono il loro nome, l’indirizzo e-mail, la data di nascita e altre informazioni personali. I consumatori vengono poi abbinati a un consulente e pagano tra i 60 e i 90 dollari a settimana per la consulenza. In diversi punti del processo di iscrizione, BetterHelp ha promesso ai consumatori che non avrebbe utilizzato o divulgato i loro dati sanitari personali se non per scopi limitati, come la fornitura di servizi di consulenza. Ma così non è stato nella pratica, stando alle valutazioni della FTC. Così, a BetterHelp sarà vietato di condividere i dati personali dei consumatori con alcune terze parti per il re-targeting. La FTC pubblicherà a breve una descrizione del consent agreement package nel Federal Register. L’accordo sarà soggetto a commenti pubblici per 30 giorni dopo la pubblicazione nel Federal Register, dopodiché la Commissione deciderà se renderlo definitivo. 

Nel Regno Unito, una madre ha dichiarato di essere stata lasciata sola “nel deserto” mentre tentava di ottenere informazioni dalle tech companies sulla morte di sua figlia adolescente. La ragazza si era suicidata circa cinque anni or sono, dopo aver visto materiale autolesionistico online. La famiglia ha cercato più volte di ottenere informazioni e si è trovata “assolutamente in difficoltà”. Perciò, insieme ad altre famiglie, stanno conducendo una campagna per cambiare le cose. In particolare, vogliono un emendamento all’Online Safety Bill, al momento in corso di approvazione in Parlamento, che consenta alle famiglie e ai medici legali di ottenere il supporto delle authorities (una su tutte, dell’Ofcom) per ottenere dalle piattaforme informazioni sul materiale a cui i loro figli accedevano prima della loro morte. Il gruppo ha scritto al Primo Ministro, al Ministro della Giustizia e al Segretario di Stato per la Scienza e la Tecnologia, chiedendo che la legge venga modificata. Nella lettera inviata al Governo – e citata parzialmente dalla BBC – si legge: “Ognuno di noi ha perso un figlio in circostanze legate al mondo digitale, e ognuno di noi ha lottato per ottenere le informazioni necessarie a comprendere meglio la sua morte. Purtroppo, ogni anno, ci sono centinaia di famiglie che si trovano in circostanze altrettanto dolorose. Il processo di accesso ai dati è stato disumano. In alcuni casi, ci sono voluti anni e siamo stati lasciati in loop automatici, parlando con bot online, come se stessimo contattando oggetti smarriti”.

Il cammino verso l’introduzione del Data Protection Bill in India non è certo privo di colpi di scena. L’ultimo è stata la smentita da parte del deputato Lok Sabha della dichiarazione del ministro dell’Elettronica e della Tecnologia dell’Informazione Ashwini Vaishnaw, secondo cui la Commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato un “grande pollice in su” alla proposta legislativa del Governo. Dal 2017, quando la Corte Suprema indiana con la storica sentenza Puttaswamy, ha stabilito all’unanimità che la privacy è un diritto fondamentale dei cittadini indiani, si sono già avvicendate quattro versioni della legge sulla protezione dei dati. L’ultima è il Digital Personal Data Protection (DPDP) Bill, pubblicato dal Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) per la consultazione pubblica il 18 novembre 2022. In una recente dichiarazione, il ministro Ashwini Vaishnaw ha affermato che la commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato parere favorevole al progetto di legge. Ma forse si è trattato di eccessivo ottimismo. Nel corso della seduta dello scorso dicembre, la Commissione aveva, infatti, invitato i rappresentanti del MeitY per ascoltare il loro punto di vista sulla “sicurezza dei dati dei cittadini e la privacy” (in una sorta di discussione preliminare sulla proposta di DPDP), ma i membri della Commissione avevano, però, sollevato diverse questioni. Soprattutto, dal momento che la proposta non è stata inviata formalmente alla commissione, l’approvazione o la disapprovazione del Data Protection Bill in questa fase non risulta all’ordine del giorno. Peraltro, vengono sollevate aspre critiche sotto vari profili giuridici. In particolare, viene affermato che il disegno di legge sul DPDP non riuscirebbe a soddisfare il quadruplice test sulla privacy, (legalità, finalità proporzionalità e garanzie procedurali) stabilito dalla Corte Suprema nella sentenza Puttaswamy.

English version

The Federal Trade Commission (FTC) issued a proposed order prohibiting the online psychological counselling service BetterHelp Inc. from sharing its users’ health data, including information about mental health problems, for advertising purposes. The proposed order also requires the company to pay $7.8 million to compensate users for disclosing their data to third parties, such as Facebook and Snapchat. BetterHelp offers online counselling services under this name and with specialised versions for particular audiences – i.e. Pride Counseling for members of the LGBTQ community, Faithful Counseling for people of the Christian faith, Terappeuta for Spanish-speaking clients, and Teen Counseling for teenagers who sign up with parental permission -. Consumers interested in BetterHelp’s services must fill out a questionnaire that asks for mental health data, such as whether they have suffered from depression or suicidal thoughts and whether they are taking medication. They also provide their name, e-mail address, date of birth and other personal information. Consumers are then matched with a counsellor and pay between $60 and $90 per week for counselling. At several points in the sign-up process, BetterHelp promised consumers that it would not use or disclose their personal health data except for limited purposes, such as providing counselling services. But this has not been the case in practice, according to the FTC’s assessments. Thus, BetterHelp will be prohibited from sharing consumers’ personal data with certain third parties for re-targeting purposes. The FTC will shortly publish a description of the consent agreement package in the Federal Register. The agreement will be subject to public comment for 30 days after publication in the Federal Register, after which the Commission will decide whether to make it final.

In the UK, a mother claimed to have been left ‘in the wilderness’ while trying to get information from tech companies about the death of her teenage daughter. The girl had died by suicide about five years ago after seeing self-harming material online. The family tried several times to obtain information and found themselves ‘absolutely at a loss’. Therefore, together with other families, they are campaigning to change this. In particular, they want an amendment to the Online Safety Bill, currently pending in Parliament, which would allow families and forensic scientists to get support from the authorities (particularly Ofcom) to obtain information from platforms about the material their children accessed before their death. The group has written to the Prime Minister, the Minister of Justice and the Secretary of State for Science and Technology, requesting that the law be amended. The letter sent to the government – and viewed by the BBC – reads: ‘Each of us has lost a child in circumstances related to the digital world, and each of us has struggled to get the information we need to better understand their death. Sadly, every year, there are hundreds of families who find themselves in similarly painful circumstances. The process of accessing data has been inhuman. In some cases, it took years and we were left in automated loops, talking to online bots, as if we were contacting lost and found’.

The path towards the introduction of the Data Protection Bill in India has certainly not been without its twists and turns. The latest was MP Lok Sabha’s denial of Electronics and Information Technology Minister Ashwini Vaishnaw’s statement that the Parliamentary Standing Committee on Communications and Information Technology had given a ‘big thumbs up’ to the government’s legislative proposal. Since 2017, when the Indian Supreme Court in its landmark Puttaswamy judgment unanimously ruled that privacy is a fundamental right of Indian citizens, there have already been four versions of the Data Protection Act. The latest is the Digital Personal Data Protection (DPDP) Bill, published by the Ministry of Electronics and Information Technology (MeitY) for public consultation on 18 November 2022. In a recent statement, Minister Ashwini Vaishnaw said that the Parliamentary Standing Committee on Communications and Information Technology would give the bill a favourable opinion. But this may have been over-optimism. At its meeting last December, the commission had, in fact, invited representatives of MeitY to hear their views on ‘citizen data security and privacy’ (in a kind of preliminary discussion on the DPDP proposal), but the members of the commission had, however, raised several questions. Above all, since the proposal has not been formally sent to the commission, approval or disapproval of the Data Protection Bill is not on the agenda at this stage. Moreover, sharp criticism is raised in various legal respects. In particular, it is argued that the DPDP Bill would fail to meet the fourfold privacy test (legality, purpose, proportionality and procedural safeguards) established by the Supreme Court in the Puttaswamy judgment.