Le iniziative delle altre Autorità

L’Autorità svedese e il “regulatory testing”. Pubblicata una guida per sostenere il progetto di AI decentralizzata nella sanità

L’Autorità garante svedese (Integritetsskyddsmyndigheten, IMY) annuncia di aver completato con successo un progetto pilota in cui ha condotto attività di “regulatory testing” sull’IA decentralizzata.
L’IMY vuole evitare che si crei un divario tra il rapido sviluppo della tecnologia e il quadro normativo in materia di protezione dei dati personali e, in tale ottica, sta cercando di individuare nuovi modi di lavorare nel settore pubblico per poter contribuire a uno sviluppo digitale sostenibile.
La sperimentazione pubblica di soluzioni tecnologiche di IA è un’opportunità per mettere alla prova questi nuovi metodi.
Nella fattispecie, l’IMY ha fornito supporto al progetto Decentralised AI in Health Care – Federated machine learning between two healthcare providers (IA decentralizzata nell’assistenza sanitaria – Apprendimento automatico federato tra due fornitori di assistenza sanitaria) condotto dalla Regione Halland e dall’Ospedale universitario Sahlgrenska, insieme ad AI Sweden – il centro nazionale svedese per l’IA applicata -.
Questa iniziativa ha lo scopo di studiare le possibilità aperte da un’assistenza sanitaria data-driven, utilizzando l’IA, al fine di personalizzare le decisioni sia a livello individuale che di sistema e a sviluppare diagnosi e trattamenti più avanzati e accurati. In particolare, ciò dovrebbe avvenire mediante lo scambio di modelli di apprendimento automatico.
L’IMY ha supportato i soggetti coinvolti nella corretta interpretazione e applicazione delle norme, per garantire una sana gestione dei dati sanitari, attraverso la predisposizione di un’apposita guida.
Si tratta di un’applicazione del c.d. “regulatory testing”, nell’ambito del quale le organizzazioni possono testare le loro idee confrontandosi con l’IMY e ricevere supporto sulle questioni legali relative ai progetti sperimentali.
Tale confronto si articola in workshop e incontri le cui conclusioni sono poi utilizzate – sono state utilizzate nel caso di specie – per la redazione di una guida in cui vengono prospettate le conclusioni raggiunte e le soluzioni da impiegare.
In particolare, nel caso in questione, la guida si è concentrata su questioni relative alla base giuridica per il trattamento dei dati personali, nell’addestramento del modello di apprendimento automatico “locale” da parte degli operatori sanitari e nella comunicazione di dati personali nell’ambito dell’attività di apprendimento automatico “federato” tra i diversi soggetti

PRIVACY DAILY 71/2023

Amazon è stata citata in giudizio per non aver avvisato i suoi clienti di New York City che erano monitorati dalla tecnologia di riconoscimento facciale. La class action ha preso di mira i minimarket Amazon Go, contestando che la tecnologia fosse stata impiegata senza previo avvertimento. Grazie a una legge del 2021, New York è l’unica grande città americana a richiedere alle aziende di affiggere cartelli che indichino se stanno trattando le informazioni biometriche dei clienti, come le scansioni facciali o le impronte digitali. Amazon ha aperto i negozi Go nel 2018, promettendo che i clienti potevano entrare, prendere i prodotti che volevano dagli scaffali e andarsene senza fare il check-out. L’azienda monitora le azioni dei visitatori e addebita i loro conti quando lasciano il negozio. Così la società ha aperto la sua prima sede a New York e, secondo il suo sito web, ad oggi ha 10 negozi, tutti a Manhattan. Per rendere possibile la formula “Just Walk Out”, i negozi Amazon Go raccolgono e utilizzano costantemente informazioni biometriche dei clienti, tra cui la scansione dei palmi delle mani e applicazioni di computer vision per identificarli, algoritmi di deep learning e sensori che misurano la forma e le dimensioni del corpo di ciascun cliente non solo per identificarlo, ma anche per tracciarne gli spostamenti all’interno dei negozi e determinare ciò che ha acquistato. Tuttavia, stando al contenuto dell’atto di citazione, Amazon ha affisso solo di recente dei cartelli che informano i clienti di New York dell’uso della tecnologia di riconoscimento facciale, più di un anno dopo l’entrata in vigore della legge del 2021.

L’Health Industry è sollecitata a proteggere i dati mentre si diffondono i cyberattacchi. L’ondata di attacchi informatici ai sistemi sanitari sottolinea la necessità di rivalutare costantemente i controlli di sicurezza per ridurre al minimo il rischio che gli hacker ottengano i dati dei pazienti attraverso truffe, phishing e altri metodi di data infiltration. Negli Stati Uniti, l’ufficio federale competente si sta facendo carico di un importante lavoro sulla sicurezza informatica e, proprio per questo, aggiungerà “data and cybersecurity” al nome della sua divisione per la privacy delle informazioni sanitarie. L’80% dei grandi data breach è riconducibile ad attacchi informatici. Il numero di violazioni di dati che coinvolgono dati sanitari non protetti di 500 o più individui è salito a più di 600 all’anno nel 2020 e nel 2021, una tendenza che secondo l’OCR sta continuando. Gli aggressori che tentano di diffondere il ransomware spesso si concentrano sul settore sanitario, proprio perché le organizzazioni sanitarie detengono molti dati sensibili sulle persone, sia che si tratti di informazioni demografiche, che di informazioni mediche sensibili e, naturalmente, di informazioni finanziarie. L’aumento degli hackeraggi riflette in parte la maggiore digitalizzazione dei dati sanitari, un cambiamento gradito per un settore che all’inizio del XXI secolo ancora si basava su registri cartacei e fax. Con l’aumento della digitalizzazione diventa più facile per i sistemi sanitari parlare tra loro e scambiare informazioni. Ma questo può creare anche maggiori opportunità per gli attori malintenzionati di cercare di infiltrarsi in questi sistemi e nelle comunicazioni.

La polizia lussemburghese sarà dotata di bodycam. Stando alla proposta di legge numero 8065, 1.682 agenti di polizia saranno dotati di queste telecamere e a tale scopo sono stati stanziati sei milioni di euro per i prossimi cinque anni. Sul punto ha preso posizione anche la Commissione consultiva per i diritti umani, la quale si è dichiarata favorevole all’iniziativa. A differenza delle telecamere che sorvegliano lo spazio pubblico, le bodycam riprenderanno anche gli spazi privati, ad esempio quando la polizia viene chiamata in un appartamento. In termini di diritti umani e protezione dei dati, la situazione è più complessa. “Non vogliamo una situazione come quella cinese”, ha spiegato Gilbert Pregno, presidente della Commissione. Le telecamere dovrebbero avere un effetto preventivo e preservare le prove quando gli agenti di polizia vengono aggrediti. In particolare, il governo considera le bodycam come un mezzo per proteggere gli agenti di polizia da attacchi da parte del pubblico. “Il lavoro della polizia non è diventato più facile negli ultimi anni”, ha affermato Gilbert Pregno. È importante poter dimostrare, in caso di controversia, che gli agenti hanno seguito le regole, in quanto le bodycam sono una “protezione per la polizia”. Ovviamente ci sono delle condizioni specifiche di utilizzo: la legge limita l’uso delle bodycam al di fuori dello spazio pubblico. Pertanto, un agente di polizia dovrebbe registrare immagini con la sua bodycam solo se qualcuno chiede aiuto o in situazioni di violenza domestica, nonché in caso di flagranza di reato o quando ci sono indizi che un reato sta per essere commesso.

English version

Amazon was sued for failing to warn its New York City customers that they were being monitored by facial recognition technology. The class action targeted Amazon Go convenience stores, alleging that the technology was deployed without prior warning. Thanks to a 2021 law, New York City is the only major US city to require businesses to post signs indicating whether they are processing customers’ biometric information, such as facial scans or fingerprints. Amazon opened Go shops in 2018, promising that customers could walk in, grab the products they wanted from the shelves and leave without checking out. The company monitors visitors’ actions and charges their accounts when they leave the shop. So the company opened its first location in New York and, according to its website, has 10 shops to date, all in Manhattan. To make the ‘Just Walk Out’ formula possible, Amazon Go shops constantly collect and use biometric information from customers, including palm scanning and computer vision applications to identify them, deep learning algorithms, and sensors that measure the shape and size of each customer’s body not only to identify them, but also to track their movements within the shops and determine what they have purchased. However, according to the contents of the lawsuit, Amazon has only recently posted signs informing New York customers of the use of facial recognition technology, more than a year after the 2021 law takes effect.

The health industry is urged to protect data as cyber attacks spread. The wave of cyber attacks on healthcare systems underlines the need to constantly reassess security controls to minimise the risk of hackers obtaining patient data through scams, phishing and other data infiltration methods. In the United States, the relevant federal office is taking on major work on cybersecurity, and is adding ‘data and cybersecurity’ to the name of its health information privacy division. Eighty per cent of large data breaches are attributable to cyber attacks. The number of data breaches involving unprotected health data of 500 or more individuals rose to more than 600 per year in 2020 and 2021, a trend that OCR says is continuing. Attackers attempting to spread ransomware often focus on the healthcare sector, precisely because healthcare organisations hold a lot of sensitive data on individuals, be it demographic information, sensitive medical information and, of course, financial information. The increase in hacks partly reflects the increased digitisation of healthcare data, a welcome change for an industry that still relied on paper records and faxes at the beginning of the 21st century. As digitisation increases, it becomes easier for health systems to talk to each other and exchange information. But this can also create more opportunities for malicious actors to try to infiltrate these systems and communications.

The Luxembourg police will be equipped with bodycams. According to bill number 8065, 1,682 police officers will be equipped with these cameras and six million euros have been allocated for this purpose for the next five years. The Advisory Commission on Human Rights has also taken a stand on the issue, which has declared itself in favour of the initiative. Unlike cameras that monitor public space, bodycams will also film private spaces, for example when the police are called to a flat. In terms of human rights and data protection, the situation is more complex. “We do not want a situation like the one in China,” explained Gilbert Pregno, chairman of the Commission. Cameras should have a preventive effect and preserve evidence when police officers are attacked. In particular, the government sees bodycams as a means to protect police officers from attacks by the public. ‘Police work has not become any easier in recent years,’ said Gilbert Pregno. It is important to be able to prove in the event of a dispute that the officers followed the rules, as bodycams are a ‘police protection’. Of course there are specific conditions of use: the law restricts the use of bodycams outside public space. Therefore, a police officer should only record images with his bodycam if someone calls for help or in situations of domestic violence, as well as in cases of flagrante delicto or when there are indications that a crime is about to be committed.

PRIVACY DAILY 60/2023

La Federal Trade Commission (FTC) vieta al servizio di consulenza psicologica online BetterHelp Inc. di condividere i dati sanitari dei suoi utenti, comprese le informazioni sui problemi di salute mentale, a scopo pubblicitario. La proposta di ordinanza prevede anche che l’azienda paghi 7,8 milioni di dollari di risarcimento agli utenti per aver rivelato i loro dati a terzi, come Facebook e Snapchat. BetterHelp offre servizi di consulenza online con questo nome e con versioni specializzate per un pubblico particolare – i.e. Pride Counseling per i membri della comunità LGBTQ, Faithful Counseling per le persone di fede cristiana, Terappeuta per i clienti di lingua spagnola e Teen Counseling per gli adolescenti che si iscrivono con il permesso dei genitori -. I consumatori interessati ai servizi di BetterHelp devono compilare un questionario che chiede dati relativi alla salute mentale, come ad esempio se hanno sofferto di depressione o pensieri suicidi e se stanno assumendo farmaci. Inoltre forniscono il loro nome, l’indirizzo e-mail, la data di nascita e altre informazioni personali. I consumatori vengono poi abbinati a un consulente e pagano tra i 60 e i 90 dollari a settimana per la consulenza. In diversi punti del processo di iscrizione, BetterHelp ha promesso ai consumatori che non avrebbe utilizzato o divulgato i loro dati sanitari personali se non per scopi limitati, come la fornitura di servizi di consulenza. Ma così non è stato nella pratica, stando alle valutazioni della FTC. Così, a BetterHelp sarà vietato di condividere i dati personali dei consumatori con alcune terze parti per il re-targeting. La FTC pubblicherà a breve una descrizione del consent agreement package nel Federal Register. L’accordo sarà soggetto a commenti pubblici per 30 giorni dopo la pubblicazione nel Federal Register, dopodiché la Commissione deciderà se renderlo definitivo. 

Nel Regno Unito, una madre ha dichiarato di essere stata lasciata sola “nel deserto” mentre tentava di ottenere informazioni dalle tech companies sulla morte di sua figlia adolescente. La ragazza si era suicidata circa cinque anni or sono, dopo aver visto materiale autolesionistico online. La famiglia ha cercato più volte di ottenere informazioni e si è trovata “assolutamente in difficoltà”. Perciò, insieme ad altre famiglie, stanno conducendo una campagna per cambiare le cose. In particolare, vogliono un emendamento all’Online Safety Bill, al momento in corso di approvazione in Parlamento, che consenta alle famiglie e ai medici legali di ottenere il supporto delle authorities (una su tutte, dell’Ofcom) per ottenere dalle piattaforme informazioni sul materiale a cui i loro figli accedevano prima della loro morte. Il gruppo ha scritto al Primo Ministro, al Ministro della Giustizia e al Segretario di Stato per la Scienza e la Tecnologia, chiedendo che la legge venga modificata. Nella lettera inviata al Governo – e citata parzialmente dalla BBC – si legge: “Ognuno di noi ha perso un figlio in circostanze legate al mondo digitale, e ognuno di noi ha lottato per ottenere le informazioni necessarie a comprendere meglio la sua morte. Purtroppo, ogni anno, ci sono centinaia di famiglie che si trovano in circostanze altrettanto dolorose. Il processo di accesso ai dati è stato disumano. In alcuni casi, ci sono voluti anni e siamo stati lasciati in loop automatici, parlando con bot online, come se stessimo contattando oggetti smarriti”.

Il cammino verso l’introduzione del Data Protection Bill in India non è certo privo di colpi di scena. L’ultimo è stata la smentita da parte del deputato Lok Sabha della dichiarazione del ministro dell’Elettronica e della Tecnologia dell’Informazione Ashwini Vaishnaw, secondo cui la Commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato un “grande pollice in su” alla proposta legislativa del Governo. Dal 2017, quando la Corte Suprema indiana con la storica sentenza Puttaswamy, ha stabilito all’unanimità che la privacy è un diritto fondamentale dei cittadini indiani, si sono già avvicendate quattro versioni della legge sulla protezione dei dati. L’ultima è il Digital Personal Data Protection (DPDP) Bill, pubblicato dal Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) per la consultazione pubblica il 18 novembre 2022. In una recente dichiarazione, il ministro Ashwini Vaishnaw ha affermato che la commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato parere favorevole al progetto di legge. Ma forse si è trattato di eccessivo ottimismo. Nel corso della seduta dello scorso dicembre, la Commissione aveva, infatti, invitato i rappresentanti del MeitY per ascoltare il loro punto di vista sulla “sicurezza dei dati dei cittadini e la privacy” (in una sorta di discussione preliminare sulla proposta di DPDP), ma i membri della Commissione avevano, però, sollevato diverse questioni. Soprattutto, dal momento che la proposta non è stata inviata formalmente alla commissione, l’approvazione o la disapprovazione del Data Protection Bill in questa fase non risulta all’ordine del giorno. Peraltro, vengono sollevate aspre critiche sotto vari profili giuridici. In particolare, viene affermato che il disegno di legge sul DPDP non riuscirebbe a soddisfare il quadruplice test sulla privacy, (legalità, finalità proporzionalità e garanzie procedurali) stabilito dalla Corte Suprema nella sentenza Puttaswamy.

English version

The Federal Trade Commission (FTC) issued a proposed order prohibiting the online psychological counselling service BetterHelp Inc. from sharing its users’ health data, including information about mental health problems, for advertising purposes. The proposed order also requires the company to pay $7.8 million to compensate users for disclosing their data to third parties, such as Facebook and Snapchat. BetterHelp offers online counselling services under this name and with specialised versions for particular audiences – i.e. Pride Counseling for members of the LGBTQ community, Faithful Counseling for people of the Christian faith, Terappeuta for Spanish-speaking clients, and Teen Counseling for teenagers who sign up with parental permission -. Consumers interested in BetterHelp’s services must fill out a questionnaire that asks for mental health data, such as whether they have suffered from depression or suicidal thoughts and whether they are taking medication. They also provide their name, e-mail address, date of birth and other personal information. Consumers are then matched with a counsellor and pay between $60 and $90 per week for counselling. At several points in the sign-up process, BetterHelp promised consumers that it would not use or disclose their personal health data except for limited purposes, such as providing counselling services. But this has not been the case in practice, according to the FTC’s assessments. Thus, BetterHelp will be prohibited from sharing consumers’ personal data with certain third parties for re-targeting purposes. The FTC will shortly publish a description of the consent agreement package in the Federal Register. The agreement will be subject to public comment for 30 days after publication in the Federal Register, after which the Commission will decide whether to make it final.

In the UK, a mother claimed to have been left ‘in the wilderness’ while trying to get information from tech companies about the death of her teenage daughter. The girl had died by suicide about five years ago after seeing self-harming material online. The family tried several times to obtain information and found themselves ‘absolutely at a loss’. Therefore, together with other families, they are campaigning to change this. In particular, they want an amendment to the Online Safety Bill, currently pending in Parliament, which would allow families and forensic scientists to get support from the authorities (particularly Ofcom) to obtain information from platforms about the material their children accessed before their death. The group has written to the Prime Minister, the Minister of Justice and the Secretary of State for Science and Technology, requesting that the law be amended. The letter sent to the government – and viewed by the BBC – reads: ‘Each of us has lost a child in circumstances related to the digital world, and each of us has struggled to get the information we need to better understand their death. Sadly, every year, there are hundreds of families who find themselves in similarly painful circumstances. The process of accessing data has been inhuman. In some cases, it took years and we were left in automated loops, talking to online bots, as if we were contacting lost and found’.

The path towards the introduction of the Data Protection Bill in India has certainly not been without its twists and turns. The latest was MP Lok Sabha’s denial of Electronics and Information Technology Minister Ashwini Vaishnaw’s statement that the Parliamentary Standing Committee on Communications and Information Technology had given a ‘big thumbs up’ to the government’s legislative proposal. Since 2017, when the Indian Supreme Court in its landmark Puttaswamy judgment unanimously ruled that privacy is a fundamental right of Indian citizens, there have already been four versions of the Data Protection Act. The latest is the Digital Personal Data Protection (DPDP) Bill, published by the Ministry of Electronics and Information Technology (MeitY) for public consultation on 18 November 2022. In a recent statement, Minister Ashwini Vaishnaw said that the Parliamentary Standing Committee on Communications and Information Technology would give the bill a favourable opinion. But this may have been over-optimism. At its meeting last December, the commission had, in fact, invited representatives of MeitY to hear their views on ‘citizen data security and privacy’ (in a kind of preliminary discussion on the DPDP proposal), but the members of the commission had, however, raised several questions. Above all, since the proposal has not been formally sent to the commission, approval or disapproval of the Data Protection Bill is not on the agenda at this stage. Moreover, sharp criticism is raised in various legal respects. In particular, it is argued that the DPDP Bill would fail to meet the fourfold privacy test (legality, purpose, proportionality and procedural safeguards) established by the Supreme Court in the Puttaswamy judgment.

PRIVACY DAILY 52/2023

È stato pubblicato il nuovo work programme dell’European Data Protection Board (EDPB). Lo annuncia il Comitato stesso in un comunicato. Il nuovo programma di lavoro definisce le priorità del Board e definisce nella pratica gli obiettivi strategici perseguiti. L’EDPB continuerà a dare priorità all’applicazione delle norme, basandosi su iniziative quali il Coordinated Enforcement Framework, i casi di importanza strategica e il Pool di Support Pool of Experts. Inoltre, l’EDPB continuerà a sviluppare orientamenti per sostenere e incoraggiare le Autorità di protezione dei dati a utilizzare l’intera gamma di strumenti di cooperazione a loro disposizione, così come il mutual assistance duty. Inoltre, l’EDPB aggiungerà al suo catalogo esistente quasi 200 documenti sulla protezione dei dati e continuerà il suo lavoro fondamentale di armonizzazione e facilitazione della compliance. Tra l’altro, l’EDPB continuerà a garantire la coerenza delle decisioni delle autorità nazionali di protezione dei dati mediante decisioni vincolanti ai sensi dell’art. 65 del GDPR e a fornire consulenza al legislatore UE su questioni relative alla protezione dei dati, come le decisioni di adeguatezza. Inoltre, l’EDPB fornirà ulteriori orientamenti e svilupperà strumenti di sensibilizzazione sul GDPR per un pubblico più ampio. Inoltre, l’EDPB intende sviluppare nuovi orientamenti, ad esempio sull’interazione tra AI ACT e il GDPR e sull’uso dei social media da parte degli enti pubblici.

In rete circolano illegalmente moltissimi contenuti pedopornografici, basta sapere dove cercare ed ecco che si apre un mondo sotterraneo i cui numeri sono in crescita. Per contrastare il fenomeno entra in gioco Salus, un’app progettata dalla società Protech e finanziata con 2 milioni di euro dall’UE, per bloccare le visualizzazioni online di materiale pedopornografico. Salus funzionerà grazie all’intelligenza artificiale, sviluppata dalla società SafeToNet, che identificherà immagini e video pedopornografici bloccandoli in tempo reale. Come ogni IA, anche quella utilizzata da Salus andrà addestrata per riconoscere e marchiare i contenuti violenti. La Internet Watch Foundation, un’organizzazione che lavora per segnalare e rimuovere materiale su minori, lavorerà quindi con l’intelligenza artificiale per insegnarle a riconoscere i contenuti da bloccare. Tom Farrell di SafeToNet, ha spiegato alla BBC che l’app sarà testata per 11 mesi da almeno 180 utenti in cinque paesi: Germania, Paesi Bassi, Belgio, Repubblica d’Irlanda e Regno Unito. A testarla saranno proprio persone che in passato hanno cercato materiale pedopornografico sul web, comprese alcune che sono state condannate per abuso su minori, sicuramente più capaci anche di scovare delle falle nell’intelligenza artificiale e quindi eseguire test accurati per evitare di lasciare zone franche nel web. I volontari verranno scelti dalle associazioni, come Lucy Faithfull Foundation, che gestiscono una linea di assistenza per pedofili. I reati pedopornografici online sono aumentati in maniera pericolosa, raggiungendo un massimo di 30.925 reati commessi, come possesso e condivisione di immagini e video di minori, tra il 2021 e il 2022, secondo l’NSPCC, l’ente di beneficenza per la tutela dei bambini. È quindi necessario lavorare sulla prevenzione e ridurre la domanda e l’accessibilità.

Nello Stato di Victoria (Australia) imperversa un forte dibattito sul controverso Health Database Bill. Il disegno di legge è stato approvato alla Camera bassa, ma il governo statale potrebbe essere costretto a negoziare con i banchi della Camera alta per farlo passare. L’Australian Medical Association (AMA) di Vittoria, il massimo organismo medico dello Stato, ha cercato di placare le preoccupazioni sulla privacy riguardo al tentativo di centralizzare tutte le cartelle cliniche nei sistemi sanitari pubblici dello Stato, affermando che i benefici superano i rischi “al 99 per cento”. I gruppi per le libertà civili sostengono infatti che la banca dati centralizzata – che non avrebbe alcuna possibilità di opt-out – elimina l’autodeterminazione delle persone sui propri dati sanitari. Il presidente dell’AMA, Roderick McRae, ha dichiarato che il sistema è in linea con quelli già esistenti in altri Stati dell’Australia (Nuovo Galles del Sud e nel Queensland), e che i benefici supererebbero di gran lunga i rischi. “Se una persona è in terapia intensiva, non si ha idea del tipo di farmaci che sta assumendo. È nell’interesse della loro salute che lo si sappia”, ha detto. Il sistema includerebbe informazioni come le condizioni di salute del paziente, le allergie, i farmaci, le immagini mediche e i risultati di laboratorio. Giovedì il deputato liberaldemocratico David Limbrick ha presentato in parlamento una petizione con più di 10.000 firme in cui si chiede che il disegno di legge del governo venga modificato per passare ad un sistema di opt-in. Secondo l’Health Database Bill, solo i medici coinvolti nella cura del paziente possono accedere alle informazioni mediche e solo allo scopo di fornire assistenza, con pene fino a due anni di reclusione per l’accesso non autorizzato. I sostenitori della proposta affermano che la creazione di una clausola di opt-out renderebbe il sistema “inutile” perché i pazienti che trarrebbero i maggiori benefici dalla centralizzazione delle informazioni mediche non potrebbero beneficiare di una maggiore sicurezza”.

English version

The new work programme of the European Data Protection Board (EDPB) has been published. It was announced by the Board itself in a communiqué. The new work programme sets out the Board’s priorities and defines the strategic objectives pursued in practice. The EDPB will continue to prioritise enforcement, building on initiatives such as the Coordinated Enforcement Framework, cases of strategic importance and the Support Pool of Experts. Furthermore, the EDPB will continue to develop guidelines to support and encourage DPAs to use the full range of cooperation tools at their disposal, such as the mutual assistance duty. Furthermore, the EDPB will add almost 200 data protection documents to its existing catalogue and continue its core work of harmonising and facilitating compliance. Among other things, the EDPB will continue to ensure consistency of decisions by national data protection authorities through binding decisions under Article 65 of the GDPR and to advise the EU legislator on data protection issues, such as adequacy decisions. In addition, the EDPB will provide further guidance and develop awareness-raising tools on the GDPR for a wider audience. In addition, the EDPB intends to develop new guidance, for instance on the interaction between the AI ACT and the GDPR and on the use of social media by public bodies.

A great deal of child pornography is circulating illegally on the Internet, all you need to know is where to look and an underground world whose numbers are growing. To counter this phenomenon, Salus, an app designed by the company Protech and funded with 2 million euros by the EU, comes into play to block online views of child pornography. Salus will work thanks to artificial intelligence, developed by the company SafeToNet, which will identify child pornography images and videos and block them in real time. Like any AI, the one used by Salus will be trained to recognise and mark violent content. The Internet Watch Foundation, an organisation that works to report and remove material on minors, will then work with the AI to teach it to recognise content to be blocked. Tom Farrell of SafeToNet, explained to the BBC that the app will be tested for 11 months by at least 180 users in five countries: Germany, the Netherlands, Belgium, the Republic of Ireland and the UK. Those who will test it will be people who have searched for child pornography on the web in the past, including some who have been convicted of child abuse. They will certainly also be better able to find flaws in the artificial intelligence and thus carry out accurate tests to avoid leaving free zones on the web. Volunteers will be chosen by associations, such as the Lucy Faithfull Foundation, which run a helpline for paedophiles. Online child pornography offences have increased dangerously, reaching a high of 30,925 offences committed, such as possession and sharing of images and videos of minors, between 2021 and 2022, according to the NSPCC, the child protection charity. It is therefore necessary to work on prevention and reduce demand and accessibility.

In the state of Victoria, Australia, a strong debate rages over the controversial Health Database Bill. The bill passed the lower house, but the state government may have to negotiate with the upper house benches to get it passed. The Australian Medical Association (AMA) in Victoria, the state’s top medical body, has sought to allay privacy concerns about the attempt to centralise all medical records in the state’s public health systems, saying the benefits outweigh the risks ’99 per cent’. Indeed, civil liberties groups argue that the centralised database – which would have no opt-out possibility – eliminates people’s self-determination over their own health data. AMA president Roderick McRae said the system was in line with those already in place in other Australian states (New South Wales and Queensland), and that the benefits would far outweigh the risks. “If a person is in intensive care, you have no idea what kind of medication they are taking. It is in the interest of their health that you know,’ he said. The system would include information such as the patient’s health condition, allergies, medications, medical images and lab results. On Thursday, Liberal Democrat MP David Limbrick presented a petition with more than 10,000 signatures in parliament calling for the government’s bill to be changed to an opt-in system. According to the Health Database Bill, only doctors involved in patient care can access medical information and only for the purpose of providing care, with penalties of up to two years imprisonment for unauthorised access. Supporters of the proposal claim that creating an opt-out clause would make the system ‘unnecessary’ because patients who would benefit most from centralisation of medical information would not be able to benefit from increased security”.

PRIVACY DAILY 44/2023

Secondo Human Rights Watch sono stati fatti passi significativi nell’assicurare la privacy per milioni di bambini che apprendono online. Diversi governi e aziende hanno preso provvedimenti (o almeno li hanno annunciati) per proteggere gli studenti nelle loro classi online. Queste misure arrivano dopo la scoperta di numerose violazioni in tutto il mondo, avvenute per via dell’impiego durante la pandemia di prodotti di apprendimento online non sicuri, che sono destinati a rimanere anche quando la questione pandemica sarà definitivamente superata. Sarebbe, quindi, auspicabile un maggior dinamismo delle istituzioni dei vari Paesi, nonostante qualcosa si stia già muovendo. Il ministero dell’Istruzione francese ha rimosso il tracciamento degli annunci pubblicitari dai siti web costruiti per aiutare i bambini dagli otto agli undici anni a imparare l’inglese e il tedesco. Il ministero dell’Istruzione indonesiano ha rimosso il tracciamento degli annunci dal sito web progettato per fornire servizi di apprendimento ai bambini durante la chiusura delle scuole. I governi degli stati australiani di New South Wales e Victoria, insieme all’Ecuador e alla comunità autonoma spagnola della Catalogna, hanno informato Human Rights Watch di aver avviato indagini sulle loro piattaforme di apprendimento. In India un deputato ha chiesto al governo di proteggere i bambini nell’istruzione online, dopo che diverse denunce avevano evidenziato che una delle app di apprendimento aveva esposto a violazioni i dati di quasi 600mila bambini. Alcune aziende del settore hanno deciso di riprogettare i loro prodotti per evitare abusi in futuro. Altre hanno addirittura ritirato i loro prodotti dal mercato. Questi cambiamenti stanno dimostrando che è possibile fornire istruzione online ai bambini senza costringerli a rinunciare alla loro privacy. Si tratta di sviluppi positivi, ma non si può fare affidamento solo sulla buona volontà dei singoli attori per migliorare. Tanti dispositivi e tante app continuano a sorvegliare i bambini online, dal momento che le società produttrici si giustificano adducendo la mancanza di leggi che li obblighino a fare altrimenti.

Secondo indiscrezioni, l’European Data Protection Board (EDPB) emetterà una decisione vincolante sui trasferimenti di dati verso gli Stati Uniti entro il 14 aprile. Il nuovo accordo transatlantico sui dati è in fase di definizione e dovrebbe arrivare entro l’estate, ma c’è chi teme che, nelle more della sua adozione, l’EDPB potrebbe decidere di interrompere i flussi di dati. Al riguardo, Meta ha già dichiarato che potrebbero esserci problemi per i suoi servizi in Europa qualora la base giuridica per il trasferimento dei dati venisse dichiarata definitivamente illecita. Ciò vorrebbe dire che Facebook e Instagram potrebbero dover interrompere l’invio dei dati degli utenti europei agli Stati Uniti nei prossimi mesi per problemi legati alla privacy. La questione è ancora aperta. Il caso su cui è stato chiamato ad esprimersi l’EDPB nasce (ancora una volta) da un reclamo presentato dall’attivista austriaco Max Schrems. Nel luglio 2022 la Data Protection Commission irlandese aveva già proposto – per la prima volta – di vietare a Meta l’utilizzo delle “clausole contrattuali standard” come base giuridica per inviare i dati degli utenti negli Stati Uniti. La decisione è stata presa a valle della notissima sentenza della Corte di Giustizia dell’UE che aveva annullato il Privacy Shield. Alla fine di gennaio, l’Autorità garante irlandese ha attivato il meccanismo di risoluzione delle controversie – noto come articolo 65 – dopo non essere riuscita a risolvere le obiezioni sollevate da altre autorità europee di protezione dei dati in merito alla sua decisione. Secondo quanto riportato da alcune testate giornalistiche, un portavoce dell’EDPB ha dichiarato che la procedura ufficiale per la preparazione di una decisione vincolante ha preso formalmente il via oggi e avrà la sua deadline tra due mesi.

Una recente ricerca ha svelato preoccupanti dettagli sul traffico di dati relativi alla salute mentale. Secondo questo studio, condotto dalla Sanford School of Public Policy della Duke University, i dati relativi alla salute mentale sono venduti da broker di dati poco conosciuti, a volte per poche centinaia di dollari e con pochi sforzi per nascondere informazioni personali come nomi e indirizzi. Infatti, queste aziende (i cui nomi non sono rivelati nella ricerca) venderebbero informazioni in grado di identificare i soggetti in base ai loro problemi, tra cui depressione, ansia e disturbo bipolare, peraltro classificandole sulla base di dati come l’età, l’appartenenza etnica, il credit score e la posizione geografica. “Sembra che il settore non disponga di buone pratiche per la gestione dei dati sulla salute mentale degli individui, in particolare per quanto riguarda la privacy e il controllo degli acquirenti”, si legge nello studio. I prezzi delle cartelle cliniche variano molto, ma alcune aziende le offrono a basso costo: fino a 275 dollari per informazioni su 5mila persone. Questo fenomeno, già di per sé in crescita, è diventato ancora più significativo con l’avvento della pandemia da Covid-19. I broker di dati, che si occupano dell’acquisto, del riconfezionamento e della vendita di informazioni identificative, sono diventati un’industria fiorente, benché ancora oscura. Le aziende del settore sono raramente nomi noti e spesso dicono poco pubblicamente sulle loro pratiche commerciali. Justin Sherman, senior fellow presso la Sanford School of Public Policy della Duke – che gestisce il progetto di intermediazione dei dati e ha supervisionato la ricerca – ha affermato che le entità che memorizzano dati sanitari, tra cui la maggior parte delle app telefoniche, non sono regolamentate, lasciando ai broker di dati una serie di opzioni per acquistare legalmente tali dati. Al riguardo, forti preoccupazioni sono state espresse anche dal World Privacy Forum, che ha evidenziato come, nel caos normativo relativo a dati e informazioni sanitarie negli Stati Uniti, il settore dell’intermediazione dei dati sia fuori controllo.

English version

According to Human Rights Watch, significant steps have been taken to ensure privacy for millions of children learning online. Several governments and companies have taken steps (or at least announced them) to protect students in their online classrooms. These measures come in the wake of the discovery of numerous breaches worldwide due to the use of unsafe online learning products during the pandemic, which are bound to remain even when the pandemic issue is finally over. Greater dynamism on the part of institutions in the various countries would therefore be desirable, although something is already moving. The French Ministry of Education has removed ad tracking from websites built to help children aged eight to eleven learn English and German. The Indonesian Ministry of Education removed ad tracking from websites designed to provide learning services to children during school closures. The governments of the Australian states of New South Wales and Victoria, along with Ecuador and the Spanish autonomous community of Catalonia, informed Human Rights Watch that they had launched investigations into their learning platforms. In India, an MP called on the government to protect children in online education, after several complaints showed that one of the learning apps had exposed the data of nearly 600,000 children to breaches. Some companies in the industry have decided to redesign their products to avoid abuse in the future. Others have even withdrawn their products from the market. These changes are proving that it is possible to provide online education to children without forcing them to give up their privacy. These are positive developments, but one cannot rely only on the goodwill of individual actors to improve. So many devices and apps continue to monitor children online, as the manufacturers justify themselves by citing the lack of laws forcing them to do otherwise.

According to rumours, the European Data Protection Board (EDPB) will issue a binding decision on data transfers to the US by 14 April. The new transatlantic data agreement is being finalised and is expected to arrive by the summer, but there are those who fear that, pending its adoption, the EDPB might decide to stop data flows. In this regard, Meta has already stated that there could be problems for its services in Europe if the legal basis for data transfer is definitively declared unlawful. This would mean that Facebook and Instagram might have to stop sending European users’ data to the US in the coming months due to privacy concerns. The issue is still open. The case on which the EDPB has been called upon to rule stems (once again) from a complaint filed by Austrian activist Max Schrems. In July 2022, the Irish Data Protection Commission had already proposed – for the first time – to ban Meta from using ‘standard contractual clauses’ as a legal basis for sending user data to the United States. The decision came in the wake of the highly notorious EU Court of Justice ruling that had annulled the Privacy Shield. In late January, the Irish Data Protection Authority activated the dispute resolution mechanism – known as Article 65 – after failing to resolve objections raised by other European data protection authorities to its decision. According to media reports, an EDPB spokesperson said the official procedure for preparing a binding decision formally started today and will have its deadline in two months.

Recent research has revealed worrying details about the trafficking of mental health data. According to this study, conducted by Duke University’s Sanford School of Public Policy, mental health data are sold by little-known data brokers, sometimes for a few hundred dollars and with little effort to hide personal information such as names and addresses. In fact, these companies (whose names are not disclosed in the research) would sell information that identifies individuals based on their problems, including depression, anxiety, and bipolar disorder, while classifying them based on data such as age, ethnicity, credit score, and geographic location. “It appears that the industry lacks good practices for managing individuals’ mental health data, particularly with regard to privacy and buyer control”, the study states. Prices of medical records vary widely, but some companies offer them cheaply: up to $275 for information on 5,000 individuals. This phenomenon, already on the rise, has become even more significant with the advent of the Covid-19 pandemic. Data brokers, who are in the business of buying, repackaging and selling identifying information, have become a thriving, albeit still obscure, industry. Companies in the industry are rarely household names and often say little publicly about their business practices. Justin Sherman, senior fellow at Duke’s Sanford School of Public Policy – which runs the data brokering project and oversaw the research – said that entities that store health data, including most phone apps, are unregulated, leaving data brokers with a range of options to legally purchase that data. In this regard, strong concerns were also expressed by the World Privacy Forum, which pointed out that amid the regulatory chaos surrounding health data and information in the US, the data brokerage industry is out of control.

PRIVACY DAILY 38/2023

I ragazzi sono preoccupati dall’impatto dei social media sulla loro privacy e sulla loro salute mentale. Amnesty International ha condotto un sondaggio a livello globale, raccogliendo le risposte di bambini e giovani di età compresa tra i 13 e i 24 anni, provenienti da 45 Paesi diversi, per approfondire i loro atteggiamenti nei confronti dei social media. Al di là delle valutazioni positive per la possibilità di scambiare idee, manifestare la propria creatività o impegnarsi attivamente nel sociale, sono emerse due grandi preoccupazioni: l’impatto che i contenuti dannosi e il design “addictive” delle piattaforme (il 74% degli intervistati dichiara di controllare i propri account sui social media più di quanto vorrebbe) hanno sulla salute mentale dei giovani e la loro sensazione di impotenza di fronte al costante invito delle aziende globali alla condivisione di dati personali e consumo di contenuti. Tre quarti degli intervistati hanno trovato i termini di servizio dei social media difficili da capire, criticando il linguaggio spesso “tecnico” e l’approccio “prendere o lasciare” che i social media applicano, costringendoli a scegliere tra la minaccia percepita di esclusione sociale o l’iscrizione al prezzo della loro privacy. Alla domanda sulla loro visione di un social media ideale, gli intervistati hanno condiviso idee chiare su come i social media debbano cambiare per rispettare i loro diritti, da una maggiore protezione della privacy a modifiche alle raccomandazioni algoritmiche.

Tre recenti violazioni avvenute negli Stati Uniti dimostrano che i rischi per la sicurezza dei dati possono provenire da più fonti per gli operatori sanitari. Dipendenti, strumenti forniti da terze parti e criminali informatici sono tutti fattori di rischio. Nel primo data breach un dipendente del DCH Health System di Tuscaloosa (Alabama) aveva visualizzato le cartelle cliniche elettroniche di un paziente senza un apparente motivo lavorativo. Il DCH Health System ha quindi notificato a oltre 2.500 persone che lo stesso dipendente, immediatamente sospeso, avrebbe potuto accedere e visualizzare informazioni quali nome, indirizzo, data di nascita, numeri di previdenza sociale, data dell’incontro, diagnosi, segni vitali, farmaci, risultati di test e note cliniche/di assistenza. La seconda violazione ha riguardato la UCLA Health (California), che ha notificato a circa 94.000 persone che gli strumenti di analisi utilizzati sul sito web e sull’applicazione mobile potrebbero aver “catturato e trasmesso” informazioni dal modulo di richiesta di appuntamento compilato online ai fornitori di servizi terzi. Infine, l’UCHealth di Aurora (Colorado) ha segnalato una violazione dei dati che ha interessato quasi 49.000 persone, dovuta a un attacco informatico subito da un suo fornitore di servizi che potrebbe aver coinvolto alcuni dati di pazienti, fornitori e dipendenti.

In Canada, quando si effettua un acquisto, è possibile farsi inviare lo scontrino via email. Ma è una pratica sicura? Un’inchiesta svolta dalla CBC News ha rivelato che diversi noti rivenditori hanno condiviso le informazioni dei loro clienti con Meta. Ciò si aggiunge al recente rapporto presentato dal Federal Privacy Commissioner Philippe Dufresne sulla società Home Depot, in cui è stato rilevato che l’azienda trasmetteva sistematicamente i dettagli degli scontrini elettronici a Meta senza chiedere il consenso dei propri clienti. Il rapporto dell’Autorità garante era nato dal reclamo presentato da un uomo che, mentre cancellava il suo account Facebook, aveva scoperto che la piattafroma aveva un elenco di acquisti effettuati da lui in negozio presso Home Depot. L’indagine si è poi estesa a macchia d’olio. Un gruppo di giornalisti della CBC ha scaricato i propri dati personali da Facebook – informazioni catalogate come “attività off-Facebok” – e ha trovato elencati gli acquisti al dettaglio effettuati presso diverse catene. Ciò va, ovviamente, contro la legge canadese, la quale richiede che le aziende “devono generalmente ottenere il consenso di un individuo quando raccolgono, utilizzano o divulgano le sue informazioni personali”. Ma i rischi per i trasgressori non sono poi così tanti, dal momento che il Federal Privacy Commissioner non ha l’autorità di imporre sanzioni pecuniarie, ma solo di formulare raccomandazioni. Cionondimeno, il rapporto di Dufresne ha sollevato la preoccupazione che in alcuni negozi i dettagli degli acquisti possano rivelarsi “altamente sensibili… quando rivelano, ad esempio, informazioni sulla salute o sulla sessualità di un individuo”. Così la catena di grandi magazzini Hudson’s Bay ha dichiarato di aver “sospeso tutti i trasferimenti di dati a Meta”, alla luce delle conclusioni dell’Autorità garante su Home Depot.

English version

Kids are concerned about the impact of social media on their privacy and mental health. Amnesty International conducted a global survey, collecting responses from 550 children and young people between the ages of 13 and 24, from 45 different countries, to explore their attitudes towards social media. Beyond the praise for the opportunity to exchange ideas, manifest their creativity or actively engage in social engagement, two major concerns emerged: the impact that harmful content and the ‘addictive’ design of platforms (74% of respondents said they check their social media accounts more than they would like to) have on young people’s mental health, and their feeling of powerlessness in the face of global companies’ constant invitation to share personal data and consume content. Three quarters of respondents found social media terms of service difficult to understand, criticising the often ‘technical’ language and the ‘take it or leave it’ approach that social media enforces, forcing them to choose between the perceived threat of social exclusion or signing up at the price of their privacy. When asked about their vision of an ideal social media, respondents shared clear ideas on how social media should change to respect their rights, from increased privacy protection to changes in algorithmic recommendations.

Three recent breaches in the United States show that data security risks can come from multiple sources for healthcare providers. Employees, third-party tools and cybercriminals are all risk factors. In the first data breach, an employee of the DCH Health System in Tuscaloosa, Alabama, had viewed the electronic medical records of a patient for no apparent business reason. The DCH Health System then notified more than 2,500 people that the same employee, who was immediately suspended, could access and view information such as name, address, date of birth, social security numbers, date of encounter, diagnosis, vital signs, medications, test results, and clinical/care notes. The second breach involved UCLA Health (California), which notified approximately 94,000 people that analytics tools used on the website and mobile app may have ‘captured and transmitted’ information from the completed online appointment request form to third-party service providers. Finally, UCHealth in Aurora (Colorado) reported a data breach affecting nearly 49,000 people due to a cyber attack suffered by one of its service providers that may have involved some patient, provider and employee data.

In Canada, when making a purchase, it is possible to have the receipt sent by email instead of paper. But is this a safe practice? An investigation by CBC News revealed that a number of well-known retailers shared their customers’ information with Meta. This is in addition to the recent report by Federal Privacy Commissioner Philippe Dufresne on the company Home Depot, in which it was found that the company systematically transmitted electronic receipt details to Meta without asking for their customers’ consent. The Supervisory Authority’s report had stemmed from a complaint lodged by a man who, while deleting his Facebook account, had discovered that Meta had a list of purchases he had made in shop at Home Depot. The investigation then spread like wildfire. A group of CBC journalists downloaded his personal data from Facebook – information categorised as ‘off-Facebok activity’ – and found listed retail purchases made at several chains. This is, of course, against Canadian law, which requires that companies ‘must generally obtain an individual’s consent when collecting, using or disclosing his or her personal information’. But the risks for violators are not so great, since the Federal Privacy Commissioner has no authority to impose fines, only to make recommendations. Nonetheless, Dufresne’s report raised concerns that in some shops, shopping details may prove to be ‘highly sensitive… when they reveal, for example, information about an individual’s health or sexuality’. Thus, department store chain Hudson’s Bay stated that it had ‘suspended all data transfers to Meta’ in light of the Supervisory Authority’s findings on Home Depot.

PRIVACY DAILY 34/2023

Giro di vite sulla condivisione dei dati relativi alla salute negli Stati Uniti. La società GoodRx Holdings ha patteggiato una sanzione da 1,5 milioni di dollari con la Federal Trade Commission (FTC). Secondo i termini dell’accordo, a GoodRx sarà vietato condividere i dati sanitari degli utenti con terze parti per utilizzarli a fini pubblicitari. Alla società – una piattaforma che offre sconti sui farmaci raccogliendo informazioni sulla salute degli utenti – era stato, infatti, contestato di non aver informato i clienti della condivisione di informazioni sanitarie personali con Google, Facebook e altri. “Le aziende che si occupano di salute digitale e le applicazioni mobili non dovrebbero approfittare delle informazioni sanitarie estremamente sensibili dei consumatori”, ha dichiarato Samuel Levine, direttore dell’Ufficio per la protezione dei consumatori della FTC. GoodRx sarà ora tenuta a limitare la durata della conservazione delle informazioni personali e sanitarie e a renderne pubblico il programma. L’accordo è il primo nell’ambito della Health Breach Notification Rule della FTC, secondo quanto dichiarato dall’Agenzia.

I tagli al personale di Google non risparmiano neanche i veterani della pubblicità online. Almeno cinque dirigenti della divisione Ad Tech, tra quelli che sono stati fondamentali per la costruzione della massiccia attività di display advertising – operazione ad oggi nel mirino del governo statunitense – hanno, infatti, perso il posto di lavoro a causa dell’ultima riduzione dell’organico. Secondo i commentatori, ciò potrebbe essere il segno che Google si sta allontanando da un’attività che ha subito molte contestazioni, sia sotto il profilo antitrust che sotto quello della privacy. Ma dalla società per ora nessuna conferma. Google, infatti, ha preferito non rispondere sul licenziamento dei dirigenti. Dan Taylor, Vice president di Google per la pubblicità globale, ha dichiarato di non sapere esattamente quante persone dei team pubblicitari dell’azienda abbiano perso il lavoro. Nonostante ciò, lo stesso Taylor ha sostenuto che il settore display rimane una priorità per Google anche in futuro: “siamo incredibilmente impegnati a garantire che il modello di business di Internet basato sugli annunci continui a prosperare”.

Battaglia legale alla Corte Suprema dell’India in attesa dell’introduzione del Digital Data Protection Bill. Whatsapp ha respinto le accuse di condividere informazioni personali e sensibili degli utenti con terzi, affermando che tutti i messaggi sulla sua piattaforma sono criptati, e non possono essere visti nemmeno dalla società stessa. All’inizio dell’udienza, il Socilitor General Tushar Mehta ha sostenuto che il Governo centrale (c.d. Centre) intende introdurre in Parlamento un Digital Data Protection Bill nella seconda metà della sessione di bilancio, il quale affronterà anche alcune delle questioni sulla privacy sollevate nella causa. Proprio per questo, da più parti è stata sostenuta l’idea che la Corte avrebbe dovuto sospendere il giudizio fintanto che non fosse stata elaborata la nuova legislazione in materia. Kapil Sibal, avvocato di WhatsApp, ha affermato che l’azienda si è peraltro già impegnata con il Governo a consentire agli utenti di utilizzare la piattaforma anche se non accettano la sua policy e che questa deroga continuerà fino a quando non verrà elaborata una legge sulla protezione dei dati. Recependo la dichiarazione di Sibal, la Corte ha ordinato a WhatsApp di dare ampia pubblicità all’impegno assunto di non danneggiare gli utenti e di pubblicare due volte un’intera pagina pubblicitaria su un quotidiano nazionale per darne conoscenza.

English version

Crackdown on health data sharing in the US. The company GoodRx Holdings has settled a $1.5 million fine with the Federal Trade Commission (FTC). Under the terms of the settlement, GoodRx will be prohibited from sharing users’ health data with third parties to use for advertising purposes. The company – a platform that offers drug discounts by collecting users’ health information – had, in fact, been accused of failing to inform customers about sharing personal health information with Google, Facebook and others. “Digital health companies and mobile apps should not take advantage of consumers’ extremely sensitive and personally identifiable health information,” said Samuel Levine, director of the FTC’s Bureau of Consumer Protection. GoodRx will now be required to limit the length of time it retains personal and health information and to make its schedule public. The agreement is the first under the FTC’s Health Breach Notification Rule, according to the agency.

Google’s staff cuts do not spare even veterans of online advertising. At least five executives from the Ad Tech division, among those who were instrumental in building the massive display advertising business – an operation that is now in the crosshairs of the US government – have, in fact, lost their jobs as a result of the latest staff reduction. According to commentators, this could be a sign that Google is moving away from an activity that has suffered many challenges, both from an antitrust and a privacy perspective. But no confirmation from the company as yet. Google, in fact, preferred not to answer about the dismissal of executives. Dan Taylor, Google’s Vice President for Global Advertising, said he did not know exactly how many people in the company’s advertising teams had lost their jobs. Nevertheless, Taylor himself claimed that the display business remains a priority for Google in the future: ‘we are incredibly committed to ensuring that the ad-based business model of the Internet continues to thrive’.

Legal battle in India’s Supreme Court pending the introduction of the Digital Data Protection Bill. Whatsapp has rejected allegations of sharing users’ personal and sensitive information with third parties, saying that all messages on its platform are encrypted, and cannot be seen even by the company itself. At the beginning of the hearing, Socilitor General Tushar Mehta claimed that the central government (the so-called Centre) intends to introduce a Digital Data Protection Bill in Parliament in the second half of the budget session, which will also address some of the privacy issues raised by the intermediaries. Precisely because of this, there has been support from many quarters for the idea that the Court should suspend judgement until new legislation on the subject has been drafted. Kapil Sibal, WhatsApp’s lawyer, said that the company had already committed to the government to allow users to use the platform even if they did not accept its policy, and that this exemption would continue until a data protection law was drafted. Acknowledging Sibal’s statement, the court ordered WhatsApp to give wide publicity to its commitment not to harm users and to publish a full-page advertisement twice in a national newspaper to make this known.