PRIVACY DAILY 96/2023

L’industria sanitaria è in subbuglio negli Stati Uniti. Al centro del ciclone, una serie di provvedimenti federali sulla privacy che sta complicando il modo in cui le aziende commercializzano i loro servizi online. La Federal Trade Commission ha aperto la strada a questa nuova iniziativa, sanzionando le aziende di teleassistenza per aver violato la privacy dei loro clienti e vietando loro di farlo in futuro. La direttrice dell’Ufficio per i diritti civili dell’HHS ha dichiarato che il suo staff ha avviato una propria indagine, definendo la raccolta di dati sanitari online “problematica” e “diffusa”. Ciò sta sconvolgendo le pratiche commerciali di lunga data e sta mettendo in crisi l’industria sanitaria. In alcuni casi, le aziende stanno tagliando i legami con giganti tecnologici come Google e Facebook, mentre cercano di comprendere il panorama normativo e di misurare le ricadute sui loro profitti. Per i consumatori, dicono gli esperti del settore sanitario, il cambiamento offre una maggiore privacy, ma potrebbe anche rendere più difficile trovare assistenza primaria, salute mentale e altri servizi medici online. Lo sfondo di questa nuova preoccupazione è la tendenza crescente degli americani a ricevere informazioni o servizi da app per la salute mentale, servizi di teleassistenza e siti web degli ospedali. Le persone potrebbero non sapere che questi servizi acquisiscono informazioni personali dettagliate che vengono poi utilizzate per il marketing e la pubblicità. Ora che le autorità di regolamentazione fissano nuovi limiti all’uso e alla condivisione di questi dati, alcune aziende hanno dichiarato che i clienti le hanno tempestate di domande su quali dati stanno raccogliendo e con chi li stanno condividendo. Si tratta di un cambiamento sismico per il settore che si sta manifestando nei numeri. 

Dopo vari mesi di sonnolenza, la riforma britannica della legislazione sulla privacy è stata discussa in Parlamento. Il Data Protection and Digital Information Bill, che introdurrà una serie di modifiche alla versione britannica del GDPR ha raggiunto la seconda lettura alla Camera dei Comuni.  Questa fase era originariamente prevista per il settembre dello scorso anno, ma è stata rinviata in seguito alle dimissioni di Boris Johnson da Primo Ministro e al successivo insediamento di Liz Truss. Il disegno di legge è ora tornato sul tavolo legislativo.  La riforma del regime di protezione dei dati prevista da Londra ha attirato una notevole attenzione a Bruxelles, viste le potenziali implicazioni per l’accordo di adeguatezza dei dati UE-Regno Unito raggiunto nel 2019, che facilita i trasferimenti di dati in corso tra le due parti.  La riconfigurazione delle leggi esistenti ha suscitato preoccupazione per la possibilità che i cambiamenti comportino la condivisione dei dati dei cittadini dell’UE con terze parti che potrebbero non soddisfare gli standard di protezione dei dati di Bruxelles, in seguito al loro trasferimento nel Regno Unito. La questione dell’adeguatezza dei dati è stata sollevata durante il dibattito parlamentare, con i deputati che hanno espresso le preoccupazioni delle imprese e dei ricercatori britannici in merito alla possibilità che il disegno di legge la metta a repentaglio. È stata sollevata anche la questione dell’Autorità garante privacy (ICO). Il disegno di legge intende “modernizzare” l’organo di controllo della protezione dei dati, ristrutturandolo in un nuovo organismo, la Commissione per l’informazione, e sostituendo il suo attuale capo – il Commissario per l’informazione – con un consiglio, un presidente e un amministratore delegato.  Questo aspetto del disegno di legge è stato criticato da alcuni che sostengono che ridurrà l’indipendenza dell’autorità. Il disegno di legge introdurrà cambiamenti anche in settori come i requisiti amministrativi interni alle imprese, una mossa che secondo il governo è volta a ridurre gli oneri burocratici. Altre misure si concentrano sull’aumento della flessibilità dei dati utilizzati nella ricerca e sul problema dei pop-up ripetuti dei cookie. 

Il governo vietnamita ha emanato un decreto sulla protezione dei dati personali. Il provvedimento  entrerà in vigore il 1° luglio 2023 e stabilisce le misure gestionali e tecniche che devono essere attuate dalle organizzazioni e dalle persone coinvolte nel trattamento dei dati personali. Il decreto prevede anche le misure che devono essere adottate dagli organi pubblici competenti in conformità con le leggi e i regolamenti correlati, nonché le misure investigative e giudiziarie attuate dagli organi statali. Tali misure devono essere applicate sin dall’inizio e durante tutto il processo di trattamento dei dati personali. Il Dipartimento per la Cybersecurity e la Prevenzione dei Crimini ad Alta Tecnologia del Ministero della Polizia è l’agenzia designata a vegliare sull’attuazione della gestione pubblica sulla protezione dei dati personali. Il Portale nazionale sulla protezione dei dati personali fornisce informazioni sulle politiche del Partito comunista del Vietnam e sulle leggi statali sulla protezione dei dati personali e pubblica informazioni sulla valutazione delle attività di protezione dei dati personali delle agenzie, delle organizzazioni e dei singoli interessati. Inoltre, riceve anche notifiche di violazioni delle norme sulla protezione dei dati personali, emette avvisi sui rischi e sulle azioni di violazione dei dati personali in conformità con la legge e svolge altre attività in conformità con le norme in vigore. Il decreto stabilisce che le agenzie, le organizzazioni e i singoli individui sono responsabili della diffusione delle conoscenze, delle competenze e della sensibilizzazione dell’opinione pubblica in materia di protezione dei dati personali, nonché della garanzia di strutture e condizioni materiali per lo svolgimento dei compiti dell’agenzia specializzata. Il Ministero della Polizia è responsabile dello sviluppo di programmi e piani specifici per lo sviluppo di personale specializzato.

English version

The healthcare industry is in turmoil in the United States. At the centre of the storm is a series of federal privacy measures that is complicating the way companies market their services online. The Federal Trade Commission has paved the way for this new initiative, sanctioning telehealth companies for violating the privacy of their customers and banning them from doing so in the future. The director of the HHS Office for Civil Rights said her staff had launched its own investigation, calling the online collection of health data ‘problematic’ and ‘widespread’. This is disrupting long-standing business practices and undermining the healthcare industry. In some cases, companies are cutting ties with tech giants like Google and Facebook as they try to understand the regulatory landscape and measure the impact on their bottom line. For consumers, health industry experts say, the change offers greater privacy, but could also make it harder to find primary care, mental health and other medical services online. The background to this new concern is the growing trend of Americans receiving information or services from mental health apps, telehealth services and hospital websites. People may not be aware that these services capture detailed personal information that is then used for marketing and advertising. Now that regulators are setting new limits on the use and sharing of this data, some companies have reported that customers have been pestering them with questions about what data they are collecting and with whom they are sharing it. This is a seismic shift for the industry that is manifesting itself in numbers.

After several months of dormancy, the UK reform of privacy legislation has been debated in Parliament. The Data Protection and Digital Information Bill, which will introduce a number of changes to the UK version of the GDPR has reached its second reading in the House of Commons. This was originally scheduled for September last year, but was postponed following the resignation of Boris Johnson as Prime Minister and the subsequent inauguration of Liz Truss. The bill is now back on the legislative table. London’s planned reform of the data protection regime has attracted considerable attention in Brussels, given the potential implications for the EU-UK data adequacy agreement reached in 2019, which facilitates ongoing data transfers between the two parties. The reconfiguration of existing laws has raised concerns that the changes may result in EU citizens’ data being shared with third parties that may not meet Brussels’ data protection standards, following their transfer to the UK. The issue of data adequacy was raised during the parliamentary debate, with MPs voicing the concerns of UK businesses and researchers that the bill would jeopardise it. The issue of the Privacy Authority (ICO) was also raised. The bill seeks to ‘modernise’ the data protection watchdog by restructuring it into a new body, the Information Commission, and replacing its current head – the Information Commissioner – with a board, chairman and chief executive. This aspect of the bill has been criticised by some who argue that it will reduce the authority’s independence. The bill will also introduce changes in areas such as internal administrative requirements for companies, a move the government says is aimed at reducing red tape. Other measures focus on increasing the flexibility of data used in searches and the problem of repeated cookie pop-ups.

The Vietnamese government has issued a decree on the protection of personal data. The decree will come into force on 1 July 2023 and sets out the management and technical measures to be implemented by organisations and individuals involved in the processing of personal data. The decree also provides for measures to be taken by competent public bodies in accordance with related laws and regulations, as well as investigative and judicial measures implemented by state bodies. These measures must be applied from the outset and throughout the entire personal data processing process. The Cybersecurity and High-Tech Crime Prevention Department of the Ministry of Police is the designated agency to oversee the implementation of public management on the protection of personal data. The National Portal on Personal Data Protection provides information on Communist Party policies and state laws on personal data protection and publishes information on the evaluation of personal data protection activities of agencies, organisations and individuals. It also receives notifications of breaches of personal data protection regulations, issues notices on personal data breach risks and actions in accordance with the law, and carries out other activities in accordance with the regulations in force. The decree states that agencies, organisations and individuals are responsible for the dissemination of knowledge, expertise and public awareness of personal data protection, as well as for ensuring material facilities and conditions for the performance of the tasks of the specialised agency. The Ministry of Police is responsible for the development of specific programmes and plans for the development of specialised personnel.

PRIVACY DAILY 93/2023

Negli Stati Uniti, il panorama legislativo relativo alla privacy dei minori sta diventando sempre più protettivo. La recente tendenza mira a regolamentare l’uso dei social media da parte dei minori e a fornire ai genitori un maggiore controllo sulle attività dei loro figli sui social media. Questa ondata legislativa si sta sviluppando parallelamente alle preoccupazioni per l’impatto dei social media sulla salute mentale degli adolescenti e per le lacune percepite nella protezione dei diritti alla privacy dei minori sui social media. Il 23 marzo, lo Utah è stato il primo Stato ad adottare una normativa sui social media con il Social Media Regulation Act. La legge si applica alle aziende di social media con più di 5 milioni di utenti in tutto il mondo ed entrerà in vigore il 3 maggio, benché diverse norme resteranno sospese fino al 1° marzo 2024. Numerosi Stati hanno proposto o stanno valutando leggi simili in nome della protezione dei minori da potenziali danni online, molte delle quali sarebbero probabilmente destinate ad affrontare sfide legali. Il 10 aprile, l’Arkansas ha approvato la legge sulla sicurezza dei social media, che entrerà in vigore il 1° settembre ed è in attesa della firma del governatore. La normativa impone alle società di social media di ottenere il consenso esplicito di un genitore o di un tutore prima di consentire agli utenti di età inferiore ai 18 anni di aprire un account. Le aziende di social media sono tenute a verificare l’età degli utenti dell’Arkansas incaricando un fornitore terzo di eseguire una “ragionevole verifica dell’età”. Nel gennaio del 2023, in New Jersey è stata una legge che proibisce alle società di social media di utilizzare qualsiasi pratica, design o funzione che possa causare dipendenza dalla loro piattaforma agli utenti di età inferiore ai 18 anni. Il Connecticut e l’Ohio hanno recentemente introdotto proposte di legge che richiedono alle società di social media di ottenere il consenso dei genitori prima di consentire agli utenti di età inferiore ai 16 anni di aprire un account. Nel dicembre 2022, il Texas ha presentato una proposta di legge che vieta ai residenti del Texas di età inferiore ai 18 anni di creare un account sui social media e richiede alle società di social media di verificare l’età degli utenti attraverso una serie di metodi, tra cui un meccanismo di identificazione fotografica, e di fornire ai genitori percorsi per richiedere la rimozione degli account dei loro figli.

La proposta della Commissione Europea per combattere la diffusione di contenuti pedopornografici ha incontrato una forte opposizione in Parlamento a causa delle sue implicazioni sulla privacy. Nella sua forma attuale, la proposta autorizzerebbe le autorità giudiziarie a emettere ordini di individuazione di app di messaggistica o servizi di mailing considerati a rischio significativo di diffusione di questo tipo di contenuti illegali. Il Parlamento europeo ha commissionato un’ulteriore valutazione d’impatto, secondo quanto riportato da Euractiv, per valutare queste preoccupazioni sulla proposta, presentata alla Commissione parlamentare per le libertà civili, la giustizia e gli affari interni. Il risultato più rilevante dello studio è che l’attuale tecnologia non è abbastanza avanzata per rilevare nuovi abusi sessuali senza che ciò comporti un alto tasso di errore. Il tasso di errore sarebbe particolarmente significativo poiché potenzialmente tutti i messaggi di una piattaforma potrebbero essere scansionati. Un’altra preoccupazione legata alla proposta dell’UE è che sarebbe in contrasto con la crittografia end-to-end. Secondo lo studio commissionato dal Parlamento, attualmente non esiste una soluzione tecnologica che consenta la scansione delle comunicazioni private richieste da ordini di rilevamento senza compromettere la crittografia end-to-end. La valutazione d’impatto afferma inoltre che è improbabile che tali soluzioni tecniche vengano sviluppate prima dell’entrata in vigore del nuovo regolamento. Peraltro, la proposta di legge assegna a un nuovo Centro dell’UE il ruolo di eliminare i “falsi positivi”. La valutazione d’impatto sostiene che è improbabile che il previsto Centro dell’UE “migliori sostanzialmente la qualità del rilevamento, considerando che decenni di ricerca e sviluppo non hanno finora portato a livelli di accuratezza elevati per il rilevamento di nuovi abusi”. In altre parole, il nuovo materiale sarebbe più difficile da rilevare e anche quello noto potrebbe essere alterato in modo da sfuggire agli algoritmi di rilevamento. Secondo lo studio, una soluzione con maggiore potenziale a questo punto sarebbe l’analisi del comportamento degli utenti e dei metadati, come i segnali di rete.

Le imprese potrebbero essere multate fino a 10 milioni di dollari taiwanesi (327.912 dollari USA) per non aver adottato misure adeguate per salvaguardare la sicurezza dei dati personali. Lo ha dichiarato il Governo taiwanese. L’emendamento alla legge sulla protezione dei dati personali è stato proposto dopo che sono state segnalate violazioni di dati personali presso China Airlines, Breeze Center e l’operatore di servizi di condivisione di veicoli iRent. “Attualmente, le aziende private devono prima essere invitate ad affrontare le violazioni dei dati e verrebbero multate solo se le violazioni persistono. L’emendamento autorizzerebbe il governo a imporre multe direttamente e ad aumentare la sanzione fino a 10 milioni di dollari taiwanesi”, ha dichiarato il direttore del Dipartimento per la riforma della regolamentazione presso il Consiglio nazionale per lo sviluppo. L’emendamento prevede che le organizzazioni o le imprese private vengano multate con multe da 20.000 a 2 milioni di dollari taiwanesi nel caso in cui la loro negligenza porti a violazioni dei dati e che venga loro ordinato di risolvere le violazioni entro un determinato periodo. Coloro che non riusciranno a risolvere i problemi di sicurezza dei dati entro la scadenza potranno essere sanzionati consecutivamente, con un aumento della multa da 100.000 a 10 milioni di dollari taiwanesi per ogni violazione dei dati. Tuttavia, l’emendamento prevede che la multa iniziale per una grave violazione dei dati sia compresa tra 100.000 e 10 milioni di dollari taiwanesi. Le aziende private verrebbero multate fino a quando le violazioni non saranno risolte. L’emendamento autorizza inoltre il governo a istituire una commissione per la protezione dei dati personali per far rispettare la legge sulla protezione dei dati personali. “Verrà innanzitutto istituito un ufficio preparatorio per la commissione, per stipulare regole temporanee che la aiutino a gestire i casi di violazione dei dati e per redigere una legge organica della commissione per la protezione dei dati personali”, ha dichiarato un esponente del Governo, aggiungendo “Speriamo che il progetto di legge organica venga deliberato durante la prima sessione legislativa del prossimo anno”.

English version

In the United States, the legislative landscape regarding children’s privacy is becoming increasingly protective. The recent trend aims to regulate minors’ use of social media and provide parents with greater control over their children’s social media activities. This legislative wave is developing in parallel with concerns about the impact of social media on adolescents’ mental health and perceived gaps in the protection of minors’ privacy rights on social media. On 23 March, Utah became the first state to adopt social media legislation with the Social Media Regulation Act. The law applies to social media companies with more than 5 million users worldwide and will go into effect on 3 May, although several regulations will remain suspended until 1 March 2024. Several states have proposed or are considering similar laws in the name of protecting minors from potential harm online, many of which would likely face legal challenges. On 10 April, Arkansas passed the Social Media Safety Act, which will take effect on 1 September and is awaiting the governor’s signature. The legislation requires social media companies to obtain explicit consent from a parent or guardian before allowing users under the age of 18 to open an account. Social media companies are required to verify the age of Arkansas users by engaging a third-party vendor to perform a ‘reasonable age verification’. In January 2023, a law was passed in New Jersey prohibiting social media companies from using any practice, design or function that could cause users under the age of 18 to be addicted to their platform. Connecticut and Ohio recently introduced bills requiring social media companies to obtain parental consent before allowing users under the age of 16 to open an account. In December 2022, Texas introduced a bill that would prohibit Texas residents under the age of 18 from creating a social media account and require social media companies to verify the age of users through a variety of methods, including a photo identification mechanism, and to provide avenues for parents to request the removal of their children’s accounts.

The European Commission’s proposal to combat the dissemination of child pornography content has met with strong opposition in Parliament due to its privacy implications. In its current form, the proposal would authorise judicial authorities to issue detection orders to messaging apps or mailing services considered to be at significant risk of spreading this type of illegal content. The European Parliament commissioned a further impact assessment, Euractiv reported, to evaluate these concerns on the proposal, which was submitted to the Parliamentary Committee on Civil Liberties, Justice and Home Affairs. The most relevant finding of the study is that current technology is not advanced enough to detect new sexual abuse without a high error rate. The error rate would be particularly significant since potentially all messages on a platform could be scanned. Another concern with the EU proposal is that it would conflict with end-to-end encryption. According to the study commissioned by the Parliament, there is currently no technological solution that would allow the scanning of private communications required by discovery orders without compromising end-to-end encryption. The impact assessment also states that it is unlikely that such technical solutions will be developed before the new regulation comes into force. Moreover, the bill assigns a new EU Centre the role of eliminating ‘false positives’. The impact assessment argues that the planned EU Centre is unlikely to ‘substantially improve the quality of detection, considering that decades of research and development have so far not led to high levels of accuracy for the detection of new abuses’. In other words, new material would be more difficult to detect and even known material could be altered so as to escape detection algorithms. According to the study, a solution with greater potential at this point would be the analysis of user behaviour and metadata, such as network signals.

Companies could be fined up to NT$ 10 million (USD 327,912) for failing to take adequate measures to safeguard personal data security. This was stated by the Taiwanese government. The amendment to the Personal Data Protection Act was proposed after personal data breaches were reported at China Airlines, Breeze Center and vehicle-sharing services operator iRent. “Currently, private companies must first be asked to address data breaches and would only be fined if the breaches persist. The amendment would authorise the government to impose fines directly and increase the penalty up to NT$10 million,” said the director of the Regulatory Reform Department at the National Development Council. Under the amendment, private organisations or companies will be fined between NT$20,000 and NT$2 million if their negligence leads to data breaches and ordered to resolve the breaches within a specified period. Those who fail to resolve data security issues by the deadline may be sanctioned consecutively, with the fine increasing from NT$100,000 to NT$10 million for each data breach. However, the amendment states that the initial fine for a serious data breach would be between NT$100,000 and NT$10 million. Private companies would be fined until the breaches are resolved. The amendment also authorises the government to set up a data protection commission to enforce the Data Protection Act. “A preparatory office for the commission will first be established to make temporary rules to help it handle data breach cases and to draft an organic law of the personal data protection commission,” said a government official, adding, “We hope the organic bill will be deliberated during the first legislative session next year.