Le iniziative delle altre Autorità

Come collaborano gli altri: la prima istruttoria congiunta dei Garanti australiano e neozelandese

Il Garante per la privacy austrialiano (OAIC) e quello neozelandese (OPC) hanno avviato, per la prima volta, un un’istruttoria congiunta.

Nel mirino delle due autorità, la gestione di un data breach da parte del gruppo societario Latitude, che si occupa di servizi finanziari.

La decisione di intraprendere un’istruttoria congiunta fa seguito alle indagini preliminari condotte da entrambi gli uffici. Ciò riflette l’impatto della violazione dei dati sulle persone in entrambi i Paesi.

Si è trattato, infatti, di un data breach di grave entità (il più grande verificatosi in Nuova Zelanda) e ha avuto come oggetto i dati di milioni di australiani e neozelandesi, tra cui patenti di guida, passaporti e dati finanziari sensibili,  incluse informazioni sul reddito e sulle spese personali.

Le due autorità intendono, così, fare chiarezza rispetto alla adozione da parte di Latitude di misure ragionevoli per proteggere le informazioni personali in suo possesso da uso improprio, interferenza, perdita, accesso non autorizzato, modifica o divulgazione.

In particolare, OAIC e OPC vogliono verificare come gli hacker si sono introdotti nei sistemi di Latitude Financial, quanto tempo sono rimasti all’interno prima di essere scoperti, cosa ha fatto il personale di Latitude quando ha scoperto l’attacco, come venivano conservati i dati personali in possesso della società, quali erano le misure la sicurezza e le modalità di archiviazione di tali informazioni all’interno dei suoi sistemi informatici.

Rientra negli obiettivi dei due garanti anche valutare se Latitude abbia adottato misure adeguate a eliminare o de-identificare le informazioni personali non più necessarie.

L’istruttoria congiunta consentirà un uso efficiente delle risorse di entrambe le agenzie e ridurrà anche l’eventuale impatto su Latitude.

Tuttavia, non è escluso che l’OAIC e l’OPC possano raggiungere conclusioni differenti o addirittura prendere decisioni separate e diverse all’esito dell’istruttoria.

Le iniziative delle altre Autorità

I consigli dell’ICO per proteggere i dati personali nelle elezioni locali nel Regno Unito

In occasione delle elezioni amministrative del 4 maggio, l’Autorità garante inglese (ICO) ha realizzato una breve guida (completa di video finale) fornendo alcuni consigli agli elettori per aiutarli a proteggere la loro privacy.

I dati personali rappresentano, infatti, una risorsa strategica in una campagna elettorale. Consentono ai partiti politici di trasmettere messaggi importanti e di comprendere come guadagnarsi le simpatie degli elettori, toccando i temi che stanno loro a cuore.

L’ICO ha, quindi, invitato i partiti politici a fornire:

  • Informazioni chiare sulla privacy: dovrebbero essere chiarite fin dall’inizio, con informazioni facili da capire, le modalità con le quali un partito politico utilizza i dati personali.
  • Informazione sulle tecniche di profilazione utilizzate: l’eventualità che un partito utilizzi tecniche di profilazione deve essere spiegata all’utente e a questo deve essere data la possibilità di opporsi.
  • Informazioni chiare sulla pubblicità sui social media: gli elettori devono essere al corrente del fatto che i loro dati personali possono essere utilizzati per l’invio di pubblicità mirata sui social media.
  • Informazioni trasparenti sulle modalità di utilizzo dei dati raccolti con petizioni o sondaggi: in generale, non è opportuno che un partito o un candidato che ha raccolto i dati allo scopo specifico di presentare una petizione o realizzare un sondaggio, li riutilizzi per una campagna politica.

L’ICO ha ricordato, inoltre, che gli elettori hanno il diritto di pretendere che i partiti politici trattino i dati personali in modo responsabile.

In ogni caso, l’Autorità ha messo a disposizione dei votanti un’apposita guida che può essere utile consultare per sapere come chiedere ulteriori informazioni e, al limite, presentare un reclamo.

C’è da aggiungere che questa è la prima volta che gli elettori inglesi hanno dovuto esibire un documento di identità con fotografia per votare (finora non era necessario e la disposizione si applicherà alle elezioni generali solo da ottobre 2023). Al riguardo vi sono state anche polemiche sul fatto di dover esibire il documento di identità al personale del seggio elettorale, nonostante la possibilità di chiedere che tale controllo venisse effettuato in privato.

PRIVACY DAILY 96/2023

L’industria sanitaria è in subbuglio negli Stati Uniti. Al centro del ciclone, una serie di provvedimenti federali sulla privacy che sta complicando il modo in cui le aziende commercializzano i loro servizi online. La Federal Trade Commission ha aperto la strada a questa nuova iniziativa, sanzionando le aziende di teleassistenza per aver violato la privacy dei loro clienti e vietando loro di farlo in futuro. La direttrice dell’Ufficio per i diritti civili dell’HHS ha dichiarato che il suo staff ha avviato una propria indagine, definendo la raccolta di dati sanitari online “problematica” e “diffusa”. Ciò sta sconvolgendo le pratiche commerciali di lunga data e sta mettendo in crisi l’industria sanitaria. In alcuni casi, le aziende stanno tagliando i legami con giganti tecnologici come Google e Facebook, mentre cercano di comprendere il panorama normativo e di misurare le ricadute sui loro profitti. Per i consumatori, dicono gli esperti del settore sanitario, il cambiamento offre una maggiore privacy, ma potrebbe anche rendere più difficile trovare assistenza primaria, salute mentale e altri servizi medici online. Lo sfondo di questa nuova preoccupazione è la tendenza crescente degli americani a ricevere informazioni o servizi da app per la salute mentale, servizi di teleassistenza e siti web degli ospedali. Le persone potrebbero non sapere che questi servizi acquisiscono informazioni personali dettagliate che vengono poi utilizzate per il marketing e la pubblicità. Ora che le autorità di regolamentazione fissano nuovi limiti all’uso e alla condivisione di questi dati, alcune aziende hanno dichiarato che i clienti le hanno tempestate di domande su quali dati stanno raccogliendo e con chi li stanno condividendo. Si tratta di un cambiamento sismico per il settore che si sta manifestando nei numeri. 

Dopo vari mesi di sonnolenza, la riforma britannica della legislazione sulla privacy è stata discussa in Parlamento. Il Data Protection and Digital Information Bill, che introdurrà una serie di modifiche alla versione britannica del GDPR ha raggiunto la seconda lettura alla Camera dei Comuni.  Questa fase era originariamente prevista per il settembre dello scorso anno, ma è stata rinviata in seguito alle dimissioni di Boris Johnson da Primo Ministro e al successivo insediamento di Liz Truss. Il disegno di legge è ora tornato sul tavolo legislativo.  La riforma del regime di protezione dei dati prevista da Londra ha attirato una notevole attenzione a Bruxelles, viste le potenziali implicazioni per l’accordo di adeguatezza dei dati UE-Regno Unito raggiunto nel 2019, che facilita i trasferimenti di dati in corso tra le due parti.  La riconfigurazione delle leggi esistenti ha suscitato preoccupazione per la possibilità che i cambiamenti comportino la condivisione dei dati dei cittadini dell’UE con terze parti che potrebbero non soddisfare gli standard di protezione dei dati di Bruxelles, in seguito al loro trasferimento nel Regno Unito. La questione dell’adeguatezza dei dati è stata sollevata durante il dibattito parlamentare, con i deputati che hanno espresso le preoccupazioni delle imprese e dei ricercatori britannici in merito alla possibilità che il disegno di legge la metta a repentaglio. È stata sollevata anche la questione dell’Autorità garante privacy (ICO). Il disegno di legge intende “modernizzare” l’organo di controllo della protezione dei dati, ristrutturandolo in un nuovo organismo, la Commissione per l’informazione, e sostituendo il suo attuale capo – il Commissario per l’informazione – con un consiglio, un presidente e un amministratore delegato.  Questo aspetto del disegno di legge è stato criticato da alcuni che sostengono che ridurrà l’indipendenza dell’autorità. Il disegno di legge introdurrà cambiamenti anche in settori come i requisiti amministrativi interni alle imprese, una mossa che secondo il governo è volta a ridurre gli oneri burocratici. Altre misure si concentrano sull’aumento della flessibilità dei dati utilizzati nella ricerca e sul problema dei pop-up ripetuti dei cookie. 

Il governo vietnamita ha emanato un decreto sulla protezione dei dati personali. Il provvedimento  entrerà in vigore il 1° luglio 2023 e stabilisce le misure gestionali e tecniche che devono essere attuate dalle organizzazioni e dalle persone coinvolte nel trattamento dei dati personali. Il decreto prevede anche le misure che devono essere adottate dagli organi pubblici competenti in conformità con le leggi e i regolamenti correlati, nonché le misure investigative e giudiziarie attuate dagli organi statali. Tali misure devono essere applicate sin dall’inizio e durante tutto il processo di trattamento dei dati personali. Il Dipartimento per la Cybersecurity e la Prevenzione dei Crimini ad Alta Tecnologia del Ministero della Polizia è l’agenzia designata a vegliare sull’attuazione della gestione pubblica sulla protezione dei dati personali. Il Portale nazionale sulla protezione dei dati personali fornisce informazioni sulle politiche del Partito comunista del Vietnam e sulle leggi statali sulla protezione dei dati personali e pubblica informazioni sulla valutazione delle attività di protezione dei dati personali delle agenzie, delle organizzazioni e dei singoli interessati. Inoltre, riceve anche notifiche di violazioni delle norme sulla protezione dei dati personali, emette avvisi sui rischi e sulle azioni di violazione dei dati personali in conformità con la legge e svolge altre attività in conformità con le norme in vigore. Il decreto stabilisce che le agenzie, le organizzazioni e i singoli individui sono responsabili della diffusione delle conoscenze, delle competenze e della sensibilizzazione dell’opinione pubblica in materia di protezione dei dati personali, nonché della garanzia di strutture e condizioni materiali per lo svolgimento dei compiti dell’agenzia specializzata. Il Ministero della Polizia è responsabile dello sviluppo di programmi e piani specifici per lo sviluppo di personale specializzato.

English version

The healthcare industry is in turmoil in the United States. At the centre of the storm is a series of federal privacy measures that is complicating the way companies market their services online. The Federal Trade Commission has paved the way for this new initiative, sanctioning telehealth companies for violating the privacy of their customers and banning them from doing so in the future. The director of the HHS Office for Civil Rights said her staff had launched its own investigation, calling the online collection of health data ‘problematic’ and ‘widespread’. This is disrupting long-standing business practices and undermining the healthcare industry. In some cases, companies are cutting ties with tech giants like Google and Facebook as they try to understand the regulatory landscape and measure the impact on their bottom line. For consumers, health industry experts say, the change offers greater privacy, but could also make it harder to find primary care, mental health and other medical services online. The background to this new concern is the growing trend of Americans receiving information or services from mental health apps, telehealth services and hospital websites. People may not be aware that these services capture detailed personal information that is then used for marketing and advertising. Now that regulators are setting new limits on the use and sharing of this data, some companies have reported that customers have been pestering them with questions about what data they are collecting and with whom they are sharing it. This is a seismic shift for the industry that is manifesting itself in numbers.

After several months of dormancy, the UK reform of privacy legislation has been debated in Parliament. The Data Protection and Digital Information Bill, which will introduce a number of changes to the UK version of the GDPR has reached its second reading in the House of Commons. This was originally scheduled for September last year, but was postponed following the resignation of Boris Johnson as Prime Minister and the subsequent inauguration of Liz Truss. The bill is now back on the legislative table. London’s planned reform of the data protection regime has attracted considerable attention in Brussels, given the potential implications for the EU-UK data adequacy agreement reached in 2019, which facilitates ongoing data transfers between the two parties. The reconfiguration of existing laws has raised concerns that the changes may result in EU citizens’ data being shared with third parties that may not meet Brussels’ data protection standards, following their transfer to the UK. The issue of data adequacy was raised during the parliamentary debate, with MPs voicing the concerns of UK businesses and researchers that the bill would jeopardise it. The issue of the Privacy Authority (ICO) was also raised. The bill seeks to ‘modernise’ the data protection watchdog by restructuring it into a new body, the Information Commission, and replacing its current head – the Information Commissioner – with a board, chairman and chief executive. This aspect of the bill has been criticised by some who argue that it will reduce the authority’s independence. The bill will also introduce changes in areas such as internal administrative requirements for companies, a move the government says is aimed at reducing red tape. Other measures focus on increasing the flexibility of data used in searches and the problem of repeated cookie pop-ups.

The Vietnamese government has issued a decree on the protection of personal data. The decree will come into force on 1 July 2023 and sets out the management and technical measures to be implemented by organisations and individuals involved in the processing of personal data. The decree also provides for measures to be taken by competent public bodies in accordance with related laws and regulations, as well as investigative and judicial measures implemented by state bodies. These measures must be applied from the outset and throughout the entire personal data processing process. The Cybersecurity and High-Tech Crime Prevention Department of the Ministry of Police is the designated agency to oversee the implementation of public management on the protection of personal data. The National Portal on Personal Data Protection provides information on Communist Party policies and state laws on personal data protection and publishes information on the evaluation of personal data protection activities of agencies, organisations and individuals. It also receives notifications of breaches of personal data protection regulations, issues notices on personal data breach risks and actions in accordance with the law, and carries out other activities in accordance with the regulations in force. The decree states that agencies, organisations and individuals are responsible for the dissemination of knowledge, expertise and public awareness of personal data protection, as well as for ensuring material facilities and conditions for the performance of the tasks of the specialised agency. The Ministry of Police is responsible for the development of specific programmes and plans for the development of specialised personnel.