PRIVACYDAILY

N. 122/2023

LE TRE NEWS DI OGGI:

  • G7 HIROSHIMA : BISOGNA COLLABORARE PER RAFFORZARE LA COOPERAZIONE SULL’AI, NE VALE ANCHE DELLA PRIVACY
  • MESSICO CONFLITTO TRA GIUDICE E SENATO SULLE NOMINE DEI COMMISSARI
  • VIETNAM IN ARRIVO UNA GRANDE ISPEZIONE DEL MINISTERO DELL’INFORMAZIONE SULLA PROTEZIONE DEI DATI PERSONALI SUI SOCIAL

I leader dei Paesi del G7 hanno deciso sabato di lanciare un gruppo di lavoro per rafforzare la collaborazione nell’affrontare le varie questioni legate alla nuova tecnologia. I Paesi del G7 avvieranno l’iniziativa – denominata Hiroshima AI process – nel corso dell’anno per facilitare le discussioni. Si prevede che al gruppo si uniscano anche gli organismi internazionali competenti, tra cui l’OCSE. Gli strumenti di IA generativa come ChatGPT hanno conquistato il mondo della tecnologia e si ritiene che possano cambiare le carte in tavola, aumentando in modo significativo la produttività globale. Ma è probabile che presentino anche dei rischi, come l’eliminazione di posti di lavoro e la diffusione di fake news. “Riconosciamo la necessità di fare immediatamente il punto sulle opportunità e le sfide dell’IA generativa”, si legge nella dichiarazione congiunta. Il G7 si impegna a redigere standard di IA per una “IA responsabile”, lavorando con più parti interessate in modo trasparente, aperto ed equo, hanno aggiunto. La definizione di regole per la governance dell’IA sta diventando una questione urgente per molti Paesi e regioni, con gli sforzi dell’Unione Europea per introdurre severe misure legali che hanno recentemente attirato l’attenzione. La dichiarazione congiunta dei leader del G7 afferma che le posizioni sulle normative in materia di IA sono probabilmente diverse, ma è necessario un certo grado di standardizzazione. Sottolinea inoltre che “la governance dell’economia digitale dovrebbe continuare a essere aggiornata in linea con i nostri valori democratici condivisi”, sottolineando che ciò vale anche per altre tendenze tecnologiche in crescita, come il metaverso e la scienza dell’informazione quantistica. Oltre ad aver aperto la strada al rafforzamento della cooperazione in materia di IA tra i membri del G7, il Giappone è riuscito a convincere gli altri leader del G7 a promuovere ulteriormente un’iniziativa per la sicurezza dei flussi di dati transfrontalieri, nota come Data Free Flow with Trust (DFFT). Poiché il DFFT è stato proposto dal Giappone nel 2019, fare progressi su questo tema al vertice del G7 era una priorità importante per il Paese. In vista del vertice di Hiroshima di aprile, i ministri del G7 responsabili del digitale e della tecnologia hanno deciso di creare un quadro istituzionale internazionale per avviare progetti DFFT specifici. Il vertice di Hiroshima ha approvato questo piano. Il DFFT intende contrastare le iniziative di alcuni Paesi volte a controllare strettamente i flussi di dati transfrontalieri attraverso l’introduzione di norme rigorose, come l’obbligo per gli operatori commerciali di conservare ed elaborare i dati all’interno del proprio territorio e di chiedere l’autorizzazione alle autorità per inviare determinati tipi di dati all’estero. Negli ultimi anni, un numero sempre maggiore di Paesi, tra cui Cina e Vietnam, ha introdotto tali normative, note come localizzazione dei dati, nel tentativo di rafforzare la sicurezza nazionale e proteggere la privacy dei dati e le industrie nazionali. Secondo un rapporto dell’OCSE pubblicato lo scorso giugno, al 2021 erano state implementate 92 misure relative alla localizzazione dei dati in 39 Paesi, la maggior parte delle quali introdotte negli ultimi cinque anni. Tuttavia, molte aziende hanno affermato che tali misure aumentano gli ostacoli e i costi per le loro operazioni commerciali. Per questo motivo il Giappone, insieme ai suoi colleghi del G7, sta proponendo dei modi per garantire flussi di dati transfrontalieri senza intoppi e in modo affidabile. Il comunicato dei leader del G7 osserva che, sebbene sia importante per i governi affrontare sfide come la privacy e la protezione dei dati, i flussi di dati transfrontalieri sono essenziali per la crescita dell’economia digitale globale.

Il 17° tribunale in materia amministrativa, con sede a Città del Messico, ha ordinato al Consiglio di coordinamento politico (Jucopo) del Senato di preparare la lista dei candidati per ricoprire il ruolo di commissario dell’Istituto nazionale per la trasparenza, l’accesso all’informazione e la protezione dei dati personali (INAI), e che la Commissione permanente del Congresso autorizzi lo svolgimento di un periodo straordinario per la nomina di un nuovo membro dell’organismo per la trasparenza. Qualche ora dopo, il senatore Ricardo Monreal, presidente del Jucopo, ha dichiarato che il Senato presenterà un reclamo contro questa risoluzione giudiziaria. Sebbene sia favorevole a procedere con l’elezione del commissario – essenziale perché l’organo possa riunirsi -, ha sottolineato di non poter parlare a nome di tutti i suoi colleghi, ha ricordato che per convocare un periodo straordinario è necessaria la maggioranza qualificata della Commissione permanente. In mattinata è stato annunciato che il tribunale ha concesso una sospensione provvisoria nell’ambito del processo amparo 1714/2022, in modo che l’INAI, oggi senza tre dei suoi commissari, possa svolgere le sue funzioni. La causa di amparo è stata presentata da un membro del Consiglio consultivo dell’INAI contro gli atti del Jucopo e di altre autorità. Dopo mezzogiorno Monreal ha confermato di aver ricevuto la sentenza del tribunale, che concede al Jucopo un termine di tre giorni lavorativi per preparare la proposta di candidati a commissario. Il provvedimento giudiziario è una misura cautelare fino a quando non si entrerà nel merito della questione e si deciderà se concedere una sospensione definitiva al firmatario dell’amparo o se respingere il ricorso. In un’intervista, Monreal ha dichiarato: “Cosa dovremmo fare in questo caso? Che esauriamo le istanze legali e abbiamo il diritto di presentare un reclamo per sospendere il procedimento, fino a quando il tribunale non risolverà qualcosa in sospeso.”. Ha sottolineato infine che l’udienza in cui si risolverà la sospensione è il 30 maggio. “Presenteremo il ricorso. Il Senato è in pausa, ovviamente”, anche se il consulente legale di quest’aula agisce in modo istituzionale.

Basta digitare le parole chiave “can cuoc cong dan” (carte d’identità) o “ban thong tin” (informazioni in vendita) sulle caselle di ricerca di Telegram e Facebook Messenger per vedere un elevato numero di annunci che mostrano indirizzi per il commercio illegale di informazioni personali degli utenti. Secondo l’Autorità per la sicurezza informatica (AIS), il commercio di informazioni personali rimane una questione molto complicata. Dopo che l’agenzia ha condotto una serie di campagne di scansione e gestione dei siti web che pubblicizzano l’acquisto o la vendita di informazioni personali, ci sono ancora gruppi di soggetti che operano su piattaforme OTT transfrontaliere. L’AIS ha dichiarato che l’acquisto o la vendita di informazioni personali non avviene solo tra individui, ma anche con la partecipazione organizzata di imprese. Alcune imprese e società di servizi raccolgono le informazioni personali dei clienti e permettono a terzi di accedervi. La compravendita di informazioni e dati personali è organizzata in modo metodico e persino con garanzie. Gli esperti hanno citato una serie di ragioni alla base del problema, tra cui la scarsa consapevolezza della protezione delle informazioni personali; la negligenza delle persone che forniscono informazioni in modo arbitrario, soprattutto sui social network; la mancanza di misure di protezione dei dati da parte di agenzie, organizzazioni e imprese che raccolgono informazioni; la condivisione illegale di informazioni a terzi e la fuga di informazioni dai responsabili della gestione dei dati. Inoltre, i sistemi informatici raccolgono, elaborano e conservano informazioni personali senza garantire la sicurezza informatica, con il risultato di essere attaccati. Nel frattempo, il phishing online per raccogliere informazioni personali è aumentato notevolmente negli ultimi tempi. Nel suo recente rapporto all’Assemblea nazionale, il MIC ha dichiarato che il ministero ha pubblicato 10 documenti legali relativi alla protezione delle informazioni personali, chiedendo alle agenzie, alle organizzazioni e alle imprese del Paese di controllare e rispettare i regolamenti per garantire la sicurezza delle informazioni personali. Il MIC ha consigliato al governo di promulgare il decreto 14, pubblicato nel 2022, che modifica e integra alcuni articoli del decreto 15, del 2020, sulle sanzioni amministrative per le violazioni nei settori delle poste, delle telecomunicazioni, delle radiofrequenze, dell’informatica e delle transazioni elettroniche, e del decreto 119, del 2020, sulle sanzioni per le attività di pubblicazione. Il decreto appena pubblicato include norme sulle sanzioni relative alla raccolta e al trattamento dei dati personali.Nel quarto trimestre del 2023, il MIC ha organizzato e inviato personale a 11 delegazioni interministeriali di ispettori per fornire valutazioni sul lavoro di garanzia della sicurezza e della cybersecurity.

English version

  • G7 HIROSHIMA : WE NEED TO COLLABORATE TO STRENGTHEN COOPERATION ON AI, IT’S ALSO AT STAKE WITH PRIVACY
  • MESSICO CONFLICT BETWEEN JUDGE AND SENATE ON COMMISSIONER APPOINTMENTS
  • VIETNAM COMING SOON A MAJOR INSPECTION BY THE MINISTRY OF INFORMATION ON THE PROTECTION OF PERSONAL DATA ON SOCIAL

Leaders of the Group of Seven meeting in Hiroshima decided Saturday to launch a working group to strengthen collaboration in addressing various issues related to the new technology. The G7 countries will launch the initiative — called the Hiroshima AI process — later this year to facilitate discussions. The group is also expected to be joined by relevant international bodies, including the OECD. Generative AI tools such as ChatGPT have taken the tech world by storm and are expected to be game changers, significantly increasing global productivity. But they are also likely to present risks, such as the elimination of jobs and the spread of fake news. “We recognize the need to take stock immediately of the opportunities and challenges of generative AI,” the joint statement reads. The G7 is committed to drafting AI standards for “responsible AI,” working with multiple stakeholders in a transparent, open and fair manner, they added. Rule-making for AI governance is becoming an urgent issue for many countries and regions, with the European Union’s efforts to introduce tough legal measures recently attracting attention. The G7 leaders’ joint statement says that positions on AI regulations are likely to differ, but some degree of standardization is needed. It also emphasizes that “governance of the digital economy should continue to be updated in line with our shared democratic values,” noting that this also applies to other growing technology trends, such as the metaverse and quantum information science. In addition to paving the way for the strengthening of AI cooperation among G7 members, Japan succeeded in convincing other G7 leaders to further promote an initiative to secure cross-border data flows, known as Data Free Flow with Trust (DFFT). Since DFFT was proposed by Japan in 2019, making progress on this issue at the G7 summit was an important priority for the country. Ahead of the Hiroshima Summit in April, the G7 ministers responsible for digital and technology agreed to create an international institutional framework to initiate specific DFFT projects. The Hiroshima summit approved this plan. The DFFT aims to counter initiatives by some countries to tightly control cross-border data flows through the introduction of strict rules, such as requiring traders to store and process data within their own territory and to seek permission from authorities to send certain types of data abroad. In recent years, an increasing number of countries, including China and Vietnam, have introduced such regulations, known as data localization, in an effort to strengthen national security and protect data privacy and domestic industries. According to an OECD report released last June, as of 2021, 92 data localization measures had been implemented in 39 countries, most of them introduced in the past five years. However, many companies said such measures increase obstacles and costs for their business operations. For this reason, Japan, together with its G7 colleagues, is proposing ways to ensure smooth and reliable cross-border data flows. The G7 leaders’ communiqué notes that while it is important for governments to address challenges such as privacy and data protection, cross-border data flows are essential to the growth of the global digital economy.


The 17th Tribunal in Administrative Matters, based in Mexico City, ordered the Senate’s Policy Coordination Council (Jucopo) to prepare the list of candidates to fill the role of commissioner of the National Institute for Transparency, Access to Information and Personal Data Protection (INAI), and that the Congressional Standing Committee authorize the holding of an extraordinary period for the appointment of a new member of the transparency body. A few hours later, Senator Ricardo Monreal, president of Jucopo, stated that the Senate will file a complaint against this judicial resolution. Although he is in favor of proceeding with the election of the commissioner-essential for the body to convene-he stressed that he could not speak for all his colleagues-he recalled that a qualified majority of the Standing Committee is required to convene an extraordinary period. It was announced in the morning that the court granted an interim stay in the amparo 1714/2022 case so that INAI, now without three of its commissioners, can carry out its functions. The amparo suit was filed by a member of INAI’s Advisory Council against the acts of the Jucopo and other authorities. After noon, Monreal confirmed that he had received the court’s ruling granting the Jucopo a three-working-day deadline to prepare a proposal for commissioner candidates. The court order is a precautionary measure until the merits of the matter are entered and a decision is made on whether to grant a permanent stay to the amparo petitioner or dismiss the appeal. In an interview, Monreal said, “What should we do in this case? That we exhaust the legal petitions and have the right to file a complaint to stay the proceedings until the court resolves something pending.” He finally stressed that the hearing where the suspension will be resolved is May 30. “We will file the appeal. The Senate is in recess, of course,” although the legal counsel for this chamber is acting in an institutional manner.


One only has to type the keywords “can cuoc cong dan” (ID cards) or “ban thong tin” (information for sale) on Telegram and Facebook Messenger search boxes to see a high number of ads showing addresses for illegal trading of users’ personal information. According to the Information Security Authority (ISA), trading personal information remains a very complicated issue. After the agency conducted a series of campaigns to scan and manage websites that advertise the purchase or sale of personal information, there are still groups of entities operating on cross-border OTT platforms. AIS stated that the buying or selling of personal information is not only between individuals, but also with the organized participation of businesses. Some enterprises and service companies collect customers’ personal information and allow third parties to access it. The buying and selling of personal information and data is organized methodically and even with guarantees. Experts cited a number of reasons behind the problem, including lack of awareness of the protection of personal information; people’s negligence in providing information arbitrarily, especially on social networks; lack of data protection measures by agencies, organizations and businesses that collect information; illegal sharing of information to third parties; and leakage of information from data managers. In addition, computer systems collect, process and store personal information without ensuring cybersecurity, resulting in attacks. Meanwhile, online phishing to collect personal information has increased significantly in recent times. In its recent report to the National Assembly, MIC said the ministry has issued 10 legal documents related to the protection of personal information, asking agencies, organizations and enterprises in the country to monitor and comply with regulations to ensure the security of personal information. The MIC advised the government to promulgate Decree 14, published in 2022, which amends and supplements some articles of Decree 15, of 2020, on administrative penalties for violations in the postal, telecommunications, radio frequency, information technology and electronic transactions sectors, and Decree 119, of 2020, on penalties for publication activities. The newly published decree includes rules on sanctions related to the collection and processing of personal data.In the fourth quarter of 2023, MIC organized and sent staff to 11 interministerial delegations of inspectors to provide assessments on security and cybersecurity assurance work.

PRIVACY DAILY 96/2023

L’industria sanitaria è in subbuglio negli Stati Uniti. Al centro del ciclone, una serie di provvedimenti federali sulla privacy che sta complicando il modo in cui le aziende commercializzano i loro servizi online. La Federal Trade Commission ha aperto la strada a questa nuova iniziativa, sanzionando le aziende di teleassistenza per aver violato la privacy dei loro clienti e vietando loro di farlo in futuro. La direttrice dell’Ufficio per i diritti civili dell’HHS ha dichiarato che il suo staff ha avviato una propria indagine, definendo la raccolta di dati sanitari online “problematica” e “diffusa”. Ciò sta sconvolgendo le pratiche commerciali di lunga data e sta mettendo in crisi l’industria sanitaria. In alcuni casi, le aziende stanno tagliando i legami con giganti tecnologici come Google e Facebook, mentre cercano di comprendere il panorama normativo e di misurare le ricadute sui loro profitti. Per i consumatori, dicono gli esperti del settore sanitario, il cambiamento offre una maggiore privacy, ma potrebbe anche rendere più difficile trovare assistenza primaria, salute mentale e altri servizi medici online. Lo sfondo di questa nuova preoccupazione è la tendenza crescente degli americani a ricevere informazioni o servizi da app per la salute mentale, servizi di teleassistenza e siti web degli ospedali. Le persone potrebbero non sapere che questi servizi acquisiscono informazioni personali dettagliate che vengono poi utilizzate per il marketing e la pubblicità. Ora che le autorità di regolamentazione fissano nuovi limiti all’uso e alla condivisione di questi dati, alcune aziende hanno dichiarato che i clienti le hanno tempestate di domande su quali dati stanno raccogliendo e con chi li stanno condividendo. Si tratta di un cambiamento sismico per il settore che si sta manifestando nei numeri. 

Dopo vari mesi di sonnolenza, la riforma britannica della legislazione sulla privacy è stata discussa in Parlamento. Il Data Protection and Digital Information Bill, che introdurrà una serie di modifiche alla versione britannica del GDPR ha raggiunto la seconda lettura alla Camera dei Comuni.  Questa fase era originariamente prevista per il settembre dello scorso anno, ma è stata rinviata in seguito alle dimissioni di Boris Johnson da Primo Ministro e al successivo insediamento di Liz Truss. Il disegno di legge è ora tornato sul tavolo legislativo.  La riforma del regime di protezione dei dati prevista da Londra ha attirato una notevole attenzione a Bruxelles, viste le potenziali implicazioni per l’accordo di adeguatezza dei dati UE-Regno Unito raggiunto nel 2019, che facilita i trasferimenti di dati in corso tra le due parti.  La riconfigurazione delle leggi esistenti ha suscitato preoccupazione per la possibilità che i cambiamenti comportino la condivisione dei dati dei cittadini dell’UE con terze parti che potrebbero non soddisfare gli standard di protezione dei dati di Bruxelles, in seguito al loro trasferimento nel Regno Unito. La questione dell’adeguatezza dei dati è stata sollevata durante il dibattito parlamentare, con i deputati che hanno espresso le preoccupazioni delle imprese e dei ricercatori britannici in merito alla possibilità che il disegno di legge la metta a repentaglio. È stata sollevata anche la questione dell’Autorità garante privacy (ICO). Il disegno di legge intende “modernizzare” l’organo di controllo della protezione dei dati, ristrutturandolo in un nuovo organismo, la Commissione per l’informazione, e sostituendo il suo attuale capo – il Commissario per l’informazione – con un consiglio, un presidente e un amministratore delegato.  Questo aspetto del disegno di legge è stato criticato da alcuni che sostengono che ridurrà l’indipendenza dell’autorità. Il disegno di legge introdurrà cambiamenti anche in settori come i requisiti amministrativi interni alle imprese, una mossa che secondo il governo è volta a ridurre gli oneri burocratici. Altre misure si concentrano sull’aumento della flessibilità dei dati utilizzati nella ricerca e sul problema dei pop-up ripetuti dei cookie. 

Il governo vietnamita ha emanato un decreto sulla protezione dei dati personali. Il provvedimento  entrerà in vigore il 1° luglio 2023 e stabilisce le misure gestionali e tecniche che devono essere attuate dalle organizzazioni e dalle persone coinvolte nel trattamento dei dati personali. Il decreto prevede anche le misure che devono essere adottate dagli organi pubblici competenti in conformità con le leggi e i regolamenti correlati, nonché le misure investigative e giudiziarie attuate dagli organi statali. Tali misure devono essere applicate sin dall’inizio e durante tutto il processo di trattamento dei dati personali. Il Dipartimento per la Cybersecurity e la Prevenzione dei Crimini ad Alta Tecnologia del Ministero della Polizia è l’agenzia designata a vegliare sull’attuazione della gestione pubblica sulla protezione dei dati personali. Il Portale nazionale sulla protezione dei dati personali fornisce informazioni sulle politiche del Partito comunista del Vietnam e sulle leggi statali sulla protezione dei dati personali e pubblica informazioni sulla valutazione delle attività di protezione dei dati personali delle agenzie, delle organizzazioni e dei singoli interessati. Inoltre, riceve anche notifiche di violazioni delle norme sulla protezione dei dati personali, emette avvisi sui rischi e sulle azioni di violazione dei dati personali in conformità con la legge e svolge altre attività in conformità con le norme in vigore. Il decreto stabilisce che le agenzie, le organizzazioni e i singoli individui sono responsabili della diffusione delle conoscenze, delle competenze e della sensibilizzazione dell’opinione pubblica in materia di protezione dei dati personali, nonché della garanzia di strutture e condizioni materiali per lo svolgimento dei compiti dell’agenzia specializzata. Il Ministero della Polizia è responsabile dello sviluppo di programmi e piani specifici per lo sviluppo di personale specializzato.

English version

The healthcare industry is in turmoil in the United States. At the centre of the storm is a series of federal privacy measures that is complicating the way companies market their services online. The Federal Trade Commission has paved the way for this new initiative, sanctioning telehealth companies for violating the privacy of their customers and banning them from doing so in the future. The director of the HHS Office for Civil Rights said her staff had launched its own investigation, calling the online collection of health data ‘problematic’ and ‘widespread’. This is disrupting long-standing business practices and undermining the healthcare industry. In some cases, companies are cutting ties with tech giants like Google and Facebook as they try to understand the regulatory landscape and measure the impact on their bottom line. For consumers, health industry experts say, the change offers greater privacy, but could also make it harder to find primary care, mental health and other medical services online. The background to this new concern is the growing trend of Americans receiving information or services from mental health apps, telehealth services and hospital websites. People may not be aware that these services capture detailed personal information that is then used for marketing and advertising. Now that regulators are setting new limits on the use and sharing of this data, some companies have reported that customers have been pestering them with questions about what data they are collecting and with whom they are sharing it. This is a seismic shift for the industry that is manifesting itself in numbers.

After several months of dormancy, the UK reform of privacy legislation has been debated in Parliament. The Data Protection and Digital Information Bill, which will introduce a number of changes to the UK version of the GDPR has reached its second reading in the House of Commons. This was originally scheduled for September last year, but was postponed following the resignation of Boris Johnson as Prime Minister and the subsequent inauguration of Liz Truss. The bill is now back on the legislative table. London’s planned reform of the data protection regime has attracted considerable attention in Brussels, given the potential implications for the EU-UK data adequacy agreement reached in 2019, which facilitates ongoing data transfers between the two parties. The reconfiguration of existing laws has raised concerns that the changes may result in EU citizens’ data being shared with third parties that may not meet Brussels’ data protection standards, following their transfer to the UK. The issue of data adequacy was raised during the parliamentary debate, with MPs voicing the concerns of UK businesses and researchers that the bill would jeopardise it. The issue of the Privacy Authority (ICO) was also raised. The bill seeks to ‘modernise’ the data protection watchdog by restructuring it into a new body, the Information Commission, and replacing its current head – the Information Commissioner – with a board, chairman and chief executive. This aspect of the bill has been criticised by some who argue that it will reduce the authority’s independence. The bill will also introduce changes in areas such as internal administrative requirements for companies, a move the government says is aimed at reducing red tape. Other measures focus on increasing the flexibility of data used in searches and the problem of repeated cookie pop-ups.

The Vietnamese government has issued a decree on the protection of personal data. The decree will come into force on 1 July 2023 and sets out the management and technical measures to be implemented by organisations and individuals involved in the processing of personal data. The decree also provides for measures to be taken by competent public bodies in accordance with related laws and regulations, as well as investigative and judicial measures implemented by state bodies. These measures must be applied from the outset and throughout the entire personal data processing process. The Cybersecurity and High-Tech Crime Prevention Department of the Ministry of Police is the designated agency to oversee the implementation of public management on the protection of personal data. The National Portal on Personal Data Protection provides information on Communist Party policies and state laws on personal data protection and publishes information on the evaluation of personal data protection activities of agencies, organisations and individuals. It also receives notifications of breaches of personal data protection regulations, issues notices on personal data breach risks and actions in accordance with the law, and carries out other activities in accordance with the regulations in force. The decree states that agencies, organisations and individuals are responsible for the dissemination of knowledge, expertise and public awareness of personal data protection, as well as for ensuring material facilities and conditions for the performance of the tasks of the specialised agency. The Ministry of Police is responsible for the development of specific programmes and plans for the development of specialised personnel.