La Federal Trade Commission (FTC) degli Stati Uniti ha avvertito che le app e i dispositivi che raccolgono informazioni sanitarie personali devono informare i consumatori se i loro dati vengono violati o condivisi con terze parti senza il loro permesso.

Con un voto di 3-2 mercoledì, la FTC ha concordato un nuova dichiarazione politica per chiarire una decennale Health Breach Notification Rule del 2009, che richiede alle aziende che gestiscono documenti sanitari di notificare ai consumatori se i loro dati sono accessibili senza permesso, come il risultato di una violazione. Questo è stato ora esteso per applicare alle app e ai dispositivi di salute – in particolare chiamando fuori le app che tengono traccia dei dati di fertilità, fitness e glicemia – che “troppo spesso non riescono a investire in un’adeguata privacy e sicurezza dei dati”, secondo la presidente della FTC Lina Khan.

“Le app digitali sono abitualmente sorprese a giocare in fretta e furia con i dati degli utenti, lasciando le informazioni sanitarie sensibili degli utenti suscettibili di hacking e violazioni”, ha detto Khan in una dichiarazione, indicando uno studio pubblicato quest’anno nel British Medical Journal che ha trovato le app sanitarie soffrono di “gravi problemi” che vanno dalla trasmissione insicura dei dati degli utenti alla condivisione non autorizzata dei dati con gli inserzionisti.

Ci sono state anche una serie di recenti violazioni di alto profilo che coinvolgono le app di salute negli ultimi anni. Babylon Health, un chatbot AI del Regno Unito e una startup di telemedicina, l’anno scorso ha subito una violazione dei dati dopo che un “errore software” ha permesso agli utenti di accedere alle consultazioni video di altri pazienti, mentre l’app di monitoraggio del periodo Flo è stata recentemente trovata a condividere i dati sanitari degli utenti con servizi di analisi e marketing di terze parti.

Secondo la nuova regola, qualsiasi azienda che offre app per la salute o dispositivi di fitness collegati che raccolgono dati sanitari personali deve informare i consumatori se i loro dati sono stati compromessi. Tuttavia, la regola non definisce una “violazione dei dati” solo come un’intrusione di sicurezza informatica; l’accesso non autorizzato ai dati personali, compresa la condivisione di informazioni senza il permesso di un individuo, può anche innescare obblighi di notifica.

“Mentre questa regola impone una certa misura di responsabilità alle aziende tecnologiche che abusano delle nostre informazioni personali, un problema più fondamentale è la mercificazione delle informazioni sanitarie sensibili, dove le aziende possono utilizzare questi dati per alimentare gli annunci comportamentali o le analisi degli utenti”, ha detto Khan.

Se le aziende non rispettano la regola, la FTC ha detto che applicherà “vigorosamente” multe di 43.792 dollari per violazione al giorno.

La FTC ha dato un giro di vite sulle violazioni della privacy nelle ultime settimane. All’inizio di questo mese, l’agenzia ha votato all’unanimità per bandire il produttore di spyware SpyFone e il suo amministratore delegato Scott Zuckerman dall’industria della sorveglianza per aver raccolto dati mobili su migliaia di persone e averli lasciati su internet.

Source link