PRIVACYDAILY

N. 167/2023

LE TRE NEWS DI OGGI:

  • BELGIO, UNA AI PER SPOGLIARE LE DONNE
  • IRLANDA, COME I SUPERMARKET HANNO TRASFORMATO LE FIDELITY CARD IN UN TESORO DI DATI
  • USA, ILLINOIS INDUSTRIA MEDICA PORTA ALLA CORTE SUPREMA LEGGE SULLA PRIVACY BIOMETRICA

È stato un inizio difficile del nuovo anno scolastico per una ventina di adolescenti di Almendralejo, nel sud della Spagna. Hanno ricevuto foto di loro stesse completamente nude. Di loro stesse? Beh, non proprio. Le foto non sono mai state scattate. Sono state generate da un’intelligenza artificiale sulla base di foto prese dai loro account Instagram. Secondo diversi media spagnoli, riportati da Euronews, le foto sono state generate da ragazzini. Questo è un crimine”, ha dichiarato Miriam Al Adib, madre di una delle ragazze, su Instagram. “È la barbarie di adolescenti che non si rendono conto di ciò che hanno fatto […] Potrebbe finire su Onlyfans o su siti porno. È un reato molto grave”, ha detto, suggerendo alle madri delle altre ragazze vittime di sextortion di unirsi per sporgere denuncia. Il caso è stato sottoposto alla procura minorile e il sindaco della città ha anche lanciato un avvertimento, come riporta Euronews. “Può essere iniziato come uno scherzo, ma le implicazioni sono molto più grandi e potrebbero avere gravi conseguenze per chi ha scattato queste foto”.Le madri delle ragazze si sono riunite per prendere posizione, sporgere denuncia e ricordare alle ragazze che loro non c’entrano nulla. Tre giorni dopo è stato persino pubblicato un fumetto per sensibilizzare i ragazzi sui pericoli di questo tipo di comportamento, con questo commento: “Quello che è successo con le ragazze dell’Almendralejo ci dà speranza, sembra che ci sia un improvviso cambiamento di coscienza”. Prima che @miriam_al_adib denunciasse quello che era successo a sua figlia (e a molte altre ragazze), questi  pensavano di farla franca. La storia si è ripetuta: le vittime erano angosciate, si vergognavano e tacevano. E ora sono tutte insieme, senza paura e con l’atteggiamento “Questo fuoco lo spegniamo insieme!”. Ecco altre storie in cui ci uniamo e perdiamo la paura!”hanno creato direttamente dei video su Instagram per denunciare questi comportamenti.

L’analisi: le carte fedeltà erano un tempo un modo per premiare i clienti abituali, ma i dati che producono sono ora una redditizia fonte di guadagno per i supermercati. Come il resto del mondo, anche l’Irlanda sta assistendo a un’impennata dei prezzi dei prodotti alimentari. Di conseguenza, i clienti dei supermercati sono tentati più che mai da offerte speciali, coupon e pubblicità personalizzate, e per ottenerle devono iscriversi ai programmi fedeltà. Secondo lo European Brand Loyalty Report 2023, il 41% dei consumatori europei è più propenso a partecipare a un programma di fidelizzazione quest’anno rispetto all’anno scorso. Il prezzo della loro fedeltà? Fornire ai rivenditori i loro dati personali e di acquisto.L’idea alla base dei programmi di fidelizzazione può essere fatta risalire al desiderio di premiare i clienti per il loro comportamento e incoraggiarli a tornare in negozio. Oggi, costruendo profili delle abitudini di consumo, le aziende possono inserire questi dati nelle loro attività di ordini, logistica, stoccaggio, gestione della catena di fornitura, personalizzazione di massa e marketing.In media, il 61,3% degli adulti europei è iscritto ad almeno un programma di fidelizzazione. Nel mercato irlandese, il 75,4% dei clienti è iscritto a un programma di fidelizzazione. La mia ricerca mostra che il numero crescente di clienti che si iscrivono ai programmi di fidelizzazione suggerisce che le preoccupazioni relative alla privacy e alla protezione dei dati non sono un disincentivo molto forte, rispetto ai vantaggi percepiti (come pagare di meno) e alla convenienza (per esempio, quando si riceve via e-mail un elenco personalizzato di ciò che interessa).Ma con tutti i dati dei clienti che raccolgono attraverso i loro programmi di fidelizzazione, i rivenditori di generi alimentari hanno una capacità di prim’ordine di comprendere il comportamento dei clienti e di indirizzare i loro clienti con pubblicità personalizzata. Con l’81% dei clienti che afferma che l’adesione a un programma di fidelizzazione influenza la loro probabilità di effettuare un acquisto, i rivenditori in generale possono utilizzare i programmi di fidelizzazione per stimolare il coinvolgimento all’interno del punto vendita, aumentando al contempo l’acquisizione, la fidelizzazione e la conversione dei clienti. Non sorprende quindi che la prossima impresa dei rivenditori di generi alimentari sia rappresentata dai dati dei programmi fedeltà. In poche parole, i vostri dati sono il loro nuovo prodotto redditizio.D’altra parte, i rivenditori di generi alimentari sono attualmente accusati di “greedflation”, ovvero di sfruttare l’inflazione per creare profitti eccessivi. Tuttavia, i profitti operativi nel settore della vendita al dettaglio sono diminuiti. Il gigante dei supermercati Tesco ha rivelato all’inizio del 2023 che il suo utile ante imposte è diminuito a causa dell’aumento dei costi di gestione e dei prezzi applicati dai suoi fornitori.

La Corte Suprema dell’Illinois ha ascoltato le argomentazioni verbali in un paio di cause collettive intentate da due infermiere Lucille Mosby e Yana Mazya, che sostengono che i loro datori di lavoro hanno violato la legge sulla privacy delle informazioni biometriche dello Stato. Questa legge storica del 2008 dà ai residenti dell’Illinois la possibilità di fare causa alle aziende che fanno un uso improprio dei dati biometrici, come le impronte digitali o le scansioni facciali.È la stessa legge che ha costituito la base di diverse cause di alto profilo che hanno portato a sanzioni o accordi massicci, come i 650 milioni di dollari che Facebook ha accettato di pagare ai suoi utenti dell’Illinois dopo il presunto uso improprio dei dati biometrici.Le infermiere sostengono che, richiedendo l’uso di scanner di impronte digitali per aprire gli armadietti dei medicinali, la Northwestern Medicine, la UChicago Medicine e la Becton, Dickinson and Co. l’azienda che produce gli armadietti dei medicinali, hanno violato il Biometric Information Privacy Act.Secondo i documenti depositati in tribunale, i centri ospedalieri non hanno raccolto le liberatorie scritte che consentivano loro di utilizzare i dati delle impronte digitali, né hanno fornito informazioni su come i dati biometrici sarebbero stati conservati o eventualmente distrutti. Ma gli avvocati degli imputati hanno sostenuto che l’uso della biometria per gestire la medicina rientra in un’esenzione dalla legge perché, secondo le parole della legge, è considerato “trattamento, pagamento o operazioni di assistenza sanitaria ai sensi dell’Health Insurance Portability and Accountability Act federale”.L’esatta formulazione della legge e la definizione di “ai sensi” sono state oggetto di esame da parte degli avvocati di entrambe le parti in causa, che hanno discusso sull’intersezione tra il Biometric Information Privacy Act e la legge federale HIPAA.”Se l’imputato ha ragione, significa che l’Assemblea generale ha deciso che il 10% della forza lavoro dell’Illinois non deve avere alcuna protezione della privacy biometrica, semplicemente per il fatto di lavorare nel settore sanitario”, ha dichiarato alla corte l’avvocato delle infermiere, Jim Zouras.

English version

  • BELGIUM, AN AI TO UNDRESS WOMAN
  • IRELAND, HOW SUPERMARKETERS TURNED FIDELITY CARDS INTO A TREASURE OF DATA
  • USA, ILLINOIS MEDICAL INDUSTRY TAKES BIOMETRIC PRIVACY LAW TO SUPREME COURT

It was a difficult start to the new school year for around twenty teenage girls from Almendralejo in southern Spain. They received photos of themselves completely naked. Of themselves? Well, not really. The photos were never taken. They were generated by artificial intelligence on the basis of photos taken from their Instagram accounts.Although they were fully clothed in these photos, the artificial intelligence made it possible to expose these minors. According to several Spanish media outlets reported by Euronews, the photos were generated by young boys. This is a crime”, said Miriam Al Adib, the mother of one of the girls, on Instagram. “It’s the barbarity of teenagers who don’t realise what they’ve done […] This could end up on Onlyfans or porn sites. It’s a really serious offence”, she said, suggesting that the mothers of the other young girls who had been victims of sextortion should join forces to lodge a complaint. The case has been referred to the juvenile prosecutor’s office, and the town’s mayor has even issued a warning, reports Euronews. “It may have started out as a joke, but the implications are much greater and could have serious consequences for those who took these photos.”The mothers of these young girls have come together to take a stand, lodge a complaint and remind the girls that they had nothing to do with it. Three days later, a comic book was even published to raise awareness among young boys of the dangers of this kind of behaviour, with this comment: “What happened with the Almendralejo girls gives us hope, there seems to be a sudden change in consciousness. Before @miriam_al_adib blew the whistle on what had happened to her daughter (and many other girls), these c******* thought they’d get away with it. History repeated itself: the victims were in anguish, ashamed and silent. And now they’re all together, fearless and with the attitude “This fire we put out together!” Here’s to more stories where we unite and lose our fear!”directly created videos on Instagram to denounce these behaviours.

The idea behind loyalty programmes can be traced back to the desire to reward customers for their patronage to encourage them to come back to the store. Nowadays, by building profiles of consumption habits, businesses can feed this data into their ordering, logistics, storage, supply chain management, mass customisation and marketing.On average, 61.3% of European adults are members of at least one loyalty programme. In the Irish market, 75.4% of customers have loyalty memberships. My research shows that the rising number of customers signing up for loyalty schemes suggests that privacy and data protection concerns are not a very powerful disincentive, compared with perceived benefits (like paying less) and convenience (for example, when you’re emailed a customised list of what you are interested in).But with all the customer data they collect through their loyalty schemes, grocery retailers have a top-notch ability to understand customer behaviour and target their customers with personalised advertising. With 81% of customers saying that a loyalty programme membership influences their likelihood of making a purchase, retailers in general can use loyalty programmes to drive in-store engagement, while increasing customer acquisition, retention and conversion. It is no surprise, then, that grocery retailers next venture is loyalty programme data. Simply put, your data is their new lucrative product.On the other hand, grocery retailers are currently accused of “greedflation” or exploiting the inflation to create excessive profits. However, operating profits in the retail sector have fallen. Supermarket giant Tesco revealed in early 2023 that their pre-tax profit fell due to rises in the cost of running its operations and the rise in prices that its suppliers were charging.

The medical industry is going to court over the state’s stringent laws on biometrics privacy as lawmakers are thinking about broader privacy frameworks for children’s online data.The Illinois Supreme Court has heard oral arguments in a pair of class action suits brought by two suburban nurses, Lucille Mosby and Yana Mazya, who allege their employers violated the state’s Biometric Information Privacy Act. The landmark 2008 law gives Illinois residents the ability to sue companies that misuse biometric data, such as fingerprints or facial scans.It’s the same act that formed the basis of several high-profile lawsuits that have led to massive penalties or settlements, such as the $650 million Facebook agreed to pay its Illinois users after it was alleged to have misused biometric data.The nurses allege that, by requiring the use of fingerprint scanners to open medicine cabinets, Northwestern Medicine, UChicago Medicine and Becton, Dickinson and Co. – the company that makes the medicine cabinets – violated the Biometric Information Privacy Act.According to court filings, the hospital systems did not collect written releases allowing them to use the fingerprint data, nor did the hospitals provide information about how the biometrics would be stored or eventually destroyed. They also failed to obtain consent to disclose the fingerprint data to third-party vendors that host it.But lawyers for the defendants argued the use of biometrics to manage medicine falls under an exemption to the law because it counts as, in the words of the law, “health care treatment, payment, or operations under the federal Health Insurance Portability and Accountability Act.”The exact wording of the law, and the definition of “under,” faced scrutiny from lawyers on both sides of the case as they argued about the intersection of the Biometric Information Privacy Act and the federal HIPAA law.“If the defendant is correct, that means the General Assembly decided that as much as 10 percent of the Illinois workforce should have no biometric privacy protection whatsoever, simply by virtue of working in the health care field,” the nurses’ attorney, Jim Zouras, told the court.

PRIVACYDAILY

N. 166/2023

LE TRE NEWS DI OGGI:

  • IL PONTE DATI TRA UK E US APERTO APRIRA’ IL 12 OTTOBRE 
  • L’AUTORE DELLA LEGGE CALIFORNIANA SULLA PRIVACY DEI MINORI MESSA IN SOSPESO DAL TRIBUNALE VEDE FORTI PROSPETTIVE DI APPELLO
  • IL GOVERNO AVVERTE LE ORGANIZZAZIONI DI AUMENTARE LA SICUREZZA INFORMATICA

Tra poco meno di tre settimane, giovedì 12 ottobre, sarà formalmente aperto al traffico il previsto ponte per i dati tra Regno Unito e Stati Uniti, che consentirà alle aziende e alle organizzazioni britanniche di trasferire dati a organizzazioni certificate negli Stati Uniti.I regolamenti di adeguatezza che istituiscono il tanto atteso “ponte” sono stati depositati in Parlamento da Michelle Donelan, ministro per la scienza, l’innovazione e la tecnologia, giovedì 21 settembre, tre giorni dopo che il procuratore generale degli Stati Uniti Merrick Garland ha approvato lo status del Regno Unito come “Stato qualificante” ai sensi dell’Ordine esecutivo 14086. Questa designazione consente a tutti gli individui del Regno Unito i cui dati personali sono stati trasferiti negli Stati Uniti nell’ambito di qualsiasi meccanismo di trasferimento – compresi gli articoli 46 e 49 del GDPR britannico – di accedere al nuovo meccanismo di ricorso nel caso in cui ritengano che le autorità statunitensi abbiano avuto accesso illegalmente ai loro dati.Il Dipartimento per la Scienza, l’Innovazione e la Tecnologia (DSIT) ha dichiarato che il ministro ha stabilito che il ponte, che ufficialmente è l’estensione britannica del quadro sulla privacy dei dati UE-USA, non pregiudica il livello di protezione dei dati per gli interessati del Regno Unito quando i loro dati vengono trasferiti negli Stati Uniti, essenzialmente perché il quadro mantiene uno standard accettabilmente elevato di privacy per i dati dei cittadini britannici.Westminster spera che la creazione di un ponte per i dati, che ora è il suo “termine preferito” per indicare un accordo di adeguatezza dei dati, acceleri i processi per le imprese, riduca i costi e aumenti le opportunità per le organizzazioni britanniche che esportano servizi basati sui dati, che nel 2021 hanno esportato oltre 79 milioni di sterline di servizi basati sui dati nei soli Stati Uniti.

L’autore repubblicano di una legge californiana che prevede la protezione online degli adolescenti ha dichiarato che ci sono ottime prospettive di appello per annullare la decisione di un giudice federale di bloccare l’attuazione della misura.L’ex rappresentante di Stato Jordan Cunningham è stato uno dei legislatori che ha scritto il California Age Appropriate Design Code, una legge che limiterebbe la capacità delle app di raccogliere dati su chiunque abbia 18 anni o meno e richiederebbe loro di implementare i più alti standard di privacy per bambini e adolescenti. Il Gov. Gavin Newsom (D-CA) ha firmato la legge nel settembre 2022 dopo che era stata approvata dalla legislatura con un sostegno unanime, ma la legge è stata bloccata dalla Corte distrettuale per il distretto settentrionale della California su richiesta del gruppo conservatore dell’industria tecnologica NetChoice. Intepellato sull’ingiunzione, Cunningham ha dichiarato al Washington Examiner di provare “profonda delusione”, ma di ritenere la decisione “abbastanza vulnerabile all’appello”. Ha affermato che la decisione “ha oltrepassato il limite e ha applicato il livello di controllo più severo possibile”.”Abbiamo dedicato centinaia di ore di lavoro a questa proposta di legge, per darle forma e farla passare attraverso la legislatura”, ha detto. “Voglio dire, è passata all’assemblea statale per 74 a zero”.Cunningham ha affermato che l’ingiunzione blocca l’AADC in base allo standard legale del Primo Emendamento “strict scrutiny”. Lo standard richiede che il governo dimostri che la legge è il “mezzo meno restrittivo” per promuovere un interesse governativo “impellente” relativo alla parola. Ma l’AADC non influisce sul discorso, ha sostenuto Cunningham.

Il più alto funzionario informatico del governo ha avvertito venerdì le organizzazioni di aumentare le misure di sicurezza per proteggere le informazioni sensibili in loro possesso, aggiungendo che l’errore umano è sempre un fattore di violazione dei dati.I suoi commenti arrivano dopo che mercoledì scorso alcuni hacker hanno colpito il Consiglio dei consumatori, poche settimane dopo il furto di informazioni personali di varie persone dal Cyberport, di proprietà del governo. In entrambi i casi sono stati chiesti dei riscatti, con la prospettiva che i dati rubati venissero diffusi su Internet.Il Chief Information Officer del governo, Tony Wong, ha dichiarato che, sebbene gli attacchi degli hacker siano comuni, le organizzazioni devono adottare misure per proteggere i propri dati.”L’errore umano è una parte molto importante di tutti gli incidenti…. per esempio, ci sono alcune modifiche di sicurezza che [gli individui] dimenticano di fare nel sistema. Oppure ci sono persone che dimenticano di mantenere una password forte o che cliccano accidentalmente su un link dannoso”, ha affermato. “Naturalmente, in quanto azienda responsabile, devono anche avere una protezione dei dati sufficiente”. Wong ha detto che i funzionari hanno aiutato il parco tecnologico e l’ente di vigilanza, condividendo esperienze e offrendo supporto tecnico. Prima dell’ultimo attacco, il Segretario per l’Innovazione, la Tecnologia e l’Industria Sun Dong ha dichiarato che i dipartimenti governativi e le organizzazioni pubbliche sono stati invitati a rivedere le loro misure di sicurezza e ha dato ordine all’ufficio di Wong di agire per evitare che si ripeta quanto accaduto a Cyberport.Nel frattempo, il commissario per la privacy Ada Chung ha esortato le organizzazioni a fare tutto il necessario per evitare il ripetersi di incidenti simili, come ad esempio cancellare i dati personali di volta in volta. “Al fine di rafforzare i sistemi di sicurezza dei dati per prevenire attacchi malevoli ai loro sistemi, le organizzazioni dovrebbero adottare misure di sicurezza in modo tempestivo”, ha così concluso.

English version

  • UK-US DATA BRIDGE TO OPEN TO TRAFFIC ON 12 OCTOBER 
  • AUTHOR OF CALIFORNIA CHILD PRIVACY LAW PAUSED BY COURT SEES STRONG APPEAL PROSPECTS
  • GOVT AGAIN WARNS ORGANISATIONS TO BOOST CYBER SECURITY

The proposed UK-US data bridge will formally open to traffic in just under three weeks, on Thursday 12 October, enabling UK businesses and organisations to transfer data to certified organisations in the US.The adequacy regulations establishing the long-awaited bridge were laid in Parliament by Michelle Donelan, the minister for science, innovation and technology, on Thursday 21 September, three days after US attorney general Merrick Garland signed off on the UK’s status as a “qualifying state” under Executive Order 14086.This designation allows all UK individuals whose personal data has been transferred to the US under any transfer mechanism – including Articles 46 and 49 of the UK GDPR – access to the new redress mechanism should they believe US authorities have unlawfully accessed their data.The Department for Science, Innovation and Technology (DSIT) said the minister had determined that the bridge, which is officially the UK Extension to the EU-US Data Privacy Framework, does not undermine the level of data protection for UK data subjects when their data is transferred to the US, essentially that the framework maintains an acceptably high standard of privacy for data on UK citizens.Westminster hopes that establishing the data bridge, which is now its “preferred term” for a data adequacy agreement, will speed up processes for businesses, reduce costs and increase opportunities for UK organisations exporting data-enabled services – such organisations exported over £79m of data-enabled services to the US alone in 2021.

The Republican author of a California law providing online protections for teenagers said there are strong prospects for an appeal to undo a decision by a federal judge to pause implementation of the measure.Former State Rep. Jordan Cunningham was one of the legislators who wrote the California Age Appropriate Design Code, a law that would restrict apps’ ability to collect data on anyone 18 or younger and require them to implement their highest privacy standards for children and teenagers. It also would require platforms to add technology to verify users’ age before allowing access.Gov. Gavin Newsom (D-CA) signed the law in September 2022 after it passed the legislature with unanimous support, only for the law to be blocked by the District Court for the Northern District of California at the request of the conservative tech industry group NetChoice.When asked about the injunction, Cunningham told the Washington Examiner that he felt “profound disappointment” but believes the decision to be “quite vulnerable to appeal.” He said that the decision “overreached and applied the strictest level of scrutiny possible.”We spent hundreds of hours of work on this bill shaping it, getting it through the legislature,” he said. “I mean, it passed the state assembly for 74 to zero.”Cunningham said that the injunction blocks the AADC under the legal standard of First Amendment-related “strict scrutiny.” The standard requires the government to prove that the law is the “least restrictive means” to advance a “compelling” government interest related to speech. But the AADC doesn’t affect speech, Cunningham argued.

The government’s top IT official on Friday warned organisations to step up security measures to protect sensitive information they hold, adding that human error is always a factor in data breaches.His comments come after hackers struck at the Consumer Council on Wednesday, just weeks after personal information on various people was stolen from government-owned Cyberport. In both cases, ransoms were demanded, amid threats that the data stolen would be leaked on the internet.Government Chief Information Officer Tony Wong said that while hacker attacks are common, organisations must take steps to protect their data.”Human [error] is a very important part of every incident….for example, there are some security patches that [individuals] forget to do in the system. Or there are some individuals who forget to maintain a strong password, or accidentally click a malicious link,” he said. “Of course, as a responsible corporation, they also need to have sufficient data protection.” Wong said officials have been helping the technology park and watchdog, by sharing experiences and offering technical support. Before the latest attack, Innovation, Technology and Industry Secretary Sun Dong said government departments and public organisations had been told to review their security measures and he had directed Wong’s office to take action to avoid a repeat of what happened to Cyberport.Meanwhile, Privacy Commissioner Ada Chung urged organisations to do what it takes to prevent a repeat of similar incidents, such as deleting personal data from time to time. “In order to strengthen the data security systems to prevent malicious attacks on their systems, organisations should adopt security measures in a timely manner,” she said.

PRIVACYDAILY

N. 165/2023

LE TRE NEWS DI OGGI:

  • UK, SIGNAL RIBADISCE CHE LASCERA’ IL REGNO UNITO SE L’ONLINE SAFETY BILL NON CAMBIERA’
  • USA, GRUPPI DI CONSUMATORI ACCUSANO MASTERCARD DI VENDERE I DATI
  • AUSTRALIA, POLIZIA FEDERALE UTILIZZA AI PER ANALIZZARE I DATI

Sul palco del TechCrunch Disrupt 2023, Meredith Whittaker, presidente della Signal Foundation, che gestisce l’app di messaggistica senza scopo di lucro Signal, ha ribadito che Signal lascerà il Regno Unito se la legge sulla sicurezza online recentemente approvata dal Paese costringerà Signal a inserire “backdoor” nella sua crittografia end-to-end.”Lasceremmo il Regno Unito o qualsiasi altra giurisdizione se dovessimo scegliere tra il backdooring della nostra crittografia e il tradimento delle persone che contano su di noi per la privacy, oppure andarcene”, ha dichiarato Whittaker. “E questo non è mai stato vero”.Il disegno di legge sulla sicurezza online, approvato a settembre, include una clausola – la 122 – che, a seconda di come viene interpretata, potrebbe consentire all’ente regolatore delle comunicazioni del Regno Unito, Ofcom, di violare la crittografia di app e servizi con il pretesto di assicurarsi che materiale illegale come lo sfruttamento sessuale dei minori e i contenuti di abuso vengano rimossi.In base alla legge, l’Ofcom potrebbe multare le aziende non in regola fino a 18 milioni di sterline (22,28 milioni di dollari) o al 10% del loro fatturato annuo globale, a seconda di quale sia il valore più alto.La Whittaker non ha usato mezzi termini nell’esternare i suoi timori per le implicazioni della legge sulla sicurezza online: “Non ci occupiamo di trovate politiche, quindi non raccoglieremo i nostri prodotti e non ce ne andremo a casa per mostrare ai cattivi del Regno Unito che si stanno comportando male”, ha detto. “Siamo davvero preoccupati per le persone nel Regno Unito che vivrebbero sotto un regime di sorveglianza come quello che sembra essere preso in giro dal Ministero dell’Interno e da altri nel Regno Unito”.Whittaker ha fatto notare che Signal adotta una serie di misure per garantire che i suoi utenti rimangano anonimi, indipendentemente dalle leggi e dai regolamenti del loro paese. Alla domanda su quali dati Signal ha consegnato nei casi in cui ha ricevuto mandati di perquisizione, Whittaker ha risposto che si è limitato al numero di telefono registrato su un account Signal e all’ultima volta che un utente ha avuto accesso al proprio account.

Mastercard conserva registri dettagliati delle abitudini di spesa dei titolari di carte di credito, che poi vende a società terze, spesso all’insaputa dei clienti.È quanto emerge da un rapporto pubblicato giovedì dal Public Interest Research Group (PIRG) degli Stati Uniti, secondo cui Mastercard ha creato una divisione separata dedicata alla vendita dei dati sulle transazioni dei clienti, che è diventata un enorme fonte di guadagno per l’azienda globale di tecnologia dei pagamenti. In una dichiarazione rilasciata a CBS MoneyWatch, Mastercard ha negato di vendere i dati dei clienti. Il problema è che la maggior parte dei consumatori non è consapevole del grado di tracciamento e vendita dei propri dati o del fatto che la vendita di tali dati personali li espone a furti d’identità e truffe, oltre che a pubblicità “inquietantemente invasive”, avverte il gruppo di difesa dei consumatori.”Mastercard è così poco trasparente nella vendita dei suoi dati che è quasi certo che la maggior parte dei titolari di carta non si renda conto di ciò che la società sta facendo con i loro dati”, ha dichiarato a CBS MoneyWatch R.J. Cross, analista politico di U.S. PIRG. Secondo il rapporto PIRG, i dati venduti da Mastercard sono “aggregati e anonimizzati”, il che significa che le terze parti non dispongono delle informazioni individuali dei clienti. Sebbene ciò attenui alcuni dei rischi per i consumatori derivanti dalla monetizzazione dei dati, non impedisce alle aziende di “raggiungere le persone a livello individuale sulla base dei dati” o di essere bombardate con annunci fastidiosi, secondo l’agenzia per i consumatori. In considerazione di ciò, questa settimana i difensori dei consumatori di nove organizzazioni, tra cui l’American Civil Liberties Union e il Center for Digital Democracy, hanno inviato una lettera all’amministratore delegato di Mastercard Michael Miebach chiedendogli di interrompere la vendita dei dati dei clienti. “Siamo chiari: Mastercard non vende i dati personali dei titolari di carta di credito a fini di marketing, localizzazione o pubblicità mirata”, ha dichiarato giovedì Will Tsang, portavoce della società, a CBS MoneyWatch. “Abbiamo risposto alla signora Cross mesi fa, quando ci ha contattato. Tuttavia, i nostri chiarimenti sui fatti e la nostra offerta di incontrarla sono rimasti senza risposta”.

La polizia federale australiana ha dichiarato di utilizzare l’IA per analizzare i dati ottenuti con mandati di vigilanza mentre l’agenzia promette piena trasparenza sull’uso della tecnologia.In un documento di presentazione al documento di discussione del governo federale sull’uso responsabile dell’IA, l’AFP ha dichiarato che il suo uso della tecnologia è stato finora limitato, compreso l’uso dell’IA per tradurre materiale straniero in inglese.Tuttavia, ha osservato che gli strumenti di IA – compresi i modelli linguistici di grandi dimensioni (LLM) – offrono all’AFP l’opportunità di trovare informazioni utili in grandi insiemi di dati raccolti legalmente.”Accelerando il compito di individuare le informazioni, i membri possono prendere decisioni in anticipo ed eseguire le azioni necessarie di conseguenza”, ha dichiarato l’AFP, che ha indicato che l’AI potrebbe anche aiutare ad analizzare i dati transazionali per identificare modelli irregolari come il riciclaggio di denaro e le potenziali frodi.Nel 2021, l’AFP è stata messa sotto accusa dal commissario per la privacy per l’utilizzo da parte dei dipendenti della controversa tecnologia di riconoscimento facciale Clearview AI, che ha costruito il suo set di dati a partire da foto di persone prese dai social media senza il loro permesso. L’AFP ha smesso di usare la tecnologia, ma ha incontrato segretamente Clearview AI dopo aver dichiarato di aver smesso di usarla.Nella sua presentazione, l’AFP ha affermato che sarà trasparente e “intraprenderà proattivamente la due diligence sulle tecnologie prima della loro distribuzione”, tenendo conto di considerazioni etiche e di una solida governance e supervisione.”La polizia è profondamente legata alla società e deve riflettere i valori, le norme e le aspettative della comunità che serve e richiede in modo critico la supervisione e la responsabilità umana”.Un portavoce dell’AFP ha confermato che le informazioni sensibili ottenute dai mandati di cattura saranno inserite in LLM o reti neurali. Ma l’agenzia ha dichiarato di garantire la protezione dei dati, sia che si tratti di uno strumento interno che di un prodotto commerciale, in modo che non confluiscano in set di dati pubblici.I dati raccolti legalmente e utilizzati potrebbero includere dati raccolti in base a un mandato, tra cui dati di intercettazione delle telecomunicazioni e dati di sorveglianza.Il portavoce ha inoltre dichiarato che tutte le traduzioni linguistiche sono controllate da un operatore umano.

English version

  • UK, SIGNAL REITERATES THAT IT WILL LEAVE THE UNITED KINGDOM IF THE ONLINE SAFETY BILL DOES NOT CHANGE
  • USA, CONSUMER GROUPS ACCUSE MASTERCARD OF SELLING DATA
  • AUSTRALIA, FEDERAL POLICE USE AI TO ANALYSE DATA

Onstage at TechCrunch Disrupt 2023, Meredith Whittaker, the president of the Signal Foundation, which maintains the nonprofit Signal messaging app, reaffirmed that Signal would leave the U.K. if the country’s recently passed Online Safety Bill forced Signal to build “backdoors” into its end-to-end encryption.“We would leave the U.K. or any jurisdiction if it came down to the choice between backdooring our encryption and betraying the people who count on us for privacy, or leaving,” Whittaker said. “And that’s never not true.”The Online Safety Bill, which was passed into law in September, includes a clause — clause 122 — that, depending on how it’s interpreted, could allow the U.K.’s communications regulator, Ofcom, to break the encryption of apps and services under the guise of making sure illegal material such as child sexual exploitation and abuse content is removed.Ofcom could fine companies not in compliance up to £18 million ($22.28 million), or 10% of their global annual revenue, under the bill — whichever is greater.Whittaker didn’t mince words in airing her fears about the Online Safety Bill’s implications.“We’re not about political stunts, so we’re not going to just pick up our toys and go home to, like, show the bad U.K. they’re being mean,” she said. “We’re really worried about people in the U.K. who would live under a surveillance regime like the one that seems to be teased by the Home Office and others in the U.K.”Whittaker noted that Signal takes a number of steps to ensure its users remain anonymous regardless of the laws and regulations in their particular country. Asked onstage what data Signal’s handed over in the instances that it’s received search warrants, Whittaker said that it’s been limited to the phone number registered to a Signal account and the last time a user accessed their account.

Mastercard keeps detailed records of the spending habits of its credit card holders, which it then sells to third-party companies — often without customers’ knowledge.That’s according to a report published Thursday by the U.S. Public Interest Research Group (PIRG), which says that Mastercard has built a separate division dedicated to the selling of customer transaction data which has become a huge revenue stream for the global payments technology company. In a statement to CBS MoneyWatch, Mastercard denied selling customers’ data. The problem is that most consumers are not aware of the degree to which their data is being tracked and sold or that the sale of such personal data exposes them to identity theft and scams, in addition to “creepily invasive” advertising, the consumer advocacy group warns.”Mastercard is so opaque about its data sales it’s almost certain most cardholders don’t realize what the company is doing with their data,” R.J. Cross, policy analyst for U.S. PIRG, told CBS MoneyWatch. The data Mastercard sells is “aggregated and anonymized,” meaning third-parties don’t have customers’ individual information, according to the PIRG report. While that mitigates some of the consumer risks that come with data monetization, it does not prevent companies from “reaching people on an individual level based on data” or being bombarded with annoying ads, according to the consumer agency.With that in mind, consumer advocates from nine organizations, including the American Civil Liberties Union and the Center for Digital Democracy, sent a letter to Mastercard CEO Michael Miebach this week asking him to stop selling customers’ data. “Let us be clear – Mastercard does not sell personal cardholder data for marketing, location tracking or targeted advertising,” Will Tsang, a company spokesman, told CBS MoneyWatch on Thursday. “We had responded to Ms. Cross months ago when she originally contacted us. However, our clarification of the facts and an offer to meet with her went unanswered.”

The Australian federal police has said it uses AI to analyse data obtained under telecommunications and surveillance warrants, as the agency promises full transparency over the use of the technology. In a submission to the federal government’s discussion paper on the responsible use of AI, the AFP said its use of the technology had been limited so far, including using AI to translate foreign materials into English.But it noted that AI tools – including large language models (LLMs) – gave the AFP an opportunity to find useful information in large, lawfully collected datasets.“By speeding the discovery task, members can make decisions earlier and execute the necessary actions accordingly,” the AFP said.The AFP indicated it could also potentially help analyse transactional data to identify irregular patterns like money laundering and potential fraud.In 2021, the AFP came under fire from the privacy commissioner over employees using the controversial Clearview AI facial recognition technology, which built its dataset from photos of people taken from social media without their permission. The AFP has ceased using the technology, but secretly met with Clearview AI after it claimed to have stopped using the technology.The AFP said in its submission that it would be transparent and “proactively undertake due diligence into technologies before deployment”, taking into account ethical considerations and robust governance and oversight.“Policing is deeply connected to society and must reflect the values, norms and expectations of the community it serves and critically requires human oversight and accountability.”A spokesperson for the AFP confirmed that sensitive information obtained from warrants would be fed into LLMs or neural networks. But the agency said it ensures the data is protected, whether it is an in-house tool or when using a commercial product, so it would not feed into public datasets.The lawfully collected data used could include data collected under a warrant, including telecommunications interception data and surveillance data.The spokesperson also said all language translations are checked by a human.

“Via al Privacy Tour! Obiettivo: sconfiggere cultural data divide e persino le mafie”

Nuovo appuntamento con la rubrica Privacy weekly, tutti i venerdì su StartupItalia.

Uno spazio dove potrete trovare tutte le principali notizie della settimana su privacy e dintorni.

PRIVACYDAILY

N. 164/2023

LE TRE NEWS DI OGGI:

  • CANADA, L’AUTORITA’ GARANTE SANZIONA IL SERVIZIO POSTALE PER LA RACCOLTA DATI
  • POLONIA, APERTA ISTRUTTORIA SU OPENAI
  • HONG KONG, LA SICUREZZA DEI DATI IN CIMA ALLE PREOCCUPAZIONI DEI PARTITI IN VISTA DELLE ELEZIONI

ll servizio postale canadese sta violando la legge raccogliendo informazioni dall’esterno di buste e pacchi per contribuire alla creazione di liste di marketing da vendere alle aziende.L’ufficio del commissario per la privacy Philippe Dufresne afferma che le informazioni raccolte per il programma di marketing includono dati su dove vivono le persone e su che tipo di acquisti online fanno, in base a chi invia loro i pacchi.Il caso è iniziato quando un uomo ha ricevuto materiale di marketing da un ristorante di Toronto con il suo nome e l’indirizzo completo dell’appartamento sulla busta.Dopo aver chiesto informazioni, l’uomo ha scoperto di aver ricevuto il materiale attraverso il programma Smartmail Marketing dell’ufficio postale, che aveva organizzato una campagna postale per il ristorante.L’ufficio di Dufresne ha iniziato a indagare dopo aver ricevuto un reclamo dall’uomo.Nell’ambito del programma, Canada Post coinvolge fornitori di servizi postali che preparano e inviano mailing diretti ai clienti. Sebbene non tutte le campagne includano l’indirizzo completo dei destinatari, le informazioni di marketing di Canada Post indicano che le persone sono più propense ad aprire la posta indirizzata rispetto a quella non indirizzata, si legge nel rapporto di Dufresne. L’ufficio ha inoltre affermato che le ricerche indicano che i consumatori apprezzano il fatto di ricevere per posta offerte di marketing pertinenti.Ai fornitori di servizi postali è vietato divulgare le liste di posta agli inserzionisti e devono salvaguardare le informazioni e smaltire le liste una volta terminata la campagna.Canada Post afferma di poter preparare liste di marketing basate su 1.200 attributi di targeting disponibili, come lo stato civile e familiare, l’etnia, gli interessi e gli hobby.

Un ente di controllo polacco sta indagando su OpenAI, società di Microsoft, per una denuncia secondo cui il suo chatbot ChatGPT viola le leggi dell’Unione Europea sulla protezione dei dati, note come GDPR.OpenAI ha già affrontato almeno la seconda class action presso la corte federale di San Francisco per presunta violazione delle leggi sulla privacy. L’azienda non ha risposto alle richieste di chiarimento quando la causa è stata resa nota all’inizio del mese.”Il caso riguarda la violazione di molte norme sulla protezione dei dati personali, quindi chiederemo a Open AI di rispondere a una serie di domande”, ha dichiarato Jan Nowak, presidente dell’Ufficio polacco per la protezione dei dati personali (UODO).Secondo l’UODO, il denunciante senza nome ha affermato che OpenAI non ha corretto le false informazioni su di lui generate da ChatGPT.Il denunciante ha affermato di non essere riuscito a scoprire quali dei suoi dati personali fossero stati trattati dall’azienda e di aver ricevuto risposte evasive e fuorvianti alle sue domande.Oltre ai casi di privacy, le aziende tecnologiche, tra cui Microsoft, OpenAI, Google e Stability AI, sono state recentemente oggetto di cause legali per lo “scraping” di materiali protetti da copyright e di dati personali da Internet per addestrare i loro sistemi di IA generativa.ChatGPT di OpenAI è diventata all’inizio di quest’anno l’applicazione per i consumatori con la crescita più rapida della storia, raggiungendo i 100 milioni di utenti attivi a gennaio, solo due mesi dopo il suo lancio. Microsoft ha investito miliardi di dollari nella società.

Il Garante per la privacy ha invitato il Registration and Electoral Office a condurre simulazioni di violazione dei dati a intervalli regolari, poiché non è riuscito a proteggere i dati personali degli elettori in ripetuti episodi di violazione dei dati dal 2017.L’Ufficio del Commissario per la privacy dei dati personali ha ispezionato il REO tra lo scorso agosto e questo aprile e ha riscontrato che ha “compiuto sforzi significativi” per proteggere la privacy dei dati.Tuttavia, ha proposto 10 raccomandazioni per migliorare ulteriormente la sicurezza, tra cui la revisione di tutti i contratti con i responsabili del trattamento dei dati per il REO, per controllare e ispezionare il trattamento dei dati e per esaminare regolarmente i registri.”L’ufficio dovrebbe inoltre condurre regolarmente simulazioni di violazione dei dati sia per gli incidenti di sicurezza delle informazioni che per la perdita di documenti e attrezzature fisiche”.Il REO ha dichiarato ieri di accettare le raccomandazioni dell’organo di vigilanza e di stare attuando nuove misure per garantire la sicurezza dei dati.Le sue iniziative giungono mentre i partiti stanno intensificando gli sforzi per le elezioni dei consigli distrettuali di dicembre, con il Partito Democratico che intende concorrere per otto seggi e la presidente dell’Alleanza Democratica per il Miglioramento e il Progresso di Hong Kong, Starry Lee Wai-king, che ieri ha dichiarato che è troppo presto per stimare l’affluenza alle urne per le elezioni.Tra gli otto candidati del Partito Democratico ci sono, secondo le fonti, il suo presidente Lo Kin-hei e quattro elettori in carica che cercano un altro mandato: Kelvin Sin Cheuk-nam a Sha Tin, Chu Tsz-lok e Lee Wai-fung a Yau Tsim Mong e Lam Siu-fai a Kwai Tsing.

English version

  • CANADA, GUARANTOR AUTHORITY SANCTIONS POSTAL SERVICE FOR DATA COLLECTION
  • POLAND, OPEN INSTRUCTORY ON OPENAI
  • HONG KONG, DATA SECURITY TOP OF PARTIES’ CONCERNS AHEAD OF ELECTIONS

The federal privacy watchdog says Canada Post is breaking the law by gleaning information from the outsides of envelopes and packages to help build marketing lists that it rents to businesses.The office of privacy commissioner Philippe Dufresne says information collected for the marketing program includes data about where individuals live and what type of online shopping they do, based on who sends them packages.The commissioner found Canada Post had not obtained authorization from individuals to indirectly collect such personal information.The case began when a man received marketing material from a Toronto restaurant with his name and full apartment address on the envelope, including the suite number.Upon making inquiries, the man discovered he had received the material through the post office’s Smartmail Marketing Program, which arranged a mail campaign for the restaurant.Dufresne’s office began investigating after receiving a complaint from the man.Under the program, Canada Post engages mail service providers that prepare and send direct mailouts to customers. Although not all campaigns include recipients’ full addresses, Canada Post marketing information indicates people are more likely to open addressed mail than unaddressed mail, Dufresne’s report says.The post office stressed to the commissioner’s office it must continually innovate and find new ways to diversify its revenue streams as regular mail volumes decline. It also said research indicates that consumers enjoy receiving relevant marketing offers by mail.Mail service providers are prohibited from disclosing mailing lists to advertisers, and must safeguard the information and dispose of lists once a campaign is over.Canada Post says it can prepare marketing lists based on 1,200 available targeting attributes such as marital and family status, ethnicity, interests and hobbies.

OpenAI has already faced at least its second class action lawsuit in San Francisco federal court for allegedly breaking privacy laws. It did not respond to requests for comment when the lawsuit was reported earlier this month.”The case concerns the violation of many provisions on the protection of personal data, so we will ask .Open AI to answer a number of questions,” said Jan Nowak, President of Poland’s Personal Data Protection Office (UODO).According to UODO, the unnamed complainant said that OpenAI did not correct false information about them which had been generated by ChatGPT.The complainant said they were unable to find out which of their personal data was processed by the company, and received evasive and misleading answers to questions.OpenAI did not immediately respond to an emailed request for comment.In addition to privacy cases, tech companies including Microsoft, OpenAI, Google and Stability AI have been hit with recent lawsuits over the “scraping” of copyrighted materials and personal data from across the internet to train their generative AI systems.OpenAI’s ChatGPT became the fastest-growing consumer application in history earlier this year, reaching 100 million active users in January only two months after it was launched. Microsoft has invested billions of dollars in the company.

The privacy watchdog has called on the Registration and Electoral Office to conduct regular data breach drills as it had failed to protect voters’ personal data in repeated data breach incidents since 2017.The Office of the Privacy Commissioner for Personal Data inspected the REO between last August and this April and found had “made significant efforts” to protect data privacy.But it still offered 10 recommendations to further enhance security, including reviewing all contracts with data processors for the REO to audit and inspect data handling and reviewing log records regularly.”[The office should also] conduct data breach drills for both information security incidents and the loss of physical records and equipment on a regular basis,” it said.The REO said yesterday it accepts the watchdog’s recommendations and is implementing new measures to ensure data safety.Its moves come as parties are ramping up efforts for the district council election in December, with the Democratic Party planning to contest eight seats and Democratic Alliance for the Betterment and Progress of Hong Kong chairwoman Starry Lee Wai-king saying yesterday it’s too early to estimate the voter turnout for the election.Among the eight Democratic Party hopefuls are, sources said, its chairman, Lo Kin-hei and four incumbents looking for yet another term – Kelvin Sin Cheuk-nam in Sha Tin, Chu Tsz-lok and Lee Wai-fung in Yau Tsim Mong and Lam Siu-fai in Kwai Tsing .For its part, the DAB is proposing voting hours be scaled down to just 10 hours from 8 am to 6 pm, instead of the 15 seen in the 2019 election held between 7.30 am and 10.30 pm. The Legislative Council has given its stamp of approval to slashing directly elected district seats to 88, making them just under 20 percent of the total.A total of 176 councillors, representing 40 percent, will be selected through indirect elections, and 179 government-appointed representatives will make up the remaining 40 percent.

“Il neurodato non sia merce di scambio”

Neuroscienze e neurotecnologie hanno travalicato i confini clinici e terapeutici e si avviano alla conquista dei mercati. Dobbiamo scongiurare il rischio che i nostri pensieri diventino “merci digitali” scambiate sui mercati globali. Ne ho parlato con Raffaele D’Ettorre in una lunga intervista sul Messaggero