ChatGpt è addestrata grazie a miliardi di dati di miliardi di persone. Ecco perché l’abbiamo bloccata

L’innovazione non può essere fatta a spese dei diritti delle persone. Credo sia questo il senso più profondo del provvedimento con il quale, come Garante per la protezione dei dati personali, abbiamo ordinato a OpenAi, la società che gestisce ChatGPT di sospendere, almeno temporaneamente, ogni trattamento dei dati personali raccolti in Italia e degli utenti che si collegano dal nostro Paese.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui

++ Raccolta illecita di dati personali, Garante blocca ChatGPT +

ZCZC9552/SXA
XIC23090012771_SXA_QBXB
B POL S0A QBXB

(ANSA) – ROMA, 31 MAR – Stop a ChatGPT finché non rispetterà la disciplina privacy. Il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma. L’Autorità ha contestualmente aperto un’istruttoria. Nel provvedimento, il Garante rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali.

(ANSA).
ZCZC9589/SXA
XIC23090012782_SXA_QBXB
R POL S0A QBXB

Raccolta illecita di dati personali, Garante blocca ChatGPT (2)

(ANSA) – ROMA, 31 MAR – ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento. Nel provvedimento – informa una nota -, il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma. Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto. Da ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, l’Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza. OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

(ANSA).
CAS
2023-03-31 11:36 NNNN

PRIVACY DAILY 82/2023

Dopo sette anni di ambiguità sulla legge tedesca sulla conservazione dei dati, la Corte costituzionale federale tedesca l’ha dichiarata inapplicabile e incompatibile con il diritto dell’UE. La Corte non ha accettato le disposizioni della legge tedesca sulle telecomunicazioni e del codice di procedura penale che prevedevano la conservazione dei dati relativi al traffico e all’ubicazione senza un motivo specifico. La sentenza conferma la posizione della Corte di giustizia dell’UE del 20 settembre 2022, secondo cui la legge tedesca sulla conservazione dei dati non ha più alcun effetto legale e non può più essere applicata. La norma invalidata prevedeva la conservazione di tutti i dati delle chiamate, dei messaggi di testo e degli indirizzi IP, comprese le informazioni sulla posizione dell’intera popolazione. Negli ultimi anni, in tutta Europa ci sono stati diversi tentativi di implementare regimi di sorveglianza per conservare tali dati per le indagini delle forze dell’ordine o per motivi di sicurezza interna. Questi tentativi sono stati regolarmente respinti dai tribunali europei, in quanto, alla luce della Carta dei diritti fondamentali dell’UE, la pratica colpisce in modo sproporzionato il diritto alla privacy delle persone estranee alle indagini. “Con la sua sentenza, la Corte Costituzionale Federale conferma e ribadisce la giurisprudenza della Corte di Giustizia Europea in materia di conservazione dei dati e chiarisce che la legge tedesca non prevede alcun margine di manovra per continuare ad applicare la conservazione dei dati senza alcuna ragione”, ha dichiarato Konstantin Macher di Digitalcourage, un’organizzazione che si occupa della questione dal 2002. “Chiediamo ai politici di accettare finalmente la fine della conservazione dei dati”, ha aggiunto Macher. Con la sentenza del 2022, la CGUE ha chiarito che la conservazione generalizzata dei dati di connessione costituisce sempre una grave violazione dei diritti fondamentali delle persone interessate. Pertanto, la conservazione dei dati senza un motivo specifico è incompatibile con i diritti fondamentali dell’Europa.

La maggior parte dei lavoratori in smartworking potrebbe non avere così tanta privacy come si potrebbe pensare. All’inizio della pandemia, quando praticamente tutti i dipendenti sono stati mandati a casa dagli uffici, molti datori di lavoro hanno investito in software di monitoraggio per tenere traccia di ogni loro spostamento, per evitare che si dedicassero ad attività personali mentre erano in servizio. Tre anni dopo, secondo un’indagine condotta da ResumeBuilder.com su 1.000 aziende, il monitoraggio dei dipendenti attraverso strumenti come i feed video e il software di monitoraggio dei tasti è di fatto la norma, mentre prima della pandemia esso interessava solo il 10% delle aziende. La forma più invasiva di monitoraggio è rappresentata da una trasmissione video in diretta, sempre attiva, alla quale ricorre più di un datore di lavoro su tre (37%), anche se solo pochi datori di lavoro – poco più del 5% – tengono d’occhio questi feed video per tutto il giorno. Sono però più comuni altre forme di controllo, come il tracciamento dell’attività di navigazione sul web e dell’uso delle app da parte dei lavoratori (62%) o la limitazione dell’accesso dei lavoratori a determinati siti web o applicazioni come le piattaforme di streaming video (49%). Inoltre, le aziende tengono traccia dell’attenzione dei lavoratori utilizzando la biometria, catturando schermate casuali e registrando i tasti premuti, che in teoria possono rivelare se i lavoratori sono impegnati in attività lavorative o personali. Secondo ResumeBuilder.com, quasi il 70% delle aziende ha dichiarato di aver avuto dipendenti che si sono licenziati per problemi di monitoraggio. Di questo gruppo, il 35% afferma che l’azienda ha perso da sei a dieci dipendenti a causa della sorveglianza indesiderata. Oltre il 70% delle aziende, inoltre, ha anche utilizzato i dati raccolti attraverso il monitoraggio per licenziare i lavoratori ritenuti improduttivi.

L’Information Commissioner’s Office (ICO) ha ammonito l’NHS Highland per aver violato i dati di alcuni pazienti che usufruiscono di servizi HIV. Il consiglio sanitario aveva inserito in chiaro le mail di 37 persone, così da rendere visibile a tutti i destinatari gli indirizzi personali degli altri che le ricevevano. L’ICO ha dichiarato che il mancato utilizzo di CCN nelle mail è una delle forme di data breach più comuni, con quasi 1.000 incidenti segnalati dal 2019 e ha pertanto chiesto di apportare miglioramenti alle misure tecniche e organizzative di protezione dei dati. Stephen Bonner, vicecommissario per la supervisione normativa, ha dichiarato: “Quello che abbiamo visto al NHS Highland è stata una grave violazione della riservatezza e fiducia di coloro che accedono a servizi vitali come quello per l’HIV”. Le raccomandazioni dell’ICO sono state incluse nel piano d’azione per la governance delle informazioni dell’NHS Highland, che entro giugno dovrà adeguare le proprie misure di sicurezza. Secondo le leggi sulla protezione dei dati, le organizzazioni devono infatti disporre di sistemi in grado di garantire che i dati personali, tanto più quelli appartenenti alle categorie particolari (art.9 Gdpr) siano al sicuro.

English version

After seven years of ambiguity surrounding the German Data Retention Act, the German Federal Constitutional Court declared it inapplicable and incompatible with EU law. The Court did not accept the provisions of the German Telecommunications Act and the Code of Criminal Procedure that provided for the retention of traffic and location data without a specific reason. The ruling confirms the EU Court of Justice’s position of 20 September 2022 that the German Data Retention Act no longer has any legal effect and can no longer be applied. The invalidated rule provided for the retention of all call data, text messages and IP addresses, including the location information of the entire population. In recent years, there have been several attempts across Europe to implement surveillance schemes to retain such data for law enforcement investigations or internal security purposes. These attempts have been routinely rejected by the European courts on the grounds that, in light of the EU Charter of Fundamental Rights, the practice disproportionately affects the right to privacy of persons unconnected with investigations. “With its ruling, the Federal Constitutional Court confirms and reaffirms the jurisprudence of the European Court of Justice on data retention and makes it clear that German law does not provide any leeway to continue to apply data retention for no reason,” said Konstantin Macher of Digitalcourage, an organisation that has been working on the issue since 2002. ‘We call on politicians to finally accept the end of data retention,’ Macher added. In its 2022 judgment, the CJEU made it clear that the generalised retention of connection data always constitutes a serious violation of the fundamental rights of the persons concerned. Therefore, the retention of data without a specific reason is incompatible with Europe’s fundamental rights.

Most smartworking employees may not have as much privacy as one might think. At the beginning of the pandemic, when virtually all employees were sent home from their offices, many employers invested in monitoring software to keep track of their every move, to prevent them from engaging in personal activities while on the job. Three years later, according to a survey of 1,000 companies conducted by ResumeBuilder.com, employee monitoring through tools such as video feeds and keystroke monitoring software is in fact the norm, whereas before the pandemic it affected only 10% of companies. The most invasive form of monitoring is a live, always-on video feed, which is used by more than one in three employers (37%), although only a few employers – just over 5% – keep an eye on these video feeds throughout the day. However, other forms of monitoring are more common, such as tracking workers’ web browsing activity and app usage (62%) or restricting workers’ access to certain websites or apps such as video streaming platforms (49%). In addition, companies track workers’ attention using biometrics, capturing random screenshots and recording keystrokes, which in theory can reveal whether workers are engaged in work or personal activities. According to ResumeBuilder.com, nearly 70 per cent of companies said they had employees who quit because of monitoring problems. Of this group, 35% stated that the company lost six to ten employees due to unwanted surveillance. In addition, more than 70% of the companies also used the data collected through monitoring to dismiss workers deemed unproductive.

The Information Commissioner’s Office (ICO) has admonished NHS Highland for hacking into the data of some patients using HIV services. The health board had unencrypted the emails of 37 people, making the personal addresses of others who received them visible to all recipients. The ICO said that failure to use CCN in emails is one of the most common forms of data breach, with almost 1,000 incidents reported since 2019, and therefore called for improvements to technical and organisational data protection measures. Stephen Bonner, deputy commissioner for regulatory oversight, said: ‘What we saw at NHS Highland was a serious breach of the confidentiality and trust of those accessing vital services such as HIV services. The ICO’s recommendations have been included in NHS Highland’s information governance action plan, which will have to adapt its security measures by June. According to data protection laws, organisations must in fact have systems in place to ensure that personal data, especially those in special categories (Art. 9 GDPR), are secure.

PRIVACY DAILY 81/2023

L’Unione Europea limiterà la circolazione di annunci politici basati sulle caratteristiche personali e sulla sensibilità delle persone. Così, secondo quanto affermato da Human Rights Watch. Il Parlamento, la Commissione e il Consiglio starebbero negoziando una proposta di regolamento che porrebbe dei limiti alla pubblicità politica invasiva della privacy e richiederebbe anche una maggiore trasparenza nella messaggistica politica a pagamento sulle piattaforme digitali e su altri media. Ma, secondo una prima ricostruzione di Human Rights Watch, il regolamento non si spingerebbe abbastanza in là con le sue salvaguardie e rischia di provocare danni collaterali se applicato in modo troppo ampio ai gruppi della società civile e ai giornalisti che partecipano al discorso politico online. “Gli annunci politici mirati online possono minacciare la privacy e compromettere l’integrità dei processi politici”, ha dichiarato Frederike Kaltheuner, direttore per la tecnologia e i diritti umani di Human Rights Watch. I rischi associati alla pubblicità politica a pagamento sono ben documentati. Creando un ecosistema di messaggistica mirata, le piattaforme consentono agli attori politici di confezionare messaggi fuorvianti o discriminatori in base alle caratteristiche personali più intime delle persone. Le piattaforme si affidano anche a sistemi algoritmici per prendere decisioni sulla destinazione dei contenuti promossi e sulla diffusione di un messaggio politico a pagamento. Non è sempre chiaro come questi sistemi algoritmici selezionino il pubblico target per le pubblicità e la diffusione può essere indirettamente intrusiva o discriminatoria. Un’industria di influencer online, società di gestione della reputazione e broker di dati politici commercializza anche servizi di profilazione degli elettori per trarre vantaggio dall’ambiente della messaggistica online. I legami tra questa industria e i partiti politici sono spesso invisibili, oscurando ulteriormente le fonti della messaggistica politica in un’atmosfera in cui troppo spesso prevale la messaggistica odiosa, disinformata o polarizzante.

ll governo del Regno Unito ha pubblicato un libro bianco che delinea i suoi piani per regolamentare l’intelligenza artificiale di uso generale. Il documento, pubblicato dal nuovo Dipartimento per la Scienza, l’Innovazione e la Tecnologia (DSIT), stabilisce le linee guida per quello che chiama “uso responsabile” e delinea cinque principi che vuole che le aziende seguano. Rispettivamente: sicurezza, sicurezza e robustezza; trasparenza e spiegabilità; equità; responsabilità e governance; e contestabilità e riparazione. Tuttavia, al fine di “evitare una legislazione che potrebbe limitare l’innovazione”, il governo ha scelto di non dare la responsabilità della governance dell’IA a un nuovo regolatore unico, chiedendo invece ai regolatori esistenti di escogitare dei piani ad hoc a seconda del proprio campo di competenza. Con il rapido sviluppo dell’IA, sono stati sollevati interrogativi sui rischi futuri che potrebbe comportare per la privacy, i diritti umani e la sicurezza delle persone. Si teme che l’IA possa mostrare pregiudizi nei confronti di particolari gruppi se addestrata su grandi insiemi di dati raccolti da Internet, che possono includere materiale razzista, sessista o di altro tipo. L’IA potrebbe anche essere usata per creare e diffondere disinformazione. Di conseguenza, molti esperti sostengono che l’IA debba essere regolamentata. Tuttavia, i sostenitori dell’IA affermano che la tecnologia sta già producendo reali benefici sociali ed economici per le persone. Il governo teme che le organizzazioni possano essere ostacolate nell’utilizzo dell’IA in tutto il suo potenziale perché un mosaico di regimi legali potrebbe creare confusione nelle aziende che cercano di rispettare le regole. Invece di affidare la responsabilità della governance dell’IA a un nuovo regolatore unico, il governo vuole che i regolatori esistenti – come l’Health and Safety Executive, la Commissione per l’uguaglianza e i diritti umani e l’Autorità per la concorrenza e i mercati – elaborino approcci propri che si adattino al modo in cui l’IA viene effettivamente utilizzata nei loro settori. Questi regolatori utilizzeranno le leggi esistenti piuttosto che ricevere nuovi poteri.

La Corte Suprema degli Stati Uniti deve pronunciarsi sul bilanciamento tra privacy e potere dell’Internal Revenue Service di richiedere i dati dei conti correnti bancari senza mai avvisare i titolari dei conti. La questione per la Corte è se l’Internal Revenue Service debba informare i titolari dei conti bancari di aver richiesto tali documenti quando cerca di riscuotere le tasse di un soggetto che non sia titolare del conto. I gruppi per i diritti dei contribuenti hanno esortato i giudici a limitare le prerogative dell’agenzia, mentre l’IRS ha affermato che sta usando un potere concesso dal Congresso. In particolare, si teme che il passo successivo dell’agenzia sarebbe quello di escutere il conto per riscuotere le passività. “È devastante il potere che ha il governo di prendere prima il denaro e poi fare domande”, ha detto Frank Agostino, ex avvocato dell’IRS. A quel punto, “il governo ha i vostri soldi e voi dovete intentare una causa per prelievo illecito dicendo: hanno preso i miei soldi, non quelli del contribuente moroso”. La legge dice che il governo non è tenuto a dare un preavviso se il suo obiettivo è quello di contribuire alla riscossione di un accertamento fiscale “contro la persona in relazione alla quale è stata emessa la citazione”. Le corti d’appello federali sono state divise su come interpretare questa eccezione all’obbligo di notifica. Secondo l’IRS, l’eccezione si applica anche quando i documenti richiesti non appartengono al contribuente debitore. I titolari dei conti nel caso in questione – la moglie del contribuente che deve far fronte ai debiti e due studi legali – sostengono che l’eccezione si applica solo quando il contribuente moroso ha un interesse legale nel conto bancario in questione.

English version

The European Union will restrict the circulation of political advertisements based on people’s personal characteristics and sensitivities. According to Human Rights Watch. The Parliament, Commission, and Council are reportedly negotiating a proposed regulation that would place limits on privacy-invasive political advertising and also require greater transparency in paid political messaging on digital platforms and other media. But, according to an initial reconstruction by Human Rights Watch, the regulation would not go far enough with its safeguards and risks causing collateral damage if applied too broadly to civil society groups and journalists participating in online political discourse. “Targeted political ads online can threaten privacy and compromise the integrity of political processes,” said Frederike Kaltheuner, director for technology and human rights at Human Rights Watch. The risks associated with paid political advertising are well documented. By creating a targeted messaging ecosystem, platforms enable political actors to package misleading or discriminatory messages based on people’s most intimate personal characteristics. The platforms also rely on algorithmic systems to make decisions on the targeting of promoted content and the dissemination of a paid political message. It is not always clear how these algorithmic systems select the target audience for advertisements and the dissemination may be indirectly intrusive or discriminatory. An industry of online influencers, reputation management companies and political data brokers also market voter profiling services to take advantage of the online messaging environment. The links between this industry and political parties are often invisible, further obscuring the sources of political messaging in an atmosphere where hateful, uninformed or polarising messaging too often prevails.

The UK government has published a white paper outlining its plans to regulate general-purpose artificial intelligence. The document, published by the new Department for Science, Innovation and Technology (DSIT), sets out guidelines for what it calls ‘responsible use’ and outlines five principles it wants companies to follow. Respectively: safety, security and robustness; transparency and explainability; fairness; accountability and governance; and contestability and redress. However, in order to ‘avoid legislation that could limit innovation’, the government has chosen not to give responsibility for AI governance to a new single regulator, instead asking existing regulators to devise ad hoc plans according to their field of expertise. With the rapid development of AI, questions have been raised about the future risks it might pose to privacy, human rights and people’s security. There are fears that AI could show bias against particular groups if trained on large datasets collected from the Internet, which may include racist, sexist or other material. AI could also be used to create and spread disinformation. Consequently, many experts argue that AI should be regulated. However, AI advocates claim that the technology is already producing real social and economic benefits for people. The government fears that organisations may be hindered from using AI to its full potential because a patchwork of legal regimes could be confusing for companies trying to comply with the rules. Rather than handing responsibility for AI governance over to a new single regulator, the government wants existing regulators – such as the Health and Safety Executive, the Equality and Human Rights Commission and the Competition and Markets Authority – to develop their own approaches that fit the way AI is actually used in their sectors. These regulators will use existing laws rather than receive new powers.

The US Supreme Court must rule on the balance between privacy and the Internal Revenue Service’s power to request bank account information without ever notifying account holders. The issue for the Court is whether the Internal Revenue Service must inform account holders that it has requested such records when it seeks to collect taxes from a non-account holder. Taxpayers’ rights groups have urged the courts to limit the agency’s prerogatives, while the IRS has argued that it is using a power granted by Congress. In particular, it is feared that the agency’s next step would be to excise the account to collect on the liabilities. “It is devastating the power the government has to first take the money and then ask questions,” said Frank Agostino, a former IRS lawyer. At that point, “the government has your money and you have to file a wrongful levy suit saying, they took my money, not the delinquent taxpayer’s money.” The law says that the government is not required to give notice if its purpose is to help collect a tax assessment ‘against the person in respect of whom the summons was issued’. Federal appellate courts have been divided on how to interpret this exception to the notice requirement. According to the IRS, the exception applies even when the requested documents do not belong to the debtor taxpayer. The account holders in the case – the debtor taxpayer’s wife and two law firms – argue that the exception only applies when the delinquent taxpayer has a legal interest in the bank account in question.

30 marzo, evento “Customer Centricity, comunicare in tempo di crisi”

Domani 30 marzo, sarò a Binario F al “Customer Centricity, comunicare in tempo di crisi“, l’appuntamento annuale organizzato dall’Unione Nazionale Consumatori, dove siederò al tavolo Digital.
Grazie a Massimiliano Dona per l’ospitalità.

Clicca qui per il programma.

PRIVACY DAILY 80/2023

Un nuovo ordine esecutivo del Presidente Biden limiterà l’uso degli spyware commerciali da parte del Governo degli Stati Uniti. Questi strumenti sono stati utilizzati fin ora per sorvegliare una serie di soggetti in tutto il mondo. L’ordine risponde alle crescenti preoccupazioni riguardo ai programmi che possono catturare messaggi di testo e altri dati dei cellulari. Alcuni programmi – i cosiddetti exploit “zero-click” – possono infettare un telefono senza che l’utente clicchi su un link dannoso. È noto che i governi di tutto il mondo, compresi gli Stati Uniti, raccolgono grandi quantità di dati per scopi di intelligence e di law enforcement. La proliferazione di spyware commerciali ha, infatti, reso disponibili ai Paesi più piccoli strumenti potenti, ma ha anche creato quelle che i ricercatori e gli attivisti per i diritti umani avvertono come opportunità di abuso e repressione. La Casa Bianca ha reso noto l’ordine esecutivo prima del secondo summit per la democrazia che si terrà questa settimana. L’ordine “dimostra la leadership e l’impegno degli Stati Uniti nel promuovere la tecnologia per la democrazia, anche contrastando l’uso improprio di spyware commerciali e altre tecnologie di sorveglianza”, ha dichiarato la Casa Bianca in un comunicato. L’ordine di Biden, presentato come un divieto di utilizzo di spyware commerciali “che pongono rischi per la sicurezza nazionale”, prevede alcune eccezioni. L’ordine richiede al capo di ogni agenzia statunitense che utilizza programmi commerciali di certificare che il programma non rappresenti un rischio significativo per il controspionaggio o altri rischi per la sicurezza, ha dichiarato un alto funzionario dell’amministrazione. Tra i fattori che verranno utilizzati per determinare il livello di rischio per la sicurezza c’è il fatto che un attore straniero abbia utilizzato il programma per monitorare cittadini statunitensi senza autorizzazione legale o per sorvegliare attivisti per i diritti umani e altri dissidenti.

Il progetto di legge sui “Giochi Olimpici” potrebbe ottenere ampio sostegno, ma c’è chi denuncia una componente di sicurezza sproporzionata. Il testo, già adottato a larga maggioranza a fine gennaio in Senato, è stato esaminato la scorsa settimana all’Assemblea Nazionale ed è stato oggetto di un voto formale. L’articolo più controverso, sulla cosiddetta videosorveglianza “intelligente”, apre la strada a un esperimento che combinerebbe immagini riprese da telecamere e droni e algoritmi. L’esperimento riguarderà “eventi sportivi, ricreativi o culturali” su larga scala. Dovrebbe terminare il 31 dicembre 2024, ma potrebbe iniziare non appena la legge sarà promulgata e riguardare, ad esempio, la prossima Coppa del Mondo di rugby a settembre-ottobre. La maggioranza presidenziale e il ministro dell’Interno Gérald Darmanin hanno insistito sulle garanzie e hanno difeso più volte il processo: l’analisi delle immagini per individuare automaticamente atti o gesti potenzialmente rischiosi, e la segnalazione agli agenti dietro un muro di schermi in modo che possano inviare i colleghi a controllare la situazione o a intervenire. Ma l’elenco degli “eventi” e dei comportamenti da rilevare sarà stabilito per decreto. Con grande disappunto dei deputati di Nupes, che si preoccupano di cosa verrà trattenuto, nonostante gli esempi fatti dal ministro: “un principio di incendio, imbottigliamenti della popolazione, un pacco o una borsa abbandonati”. Sebbene l’obiettivo dichiarato sia quello di proteggere i milioni di persone che si prevede parteciperanno ai Giochi Olimpici e Paralimpici del 2024, i deputati dell’opposizione sospettano che l’esecutivo stia cercando di utilizzare l’esperimento come trampolino di lancio per generalizzare questa tecnologia di sorveglianza dopo l’evento. “È un testo sulle Olimpiadi, tutti amano le Olimpiadi, tutti amano lo sport, quindi tutto passa”, sospira al contrario il deputato Ugo Bernalicis, il cui gruppo voterà contro il testo. Promette già di sottoporre la questione al Consiglio costituzionale.

Il principe Harry si è presentato a sorpresa a Londra, dinanzi all’High Court, in occasione dell’inizio di un procedimento giudiziario per intercettazioni telefoniche e privacy che coinvolge l’Associated Newspapers Limited (ANL). È la prima volta che il Duca di Sussex torna nel Regno Unito dopo il funerale della Regina, lo scorso settembre. Il principe fa parte di un gruppo di sette ricorrenti di alto profilo, tra cui il cantante Sir Elton John e suo marito regista David Furnish, le attrici Liz Hurley e Sadie Frost, la baronessa Doreen Lawrence e il politico liberaldemocratico Sir Simon Hughes. Tutti hanno mosso accuse contro l’editore del quotidiano Daily Mail. Sostengono di essere stati vittime di “abominevoli attività criminali” e di “gravi violazioni della privacy” da parte dell’Associated Newspapers – e hanno annunciato a ottobre di voler intentare una causa per abuso di informazioni private contro ANL, che è anche l’editore di The Mail On Sunday e MailOnline. I presunti atti illeciti, che avrebbero avuto luogo dal 1993 al 2011, comprendono l’assunzione di investigatori privati per piazzare segretamente dispositivi di ascolto all’interno di automobili e abitazioni, la registrazione di conversazioni telefoniche private, l’accesso a conti bancari con mezzi illeciti e il pagamento di funzionari di polizia per ottenere informazioni riservate. L’ANL nega le accuse e sostiene che dovrebbero essere archiviate senza processo. Un’udienza preliminare dell’Alta Corte ha preso in considerazione le argomentazioni legali, dopodiché il giudice deciderà se andare avanti.

English version

A new executive order by President Biden will restrict the use of commercial spyware by the US government. These tools have been used so far to surveil a variety of subjects around the world. The order responds to growing concerns about programmes that can capture text messages and other mobile phone data. Some programmes – so-called ‘zero-click’ exploits – can infect a phone without the user clicking on a malicious link. Governments around the world, including the United States, are known to collect large amounts of data for intelligence and law enforcement purposes. The proliferation of commercial spyware has, in fact, made powerful tools available to smaller countries, but it has also created what researchers and human rights activists perceive as opportunities for abuse and repression. The White House released the executive order before the second Democracy Summit this week. The order ‘demonstrates US leadership and commitment to advancing technology for democracy, including by countering the misuse of commercial spyware and other surveillance technologies,’ the White House said in a statement. Biden’s order, billed as a ban on the use of commercial spyware ‘that poses a national security risk’, includes some exceptions. The order requires the head of each US agency that uses commercial programmes to certify that the programme does not pose a significant counterintelligence or other security risk, a senior administration official said. Among the factors that will be used to determine the level of security risk is whether a foreign actor has used the programme to monitor US citizens without legal authorisation or to surveil human rights activists and other dissidents.

The ‘Olympic Games’ bill could gain support, while the opposition denounces a disproportionate security component. The text, already widely adopted at the end of January in first reading in the Senate, was examined last week in the National Assembly and was subject to a formal vote. The most controversial article, on so-called ‘smart’ video surveillance, paves the way for an experiment that would combine images taken by cameras and drones with algorithms. The experiment will cover large-scale ‘sporting, recreational or cultural events’. It should end on 31 December 2024, but could start as soon as the law is enacted and cover, for example, the next Rugby World Cup in September-October. The presidential majority and Interior Minister Gérald Darmanin have insisted on guarantees and have repeatedly defended the process: the analysis of images to automatically detect potentially risky acts or gestures, and the alerting of agents behind a wall of screens so that they can send colleagues to check the situation or intervene. But the list of ‘events’ and behaviour to be detected will be established by decree. Much to the disappointment of the Nupes MPs, who are concerned about what will be detained, despite the examples given by the minister: ‘a fire start, population bottlenecks, an abandoned parcel or bag’. Although the stated aim is to protect the millions of people expected to attend the 2024 Olympic and Paralympic Games, opposition MPs suspect that the executive is trying to use the experiment as a springboard to generalise this surveillance technology after the event. ‘It is a text about the Olympics, everyone loves the Olympics, everyone loves sport, so everything passes,’ sighs MP Ugo Bernalicis, whose group will vote against the text. He already promises to refer the matter to the Constitutional Council.

Prince Harry made a surprise appearance at the High Court in London for the start of a wiretapping and privacy court case involving Associated Newspapers Limited (ANL). This is the first time the Duke of Sussex has returned to the UK since the Queen’s funeral last September. The prince is one of a group of seven high-profile claimants, including singer Sir Elton John and his director husband David Furnish, actresses Liz Hurley and Sadie Frost, Baroness Doreen Lawrence and Liberal Democrat politician Sir Simon Hughes. All have made accusations against the editor of the Daily Mail newspaper. They claim to have been victims of ‘abominable criminal activity’ and ‘serious breaches of privacy’ by Associated Newspapers – and announced in October that they would file a lawsuit for misuse of private information against ANL, which is also the publisher of The Mail On Sunday and MailOnline. The alleged misdeeds, which allegedly took place from 1993 to 2011, include hiring private investigators to secretly plant listening devices inside cars and homes, recording private telephone conversations, accessing bank accounts by illicit means, and paying police officers to obtain confidential information. The ANL denies the charges and argues that they should be dismissed without trial. A preliminary hearing of the High Court considered the legal arguments, after which the judge will decide whether to go ahead.

PRIVACY DAILY 79/2023

Negli Stati Uniti, le domande del 2022 Economic Census impensieriscono i soggetti a cui vengono sottoposte. È un problema sempre maggiore per il Census Bureau e le altre agenzie federali, appurato il forte aumento delle preoccupazioni per la privacy e per la proliferazione delle truffe online, che hanno ridotto i tassi di risposta ai sondaggi nell’ultimo decennio. La pandemia ha esacerbato il problema interrompendo le visite di follow-up svolte dal vivo. I bassi tassi di risposta comportano dei bias perché le famiglie più ricche e istruite sono più propense a rispondere ai sondaggi, il che influisce sull’accuratezza dei dati su cui si basano demografi, pianificatori, aziende e dirigenti pubblici per allocare le risorse. Lo scetticismo nei confronti dei sondaggi è cresciuto a tal punto che la Federal Trade Commission ha pubblicato questo mese un avviso ai consumatori per rassicurare il pubblico sulla legittimità dell’American Community Survey, uno degli strumenti più importanti del Census Bureau. L’ACS è il più grande sondaggio dell’ufficio e chiede informazioni su oltre 40 argomenti che vanno dal reddito, all’accesso a Internet, all’affitto, alle disabilità e alla lingua parlata in casa. Insieme al censimento, aiuta a determinare come vengono distribuiti ogni anno 1.500 miliardi di dollari di spesa federale, dove vengono costruite le scuole e l’ubicazione di nuovi insediamenti abitativi, tra le altre cose. Nonostante sia considerato la spina dorsale dei dati sugli Stati Uniti, il tasso di risposta del sondaggio è sceso all’85,3% nel 2021 dal 97,6% del 2011, mentre altri questionari federali sono andati anche peggio. La diffidenza è comprensibile, si legge nell’avviso della FTC, ma le informazioni richieste hanno uno scopo pubblico vitale. I sondaggi raggiungono un numero minore di persone anche a causa dei filtri antispam, dell’ID del chiamante e delle telecamere del campanello, ha dichiarato il Bureau of Labor Statistics degli Stati Uniti. I funzionari stanno cercando fonti di dati alternative, come i registri amministrativi raccolti da agenzie governative (es. la Social Security Administration e l’Internal Revenue Servicei. I dettagli sono ancora in fase di definizione, ma includeranno misure di protezione della privacy che impediranno di associare un particolare acquisto a un singolo consumatore.

Come evitare che i droni violino la privacy dei residenti mentre se ne stanno a casa loro? Il City Council ha approvato in prima lettura un’ordinanza che regola il sorvolo dei droni sulle proprietà pubbliche e private entro i confini di Panama City Beach. “Per me questo punto è positivo”, ha dichiarato il sindaco Mark Sheldon. “È arrivato direttamente da persone preoccupate della comunità, quindi penso che sia una buona ordinanza. Penso che dia al dipartimento di polizia una buona opportunità di assicurarsi che le persone possano avere privacy nelle loro case e nelle loro proprietà”. L’ordinanza vieta ai droni di volare entro un’altezza di 500 piedi sopra una proprietà privata senza il permesso del proprietario, così come di volare entro la stessa altezza sopra la proprietà pubblica per sorvegliare la proprietà privata di qualcuno. L’ordinanza è stata promossa dai residenti che hanno segnalato ai membri del Consiglio che la loro privacy veniva invasa dal volo dei droni vicino alle loro case. Chi viola l’ordinanza rischia una sanzione pari a 250 dollari. La multa sale a 500 dollari se si commette una seconda violazione entro sei mesi e a 1.000 dollari se si commette una terza violazione entro un anno.La seconda lettura dell’ordinanza è prevista per la prossima riunione del Consiglio comunale, il 13 aprile. Il consigliere Mary Coburn ha dichiarato che, anche se l’ordinanza sarà finalizzata, i residenti potranno comunque far volare i droni nelle zone di volo designate. “Ho avuto personalmente lamentele da parte di persone che hanno un vicino che sembra essere un po’ troppo interessato a sorvolare il proprio cortile e cose del genere”, ha detto Coburn. “Lo capisco. Neanche a me piacerebbe, quindi questo darà una certa protezione ai proprietari di case private per evitare che sorvolino la loro proprietà privata”.

Il panorama digitale del Nepal si sta evolvendo rapidamente, con la popolazione che si affida sempre più alle tecnologie dei media digitali per accedere a servizi che vanno dall’istruzione all’assistenza sanitaria. Tuttavia, mentre avviene questa trasformazione, sia lo Stato che le aziende private raccolgono grandi quantità di dati personali e li elaborano per vari scopi. Spesso è difficile per le persone sapere quali dati vengono raccolti e come vengono utilizzati. Per affrontare questo problema, lo Stato deve svolgere un ruolo di primo piano nella creazione di meccanismi di governance per la protezione dei dati personali in Nepal. Data la mancanza di politiche chiare, è fondamentale formulare una legge completa sulla protezione dei dati in Nepal. Cresce la preoccupazione che le organizzazioni che elaborano i dati possano raccogliere anche informazioni non essenziali. Inoltre, quando i dati personali vengono utilizzati per scopi diversi da quelli per cui sono stati forniti, come ad esempio per la pubblicità, ci si chiede se tali dati vengano comprati e venduti. L’esposizione di dati personali in diversi settori potrebbe violare la privacy degli individui e creare difficoltà nella loro vita. Esiste una legge sulla privacy del 2018, che non solo specifica come raccogliere le informazioni personali, ma le classifica anche. Ad esempio, questa legge definisce come informazioni personali la casta, la religione, l’istruzione, il numero di telefono, il numero di passaporto/cittadino, i dati della carta d’identità degli elettori, le informazioni biometriche e i dati relativi ai reati penali. Tuttavia non sembra sufficiente e si sta considerando l’idea di intervenire. Un approccio consiste nell’emendare la legge esistente, aggiungendo le disposizioni necessarie. In alternativa, si valuta se formulare e attuare una legge separata, per coprire le questioni relative alla protezione dei dati in vari settori e stabilire linee guida per la raccolta, l’uso e l’archiviazione dei dati.

English version

In the United States, the 2022 Economic Census questions worry those to whom they are submitted. It is a growing problem for the Census Bureau and other federal agencies, as privacy concerns and the proliferation of online scams have reduced survey response rates over the past decade. The pandemic has exacerbated the problem by disrupting live follow-up visits. Low response rates lead to bias because wealthier and more educated households are more likely to respond to surveys, which affects the accuracy of the data on which demographers, planners, companies and public managers rely to allocate resources. Scepticism about surveys has grown to such an extent that the Federal Trade Commission issued a consumer alert this month to reassure the public about the legitimacy of the American Community Survey, one of the Census Bureau’s most important tools. The ACS is the bureau’s largest survey and asks about more than 40 topics ranging from income, Internet access, rent, disabilities and language spoken in the home. Along with the census, it helps determine how $1.5 trillion in federal spending is distributed each year, where schools are built and the location of new housing developments, among other things. Despite being considered the backbone of US data, the survey’s response rate dropped to 85.3% in 2021 from 97.6% in 2011, while other federal questionnaires fared even worse. The distrust is understandable, the FTC notice says, but the information requested serves a vital public purpose. The surveys also reach fewer people because of spam filters, caller ID and doorbell cameras, the US Bureau of Labor Statistics said. Officials are seeking alternative data sources, such as administrative records collected by government agencies (e.g., the Social Security Administration and the Internal Revenue Servicei. The details are still being worked out, but will include privacy safeguards that will prevent a particular purchase from being associated with an individual consumer.

How to prevent drones from violating residents’ privacy while they are sitting in their homes? The City Council approved on first reading an ordinance regulating drone overflight of public and private property within the boundaries of Panama City Beach. “To me this item is positive,” said Mayor Mark Sheldon. “It came directly from concerned people in the community, so I think it’s a good ordinance. I think it gives the police department a good opportunity to make sure that people can have privacy in their homes and on their property.” The ordinance prohibits drones from flying within a height of 500 feet above private property without the owner’s permission, as well as flying within the same height above public property to survey someone’s private property. The ordinance was initiated by residents who reported to council members that their privacy was being invaded by the flying of drones near their homes. Violators of the ordinance face a fine of $250. The fine rises to $500 if a second violation is committed within six months and $1,000 if a third violation is committed within a year.The second reading of the ordinance is scheduled for the next City Council meeting on 13 April. Councillor Mary Coburn said that even if the ordinance is finalised, residents will still be able to fly drones in designated flying zones. “I’ve personally had complaints from people who have a neighbour who seems to be a little too interested in flying over their yard and things like that,” Coburn said. “I understand that. I wouldn’t like it either, so this will give some protection to private homeowners from flying over their private property.”

Nepal’s digital landscape is evolving rapidly, with the population increasingly relying on digital media technologies to access services ranging from education to healthcare. However, while this transformation is taking place, both the state and private companies are collecting large amounts of personal data and processing it for various purposes. It is often difficult for people to know what data is being collected and how it is being used. To address this problem, the state must play a leading role in creating governance mechanisms for the protection of personal data in Nepal. Given the lack of clear policies, it is crucial to formulate a comprehensive data protection law in Nepal. There is growing concern that organisations that process data may also collect non-essential information. In addition, when personal data is used for purposes other than those for which it was provided, such as for advertising, there are questions about whether such data is bought and sold. The exposure of personal data in different sectors could violate the privacy of individuals and create difficulties in their lives. There is a Privacy Act of 2018, which not only specifies how to collect personal information, but also classifies it. For example, this law defines caste, religion, education, telephone number, passport/citizen number, voter ID card data, biometric information and criminal offence data as personal information. However, this does not seem to be sufficient and action is being considered. One approach is to amend the existing law, adding the necessary provisions. Alternatively, consideration is being given to formulating and implementing a separate law to cover data protection issues in various areas and to establish guidelines for the collection, use and storage of data.

L’inciviltà urbana non si combatte con l’inciviltà digitale

C’è un cartello appiccicato con il nastro adesivo in una via del centro di Milano che recita “Chi urina qui verrà filmato e postato in Internet”. Ne ha condiviso una foto online, nei giorni scorsi, via social, Vitalba Azzolini, giurista e opinionista dei diritti, con un tweet che diceva: “Proclama esplicito di una violazione di legge per reagire a un’altra violazione di legge. Se questo è uno stato di diritto…”. Ma i commenti sotto il tweet raccontano molto di più del tweet stesso e il loro leitmotiv è: se lo Stato non fa lo Stato, perseguendo chi fa i propri bisogni dove non dovrebbe, è giusto che i cittadini facciano quello che possono, per tenere le strade pulite.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui