PRIVACYDAILY

N. 121/2023

LE TRE NEWS DI OGGI:

• UK: L’INVESTIGATORE PRIVATO DEL DAILY MIRROR RACCONTA “L’OSCURA ARTE” DI RACCOGLIERE INFORMAZIONI ILLEGALMENTE
• USA: CONTINUANO AD AUMENTARE GLI STATI CHE SI DOTANO DI LEGGI SULLA PRIVACY
• AUSTRALIA: IL SETTORE DEL REAL ESTATE CONTRO LA NUOVA LEGGE SULLA PRIVACY

Steve Whittamore un investigatore privato che ha lavorato per l’editore del Daily Mirror afferma che i giornalisti con cui ha avuto a che fare sapevano “benissimo” che raccoglieva in maniera illegale alcune informazioni. Il Mirror Group Newspapers nega che gli alti dirigenti fossero a conoscenza di queste pratiche e che non le abbiano fermate. Un altro testimone chiave ha descritto il MGN come un “gruppo criminale organizzato”. Whittamore stava testimoniando al processo civile sulle violazioni della privacy del Duca di Sussex e di altre personalità. Si sostiene che i giornalisti dei giornali abbiano ottenuto informazioni private e riservate sulla vita delle persone attraverso una serie di mezzi illegali tra il 1991 e il 2011, tra cui l’accesso ai messaggi della segreteria telefonica. Whittamore ha dichiarato di non avere dubbi sul fatto che i clienti dei suoi giornali fossero consapevoli che le informazioni erano state ottenute attraverso il “blagging”. Se le informazioni fossero state disponibili legittimamente, ha detto, i giornali non avrebbero avuto bisogno del suo aiuto. A un certo punto, ha affermato di aver utilizzato un indirizzo e-mail blag2049@hotmail.com per inviare le fatture ai suoi clienti giornalisti L’azienda ha ammesso l’uso di metodi illegali per raccogliere storie, ma nega che dirigenti e redattori ne fossero a conoscenza. Whittamore è stato condannato per violazione delle leggi sull’informazione nel 2005, dopo un’indagine durante la quale sono stati sequestrati tutti i suoi documenti e le fatture di pagamento. Durante il controinterrogatorio, Andrew Green KC, per conto dell’editore, ha suggerito che alcuni di questi documenti indicavano che aveva anche fornito ricerche legittime ai giornalisti.” Ammette che la maggior parte del lavoro che ha svolto per la MGN era lecito?”. “No”, ha risposto il signor Whittamore. “Forse lei non è stato così cattivo come ora vuole far credere alla corte”, ha detto il signor Green, riferendosi alle fatture del signor Whittamore.”Beh, non ero io a fare i controlli”, ha risposto il signor Whittamore. La sua attività consisteva nel trattare con una rete di “subappaltatori” esperti nel carpire informazioni riservate. Gli è stata chiesta una fattura per una “conversione di un TP mobile” a nome di Tom Newton-Dunn, allora giovane giornalista del Daily Mirror, poi redattore politico del Sun e ora conduttore di Times Radio.

Quest’anno il numero di Stati con leggi complete sulla privacy sta per raddoppiare, raggiungendo quota10. Iowa, Indiana e Tennessee hanno emanato leggi nelle ultime settimane, mentre le proposte di legge del Montana e della Florida sono in attesa di un’azione governativa. Questa ondata di azioni legislative si aggiunge ai cinque Stati che già dispongono di ampie leggi che offrono ai consumatori un maggiore controllo sul modo in cui le aziende raccolgono e utilizzano i loro dati. Le nuove misure seguono in gran parte gli approcci alla privacy già esistenti negli Stati, anche se alcune disposizioni specifiche differiscono. Quest’anno i legislatori statali hanno spinto ampie protezioni per i consumatori accanto a proposte più ristrette sulla privacy, in assenza di una legge federale completa. Ogni volta che viene approvata una nuova legge statale sulla privacy, dobbiamo sederci e chiederci: “È applicabile all’azienda?”, ha dichiarato David Saunders, partner di McDermott Will & Emery LLP. “E se lo è, allora la domanda diventa: OK, cosa c’è di diverso da A a B. I legislatori del Texas, ad esempio, stanno lavorando per trovare un accordo su una legge completa dopo che versioni diverse sono passate alla Camera e al Senato. Le nuove leggi complete seguono schemi simili a quelle precedentemente emanate in Colorado, Connecticut, Virginia e Utah. La California è l’unico stato a creare una nuova agenzia di regolamentazione per supervisionare la sua legge sulla privacy, la California Privacy Protection Agency (Agenzia per la protezione della privacy della California), incaricata di elaborare le norme. Le leggi si rivolgono alle aziende che operano e raccolgono dati sui residenti in ogni Stato, le disposizioni danno ai consumatori il diritto di sapere quali informazioni le aziende raccolgono e come le utilizzano, oltre a richiedere il consenso o a permettere di rinunciare a determinati usi. “Hanno punti in comune, ma sono diversi”, ha dichiarato Odia Kagan, partner e presidente del settore conformità al regolamento generale sulla protezione dei dati dell’UE e privacy internazionale presso Fox Rothschild LLP. Alcune leggi statali, ad esempio, prevedono disposizioni diverse per i dati sensibili e per i dati precisi di geolocalizzazione, ha detto Kagan. Ci sono ulteriori sfumature, come le dichiarazioni di non responsabilità richieste per i siti web e il trattamento della pubblicità mirata, ha detto Saunders. La legge dell’Iowa entrerà in vigore il 1° gennaio 2025. Il Tennessee seguirà il 1° luglio 2025 e la legge dell’Indiana entrerà in vigore il 1° gennaio 2026. Alcuni Stati hanno adottato approcci diversi in materia di privacy.

Gli agenti immobiliari australiani  si oppongono alle proposte di modifica della legge sulla privacy, affermando che le piccole imprese non devono affrontare ulteriori oneri burocratici per mantenere al sicuro i dati dei clienti e degli inquilini. Il presidente del Real Estate Institute of Australia, Hayden Groves, ha dichiarato che “un ulteriore livello non è davvero necessario” in aggiunta ai doveri esistenti degli agenti e che l’aumento dei rischi normativi potrebbe essere “l’ultima goccia” per le agenzie più piccole. Sulla scia delle violazioni dei dati di Optus e Medibank, Groves ha riconosciuto che esiste un dibattito legittimo sulle informazioni personali raccolte dagli agenti. I franchising delle agenzie immobiliari Harcourts e LJ Hooker sono stati colpiti da violazioni di dati nel 2022. La facciata di un condominio con rivestimenti bianchi, rossi e arancioni. La maggior parte degli affittuari australiani ritiene che le applicazioni di terze parti richiedano troppi dati privati, secondo un sondaggio di Choice. Ma Groves ha suggerito che un codice di condotta potrebbe aiutare a guidare gli agenti a raccogliere solo le informazioni necessarie, senza farli rientrare nel campo di applicazione della legge federale sulla privacy. A febbraio il Dipartimento del Procuratore Generale ha pubblicato una revisione che chiede agli australiani di ottenere un maggiore controllo sulle proprie informazioni personali. Gli utenti avrebbero la possibilità di scegliere di non ricevere annunci pubblicitari mirati, di cancellare i propri dati e di fare causa in caso di gravi violazioni della privacy. Nonostante il consenso sulla necessità di aggiornare le leggi sulla privacy, alcuni aspetti della proposta sono stati attaccati dalle società di social media e tecnologiche, preoccupate per i limiti al “targeting” degli utenti, e dalle organizzazioni dei media che vogliono un’esenzione dal diritto di fare causa. Ora il REIA ha chiesto al governo di mantenere l’esenzione per le piccole imprese dal Privacy Act, perché altrimenti si stima che due terzi delle agenzie con un fatturato inferiore a 3 milioni di dollari saranno catturate. Il documento del REIA propone anche di rinviare al 2025 il nuovo regime sanzionatorio. Groves ha affermato che la rimozione “unilaterale” dell’esenzione “potrebbe non portare benefici tangibili ai consumatori, aggiungendo invece inutili rischi aggiuntivi per le piccole imprese”.” Non siamo contrari alla protezione dei consumatori, ovviamente”, ha detto. “Sono i nostri clienti”. Ha detto che il REIA ha ricordato ai membri di raccogliere solo i dati “sufficienti” di cui hanno bisogno per valutare la capacità dei potenziali inquilini di adempiere agli obblighi previsti da un contratto di locazione, verificando che “siano chi dicono di essere” e niente di più.

English version

• UK: DAILY MIRROR’S PRIVATE INVESTIGATOR RECLAIMS “THE DARK ART” OF GETTING INFORMATION ILLEGALLY
• USA.: MORE STATES CONTINUE TO ADOPT PRIVACY LAWS
• AUSTRALIA: REAL ESTATE SECTOR AGAINST NEW PRIVACY LAW

Steve Whittamore a private investigator who worked for the publisher of the Daily Mirror says that the journalists he dealt with knew “full well” that he was illegally collecting certain information. The Mirror Group Newspapers denies that senior executives were aware of these practices and did not stop them. Another key witness described the MGN as an “organized criminal group.” Whittamore was testifying at the civil trial about privacy violations by the Duke of Sussex and other dignitaries. It is alleged that newspaper journalists obtained private and confidential information about people’s lives through a variety of illegal means between 1991 and 2011, including access to voicemail messages. Whittamore said he had no doubt that his newspaper clients were aware that the information was obtained through “blagging.” If the information had been available legitimately, he said, the newspapers would not have needed his help. At one point, he said he used an e-mail address blag2049@hotmail.com to send invoices to his journalist clients The company has admitted using illegal methods to gather stories, but denies that managers and editors knew about it. Whittamore was convicted of violating information laws in 2005 after an investigation during which all of its records and payment invoices were seized. During cross-examination, Andrew Green KC, on behalf of the publisher, suggested that some of these documents indicated that he had also provided legitimate research to journalists.” Do you admit that most of the work you did for MGN was legitimate?” “No,” Mr. Whittamore replied. “Maybe you were not as bad as you now want the court to believe,” Mr. Green said, referring to Mr. Whittamore’s invoices. “Well, I wasn’t the one doing the checking,” Mr. Whittamore replied. His business consisted of dealing with a network of “subcontractors” who were experts in seizing confidential information. He was asked for an invoice for a “mobile TP conversion” in the name of Tom Newton-Dunn, then a young reporter for the Daily Mirror, later political editor of the Sun and now host of Times Radio.

This year the number of states with comprehensive privacy laws is about to double to 10. Iowa, Indiana and Tennessee have enacted laws in recent weeks, while Montana and Florida’s proposed bills are awaiting government action. This wave of legislative action adds to the five states that already have extensive laws that give consumers greater control over how companies collect and use their data. The new measures largely follow existing privacy approaches in the states, although some specific provisions differ. This year, state lawmakers have pushed broad consumer protections alongside narrower privacy proposals in the absence of a comprehensive federal law. “Whenever a new state privacy law is passed, we have to sit back and ask, ‘Does it apply to the business?” said David Saunders, partner at McDermott Will & Emery LLP. “And if it is, then the question becomes, OK, what’s different from A to B. Texas lawmakers, for example, are working to agree on a comprehensive bill after different versions passed in the House and Senate. The new comprehensive laws follow similar patterns to those previously enacted in Colorado, Connecticut, Virginia and Utah. California is the only state to create a new regulatory agency to oversee its privacy law, the California Privacy Protection Agency, charged with drafting the rules. The laws target companies that operate and collect data on residents in each state, the provisions give consumers the right to know what information companies collect and how they use it, as well as requiring consent or allowing them to opt out of certain uses. “They have commonalities, but they are different,” said Odia Kagan, partner and chair of EU General Data Protection Regulation compliance and international privacy at Fox Rothschild LLP. Some state laws, for example, have different provisions for sensitive data and precise geolocation data, Kagan said. There are additional nuances, such as required disclaimers for websites and the treatment of targeted advertising, Saunders said. Iowa’s law will take effect Jan. 1, 2025. Tennessee will follow on July 1, 2025, and Indiana’s law will go into effect on Jan. 1, 2026. Some states have taken different approaches to privacy.

Australian real estate agents oppose proposed changes to the Privacy Act, saying that small businesses should not face additional bureaucratic burdens to keep client and tenant data safe. The president of the Real Estate Institute of Australia, Hayden Groves, said that “an additional layer is not really necessary” on top of agents’ existing duties and that increased regulatory risks could be “the last straw” for smaller agencies. In the wake of the Optus and Medibank data breaches, Groves acknowledged that there is a legitimate debate about personal information collected by agents. Real estate agency franchises Harcourts and LJ Hooker were affected by data breaches in 2022. The facade of an apartment building with white, red, and orange siding. Most Australian renters believe third-party apps require too much private data, according to a Choice survey. But Groves suggested that a code of conduct could help guide agents to collect only the information they need, without bringing them under the federal Privacy Act. In February, the Attorney General’s Department released a review calling for Australians to gain more control over their personal information. Users would have the option of opting out of targeted advertisements, deleting their data and suing in the event of serious privacy violations. Despite the consensus on the need to update privacy laws, aspects of the proposal have come under attack from social media and technology companies, which are concerned about limits on “targeting” users, and media organizations that want an exemption from the right to sue. Now the REIA has asked the government to maintain the exemption for small businesses from the Privacy Act, because otherwise it is estimated that two-thirds of agencies with revenues of less than $3 million will be caught. The REIA document also proposes postponing the new penalty regime until 2025. Groves said that “unilateral” removal of the exemption “may not bring tangible benefits to consumers, instead adding unnecessary additional risks for small businesses.” We’re not against consumer protection, of course,” he said. “They are our customers.” He said the REIA has reminded members to collect only the “sufficient” data they need to assess potential tenants’ ability to fulfill their obligations under a lease, verifying that “they are who they say they are” and nothing more.