Privacy Daily

PRIVACYDAILY

aggiornato il

N. 135/2023

LE TRE NEWS DI OGGI:

  • USA: MICROSOFT MULTATA PER VIOLAZIONE DELLA PRIVACY DEI MINORI
  • OLANDA. SECONDO IL GARANTE CIASCUNO DOVREBBE CONSIDERARSI UNA POSSIBILE VITTIMA DI DATA BREACH
  • NIGERIA, L’AUTORITA’ PRIVACY DENUNCIA IL DEFICIT DI COMPETENZE PROFESSIONALI IN MATERIA DI PRIVACY

Microsoft pagherà 20 milioni di dollari (16 milioni di sterline) alle autorità federali statunitensi dopo aver scoperto che ha raccolto illegalmente dati sui bambini che hanno aperto un account Xbox.La Federal Trade Commission (FTC) ha raggiunto lunedì scorso un accordo con l’azienda, che prevede anche maggiori tutele per i bambini che giocano.Tra le altre violazioni, la FTC ha rilevato che Microsoft non ha informato i genitori sulle sue politiche di raccolta dei dati.La FTC ha dichiarato che Microsoft ha violato il Children’s Online Privacy Protection Act (Legge sulla protezione della privacy online dei bambini) non ottenendo il consenso dei genitori e conservando i dati personali dei minori di 13 anni più a lungo del necessario per gli account creati prima del 2021. La legge prevede che i servizi online e i siti web rivolti ai bambini ottengano il consenso dei genitori e li informino dei dati personali raccolti sui loro figli. Gli utenti di Xbox devono creare un account per utilizzare alcuni servizi. Durante la creazione vengono raccolte informazioni quali nome e cognome, indirizzo e-mail e data di nascita. Solo dopo aver ottenuto informazioni personali, come il numero di telefono del bambino, Microsoft ha chiesto l’autorizzazione dei genitori. Dal 2015 al 2020 Microsoft ha conservato “talvolta per anni” i dati relativi alla creazione dell’account, anche quando un genitore non ha completato la procedura, ha dichiarato la FTC in un comunicato. L’azienda non ha inoltre informato i genitori di tutti i dati che stava raccogliendo, compresa l’immagine del profilo dell’utente, e che i dati venivano distribuiti a terzi. “Purtroppo non abbiamo soddisfatto le aspettative dei clienti e ci siamo impegnati a rispettare l’ordine per continuare a migliorare le nostre misure di sicurezza”, ha scritto Dave McCarthy, CVP di Xbox Player Services, in un post sul blog di Xbox. “Crediamo di poter e dover fare di più e rimarremo fermi nel nostro impegno per la sicurezza, la privacy e la protezione della nostra comunità”. Come parte dell’accordo, Microsoft deve anche istituire nuove protezioni di sicurezza per i bambini. Tra queste, il mantenimento di un sistema di cancellazione di tutti i dati personali dopo due settimane se non viene ottenuto il consenso dei genitori.

“Tutti dovrebbero presumere che i propri dati personali siano già stati divulgati almeno una volta o che lo saranno in futuro, e questo significa proteggere i propri dati il più possibile” così ha dichiarato martedì scorso l’Autoriteit Persoonsgegevens (AP), l’ente olandese che vigila sulla privacy. L’avvertimento giunge in concomitanza con la pubblicazione da parte dell’AP del rapporto sulla privacy dei dati nel 2022, che suggerisce che il numero di fughe di notizie non è aumentato, ma che sono diventate più gravi. L’anno scorso l’agenzia ha ricevuto 21.151 segnalazioni di fughe di dati, di cui più di 1.800 erano il risultato di un attacco informatico, più pericoloso perché frutto di attacchi deliberati da parte di criminali alla ricerca di e-mail, nomi e altre informazioni personali da utilizzare per truffare i consumatori. In particolare, l’AP è stata allertata su oltre 6.000 casi di frode d’identità nel 2022. “Purtroppo le fughe di dati sono un problema continuo”, ha dichiarato il capo dell’AP Aleid Wolfsen. “E date le loro dimensioni e la loro natura, tutti dovrebbero presumere che i loro dati siano già stati divulgati o che ciò accadrà prima o poi… chiunque può diventare una vittima, anche se si pensa di non esserlo”. L’AP è stata istituita nel 2018 per monitorare il rispetto della legislazione olandese sulla privacy. Da allora l’agenzia ha ricevuto più di 114.000 segnalazioni di fughe di notizie, di cui 6.500 erano attacchi informatici, che spesso coinvolgono più persone. Ad esempio, le tre grandi fughe di notizie sulla sanità nel 2022 hanno reso accessibili informazioni mediche relative a 900.000 persone, ha dichiarato l’agenzia. Circa il 40% delle fughe totali nel 2022 erano legate al settore sanitario e assistenziale. Per contro, il numero di fughe di notizie legate alle società di servizi finanziari è diminuito del 29% e ha rappresentato circa il 9% del totale. Le fughe attraverso le amministrazioni locali hanno rappresentato circa il 23%. Anche le aziende del settore sanitario sono state al centro del 23% degli attacchi informatici. Le aziende e le istituzioni che sono oggetto di un attacco informatico o di una fuga di dati sono tenute per legge a informare sia la PA sia le persone le cui informazioni potrebbero essere state compromesse.

Il Governo federale ha chiesto ai nigeriani di sfruttare le opportunità di lavoro nell’ecosistema della privacy dei dati. Secondo il dottor Vincent Olatunji, commissario nazionale dell’Ufficio nigeriano per la protezione dei dati (NDPB), c’è un grande deficit di competenze in questo settore, con oltre 49.000 opportunità di lavoro. Ha aggiunto che l’Ufficio sta creando un sistema di certificazione che gli consentirà di formare annualmente 50.000 lavoratori sulla protezione dei dati. Olatunji ha dichiarato queste affermazioni in occasione di un workshop di sviluppo delle capacità organizzato dall’Ufficio per i giornalisti che si occupano di ICT ad Abuja venerdì scorso: “In Nigeria, oggi, coloro che sono certificati come responsabili della protezione dei dati personali non sono più di 3000. Abbiamo più di 500.000 responsabili e controllori di dati e ognuno di loro dovrebbe avere un responsabile della protezione dei dati (DPO). Mentre il numero di DPO certificati in Nigeria non arriva a 10.000. Si può notare il divario. Quindi abbiamo un vuoto di circa 490.000 posti di lavoro in attesa di persone. Ma queste informazioni sono disponibili per le persone? Le persone hanno davvero le competenze per accettare questi lavori? Un aspetto positivo è che a livello globale è la stessa cosa. Se siete certificati e sapete cosa state facendo, potete lavorare ovunque. Si può persino essere in Nigeria e fare il DPO per un’azienda al di fuori del Paese”, quindi si tratta di un settore completamente nuovo che creerà posti di lavoro e ricchezza per il Paese. Parte dell’obiettivo del settore dell’economia digitale è creare due milioni di posti di lavoro in 24 mesi. Potete immaginare se il solo sistema di privacy dei dati ha già circa 490.000 posti di lavoro in attesa. Potete immaginare cosa può fare. Immaginate tutte le banche, tutte le compagnie di assicurazione, tutti gli alberghi, tutte le scuole, l’aviazione, tutti i settori, che assumono DPO. Immaginate che cosa farà per il Paese. Quindi è un settore ricco di potenzialità per creare posti di lavoro e ricchezza per i nigeriani”. L’NC, che ha incoraggiato i giornalisti a sfruttare le opportunità, ha sottolineato l’importanza dell’approvazione della legge sulla protezione dei dati, che, ha spiegato, trasformerà l’Ufficio in un’autorità di regolamentazione e consentirà al governo di generare enormi entrate dal settore.

English version

  • USA: MICROSOFT FINED FOR VIOLATING CHILDREN’S PRIVACY
  • HOLLAND. ACCORDING TO DUTCH GUARANTOR EVERYONE SHOULD CONSIDER THEMSELVES A POSSIBLE VICTIM OF DATA BREACH
  • NIGERIA, PRIVACY AUTHORITY CLAIMS DEFICIT OF PROFESSIONAL COMPETENCES IN PRIVACY MATTERS.

Microsoft will pay $20m (£16m) to US federal regulators after it was found to have illegally collected data on children who had started Xbox accounts. The Federal Trade Commission (FTC) reached a settlement with the company on Monday, which also includes increased protections for child gamers. Among other violations, the FTC found that Microsoft failed to inform parents about its data collection policies. It follows a similar action against Amazon last week over its Echo devices.The FTC said Microsoft violated the Children’s Online Privacy Protection Act by not properly getting parental consent and by retaining personal data on children under 13 for longer than necessary for accounts created before 2021. The law requires online services and websites directed towards children to obtain a parent’s consent and to inform the parent about personal data being collected about their child. Xbox users must create an account to use certain services. Information such as full name, email address and date of birth are collected as part of the set up. Not until after obtaining personal information, such as the child’s phone number, did Microsoft ask for a parent to provide permission. From 2015 to 2020 Microsoft retained data “sometimes for years” from the account set up, even when a parent failed to complete the process, the FTC said in a statement. The company also failed to inform parents about all the data it was collecting, including the user’s profile picture and that data was being distributed to third parties. “Regrettably, we did not meet customer expectations and are committed to complying with the order to continue improving upon our safety measures,” Microsoft’s Dave McCarthy, CVP of Xbox Player Services, wrote in an Xbox blog post. “We believe that we can and should do more, and we’ll remain steadfast in our commitment to safety, privacy, and security for our community.” As part of the settlement, Microsoft must also institute new safety protections for children. That includes maintaining a system to delete all personal data after two weeks if no parental consent is obtained.

“Everyone should assume that their personal data has already been leaked at least once or will be leaked in the future, and that means protecting their data as much as possible,” so the Autoriteit Persoonsgegevens (AP), the Dutch privacy watchdog, said on Tuesday. The warning comes as the AP published its report on data privacy in 2022, which suggests that the number of leaks has not increased, but that they have become more serious. Last year, the agency received 21,151 reports of data leaks, of which more than 1,800 were the result of a cyber attack, which was more dangerous because it resulted from deliberate attacks by criminals looking for emails, names and other personal information to use to scam consumers. Specifically, the PA was alerted to more than 6,000 cases of identity fraud in 2022. “Unfortunately, data leaks are an ongoing problem,” said AP Chief Aleid Wolfsen. “And given their size and nature, everyone should assume that their data has already been leaked or that this will happen sooner or later … anyone can become a victim, even if they think they are not.” The AP was established in 2018 to monitor compliance with Dutch privacy legislation. Since then, the agency has received more than 114,000 reports of leaks, 6,500 of which were cyber attacks, often involving multiple people. For example, the three major healthcare leaks in 2022 made medical information about 900,000 people accessible, the agency said. About 40 percent of the total leaks in 2022 were related to the health and welfare sector. In contrast, the number of leaks related to financial services companies decreased by 29 percent and accounted for about 9 percent of the total. Leaks through local governments accounted for about 23 percent. Healthcare companies were also the focus of 23% of cyber attacks. Companies and institutions that are the target of a cyber attack or data leak are required by law to notify both the PA and the people whose information may have been compromised.

The Federal Government has asked Nigerians to take advantage of employment opportunities in the data privacy eco system. According to Dr Vincent Olatunji, National Commissioner of the Nigeria Data Protection Bureau (NDPB), there is a large skill deficit in the space, with over 49,000 job opportunities exiting. He added that the Bureau is establishing a certification system that would allow it to yearly train 50,000 workers on data protection. Olatunji stated these at a capacity building workshop organised by the Bureau for journalists covering ICT in Abuja on Friday.He said: “In Nigeria today, those of of who are certified as data protection officers are not up to 3000. Where we have over 500,000 data processors and controllers and each of them is supposed to have a Data Protection Officer (DPO). Whereas, the number of certified DPOs in Nigeria are not up to 10,000. You can see the gap. So we have a gap of about 490,000, jobs waiting for people. But is this information available to people? Do people really have the skills to take up these jobs? And one good thing about this is the fact that globally it is the same thing. If you are certified and you know what you are doing you can work anywhere. You can even be in Nigeria and be a DPO for a company outside the country.“So this is a completely new sector that will create jobs, that will create wealth for the country. Part of the target of the digital economy sector is to create two million jobs in 24 months. You can now imagine if the data privacy system alone already has about 490,000 jobs waiting. You can imagine what that can do. You can imagine all the banks, all the insurance companies, all the hotels, all the schools, aviation, all sectors, employing DPOs. Imagine what that will do for the country. So it’s a sector that is loaded with potentials to create jobs and to create wealth for Nigerians.” The NC who encouraged the Journalists to take advantage of the opportunities, underscored the significance of approving the data protection Act which he explained would transform the Bureau into a regulatory authority and enable the government generate huge revenue from the sector.

Related posts:

  1. PRIVACY DAILY 106/2023
  2. PRIVACY DAILY 110/2023
  3. PRIVACYDAILY
  4. PRIVACYDAILY