PRIVACY DAILY 82/2023

Dopo sette anni di ambiguità sulla legge tedesca sulla conservazione dei dati, la Corte costituzionale federale tedesca l’ha dichiarata inapplicabile e incompatibile con il diritto dell’UE. La Corte non ha accettato le disposizioni della legge tedesca sulle telecomunicazioni e del codice di procedura penale che prevedevano la conservazione dei dati relativi al traffico e all’ubicazione senza un motivo specifico. La sentenza conferma la posizione della Corte di giustizia dell’UE del 20 settembre 2022, secondo cui la legge tedesca sulla conservazione dei dati non ha più alcun effetto legale e non può più essere applicata. La norma invalidata prevedeva la conservazione di tutti i dati delle chiamate, dei messaggi di testo e degli indirizzi IP, comprese le informazioni sulla posizione dell’intera popolazione. Negli ultimi anni, in tutta Europa ci sono stati diversi tentativi di implementare regimi di sorveglianza per conservare tali dati per le indagini delle forze dell’ordine o per motivi di sicurezza interna. Questi tentativi sono stati regolarmente respinti dai tribunali europei, in quanto, alla luce della Carta dei diritti fondamentali dell’UE, la pratica colpisce in modo sproporzionato il diritto alla privacy delle persone estranee alle indagini. “Con la sua sentenza, la Corte Costituzionale Federale conferma e ribadisce la giurisprudenza della Corte di Giustizia Europea in materia di conservazione dei dati e chiarisce che la legge tedesca non prevede alcun margine di manovra per continuare ad applicare la conservazione dei dati senza alcuna ragione”, ha dichiarato Konstantin Macher di Digitalcourage, un’organizzazione che si occupa della questione dal 2002. “Chiediamo ai politici di accettare finalmente la fine della conservazione dei dati”, ha aggiunto Macher. Con la sentenza del 2022, la CGUE ha chiarito che la conservazione generalizzata dei dati di connessione costituisce sempre una grave violazione dei diritti fondamentali delle persone interessate. Pertanto, la conservazione dei dati senza un motivo specifico è incompatibile con i diritti fondamentali dell’Europa.

La maggior parte dei lavoratori in smartworking potrebbe non avere così tanta privacy come si potrebbe pensare. All’inizio della pandemia, quando praticamente tutti i dipendenti sono stati mandati a casa dagli uffici, molti datori di lavoro hanno investito in software di monitoraggio per tenere traccia di ogni loro spostamento, per evitare che si dedicassero ad attività personali mentre erano in servizio. Tre anni dopo, secondo un’indagine condotta da ResumeBuilder.com su 1.000 aziende, il monitoraggio dei dipendenti attraverso strumenti come i feed video e il software di monitoraggio dei tasti è di fatto la norma, mentre prima della pandemia esso interessava solo il 10% delle aziende. La forma più invasiva di monitoraggio è rappresentata da una trasmissione video in diretta, sempre attiva, alla quale ricorre più di un datore di lavoro su tre (37%), anche se solo pochi datori di lavoro – poco più del 5% – tengono d’occhio questi feed video per tutto il giorno. Sono però più comuni altre forme di controllo, come il tracciamento dell’attività di navigazione sul web e dell’uso delle app da parte dei lavoratori (62%) o la limitazione dell’accesso dei lavoratori a determinati siti web o applicazioni come le piattaforme di streaming video (49%). Inoltre, le aziende tengono traccia dell’attenzione dei lavoratori utilizzando la biometria, catturando schermate casuali e registrando i tasti premuti, che in teoria possono rivelare se i lavoratori sono impegnati in attività lavorative o personali. Secondo ResumeBuilder.com, quasi il 70% delle aziende ha dichiarato di aver avuto dipendenti che si sono licenziati per problemi di monitoraggio. Di questo gruppo, il 35% afferma che l’azienda ha perso da sei a dieci dipendenti a causa della sorveglianza indesiderata. Oltre il 70% delle aziende, inoltre, ha anche utilizzato i dati raccolti attraverso il monitoraggio per licenziare i lavoratori ritenuti improduttivi.

L’Information Commissioner’s Office (ICO) ha ammonito l’NHS Highland per aver violato i dati di alcuni pazienti che usufruiscono di servizi HIV. Il consiglio sanitario aveva inserito in chiaro le mail di 37 persone, così da rendere visibile a tutti i destinatari gli indirizzi personali degli altri che le ricevevano. L’ICO ha dichiarato che il mancato utilizzo di CCN nelle mail è una delle forme di data breach più comuni, con quasi 1.000 incidenti segnalati dal 2019 e ha pertanto chiesto di apportare miglioramenti alle misure tecniche e organizzative di protezione dei dati. Stephen Bonner, vicecommissario per la supervisione normativa, ha dichiarato: “Quello che abbiamo visto al NHS Highland è stata una grave violazione della riservatezza e fiducia di coloro che accedono a servizi vitali come quello per l’HIV”. Le raccomandazioni dell’ICO sono state incluse nel piano d’azione per la governance delle informazioni dell’NHS Highland, che entro giugno dovrà adeguare le proprie misure di sicurezza. Secondo le leggi sulla protezione dei dati, le organizzazioni devono infatti disporre di sistemi in grado di garantire che i dati personali, tanto più quelli appartenenti alle categorie particolari (art.9 Gdpr) siano al sicuro.

English version

After seven years of ambiguity surrounding the German Data Retention Act, the German Federal Constitutional Court declared it inapplicable and incompatible with EU law. The Court did not accept the provisions of the German Telecommunications Act and the Code of Criminal Procedure that provided for the retention of traffic and location data without a specific reason. The ruling confirms the EU Court of Justice’s position of 20 September 2022 that the German Data Retention Act no longer has any legal effect and can no longer be applied. The invalidated rule provided for the retention of all call data, text messages and IP addresses, including the location information of the entire population. In recent years, there have been several attempts across Europe to implement surveillance schemes to retain such data for law enforcement investigations or internal security purposes. These attempts have been routinely rejected by the European courts on the grounds that, in light of the EU Charter of Fundamental Rights, the practice disproportionately affects the right to privacy of persons unconnected with investigations. “With its ruling, the Federal Constitutional Court confirms and reaffirms the jurisprudence of the European Court of Justice on data retention and makes it clear that German law does not provide any leeway to continue to apply data retention for no reason,” said Konstantin Macher of Digitalcourage, an organisation that has been working on the issue since 2002. ‘We call on politicians to finally accept the end of data retention,’ Macher added. In its 2022 judgment, the CJEU made it clear that the generalised retention of connection data always constitutes a serious violation of the fundamental rights of the persons concerned. Therefore, the retention of data without a specific reason is incompatible with Europe’s fundamental rights.

Most smartworking employees may not have as much privacy as one might think. At the beginning of the pandemic, when virtually all employees were sent home from their offices, many employers invested in monitoring software to keep track of their every move, to prevent them from engaging in personal activities while on the job. Three years later, according to a survey of 1,000 companies conducted by ResumeBuilder.com, employee monitoring through tools such as video feeds and keystroke monitoring software is in fact the norm, whereas before the pandemic it affected only 10% of companies. The most invasive form of monitoring is a live, always-on video feed, which is used by more than one in three employers (37%), although only a few employers – just over 5% – keep an eye on these video feeds throughout the day. However, other forms of monitoring are more common, such as tracking workers’ web browsing activity and app usage (62%) or restricting workers’ access to certain websites or apps such as video streaming platforms (49%). In addition, companies track workers’ attention using biometrics, capturing random screenshots and recording keystrokes, which in theory can reveal whether workers are engaged in work or personal activities. According to ResumeBuilder.com, nearly 70 per cent of companies said they had employees who quit because of monitoring problems. Of this group, 35% stated that the company lost six to ten employees due to unwanted surveillance. In addition, more than 70% of the companies also used the data collected through monitoring to dismiss workers deemed unproductive.

The Information Commissioner’s Office (ICO) has admonished NHS Highland for hacking into the data of some patients using HIV services. The health board had unencrypted the emails of 37 people, making the personal addresses of others who received them visible to all recipients. The ICO said that failure to use CCN in emails is one of the most common forms of data breach, with almost 1,000 incidents reported since 2019, and therefore called for improvements to technical and organisational data protection measures. Stephen Bonner, deputy commissioner for regulatory oversight, said: ‘What we saw at NHS Highland was a serious breach of the confidentiality and trust of those accessing vital services such as HIV services. The ICO’s recommendations have been included in NHS Highland’s information governance action plan, which will have to adapt its security measures by June. According to data protection laws, organisations must in fact have systems in place to ensure that personal data, especially those in special categories (Art. 9 GDPR), are secure.

PRIVACY DAILY 81/2023

L’Unione Europea limiterà la circolazione di annunci politici basati sulle caratteristiche personali e sulla sensibilità delle persone. Così, secondo quanto affermato da Human Rights Watch. Il Parlamento, la Commissione e il Consiglio starebbero negoziando una proposta di regolamento che porrebbe dei limiti alla pubblicità politica invasiva della privacy e richiederebbe anche una maggiore trasparenza nella messaggistica politica a pagamento sulle piattaforme digitali e su altri media. Ma, secondo una prima ricostruzione di Human Rights Watch, il regolamento non si spingerebbe abbastanza in là con le sue salvaguardie e rischia di provocare danni collaterali se applicato in modo troppo ampio ai gruppi della società civile e ai giornalisti che partecipano al discorso politico online. “Gli annunci politici mirati online possono minacciare la privacy e compromettere l’integrità dei processi politici”, ha dichiarato Frederike Kaltheuner, direttore per la tecnologia e i diritti umani di Human Rights Watch. I rischi associati alla pubblicità politica a pagamento sono ben documentati. Creando un ecosistema di messaggistica mirata, le piattaforme consentono agli attori politici di confezionare messaggi fuorvianti o discriminatori in base alle caratteristiche personali più intime delle persone. Le piattaforme si affidano anche a sistemi algoritmici per prendere decisioni sulla destinazione dei contenuti promossi e sulla diffusione di un messaggio politico a pagamento. Non è sempre chiaro come questi sistemi algoritmici selezionino il pubblico target per le pubblicità e la diffusione può essere indirettamente intrusiva o discriminatoria. Un’industria di influencer online, società di gestione della reputazione e broker di dati politici commercializza anche servizi di profilazione degli elettori per trarre vantaggio dall’ambiente della messaggistica online. I legami tra questa industria e i partiti politici sono spesso invisibili, oscurando ulteriormente le fonti della messaggistica politica in un’atmosfera in cui troppo spesso prevale la messaggistica odiosa, disinformata o polarizzante.

ll governo del Regno Unito ha pubblicato un libro bianco che delinea i suoi piani per regolamentare l’intelligenza artificiale di uso generale. Il documento, pubblicato dal nuovo Dipartimento per la Scienza, l’Innovazione e la Tecnologia (DSIT), stabilisce le linee guida per quello che chiama “uso responsabile” e delinea cinque principi che vuole che le aziende seguano. Rispettivamente: sicurezza, sicurezza e robustezza; trasparenza e spiegabilità; equità; responsabilità e governance; e contestabilità e riparazione. Tuttavia, al fine di “evitare una legislazione che potrebbe limitare l’innovazione”, il governo ha scelto di non dare la responsabilità della governance dell’IA a un nuovo regolatore unico, chiedendo invece ai regolatori esistenti di escogitare dei piani ad hoc a seconda del proprio campo di competenza. Con il rapido sviluppo dell’IA, sono stati sollevati interrogativi sui rischi futuri che potrebbe comportare per la privacy, i diritti umani e la sicurezza delle persone. Si teme che l’IA possa mostrare pregiudizi nei confronti di particolari gruppi se addestrata su grandi insiemi di dati raccolti da Internet, che possono includere materiale razzista, sessista o di altro tipo. L’IA potrebbe anche essere usata per creare e diffondere disinformazione. Di conseguenza, molti esperti sostengono che l’IA debba essere regolamentata. Tuttavia, i sostenitori dell’IA affermano che la tecnologia sta già producendo reali benefici sociali ed economici per le persone. Il governo teme che le organizzazioni possano essere ostacolate nell’utilizzo dell’IA in tutto il suo potenziale perché un mosaico di regimi legali potrebbe creare confusione nelle aziende che cercano di rispettare le regole. Invece di affidare la responsabilità della governance dell’IA a un nuovo regolatore unico, il governo vuole che i regolatori esistenti – come l’Health and Safety Executive, la Commissione per l’uguaglianza e i diritti umani e l’Autorità per la concorrenza e i mercati – elaborino approcci propri che si adattino al modo in cui l’IA viene effettivamente utilizzata nei loro settori. Questi regolatori utilizzeranno le leggi esistenti piuttosto che ricevere nuovi poteri.

La Corte Suprema degli Stati Uniti deve pronunciarsi sul bilanciamento tra privacy e potere dell’Internal Revenue Service di richiedere i dati dei conti correnti bancari senza mai avvisare i titolari dei conti. La questione per la Corte è se l’Internal Revenue Service debba informare i titolari dei conti bancari di aver richiesto tali documenti quando cerca di riscuotere le tasse di un soggetto che non sia titolare del conto. I gruppi per i diritti dei contribuenti hanno esortato i giudici a limitare le prerogative dell’agenzia, mentre l’IRS ha affermato che sta usando un potere concesso dal Congresso. In particolare, si teme che il passo successivo dell’agenzia sarebbe quello di escutere il conto per riscuotere le passività. “È devastante il potere che ha il governo di prendere prima il denaro e poi fare domande”, ha detto Frank Agostino, ex avvocato dell’IRS. A quel punto, “il governo ha i vostri soldi e voi dovete intentare una causa per prelievo illecito dicendo: hanno preso i miei soldi, non quelli del contribuente moroso”. La legge dice che il governo non è tenuto a dare un preavviso se il suo obiettivo è quello di contribuire alla riscossione di un accertamento fiscale “contro la persona in relazione alla quale è stata emessa la citazione”. Le corti d’appello federali sono state divise su come interpretare questa eccezione all’obbligo di notifica. Secondo l’IRS, l’eccezione si applica anche quando i documenti richiesti non appartengono al contribuente debitore. I titolari dei conti nel caso in questione – la moglie del contribuente che deve far fronte ai debiti e due studi legali – sostengono che l’eccezione si applica solo quando il contribuente moroso ha un interesse legale nel conto bancario in questione.

English version

The European Union will restrict the circulation of political advertisements based on people’s personal characteristics and sensitivities. According to Human Rights Watch. The Parliament, Commission, and Council are reportedly negotiating a proposed regulation that would place limits on privacy-invasive political advertising and also require greater transparency in paid political messaging on digital platforms and other media. But, according to an initial reconstruction by Human Rights Watch, the regulation would not go far enough with its safeguards and risks causing collateral damage if applied too broadly to civil society groups and journalists participating in online political discourse. “Targeted political ads online can threaten privacy and compromise the integrity of political processes,” said Frederike Kaltheuner, director for technology and human rights at Human Rights Watch. The risks associated with paid political advertising are well documented. By creating a targeted messaging ecosystem, platforms enable political actors to package misleading or discriminatory messages based on people’s most intimate personal characteristics. The platforms also rely on algorithmic systems to make decisions on the targeting of promoted content and the dissemination of a paid political message. It is not always clear how these algorithmic systems select the target audience for advertisements and the dissemination may be indirectly intrusive or discriminatory. An industry of online influencers, reputation management companies and political data brokers also market voter profiling services to take advantage of the online messaging environment. The links between this industry and political parties are often invisible, further obscuring the sources of political messaging in an atmosphere where hateful, uninformed or polarising messaging too often prevails.

The UK government has published a white paper outlining its plans to regulate general-purpose artificial intelligence. The document, published by the new Department for Science, Innovation and Technology (DSIT), sets out guidelines for what it calls ‘responsible use’ and outlines five principles it wants companies to follow. Respectively: safety, security and robustness; transparency and explainability; fairness; accountability and governance; and contestability and redress. However, in order to ‘avoid legislation that could limit innovation’, the government has chosen not to give responsibility for AI governance to a new single regulator, instead asking existing regulators to devise ad hoc plans according to their field of expertise. With the rapid development of AI, questions have been raised about the future risks it might pose to privacy, human rights and people’s security. There are fears that AI could show bias against particular groups if trained on large datasets collected from the Internet, which may include racist, sexist or other material. AI could also be used to create and spread disinformation. Consequently, many experts argue that AI should be regulated. However, AI advocates claim that the technology is already producing real social and economic benefits for people. The government fears that organisations may be hindered from using AI to its full potential because a patchwork of legal regimes could be confusing for companies trying to comply with the rules. Rather than handing responsibility for AI governance over to a new single regulator, the government wants existing regulators – such as the Health and Safety Executive, the Equality and Human Rights Commission and the Competition and Markets Authority – to develop their own approaches that fit the way AI is actually used in their sectors. These regulators will use existing laws rather than receive new powers.

The US Supreme Court must rule on the balance between privacy and the Internal Revenue Service’s power to request bank account information without ever notifying account holders. The issue for the Court is whether the Internal Revenue Service must inform account holders that it has requested such records when it seeks to collect taxes from a non-account holder. Taxpayers’ rights groups have urged the courts to limit the agency’s prerogatives, while the IRS has argued that it is using a power granted by Congress. In particular, it is feared that the agency’s next step would be to excise the account to collect on the liabilities. “It is devastating the power the government has to first take the money and then ask questions,” said Frank Agostino, a former IRS lawyer. At that point, “the government has your money and you have to file a wrongful levy suit saying, they took my money, not the delinquent taxpayer’s money.” The law says that the government is not required to give notice if its purpose is to help collect a tax assessment ‘against the person in respect of whom the summons was issued’. Federal appellate courts have been divided on how to interpret this exception to the notice requirement. According to the IRS, the exception applies even when the requested documents do not belong to the debtor taxpayer. The account holders in the case – the debtor taxpayer’s wife and two law firms – argue that the exception only applies when the delinquent taxpayer has a legal interest in the bank account in question.

PRIVACY DAILY 80/2023

Un nuovo ordine esecutivo del Presidente Biden limiterà l’uso degli spyware commerciali da parte del Governo degli Stati Uniti. Questi strumenti sono stati utilizzati fin ora per sorvegliare una serie di soggetti in tutto il mondo. L’ordine risponde alle crescenti preoccupazioni riguardo ai programmi che possono catturare messaggi di testo e altri dati dei cellulari. Alcuni programmi – i cosiddetti exploit “zero-click” – possono infettare un telefono senza che l’utente clicchi su un link dannoso. È noto che i governi di tutto il mondo, compresi gli Stati Uniti, raccolgono grandi quantità di dati per scopi di intelligence e di law enforcement. La proliferazione di spyware commerciali ha, infatti, reso disponibili ai Paesi più piccoli strumenti potenti, ma ha anche creato quelle che i ricercatori e gli attivisti per i diritti umani avvertono come opportunità di abuso e repressione. La Casa Bianca ha reso noto l’ordine esecutivo prima del secondo summit per la democrazia che si terrà questa settimana. L’ordine “dimostra la leadership e l’impegno degli Stati Uniti nel promuovere la tecnologia per la democrazia, anche contrastando l’uso improprio di spyware commerciali e altre tecnologie di sorveglianza”, ha dichiarato la Casa Bianca in un comunicato. L’ordine di Biden, presentato come un divieto di utilizzo di spyware commerciali “che pongono rischi per la sicurezza nazionale”, prevede alcune eccezioni. L’ordine richiede al capo di ogni agenzia statunitense che utilizza programmi commerciali di certificare che il programma non rappresenti un rischio significativo per il controspionaggio o altri rischi per la sicurezza, ha dichiarato un alto funzionario dell’amministrazione. Tra i fattori che verranno utilizzati per determinare il livello di rischio per la sicurezza c’è il fatto che un attore straniero abbia utilizzato il programma per monitorare cittadini statunitensi senza autorizzazione legale o per sorvegliare attivisti per i diritti umani e altri dissidenti.

Il progetto di legge sui “Giochi Olimpici” potrebbe ottenere ampio sostegno, ma c’è chi denuncia una componente di sicurezza sproporzionata. Il testo, già adottato a larga maggioranza a fine gennaio in Senato, è stato esaminato la scorsa settimana all’Assemblea Nazionale ed è stato oggetto di un voto formale. L’articolo più controverso, sulla cosiddetta videosorveglianza “intelligente”, apre la strada a un esperimento che combinerebbe immagini riprese da telecamere e droni e algoritmi. L’esperimento riguarderà “eventi sportivi, ricreativi o culturali” su larga scala. Dovrebbe terminare il 31 dicembre 2024, ma potrebbe iniziare non appena la legge sarà promulgata e riguardare, ad esempio, la prossima Coppa del Mondo di rugby a settembre-ottobre. La maggioranza presidenziale e il ministro dell’Interno Gérald Darmanin hanno insistito sulle garanzie e hanno difeso più volte il processo: l’analisi delle immagini per individuare automaticamente atti o gesti potenzialmente rischiosi, e la segnalazione agli agenti dietro un muro di schermi in modo che possano inviare i colleghi a controllare la situazione o a intervenire. Ma l’elenco degli “eventi” e dei comportamenti da rilevare sarà stabilito per decreto. Con grande disappunto dei deputati di Nupes, che si preoccupano di cosa verrà trattenuto, nonostante gli esempi fatti dal ministro: “un principio di incendio, imbottigliamenti della popolazione, un pacco o una borsa abbandonati”. Sebbene l’obiettivo dichiarato sia quello di proteggere i milioni di persone che si prevede parteciperanno ai Giochi Olimpici e Paralimpici del 2024, i deputati dell’opposizione sospettano che l’esecutivo stia cercando di utilizzare l’esperimento come trampolino di lancio per generalizzare questa tecnologia di sorveglianza dopo l’evento. “È un testo sulle Olimpiadi, tutti amano le Olimpiadi, tutti amano lo sport, quindi tutto passa”, sospira al contrario il deputato Ugo Bernalicis, il cui gruppo voterà contro il testo. Promette già di sottoporre la questione al Consiglio costituzionale.

Il principe Harry si è presentato a sorpresa a Londra, dinanzi all’High Court, in occasione dell’inizio di un procedimento giudiziario per intercettazioni telefoniche e privacy che coinvolge l’Associated Newspapers Limited (ANL). È la prima volta che il Duca di Sussex torna nel Regno Unito dopo il funerale della Regina, lo scorso settembre. Il principe fa parte di un gruppo di sette ricorrenti di alto profilo, tra cui il cantante Sir Elton John e suo marito regista David Furnish, le attrici Liz Hurley e Sadie Frost, la baronessa Doreen Lawrence e il politico liberaldemocratico Sir Simon Hughes. Tutti hanno mosso accuse contro l’editore del quotidiano Daily Mail. Sostengono di essere stati vittime di “abominevoli attività criminali” e di “gravi violazioni della privacy” da parte dell’Associated Newspapers – e hanno annunciato a ottobre di voler intentare una causa per abuso di informazioni private contro ANL, che è anche l’editore di The Mail On Sunday e MailOnline. I presunti atti illeciti, che avrebbero avuto luogo dal 1993 al 2011, comprendono l’assunzione di investigatori privati per piazzare segretamente dispositivi di ascolto all’interno di automobili e abitazioni, la registrazione di conversazioni telefoniche private, l’accesso a conti bancari con mezzi illeciti e il pagamento di funzionari di polizia per ottenere informazioni riservate. L’ANL nega le accuse e sostiene che dovrebbero essere archiviate senza processo. Un’udienza preliminare dell’Alta Corte ha preso in considerazione le argomentazioni legali, dopodiché il giudice deciderà se andare avanti.

English version

A new executive order by President Biden will restrict the use of commercial spyware by the US government. These tools have been used so far to surveil a variety of subjects around the world. The order responds to growing concerns about programmes that can capture text messages and other mobile phone data. Some programmes – so-called ‘zero-click’ exploits – can infect a phone without the user clicking on a malicious link. Governments around the world, including the United States, are known to collect large amounts of data for intelligence and law enforcement purposes. The proliferation of commercial spyware has, in fact, made powerful tools available to smaller countries, but it has also created what researchers and human rights activists perceive as opportunities for abuse and repression. The White House released the executive order before the second Democracy Summit this week. The order ‘demonstrates US leadership and commitment to advancing technology for democracy, including by countering the misuse of commercial spyware and other surveillance technologies,’ the White House said in a statement. Biden’s order, billed as a ban on the use of commercial spyware ‘that poses a national security risk’, includes some exceptions. The order requires the head of each US agency that uses commercial programmes to certify that the programme does not pose a significant counterintelligence or other security risk, a senior administration official said. Among the factors that will be used to determine the level of security risk is whether a foreign actor has used the programme to monitor US citizens without legal authorisation or to surveil human rights activists and other dissidents.

The ‘Olympic Games’ bill could gain support, while the opposition denounces a disproportionate security component. The text, already widely adopted at the end of January in first reading in the Senate, was examined last week in the National Assembly and was subject to a formal vote. The most controversial article, on so-called ‘smart’ video surveillance, paves the way for an experiment that would combine images taken by cameras and drones with algorithms. The experiment will cover large-scale ‘sporting, recreational or cultural events’. It should end on 31 December 2024, but could start as soon as the law is enacted and cover, for example, the next Rugby World Cup in September-October. The presidential majority and Interior Minister Gérald Darmanin have insisted on guarantees and have repeatedly defended the process: the analysis of images to automatically detect potentially risky acts or gestures, and the alerting of agents behind a wall of screens so that they can send colleagues to check the situation or intervene. But the list of ‘events’ and behaviour to be detected will be established by decree. Much to the disappointment of the Nupes MPs, who are concerned about what will be detained, despite the examples given by the minister: ‘a fire start, population bottlenecks, an abandoned parcel or bag’. Although the stated aim is to protect the millions of people expected to attend the 2024 Olympic and Paralympic Games, opposition MPs suspect that the executive is trying to use the experiment as a springboard to generalise this surveillance technology after the event. ‘It is a text about the Olympics, everyone loves the Olympics, everyone loves sport, so everything passes,’ sighs MP Ugo Bernalicis, whose group will vote against the text. He already promises to refer the matter to the Constitutional Council.

Prince Harry made a surprise appearance at the High Court in London for the start of a wiretapping and privacy court case involving Associated Newspapers Limited (ANL). This is the first time the Duke of Sussex has returned to the UK since the Queen’s funeral last September. The prince is one of a group of seven high-profile claimants, including singer Sir Elton John and his director husband David Furnish, actresses Liz Hurley and Sadie Frost, Baroness Doreen Lawrence and Liberal Democrat politician Sir Simon Hughes. All have made accusations against the editor of the Daily Mail newspaper. They claim to have been victims of ‘abominable criminal activity’ and ‘serious breaches of privacy’ by Associated Newspapers – and announced in October that they would file a lawsuit for misuse of private information against ANL, which is also the publisher of The Mail On Sunday and MailOnline. The alleged misdeeds, which allegedly took place from 1993 to 2011, include hiring private investigators to secretly plant listening devices inside cars and homes, recording private telephone conversations, accessing bank accounts by illicit means, and paying police officers to obtain confidential information. The ANL denies the charges and argues that they should be dismissed without trial. A preliminary hearing of the High Court considered the legal arguments, after which the judge will decide whether to go ahead.

PRIVACY DAILY 79/2023

Negli Stati Uniti, le domande del 2022 Economic Census impensieriscono i soggetti a cui vengono sottoposte. È un problema sempre maggiore per il Census Bureau e le altre agenzie federali, appurato il forte aumento delle preoccupazioni per la privacy e per la proliferazione delle truffe online, che hanno ridotto i tassi di risposta ai sondaggi nell’ultimo decennio. La pandemia ha esacerbato il problema interrompendo le visite di follow-up svolte dal vivo. I bassi tassi di risposta comportano dei bias perché le famiglie più ricche e istruite sono più propense a rispondere ai sondaggi, il che influisce sull’accuratezza dei dati su cui si basano demografi, pianificatori, aziende e dirigenti pubblici per allocare le risorse. Lo scetticismo nei confronti dei sondaggi è cresciuto a tal punto che la Federal Trade Commission ha pubblicato questo mese un avviso ai consumatori per rassicurare il pubblico sulla legittimità dell’American Community Survey, uno degli strumenti più importanti del Census Bureau. L’ACS è il più grande sondaggio dell’ufficio e chiede informazioni su oltre 40 argomenti che vanno dal reddito, all’accesso a Internet, all’affitto, alle disabilità e alla lingua parlata in casa. Insieme al censimento, aiuta a determinare come vengono distribuiti ogni anno 1.500 miliardi di dollari di spesa federale, dove vengono costruite le scuole e l’ubicazione di nuovi insediamenti abitativi, tra le altre cose. Nonostante sia considerato la spina dorsale dei dati sugli Stati Uniti, il tasso di risposta del sondaggio è sceso all’85,3% nel 2021 dal 97,6% del 2011, mentre altri questionari federali sono andati anche peggio. La diffidenza è comprensibile, si legge nell’avviso della FTC, ma le informazioni richieste hanno uno scopo pubblico vitale. I sondaggi raggiungono un numero minore di persone anche a causa dei filtri antispam, dell’ID del chiamante e delle telecamere del campanello, ha dichiarato il Bureau of Labor Statistics degli Stati Uniti. I funzionari stanno cercando fonti di dati alternative, come i registri amministrativi raccolti da agenzie governative (es. la Social Security Administration e l’Internal Revenue Servicei. I dettagli sono ancora in fase di definizione, ma includeranno misure di protezione della privacy che impediranno di associare un particolare acquisto a un singolo consumatore.

Come evitare che i droni violino la privacy dei residenti mentre se ne stanno a casa loro? Il City Council ha approvato in prima lettura un’ordinanza che regola il sorvolo dei droni sulle proprietà pubbliche e private entro i confini di Panama City Beach. “Per me questo punto è positivo”, ha dichiarato il sindaco Mark Sheldon. “È arrivato direttamente da persone preoccupate della comunità, quindi penso che sia una buona ordinanza. Penso che dia al dipartimento di polizia una buona opportunità di assicurarsi che le persone possano avere privacy nelle loro case e nelle loro proprietà”. L’ordinanza vieta ai droni di volare entro un’altezza di 500 piedi sopra una proprietà privata senza il permesso del proprietario, così come di volare entro la stessa altezza sopra la proprietà pubblica per sorvegliare la proprietà privata di qualcuno. L’ordinanza è stata promossa dai residenti che hanno segnalato ai membri del Consiglio che la loro privacy veniva invasa dal volo dei droni vicino alle loro case. Chi viola l’ordinanza rischia una sanzione pari a 250 dollari. La multa sale a 500 dollari se si commette una seconda violazione entro sei mesi e a 1.000 dollari se si commette una terza violazione entro un anno.La seconda lettura dell’ordinanza è prevista per la prossima riunione del Consiglio comunale, il 13 aprile. Il consigliere Mary Coburn ha dichiarato che, anche se l’ordinanza sarà finalizzata, i residenti potranno comunque far volare i droni nelle zone di volo designate. “Ho avuto personalmente lamentele da parte di persone che hanno un vicino che sembra essere un po’ troppo interessato a sorvolare il proprio cortile e cose del genere”, ha detto Coburn. “Lo capisco. Neanche a me piacerebbe, quindi questo darà una certa protezione ai proprietari di case private per evitare che sorvolino la loro proprietà privata”.

Il panorama digitale del Nepal si sta evolvendo rapidamente, con la popolazione che si affida sempre più alle tecnologie dei media digitali per accedere a servizi che vanno dall’istruzione all’assistenza sanitaria. Tuttavia, mentre avviene questa trasformazione, sia lo Stato che le aziende private raccolgono grandi quantità di dati personali e li elaborano per vari scopi. Spesso è difficile per le persone sapere quali dati vengono raccolti e come vengono utilizzati. Per affrontare questo problema, lo Stato deve svolgere un ruolo di primo piano nella creazione di meccanismi di governance per la protezione dei dati personali in Nepal. Data la mancanza di politiche chiare, è fondamentale formulare una legge completa sulla protezione dei dati in Nepal. Cresce la preoccupazione che le organizzazioni che elaborano i dati possano raccogliere anche informazioni non essenziali. Inoltre, quando i dati personali vengono utilizzati per scopi diversi da quelli per cui sono stati forniti, come ad esempio per la pubblicità, ci si chiede se tali dati vengano comprati e venduti. L’esposizione di dati personali in diversi settori potrebbe violare la privacy degli individui e creare difficoltà nella loro vita. Esiste una legge sulla privacy del 2018, che non solo specifica come raccogliere le informazioni personali, ma le classifica anche. Ad esempio, questa legge definisce come informazioni personali la casta, la religione, l’istruzione, il numero di telefono, il numero di passaporto/cittadino, i dati della carta d’identità degli elettori, le informazioni biometriche e i dati relativi ai reati penali. Tuttavia non sembra sufficiente e si sta considerando l’idea di intervenire. Un approccio consiste nell’emendare la legge esistente, aggiungendo le disposizioni necessarie. In alternativa, si valuta se formulare e attuare una legge separata, per coprire le questioni relative alla protezione dei dati in vari settori e stabilire linee guida per la raccolta, l’uso e l’archiviazione dei dati.

English version

In the United States, the 2022 Economic Census questions worry those to whom they are submitted. It is a growing problem for the Census Bureau and other federal agencies, as privacy concerns and the proliferation of online scams have reduced survey response rates over the past decade. The pandemic has exacerbated the problem by disrupting live follow-up visits. Low response rates lead to bias because wealthier and more educated households are more likely to respond to surveys, which affects the accuracy of the data on which demographers, planners, companies and public managers rely to allocate resources. Scepticism about surveys has grown to such an extent that the Federal Trade Commission issued a consumer alert this month to reassure the public about the legitimacy of the American Community Survey, one of the Census Bureau’s most important tools. The ACS is the bureau’s largest survey and asks about more than 40 topics ranging from income, Internet access, rent, disabilities and language spoken in the home. Along with the census, it helps determine how $1.5 trillion in federal spending is distributed each year, where schools are built and the location of new housing developments, among other things. Despite being considered the backbone of US data, the survey’s response rate dropped to 85.3% in 2021 from 97.6% in 2011, while other federal questionnaires fared even worse. The distrust is understandable, the FTC notice says, but the information requested serves a vital public purpose. The surveys also reach fewer people because of spam filters, caller ID and doorbell cameras, the US Bureau of Labor Statistics said. Officials are seeking alternative data sources, such as administrative records collected by government agencies (e.g., the Social Security Administration and the Internal Revenue Servicei. The details are still being worked out, but will include privacy safeguards that will prevent a particular purchase from being associated with an individual consumer.

How to prevent drones from violating residents’ privacy while they are sitting in their homes? The City Council approved on first reading an ordinance regulating drone overflight of public and private property within the boundaries of Panama City Beach. “To me this item is positive,” said Mayor Mark Sheldon. “It came directly from concerned people in the community, so I think it’s a good ordinance. I think it gives the police department a good opportunity to make sure that people can have privacy in their homes and on their property.” The ordinance prohibits drones from flying within a height of 500 feet above private property without the owner’s permission, as well as flying within the same height above public property to survey someone’s private property. The ordinance was initiated by residents who reported to council members that their privacy was being invaded by the flying of drones near their homes. Violators of the ordinance face a fine of $250. The fine rises to $500 if a second violation is committed within six months and $1,000 if a third violation is committed within a year.The second reading of the ordinance is scheduled for the next City Council meeting on 13 April. Councillor Mary Coburn said that even if the ordinance is finalised, residents will still be able to fly drones in designated flying zones. “I’ve personally had complaints from people who have a neighbour who seems to be a little too interested in flying over their yard and things like that,” Coburn said. “I understand that. I wouldn’t like it either, so this will give some protection to private homeowners from flying over their private property.”

Nepal’s digital landscape is evolving rapidly, with the population increasingly relying on digital media technologies to access services ranging from education to healthcare. However, while this transformation is taking place, both the state and private companies are collecting large amounts of personal data and processing it for various purposes. It is often difficult for people to know what data is being collected and how it is being used. To address this problem, the state must play a leading role in creating governance mechanisms for the protection of personal data in Nepal. Given the lack of clear policies, it is crucial to formulate a comprehensive data protection law in Nepal. There is growing concern that organisations that process data may also collect non-essential information. In addition, when personal data is used for purposes other than those for which it was provided, such as for advertising, there are questions about whether such data is bought and sold. The exposure of personal data in different sectors could violate the privacy of individuals and create difficulties in their lives. There is a Privacy Act of 2018, which not only specifies how to collect personal information, but also classifies it. For example, this law defines caste, religion, education, telephone number, passport/citizen number, voter ID card data, biometric information and criminal offence data as personal information. However, this does not seem to be sufficient and action is being considered. One approach is to amend the existing law, adding the necessary provisions. Alternatively, consideration is being given to formulating and implementing a separate law to cover data protection issues in various areas and to establish guidelines for the collection, use and storage of data.

PRIVACY DAILY 78/2023

Chi è accusato di un reato ha diritto alla privacy? Secondo il College of Policing britannico, no. La dichiarazione è arrivata dopo che le organizzazioni dei media hanno sollevato preoccupazioni per una proposta di modifica alle linee guida del College, secondo la quale le forze di polizia in Inghilterra e Galles non avrebbero più dovuto nominare le persone accusate di reati. Tali modifiche erano state suggerite dall’Autorità garante privacy del Regno Unito (ICO), per tenere conto dell’evoluzione della legge sulla protezione dei dati. La News Media Association e la National Union of Journalists sono state tra le organizzazioni che si sono opposte alle proposte, che sono state condivise con i grandi editori per avere un feedback prima della diffusione alle forze di polizia. Il direttore esecutivo del College of Policing, ha dichiarato: “nel momento in cui un individuo viene accusato di un crimine, non dovrebbe esistere una ragionevole aspettativa di privacy. Riteniamo che ciò sia fortemente nell’interesse pubblico e compatibile con la legge sulla protezione dei dati”. Il College ha tenuto un incontro con l’ICO per capire la sua posizione e sottolineare l’importanza della trasparenza, della giustizia aperta e della possibilità per i media di ottenere le informazioni necessarie per svolgere il loro lavoro. Il College manterrà l’attuale posizione secondo cui “le persone accusate di un reato – comprese quelle che ricevono una citazione in tribunale – dovrebbero essere nominate, a meno che non vi sia uno scopo di polizia eccezionale e legittimo per non farlo o che non si applichino restrizioni di segnalazione”. Un portavoce dell’ICO ha dichiarato che: “La legge sulla protezione dei dati agisce come uno strumento che consente un’efficace divulgazione delle informazioni. Incoraggiamo tutte le organizzazioni a continuare a prendere decisioni basate sull’interesse pubblico, bilanciandole con il diritto alla privacy dell’individuo”.

Grindr ha lanciato un avvertimento ai suoi utenti in Egitto, poiché la polizia continua a prendere di mira e arrestare persone LGBTQ+ attraverso le piattaforme digitali. Gli utenti egiziani vedranno apparire il seguente avviso in arabo e in inglese all’apertura dell’applicazione: “Siamo stati avvisati che la polizia egiziana sta attivamente arrestando persone gay, bisessuali e trans sulle piattaforme digitali. Stanno usando account falsi e hanno anche preso il controllo degli account di membri reali della comunità che sono già stati arrestati e a cui è stato sequestrato il telefono. Vi invitiamo a prestare la massima cautela online e offline, anche con account che in passato potevano sembrare legittimi”. L’Egitto, sebbene tecnicamente non metta fuori legge l’omosessualità, spesso persegue i membri della comunità LGBTQ+ con l’accusa di “dissolutezza” o “violazione della pubblica decenza”. Nel 2017 ha arrestato sette persone per aver issato una bandiera arcobaleno a un concerto rock. Gli arresti di omosessuali rimangono comuni. Un responsabile dei media del governo egiziano non ha risposto a una richiesta di commento sulla nuova misura di Grindr. L’avvertimento agli utenti arriva dopo che i gruppi per i diritti e i media hanno denunciato come le autorità della regione stiano sempre più ricorrendo alle piattaforme digitali per reprimere la comunità LGBTQ+. A febbraio, Human Rights Watch ha pubblicato un rapporto che documenta decine di casi di agenzie di sicurezza in Egitto, Giordania, Libano, Iraq e Tunisia che estorcono, molestano, denunciano pubblicamente e arrestano persone LGBTQ+ in base alle loro attività su Facebook e Instagram, nonché sull’app di incontri Grindr. La pubblicazione ha anche messo in discussione le principali aziende tecnologiche che non investono a sufficienza nella moderazione e nella protezione dei contenuti in lingua araba.

Le forze dell’ordine dell’Ohio hanno fatto causa al rapper Afroman per violazione della privacy. Afroman, il cui vero nome è Joseph Foreman, ha subito un’irruzione in casa sua nell’agosto del 2022 da parte dell’ufficio dello sceriffo della contea di Adam. Gli agenti stavano agendo sulla base di un mandato che asseriva la presenza di stupefacenti nella proprietà. Non sono state trovate prove di attività criminali e non sono state formulate accuse. Foreman ha registrato l’irruzione con una serie di telecamere di sicurezza all’interno della sua casa. I filmati mostrano la polizia che sfonda la porta, fruga nel guardaroba, apre le custodie dei CD e, a un certo punto, dà un’occhiata a un plumcake al limone sul bancone della cucina, un momento a cui Foreman fa ripetutamente riferimento nelle canzoni successive. In seguito ha utilizzato il filmato degli agenti che perquisivano la sua casa in video musicali che prendevano in giro la situazione e mettevano in discussione l’irruzione. Foreman ha dichiarato alla NPR in un’intervista. “L’unica cosa che mi è venuta in mente è stata quella di fare una canzone rap divertente su di loro, fare un po’ di soldi, usare i soldi per pagare i danni che hanno fatto e andare avanti”. E così, quattro agenti, due sergenti e un detective dell’ufficio dello sceriffo hanno intentato una causa contro Foreman per aver usato la loro immagine nei video musicali, sostenendo che si tratta di una violazione della privacy. I sette agenti delle forze dell’ordine chiedono di ottenere tutti i profitti ottenuti con la loro immagine, compresi i proventi delle canzoni, i video musicali, le vendite di merchandising e i biglietti per i concerti. Chiedono inoltre al tribunale di presentare un’ingiunzione per ritirare tutti i media di Foreman con le loro immagini.

English version

Do those accused of a crime have a right to privacy? According to the British College of Policing, no. The statement came after media organisations raised concerns about a proposed change to the College’s guidelines, according to which police forces in England and Wales would no longer have to name people accused of crimes. These changes had been suggested by the UK’s Data Protection Authority (ICO), to take into account developments in data protection law. The News Media Association and the National Union of Journalists were among the organisations opposing the proposals, which were shared with major publishers for feedback before being circulated to the police. The executive director of the College of Policing, said: ‘when an individual is accused of a crime, there should be no reasonable expectation of privacy. We believe this is strongly in the public interest and compatible with the Data Protection Act’. The College held a meeting with the ICO to understand its position and emphasise the importance of transparency, open justice and the ability of the media to obtain the information they need to do their job. The College will maintain its current position that ‘persons charged with an offence – including those receiving a court summons – should be named unless there is an exceptional and legitimate police purpose for not doing so or reporting restrictions apply’. An ICO spokesperson stated that: “The Data Protection Act acts as a tool to enable effective disclosure of information. We encourage all organisations to continue to make decisions based on the public interest, balancing them against the individual’s right to privacy.”

Grindr has issued a warning to its users in Egypt as police continue to target and arrest LGBTQ+ people via digital platforms. Egyptian users will see the following warning appear in Arabic and English when opening the app: ‘We have been warned that Egyptian police are actively arresting gay, bisexual and trans people on digital platforms. They are using fake accounts and have also taken control of the accounts of real members of the community who have already been arrested and had their phones confiscated. We urge you to exercise extreme caution online and offline, even with accounts that may have seemed legitimate in the past’. Egypt, although not technically outlawing homosexuality, often prosecutes members of the LGBTQ+ community on charges of ‘debauchery’ or ‘violation of public decency’. In 2017, it arrested seven people for hoisting a rainbow flag at a rock concert. Arrests of homosexuals remain common. An Egyptian government media officer did not respond to a request for comment on Grindr’s new measure. The warning to users comes after rights and media groups denounced how authorities in the region are increasingly using digital platforms to crack down on the LGBTQ+ community. In February, Human Rights Watch published a report documenting dozens of cases of security agencies in Egypt, Jordan, Lebanon, Iraq, and Tunisia extorting, harassing, publicly denouncing, and arresting LGBTQ+ people based on their activities on Facebook and Instagram, as well as on the dating app Grindr. The publication also questioned major tech companies that do not invest enough in moderating and protecting Arabic-language content.

Ohio law enforcement agencies have sued rapper Afroman for invasion of privacy. Afroman, whose real name is Joseph Foreman, had his home raided in August 2022 by the Adam County Sheriff’s Office. The officers were acting on a warrant alleging the presence of narcotics on the property. No evidence of criminal activity was found and no charges were filed. Foreman recorded the break-in with a series of security cameras inside his home. The footage shows police breaking down the door, rummaging through the wardrobe, opening CD cases and, at one point, glancing at a lemon plumcake on the kitchen counter, a moment Foreman repeatedly refers to in later songs. He later used footage of the officers searching his home in music videos that mocked the situation and questioned the raid. Foreman told NPR in an interview. “The only thing I could think of was to make a funny rap song about them, make some money, use the money to pay for the damage they did and move on.” And so, four officers, two sergeants and a detective from the sheriff’s office filed a lawsuit against Foreman for using their image in the music videos, claiming it was a violation of privacy. The seven law enforcement officers are seeking all profits made from their image, including proceeds from songs, music videos, merchandise sales and concert tickets. They are also asking the court to file an injunction to withdraw all media of Foreman with their images.

PRIVACY DAILY 77/2023

Trump e Putin arrestati? Una serie di immagini generate da un’AI si è presa gioco di questi potenti personaggi. Le immagini altamente dettagliate e sensazionali hanno inondato Twitter e altre piattaforme negli ultimi giorni, accompagnando la notizia che Trump deve affrontare possibili accuse penali e che la Corte penale internazionale ha emesso un mandato di arresto per Putin. Ma nessuna ddi esse è reale. Le immagini – e le decine di varianti che disseminano i social media – sono state, infatti, prodotte utilizzando generatori sempre più sofisticati – e ampiamente accessibili – alimentati dall’intelligenza artificiale. Gli esperti avvertono che le immagini sono foriere di una nuova realtà: una marea di foto e video falsi che inonda i social media dopo i principali eventi di cronaca, confondendo ulteriormente fatti e finzioni in momenti cruciali per la società. Sebbene la capacità di manipolare le foto e creare immagini false non sia nuova, gli strumenti di generazione di immagini AI di Midjourney, DALL-E e altri sono più facili da usare. Possono generare rapidamente immagini realistiche – complete di sfondi dettagliati – con poco più di una semplice richiesta di testo da parte degli utenti. Alcune delle immagini più recenti sono state determinate dal rilascio, questo mese, di una nuova versione del modello di sintesi testo-immagine di Midjourney, in grado, tra l’altro, di produrre immagini convincenti che imitano lo stile delle foto delle agenzie di stampa. La pratica è peraltro osteggiata dalle piattaforme di social media. Twitter ha una politica che vieta “media sintetici, manipolati o fuori contesto” con il potenziale di ingannare o danneggiare. Le annotazioni di Community Notes, il progetto di fact checking di Twitter, sono state allegate ad alcuni tweet per includere il contesto in cui le immagini di Trump sono state generate dall’intelligenza artificiale. Meta ha rifiutato di commentare. Alcune delle immagini inventate di Trump sono state etichettate come “false” o “mancanti di contesto” attraverso il programma di fact-checking di terze parti.

La data retention è una questione di vecchia data in Europa. Da sempre i governi hanno cercato di dare alle forze dell’ordine la possibilità di conservare i dati  che potrebbero essere rilevanti per le indagini. Allo stesse tempo, i tribunali nazionali e dell’UE hanno ripetutamente condannato le pratiche sproporzionate di raccolta dei dati. La capacità delle forze di polizia di ottenere e conservare i dati delle comunicazioni elettroniche ha causato lo stallo del Regolamento ePrivacy, una proposta legislativa che un numero crescente di Paesi ritiene non vedrà mai la fine dell’iter legislativo. In questo contesto, i governi europei stanno discutendo l’istituzione di un gruppo di esperti per discutere la conservazione e l’accesso ai dati delle forze dell’ordine. Secondo alcuni documenti trapelati, la data retention avrà un ruolo fondamentale. “Il tema dei dati deve essere affrontato in modo globale e coerente e non deve limitarsi alle questioni di accesso, ma anche di conservazione e sfruttamento”, si legge nel commento della Francia. L’Estonia la mette giù più diretta, affermando che “la conservazione dei dati è alla base dell’intero argomento. In poche parole: se non ci sono dati conservati, non ha senso parlare di accesso ai dati”. Sia la Lituania che la Polonia hanno ribadito questo punto, chiedendo che il gruppo sia copresieduto dalla Commissione e dalla presidenza di turno del Consiglio dei ministri dell’UE. La Francia aggiunge che dovrebbe esserci un monitoraggio regolare da parte del Comitato permanente per la cooperazione operativa in materia di sicurezza interna (COSI), che assicura la cooperazione sulle questioni di sicurezza interna dell’UE, “in collaborazione con il settore della giustizia”. Inoltre, Varsavia vuole anche dei sottogruppi dedicati alla crittografia e alla localizzazione dei dati. In effetti, Parigi ritiene che entrambe le questioni svolgano un ruolo centrale nella lotta alle organizzazioni criminali e alle reti terroristiche. Oltre alla conservazione dei dati, l’altro aspetto più sottolineato dai Paesi dell’UE è la crittografia end-to-end.

La Cina tenta di domare gli algoritmi. L’autorità di regolamentazione del mercato cinese ha pubblicato un aggiornamento delle norme sulla pubblicità online, compresa la supervisione degli algoritmi di raccomandazione utilizzati da app come Douyin (versione cinese di TikTok) che vengono utilizzati per inviare pubblicità a individui mirati. Le misure modificate di gestione della pubblicità su Internet entreranno in vigore il 1° maggio di quest’anno e avranno un impatto su un mercato altamente competitivo e in evoluzione che vale oltre 70 miliardi di dollari. Se da un lato le norme aggiornate si concentrano ancora sulla limitazione degli annunci online a comparsa, dall’altro gettano le basi per il controllo da parte dello Stato dei potenti algoritmi push. Secondo l’aggiornamento, chiunque utilizzi algoritmi di raccomandazione nella pubblicità online “deve registrare le regole per gli algoritmi e i registri pubblicitari”. Gli algoritmi sono l’elemento chiave del successo delle app di social media. Tuttavia, il potenziale abuso del potere degli algoritmi quando si tratta di bambini e adolescenti è fonte di preoccupazione per le autorità cinesi ed è stato invocato anche dai legislatori statunitensi per limitare l’uso o vietare TikTok. Secondo il rapporto, l’anno scorso il fatturato totale del mercato pubblicitario online cinese è sceso del 6,4% a 508,8 miliardi di yuan (74 miliardi di dollari). Con l’intensificarsi della concorrenza, la pubblicità online in Cina è diventata sempre più invasiva e alcune delle nuove disposizioni contenute nella normativa sono dirette a ridurla. La normativa prevede che gli operatori e gli influencer del live-streaming “si assumano le responsabilità e gli obblighi previsti dalla legge” quando si tratta di pubblicità. Le regole impediscono, inoltre, di inserire annunci pubblicitari nei veicoli, nei dispositivi di navigazione e negli elettrodomestici intelligenti senza il consenso dell’utente. Inoltre, si stabilisce che gli editor di annunci “non devono allegare annunci aggiuntivi o link commerciali quando gli utenti inviano e-mail o messaggi istantanei”.

English version

Trump and Putin arrested? A series of AI-generated images mocked these powerful figures. The highly detailed and sensational images have flooded Twitter and other platforms in recent days, accompanying the news that Trump faces possible criminal charges and that the International Criminal Court has issued an arrest warrant for Putin. But none of them are real. The images – and the dozens of variants that litter social media – have, in fact, been produced using increasingly sophisticated – and widely accessible – generators powered by artificial intelligence. Experts warn that the images are harbingers of a new reality: a flood of fake photos and videos flooding social media after major news events, further confusing fact and fiction at crucial moments in society. Although the ability to manipulate photos and create fake images is not new, AI image generation tools from Midjourney, DALL-E and others are easier to use. They can quickly generate realistic images – complete with detailed backgrounds – with little more than a simple text request from users. Some of the most recent images were brought about by the release this month of a new version of Midjourney’s text-image synthesis model, which can, among other things, produce convincing images that mimic the style of news agency photos. The practice is, however, opposed by social media platforms. Twitter has a policy prohibiting ‘synthetic, manipulated or out-of-context media’ with the potential to mislead or harm. Notes from Community Notes, Twitter’s fact-checking project, were attached to some tweets to include the context in which Trump’s images were generated by artificial intelligence. Meta declined to comment. Some of Trump’s fabricated images have been labelled as ‘fake’ or ‘lacking context’ through the third-party fact-checking programme.

Data retention is a long-standing issue in Europe. Governments have always tried to give law enforcement agencies the possibility to retain data that might be relevant for investigations. At the same time, national and EU courts have repeatedly condemned disproportionate data collection practices. The ability of police forces to obtain and retain electronic communication data has caused the stalling of the ePrivacy Regulation, a legislative proposal that an increasing number of countries believe will never see the end of the legislative process. In this context, European governments are discussing the establishment of an expert group to discuss the retention of and access to law enforcement data. According to leaked documents, data retention will play a key role. “The issue of data must be addressed in a comprehensive and coherent manner and must not be limited to issues of access, but also of retention and exploitation,” reads the commentary from France. Estonia puts it more bluntly, stating that ‘data retention underpins the whole topic. Simply put: if there is no data preserved, there is no point in talking about access to data’. Both Lithuania and Poland reiterated this point, calling for the group to be co-chaired by the Commission and the rotating presidency of the EU Council of Ministers. France adds that there should be regular monitoring by the Standing Committee on Operational Cooperation on Internal Security (COSI), which ensures cooperation on EU internal security matters, ‘in cooperation with the justice sector’. In addition, Warsaw also wants subgroups dedicated to encryption and data localisation. Indeed, Paris considers both issues to play a central role in the fight against criminal organisations and terrorist networks. Besides data retention, the other issue most emphasised by EU countries is end-to-end encryption.

China attempts to tame algorithms. China’s market regulator has published an update to the rules on online advertising, including the supervision of recommendation algorithms used by apps such as Douyin (Chinese version of TikTok) that are used to send advertisements to targeted individuals. The revised Internet advertising management measures will take effect on 1 May this year and will impact a highly competitive and evolving market worth more than USD 70 billion. While the updated rules still focus on limiting online pop-up ads, they also lay the groundwork for state control of powerful push algorithms. According to the update, anyone using recommendation algorithms in online advertising ‘must register rules for algorithms and advertising registries’. Algorithms are key to the success of social media apps. However, the potential abuse of the algorithms’ power when it comes to children and teenagers is a source of concern for Chinese authorities and has also been invoked by US lawmakers to restrict their use or ban TikTok. According to the report, last year the total turnover of the Chinese online advertising market fell by 6.4% to 508.8 billion yuan ($74 billion). As competition has intensified, online advertising in China has become increasingly intrusive and some of the new regulations are aimed at reducing it. The regulations require live-streaming operators and influencers to ‘assume the responsibilities and obligations prescribed by law’ when it comes to advertising. The rules also prevent advertisements from being placed in vehicles, navigation devices and smart appliances without the user’s consent. Furthermore, it is stipulated that ad editors ‘must not attach additional ads or commercial links when users send e-mails or instant messages’.

PRIVACY DAILY 76/2023

L’amministratore delegato di TikTok, Shou Chew, ha fatto la sua prima apparizione davanti al Congresso ed è stato immediatamente colpito da critiche feroci da parte dei legislatori. La presidente del Comitato per l’energia e il commercio della Camera, ha aperto l’audizione attaccando TikTok e dicendo: “La vostra piattaforma dovrebbe essere vietata”. “Mi aspetto che oggi diciate qualsiasi cosa per evitare questo risultato”, ha continuato, puntualizzando che “quando si festeggiano i 150 milioni di utenti americani su TikTok, si sottolinea l’urgenza che il Congresso agisca. Sono 150 milioni di americani su cui il Partito Comunista Cinese può raccogliere informazioni sensibili”. Rispondendo al fuoco di fila, Chew ha cercato di sottolineare l’indipendenza di TikTok dalla Cina e ha messo in risalto i suoi legami con gli Stati Uniti. “Abbiamo sedi a Los Angeles e Singapore e abbiamo 7.000 dipendenti negli Stati Uniti”, ha dichiarato. “Il punto cruciale è che si tratta di dati americani conservati su suolo americano da un’azienda americana e supervisionati da personale americano”. Sempre Chew ha affermato che “ByteDance non è un agente della Cina o di qualsiasi altro Paese”, facendo poi riferimento a tutte le misure che l’azienda ha adottato e intende adottare per risolvere i timori che il governo cinese possa accedere ai dati degli utenti di TikTok attraverso la sua potenziale influenza su ByteDance. Tra queste misure c’è la promessa di “mettere al riparo” i dati degli utenti statunitensi da “accessi stranieri non autorizzati”. Con la sua apparizione, Chew spera di mitigare l’accesa retorica di Washington sull’app, ma per farlo deve affrontare un enorme scetticismo da parte dei legislatori su TikTok e su se stesso. C’è da dire, però, che alla vigilia dell’udienza, decine di creators di TikTok che si oppongono al divieto hanno tenuto un’appassionata conferenza stampa in Campidoglio con il deputato Jamaal Bowman.

Aumenta la politicizzazione del tema delle cryptovalute e della privacy. Questa settimana, il governatore della Florida Ron DeSantis ha proposto una legge per cercare di impedire al governo federale di distribuire una Central Bank Digital Currency (CBDC) nel suo Stato. Accanto a uno striscione che recita “Il dollaro digitale del Grande Fratello”, il governatore DeSantis – che dovrebbe sfidare Donald Trump per la nomination repubblicana alla presidenza nel 2024 – sostiene che i CBDC possono consentire la sorveglianza da parte del governo federale, minacciando la privacy individuale e la libertà economica. Il suo progetto proibirebbe l’accettazione di un CBDC americano ai sensi del Codice commerciale uniforme della Florida e imporrebbe altri limiti ai CBDC di Paesi stranieri. Inoltre, ha invitato “gli Stati affini a unirsi alla Florida nell’adozione di divieti simili per contrastare questo concetto cryptovaluta a livello nazionale”. Ciò in quanto, a seconda di come verrà progettato tecnicamente e regolato legalmente, un CBDC rivolto ai consumatori potrebbe potenzialmente accumulare e immagazzinare grandi volumi di informazioni personali sugli acquisti e gli spostamenti quotidiani degli individui. A livello nazionale, gruppi come l’American Civil Liberties Union hanno ripetutamente sottolineato l’importanza di mantenere una privacy simile a quella del denaro contante, nel caso in cui il ramo esecutivo e il Congresso procedano con un dollaro digitale. A livello internazionale, vi sono fondati timori che i CBDC possano essere utilizzati, in particolare da Paesi non democratici, come strumento di sorveglianza e controllo pervasivo dei propri cittadini.

L’ufficio per la tutela dei consumatori della Commissione europea lancerà un’iniziativa volontaria per abbandonare i banner sui cookie. È il preludio a una proposta legislativa? L’iniziativa sui cookie sarà annunciata martedì 28 marzo durante lo European Consumer Summity, dove una sessione sarà dedicata alla pubblicità online e alle sfide poste dai cookie. Dopodiché, le parti interessate, come i gruppi di consumatori, gli editori, gli inserzionisti e le aziende tecnologiche, saranno invitate a una serie di tavole rotonde dopo la pausa pasquale. L’impulso politico dell’iniziativa proviene direttamente dal Commissario europeo per la Giustizia e i Consumatori Didier Reynders che già da tempo ha anticipato l’intenzione di affrontare la crescente “stanchezza da cookie” degli utenti online. L’impegno volontario proposto dal dipartimento dei consumatori è destinato a scontrarsi con il settore della politica digitale della Commissione, che nel 2017 ha proposto il regolamento ePrivacy per aggiornare l’attuale regime delle comunicazioni elettroniche, la direttiva ePrivacy, .Tuttavia, le discussioni sul regolamento ePrivacy sono state dirottate da una coalizione di Stati membri, guidata dalla Francia, che voleva introdurre disposizioni che consentissero alle forze dell’ordine di accedere e conservare i dati relativi alle comunicazioni elettroniche private. Dopo anni di stallo politico dovuto prima alle divergenze tra Parigi e Berlino e poi tra il Consiglio e il Parlamento dell’UE, è probabile che il Regolamento ePrivacy venga ritirato se non verrà raggiunto un accordo entro la fine di questo mandato europeo. L’idea è che agli utenti non venga chiesto il consenso tramite un banner di cookie ogni volta che approdano su un sito web. Al contrario, la loro preferenza verrebbe espressa una sola volta nell’ambito delle impostazioni del browser, con spiegazioni dettagliate sul motivo per cui vengono richiesti i loro dati, sui potenziali benefici e sul modello aziendale alla base del trattamento.

English version

TikTok CEO Shou Chew made his first appearance before Congress and was immediately met with fierce criticism from lawmakers. The chairwoman of the House Energy and Commerce Committee, opened the hearing by attacking TikTok and saying: ‘Your platform should be banned. “I expect you to say anything today to prevent this outcome,” she continued, pointing out that “when you celebrate 150 million American users on TikTok, it underscores the urgency for Congress to act. These are 150 million Americans on whom the Chinese Communist Party can collect sensitive information’. Responding to the barrage, Chew sought to emphasise TikTok’s independence from China and highlighted its ties to the United States. “We have offices in Los Angeles and Singapore and we have 7,000 employees in the US,” he said. “The bottom line is that this is American data stored on American soil by an American company and overseen by American staff.” Chew again stated that “ByteDance is not an agent of China or any other country,” going on to refer to all the measures the company has taken and intends to take to address fears that the Chinese government could access TikTok user data through its potential influence on ByteDance. Among these measures is a promise to ‘shield’ US user data from ‘unauthorised foreign access’. With his appearance, Chew hopes to mitigate Washington’s heated rhetoric about the app, but to do so he faces enormous scepticism from lawmakers about TikTok and himself. It must be said, however, that on the eve of the hearing, dozens of TikTok creators opposing the ban held an impassioned press conference on Capitol Hill with Congressman Jamaal Bowman.

The politicisation of the cryptocurrency and privacy issue is increasing. This week, Florida Governor Ron DeSantis proposed a bill to try to prevent the federal government from deploying a Central Bank Digital Currency (CBDC) in his state. Flanked by a banner reading ‘Big Brother’s Digital Dollar’, Governor DeSantis – who is expected to challenge Donald Trump for the Republican nomination for president in 2024 – argues that CBDCs can enable surveillance by the federal government, threatening individual privacy and economic freedom. His plan would prohibit the acceptance of a US CBDC under the Florida Uniform Commercial Code and impose other limits on CBDCs of foreign countries. In addition, he called on ‘like-minded states to join Florida in adopting similar bans to counter this cryptocurrency concept nationwide’. This is because, depending on how it is technically designed and legally regulated, a consumer-facing CBDC could potentially accumulate and store large volumes of personal information about individuals’ daily purchases and movements. At the national level, groups such as the American Civil Liberties Union have repeatedly stressed the importance of maintaining cash-like privacy should the executive branch and Congress proceed with a digital dollar. Internationally, there are well-founded fears that CBDCs could be used, particularly by non-democratic countries, as a tool for pervasive surveillance and control of their citizens.

The European Commission’s consumer protection office will launch a voluntary initiative to abandon cookie banners. Is this the prelude to a legislative proposal? The cookie initiative will be announced on Tuesday 28 March during the European Consumer Summity, where one session will be dedicated to online advertising and the challenges posed by cookies. Afterwards, stakeholders such as consumer groups, publishers, advertisers and technology companies will be invited to a series of roundtables after the Easter break. The political impetus for the initiative comes directly from European Commissioner for Justice and Consumers Didier Reynders, who has long anticipated the intention to tackle the growing ‘cookie fatigue’ of online users. The voluntary effort proposed by the consumer department is bound to clash with the Commission’s digital policy area, which in 2017 proposed the ePrivacy Regulation to update the current electronic communications regime, the ePrivacy Directive, .However, discussions on the ePrivacy Regulation were hijacked by a coalition of member states, led by France, which wanted to introduce provisions allowing law enforcement to access and retain private electronic communications data. After years of political deadlock due first to differences between Paris and Berlin and then between the EU Council and Parliament, the ePrivacy Regulation is likely to be withdrawn if no agreement is reached by the end of this European term. The idea is that users will not be asked for consent via a cookie banner every time they land on a website. Instead, their preference would be expressed only once within the browser settings, with detailed explanations as to why their data is being requested, the potential benefits, and the business model behind the processing.

PRIVACY DAILY 75/2023

Lo Utah è il primo Stato americano a limitare i trattamenti dei dati degli adolescenti da parte dei social media. Il governatore Spencer Cox sta per firmare due proposte di legge che mirano a proteggere i bambini dalla dipendenza e da altri potenziali danni dei social media. Le piattaforme dovranno ottenere il consenso dei genitori, se un utente di età inferiore ai 18 anni deciderà di aprire un account, e potrebbero incorrere in sanzioni e azioni legali in caso di violazioni. Queste proposte di legge sono tra gli sforzi più importanti che hanno impegnato quest’anno i legislatori statali in tutti gli Stati Uniti per regolamentare la fruizione dei servizi online da parte dei minori. La prima proposta richiede alle piattaforme di social media di verificare l’età degli utenti a partire dal 1° marzo 2024. Agli adolescenti verrebbe impedito, inoltre, di utilizzare i social media durante alcune ore notturne senza che un genitore modifichi le impostazioni dell’account. È inoltre prevista una limitazione della raccolta di informazioni personali dei minori. La seconda misura vieterebbe alle aziende di social media di utilizzare funzioni di design che creano dipendenza per i giovani sotto i 18 anni a partire dal 1° marzo 2024. Le violazioni potrebbero comportare sanzioni di 250.000 dollari per ogni funzione o pratica che crea dipendenza e di 2.500 dollari per ogni minore esposto, a meno che le aziende non verifichino e correggano le loro pratiche entro un determinato periodo di tempo. La misura prevede anche un diritto di azione legale per i danni subiti dal titolare di un account minorenne. Se l’utente ha meno di 16 anni, vi sarebbe una presunzione che il danno si sia verificato, rendendo più facile il successo di una richiesta di risarcimento in tribunale.

Secondo uno studio, alcune delle 12 principali app australiane per la fertilità raccolgono e vendono dati particolari. Lo studio, condotto congiuntamente da Katharine Kemp, researcher in law presso l’Università del New South Wales, e dal gruppo di consumatori Choice, ha valutato le privacy policy delle 12 app per la fertilità più popolari in Australia. Choice ha riscontrato che BabyCenter consentirebbe all’azienda di raccogliere informazioni sui propri utenti attraverso altre aziende e broker di dati, nonché di vendere dati personali ad altre aziende o di fornirli ad aziende che fanno pubblicità all’interno dell’app. Inoltre, permetterebbe alle aziende di tracciare i dati all’interno dell’app, a meno che non si scelga di non farlo, senza peraltro specificare se i dati vengono cancellati dopo un certo periodo di tempo. Choice ha scoperto che le app Glow Fertility, Nurture ed Eve “raccolgono ulteriori informazioni” sugli utenti da altre aziende, descritte solo come fonti di terze parti. Per di più, le app disporrebbero di tecnologie di tracciamento. Stando ai terms of service di Glow, tutti i dati degli utenti potrebbero essere diffusi a un’altra società, qualora l’app o il database venissero venduti. È stato, altresì, riscontrato che le app Ovia Fertility e Pregnancy raccoglierebbero numerosi dati non necessari per l’applicazione, tra cui malattie, situazione finanziaria, abitazione, sicurezza e livello di istruzione. Queste app potrebbero anche condividere la posizione e l’attività all’interno dell’app con gli inserzionisti. Choice ha riferito che l’app What To Expect è in grado di raccogliere informazioni sui suoi utenti da altre aziende, compresi gli intermediari di dati, consente la vendita dei dati degli utenti e permette ad altre aziende di tracciare gli utenti nell’app. Un esponente di Choice ha dichiarato che l’aspetto più preoccupante è la monetizzazione dei dati da parte delle app.

Neanche l’Intelligenza artificiale di ChatGpt è al sicuro da guasti tecnici che potrebbero pregiudicare la privacy. Nelle scorse ore, il software ha smesso di funzionare. A causare il disservizio la decisione dello sviluppatore, OpenAI, di bloccare temporaneamente la piattaforma per un bug, un errore che ha esposto i titoli delle conversazioni degli utenti. Il contenuto delle conversazioni, come ha precisato OpenAI a Bloomberg, non è stato diffuso. Dopo aver intercettato il problema la società, su cui Microsoft ha investito molto nei mesi scorsi, ha bloccato l’accesso alla chatbot per evitare che l’errore di privacy si estendesse ulteriormente. Prima di essere messo offline, sulla pagina principale di ChatGpt, invece di vedere la cronologia dei titoli delle proprie chat con l’AI, si potevano leggere quelli, casuali, di altri navigatori. Per evitare altri problemi, anche dopo la risoluzione, la cronologia degli utenti è rimasta indisponibile, con l’impossibilità di accedere alle domande fatte in precedenza all’intelligenza artificiale. La pagina di stato di ChatGpt ha specificato che OpenAI sta ancora lavorando per ripristinare il tutto.

English version

Utah is the first US state to restrict the processing of teenagers’ data by social media. Governor Spencer Cox is about to sign two bills that aim to protect children from the addiction and other potential harms of social media. Platforms will have to obtain parental consent if a user under the age of 18 decides to open an account, and could face penalties and legal action for violations. These bills are among the most important efforts that have engaged state legislators across the US this year to regulate minors’ use of online services. The first proposal would require social media platforms to verify the age of users as of 1 March 2024. Teenagers would also be prevented from using social media during certain hours at night without a parent changing their account settings. There would also be a restriction on the collection of personal information from minors. The second measure would prohibit social media companies from using addictive design features for young people under the age of 18 from 1 March 2024. Violations could result in penalties of $250,000 for each addictive feature or practice and $2,500 for each exposed minor, unless companies verify and correct their practices within a specified time period. The measure also provides a right of action for damages suffered by a minor account holder. If the user is under 16 years of age, there would be a presumption that the damage has occurred, making it easier to make a successful claim in court.

Some of Australia’s top 12 fertility apps collect and sell special data, according to a study. The study, conducted jointly by Katharine Kemp, a researcher in law at the University of New South Wales, and the consumer group Choice, assessed the privacy policies of the 12 most popular fertility apps in Australia. Choice found that BabyCenter would allow the company to collect information about its users through other companies and data brokers, as well as sell personal data to other companies or provide it to companies that advertise within the app. It would also allow companies to track data within the app unless you choose not to, without specifying whether the data is deleted after a certain period of time. Choice found that the apps Glow Fertility, Nurture and Eve ‘collect additional information’ about users from other companies, described only as third-party sources. What is more, the apps would have tracking technologies. According to Glow’s terms of service, all user data could be disclosed to another company if the app or database were sold. It was also found that the Ovia Fertility and Pregnancy apps would collect a lot of data not needed for the app, including illness, financial situation, housing, security and education level. These apps could also share location and activity within the app with advertisers. Choice reported that the What To Expect app is able to collect information about its users from other companies, including data brokers, allows the sale of user data, and allows other companies to track users in the app. A Choice representative stated that the most worrying aspect is the monetisation of data by apps.

Not even ChatGpt’s artificial intelligence is safe from technical failures that could affect privacy. In recent hours, the software has stopped working. The disruption was caused by the decision of the developer, OpenAI, to temporarily block the platform due to a bug, an error that exposed the titles of users’ conversations. The content of the conversations, as OpenAI clarified to Bloomberg, was not released. After intercepting the problem, the company, in which Microsoft has invested heavily in recent months, blocked access to the chatbot to prevent the privacy error from spreading further. Before being taken offline, on ChatGpt’s main page, instead of seeing the history of one’s chats with the AI, one could read the random ones of other surfers. To avoid other problems, even after the resolution, the users’ history remained unavailable, making it impossible to access the questions previously asked by the artificial intelligence. The ChatGpt status page specified that OpenAI is still working to restore everything.

PRIVACY DAILY 74/2023

Il Governo Britannico chiamato in tribunale per l’uso dei dati personali dei migranti. L’alta Corte del Regno Unito è stata investita di un ricorso riguardante il trattamento dei dati personali dei migranti da parte dell’esecutivo. La Corte è chiamata a decidere in particolare se la cosiddetta “immigration exception”, che consente il trattamento dei dati personali senza il consenso, sia compatibile con l’art. 23 del GDPR britannico. Il Data Protection Act del 2018 stabilisce specifici diritti, ma include anche la “immigration exception”, la disposizione per cui i diritti delle persone possono essere limitati proprio per questioni relative all’immigrazione. Un’“exception” che può essere attivata solo dal Segretario di Stato e dal Ministro dell’Interno al fine di consentire un “efficace controllo dei flussi migratori”. Per bocca di una sua responsabile Meg Foulkes, Open Right Group contesta tale impostazione, sottolineando che “Il rifiuto del Governo di affrontare il problema dei dati dei migranti dimostra che la sua priorità è mantenere un ambiente digitale ostile, piuttosto che un sistema di immigrazione equo e trasparente”. Non è la prima volta che il Governo viene trascinato in tribunale per aver fatto ricorso all’exception migratoria. Già 3million e la stessa Open Rights Group, a seguito di un ricorso alla giustizia britannica, avevano ottenuto che il sistema di limitazione dei diritti fosse corretto, introducendo le necessarie salvaguardie. Open Rights Group e the3million sono rappresentati da Waleed Sheikh, partner di Leigh Day e dall’avvocato Erin Alcock i quali dichiarano che “I nostri clienti continuano a essere preoccupati per la mancanza di tutele nell’ambito dell’esenzione per l’immigrazione. Ritengono fermamente che le misure adottate dal governo per rimediare ai difetti individuati dalla Corte d’Appello non siano sufficienti per raggiungere la conformità con il GDPR”. “Molte persone soggette a controlli sull’immigrazione – concludono – sono altamente vulnerabili ed è fondamentale che i loro diritti fondamentali siano salvaguardati”.

Parte il contropiede di TikTok a seguito delle crescenti pressioni occidentali sui temi della cybersicurezza e della privacy. L’amministratore delegato Shou Zi Chew è atteso giovedì davanti ai legislatori del Congresso degli Stati Uniti, dove sarà interrogato sulle pratiche dell’azienda – ovviamente con uno speciale focus su protezione dei dati e sicurezza – e sui rapporti con il governo cinese. Chew ha dichiarato in un video di TikTok che l’audizione “arriva in un momento cruciale” per l’azienda, dopo che i legislatori hanno iniziato a lavorare a misure che potrebbero portare ad un vero e proprio divieto statunitense dell’app. “Alcuni politici hanno iniziato a parlare di vietare TikTok. Ora questo potrebbe togliere TikTok a tutti i 150 milioni di voi”, ha detto Chew, vestito in modo casual con jeans e felpa blu con cappuccio, con la cupola del Campidoglio degli Stati Uniti a Washington sullo sfondo. Ha, poi, aggiunto: “Questa settimana testimonierò davanti al Congresso per condividere tutto ciò che stiamo facendo per proteggere gli americani che utilizzano l’app”. TikTok ha anche presentato regole e standard aggiornati per i contenuti e gli utenti in una serie riorganizzata di linee guida della comunità che includono otto principi per guidare le decisioni di moderazione dei contenuti. Queste misure, che entreranno in vigore il 21 aprile, sono state rielaborate dalle regole esistenti di TikTok con ulteriori dettagli e spiegazioni. Tra le modifiche più significative vi sono ulteriori dettagli sulle restrizioni ai deepfakes, noti anche come media sintetici creati dalla tecnologia dell’intelligenza artificiale. TikTok espone più chiaramente la sua politica, affermando che tutti i deepfake o i contenuti manipolati che mostrano scene realistiche devono essere etichettati per indicare che sono falsi o alterati in qualche modo. I deepfake di personaggi pubblici sono accettabili in determinati contesti, come ad esempio per i contenuti artistici o educativi, ma non per gli endorsement politici o commerciali.

Il maglione che rende invisibile esiste ed è un’invenzione tutta italiana. Ad idearlo Rachele Didero dottoranda di ricerca in “Textile and machine learning for privacy” al Politecnico di Milano. Didero è co-fondatrice della startup Cap-able, che produce maglioni e tessuti che confondono le telecamere con riconoscimento facciale. L’idea è nata nel 2019, quando Didero si trovava a New York dove venne a sapere di alcuni cittadini che avevano vinto una causa contro il complesso residenziale in cui vivevano, che aveva installato delle telecamere con riconoscimento biometrico. L’obiettivo della startup è produrre capi d’abbigliamento che preservino la privacy e i dati sensibili delle persone dalle telecamere con riconoscimento facciale. La startup è stata creata nel 2022 con l’aiuto di altri professionisti del settore tessile e dell’ingegneria. La collezione di capi d’abbigliamento della startup è stata chiamata “Collezione Manifesto”, con capi appariscenti che vogliono evidenziare i rischi dell’uso improprio di determinate tecnologie. E se qualcuno crede che tutto questo non sia legale, si sbaglia: al contrario, secondo il “patto per la sicurezza urbana tra sindaco e prefettura”, oggi in Italia non è possibile utilizzare telecamere con riconoscimento biometrico in luoghi pubblici (a meno di eventi di ordine pubblico).

English version

British government summoned to court over use of migrants’ personal data. The UK High Court has been seized with an appeal concerning the executive’s processing of migrants’ personal data. The Court is asked to decide in particular whether the so-called ‘immigration exception’, which allows the processing of personal data without consent, is compatible with Article 23 of the UK GDPR. The Data Protection Act 2018 sets out specific rights, but also includes the ‘immigration exception’, the provision whereby individuals’ rights can be restricted precisely because of immigration issues. An ‘exception’ that can only be activated by the Secretary of State and the Home Secretary in order to enable ‘effective control of migration flows’. Through one of its officers, Meg Foulkes, the Open Right Group challenges this approach, pointing out that ‘the government’s refusal to address the issue of migrant data shows that its priority is to maintain a hostile digital environment, rather than a fair and transparent immigration system’. This is not the first time that the government has been dragged into court over its use of migration exception. Already 3million and the Open Rights Group itself, following an appeal to the British courts, had obtained that the system of restricting rights be corrected by introducing the necessary safeguards. Open Rights Group and the3million are represented by Waleed Sheikh, partner at Leigh Day and lawyer Erin Alcock who state that ‘Our clients continue to be concerned about the lack of safeguards under the immigration exemption. They feel strongly that the steps taken by the government to remedy the defects identified by the Court of Appeal are not sufficient to achieve compliance with the GDPR.” “Many people subject to immigration controls,” they conclude, “are highly vulnerable and it is vital that their fundamental rights are safeguarded.

TikTok’s counter-attack starts in the wake of growing Western pressure on cybersecurity and privacy issues. CEO Shou Zi Chew is expected to appear before lawmakers in the US Congress on Thursday, where he will be questioned about the company’s practices – obviously with a special focus on data protection and security – and its relationship with the Chinese government. Chew said in a TikTok video that the hearing “comes at a crucial time” for the company, after lawmakers began working on measures that could lead to a full-fledged US ban on the app. “Some politicians have started talking about banning TikTok. Now this could take TikTok away from all 150 million of you,” said Chew, dressed casually in jeans and a blue hoodie, with the dome of the US Capitol in Washington in the background. He added: “This week I will testify before Congress to share everything we are doing to protect Americans who use the app. TikTok also presented updated rules and standards for content and users in a reorganised set of community guidelines that include eight principles to guide content moderation decisions. These measures, which will go into effect on 21 April, have been reworked from existing TikTok rules with additional details and explanations. Among the most significant changes are further details on restrictions on deepfakes, also known as synthetic media created by artificial intelligence technology. TikTok sets out its policy more clearly, stating that all deepfakes or manipulated content showing realistic scenes must be labelled to indicate that they are fake or altered in some way. Deepfakes of public figures are acceptable in certain contexts, such as for artistic or educational content, but not for political or commercial endorsements.

The jumper that makes you invisible exists and is an all-Italian invention. It was invented by Rachele Didero, a PhD student in ‘Textile and machine learning for privacy’ at the Politecnico di Milano. Didero is co-founder of the startup Cap-able, which produces jumpers and textiles that confuse cameras with facial recognition. The idea was born in 2019, when Didero was in New York where he heard about some citizens who had won a lawsuit against the apartment complex they lived in, which had installed cameras with biometric recognition. The startup’s goal is to produce clothing that preserves people’s privacy and sensitive data from facial recognition cameras. The startup was created in 2022 with the help of other textile and engineering professionals. The startup’s clothing collection has been called the ‘Manifesto Collection’, with flashy garments intended to highlight the risks of misuse of certain technologies. And if anyone believes that all this is not legal, they are mistaken: on the contrary, according to the ‘urban security pact between the mayor and the prefecture’, in Italy today it is not possible to use cameras with biometric recognition in public places (unless for public order events).

PRIVACY DAILY 73/2023

È morto Spiros Simitis, primo giurista ad aver formulato il diritto alla protezione dei dati personali. Si è spento all’età di 88 anni a Königsstein (Taunus) il professore greco, naturalizzato tedesco, padre della prima legge sulla protezione dei dati personali in Europa, adottata dal Land dell’Assia nel 1970. La storia globale della protezione dei dati inizia, infatti, proprio con questa legge, da cui hanno preso le mosse tutte le normative successive. Simitis, allora giovane professore presso l’Università Johann Wolfgang Goethe di Francoforte, ha messo a punto il testo normativo ed è stato, poi, commissario per la protezione dei dati dell’Assia dal 1975 al 1991. “Forse non è riuscito a far rispettare a tutti la protezione dei dati, ma è riuscito a farla conoscere a tutti” commenta la stampa tedesca. Ed in effetti, Spiros Simitis ha iniziato a studiare la protezione dei dati quando i computer erano ancora delle enormi scatole e venivano programmati con il nastro perforato, arrivando fino al cloud computing. Per lui, però, è stato subito chiaro che la protezione dei dati non era soltanto un aspetto della privacy, ma una forma di protezione della democrazia stessa. Nel pensiero di Simitis, il controllo sulle informazioni rappresenta, infatti, un prerequisito fondamentale delle società democratiche. Nato ad Atene, figlio di un avvocato, Spiros Simitis è arrivato in Germania all’età di 17 anni per studiare legge con il fratello Kostas, che in seguito è diventato primo ministro della Grecia. Ha conseguito il dottorato a 22 anni e l’abilitazione a 29. È stato professore prima a Giessen, poi a Francoforte, con cattedre di diritto civile, diritto commerciale, diritto del lavoro e informatica giuridica, nonché visiting professor in prestigiosi Atenei, tra cui Yale, Berkeley e Parigi.

Allo staff del Cremlino coinvolto nella campagna elettorale per le presidenziali del 2024 è stato vietato l’uso degli iPhone. Il giorno dopo la prima visita di Putin in Ucraina, si è diffusa la notizia, riferita dal giornale russo Kommersant, che ai membri dello staff coinvolti nella campagna per la rielezione dello stesso Putin alle presidenziali del 2024 è stato vietato, a partire dal prossimo 1° aprile, l’uso degli iPhone per il timore che i dispositivi possano essere vulnerabili alle agenzie di intelligence occidentali. Secondo la fonte citata dal Kommersant, i funzionari sono stati esortati a sostituire i loro iPhone con telefoni Android o con i loro analoghi di produzione cinese o russa. Finora provvedimenti di questo genere erano stati presi solo «in direzione opposta», ovvero da Occidente ad Oriente e in relazione ad aziende (e prodotti) cinesi, causando in alcuni casi veri e propri terremoti sul mercato degli smartphone, come quando nel 2019 il governo degli Stati Uniti ha messo al bando Huawei per timori analoghi o quando recentemente — riportava giorni fa il Financial Times — ha sospeso l’emissione di licenze per le esportazioni tecnologiche «made in Usa» a Huawei e imposto restrizioni all’esportazione di semiconduttori a diversi gruppi cinesi, per il timore che la società aiuti il governo di Pechino nello spionaggio. Non si dimentichi, inoltre, l’arresto da parte della polizia canadese, su mandato di cattura americano, della direttrice finanziaria di Huawei, Meng Wanzhou, figlia del fondatore dell’azienda, nel dicembre 2018. Sempre in Occidente, tre settimane fa la Commissione Ue ha chiesto a tutti i dipendenti, come già aveva fatto il governo americano, di disinstallare l’app cinese TikTok dai telefoni professionali, consentendone l’uso solo su quelli personali se non contengono documenti di lavoro.

Abuso di posizione dominante all’interno del suo mercato online, potenziali violazioni della privacy dei consumatori connesse alle sue telecamere Ring e all’assistente digitale Alexa. Sono i tre filoni lungo i quali l’Amministrazione Biden intende agire nei confronti del colosso Amazon, che ha all’attivo almeno una dozzina di importanti indagini a suo carico e che potrebbero creare non pochi problemi. Da ultimo, si è anche aggiunta da parte dell’FTC, l’istruttoria sull’acquisto del produttore di aspirapolveri iRobot. Sebbene Amazon sia già stata colpita da diverse controversie legali sotto il profilo antitrust a livello statale – sia a Washington che in California – le prossime cause federali rappresenterebbero le sfide più significative per l’azienda. Lunga è la contrapposizione tra l’FTC e Amazon, citata in giudizio anche con l’accusa di aver trattenuto illegalmente le mance da alcuni autisti addetti alle consegne. L’azienda ha risolto il caso, pagando quasi 60 milioni di dollari per rimborsare gli autisti. Nell’ultimo anno, i funzionari dell’Amministrazione Biden hanno seguito e con molta decisione le fusioni aziendali e le mosse delle aziende tecnologiche. L’anno scorso, ad esempio, la FTC ha fatto causa per bloccare l’acquisto di Activision da parte di Microsoft per 69 miliardi di dollari, e il Dipartimento di Giustizia ha due cause contro Google per le sue attività di ricerca e pubblicità, oltre a preparare un caso antitrust contro Apple. Stando a indiscrezioni, ci sono almeno due indagini della FTC aperte sulla privacy, una sul business delle videocamere e dei sistemi di sicurezza Ring di Amazon e l’altra sull’assistente vocale Alexa per potenziali violazioni del Children’s Online Privacy Protection Act. L’esito di almeno una di queste potrebbe arrivare nei prossimi due mesi. I rappresentanti della FTC e di Amazon hanno, però, rifiutato di commentare le indagini.

English version

Spiros Simitis, the first jurist to formulate the right to personal data protection, has died. The Greek professor, naturalised German, father of the first data protection law in Europe, adopted by the Land of Hesse in 1970, died at the age of 88 in Königsstein (Taunus). In fact, the global history of data protection begins with this very law, from which all subsequent regulations have been based. Simitis, then a young professor at Frankfurt’s Johann Wolfgang Goethe University, developed the regulatory text and was then Hessen’s data protection commissioner from 1975 to 1991. ‘He may not have succeeded in enforcing data protection for everyone, but he managed to make it known to everyone,’ comments the German press. And indeed, Spiros Simitis started studying data protection when computers were still huge boxes and were programmed with punched tape, all the way to cloud computing. For him, however, it was immediately clear that data protection was not just an aspect of privacy, but a form of protection of democracy itself. In Simitis’ thinking, control over information is, in fact, a fundamental prerequisite of democratic societies. Born in Athens, the son of a lawyer, Spiros Simitis came to Germany at the age of 17 to study law with his brother Kostas, who later became prime minister of Greece. He obtained his doctorate at the age of 22 and his habilitation at 29. He was a professor first in Giessen, then in Frankfurt, holding professorships in civil law, commercial law, labour law and legal informatics, as well as a visiting professor at prestigious universities, including Yale, Berkeley and Paris.

Kremlin staff members involved in the 2024 presidential election campaign have been banned from using iPhones. The day after Putin’s first visit to Ukraine, news broke, reported by the Russian newspaper Kommersant, that staff members involved in Putin’s 2024 presidential re-election campaign have been banned from using their iPhones as of 1 April due to fears that the devices could be vulnerable to Western intelligence agencies. According to the source quoted by Kommersant, officials were urged to replace their iPhones with Android phones or their Chinese- or Russian-made analogues. Until now, such measures had only been taken ‘in the opposite direction’, i.e. from West to East and in relation to Chinese companies (and products), in some cases causing real earthquakes on the smartphone market, such as when in 2019 the US government banned Huawei due to similar fears, or when recently – the Financial Times reported days ago – it suspended the issuing of licences for ‘made in the USA’ technology exports to Huawei and imposed restrictions on the export of semiconductors to several Chinese groups, due to fears that the company would aid the Beijing government in spying. Let us also not forget the arrest by Canadian police, on a US arrest warrant, of Huawei’s chief financial officer, Meng Wanzhou, daughter of the company’s founder, in December 2018. Also in the West, three weeks ago the EU Commission asked all employees, as the US government had already done, to uninstall the Chinese app TikTok from professional phones, allowing its use only on personal ones if they do not contain work documents.

Abuse of dominant position within its online marketplace, potential violations of consumer privacy related to its Ring cameras and digital assistant Alexa. These are the three strands along which the Biden administration intends to take action against the giant Amazon, which has at least a dozen major investigations against it to its credit and which could create quite a few problems. Most recently, the FTC has also added the investigation into Amazon’s purchase of vacuum cleaner manufacturer iRobot. Although Amazon has already been hit by several antitrust litigations at the state level – both in Washington and California – the upcoming federal lawsuits would represent the most significant challenges for the company. Long is the dispute between the FTC and Amazon, which is also being sued on charges of illegally withholding tips from some delivery drivers. The company settled the case, paying nearly $60 million to reimburse the drivers. Over the past year, Biden administration officials have been very vocal in following corporate mergers and moves by technology companies. Last year, for example, the FTC sued to block Microsoft’s $69 billion purchase of Activision, and the Justice Department has two lawsuits against Google over its search and advertising activities, as well as preparing an antitrust case against Apple. According to rumours, there are at least two open FTC privacy investigations, one on Amazon’s Ring camera and security systems business and the other on the voice assistant Alexa for potential violations of the Children’s Online Privacy Protection Act. The outcome of at least one of these could come within the next two months. Representatives of the FTC and Amazon have, however, declined to comment on the investigation.