PRIVACYDAILY

N. 129/2023

LE TRE NEWS DI OGGI:

  • MALTA, LO SCANDALO SUL DATA BREACH ELETTORALE NON RISPARMIA NEANCHE IL PADRE DEL MINISTRO DEI LAVORI PUBBLICI
  • COLOMBIA, LE AUTORITA’ POTRANNO ACCEDERE AI DATI BANCARI ANCHE SENZA PROVVEDIMENTO GIUDIZIARIO
  • RWANDA, LA STRATEGIA PER FAVORIRE IL COMMERCIO ELETTRONICO

Anche il padre del Ministro dei Lavori Pubblici e della Pianificazione Stefan Zrinzo Azzopardi, Joseph Zrinzo, era coinvolto nella C-Planet IT Services insieme al cognato del Ministro, Philip Farrugia, ma si è dimesso dalla sua posizione subito dopo lo scoppio dello scandalo dei dati elettorali. L’azienda è stata coinvolta in una massiccia violazione dei dati relativi alle informazioni e alle preferenze politiche di 337.384 elettori, che sono stati trasmessi al Partito Laburista prima delle elezioni del 2013, vinte dal partito con una vittoria schiacciante. La violazione dei dati è avvenuta durante il periodo in cui Zrinzo Azzopardi era presidente del partito, tra il 2003 e il 2013, e proveniva da una società gestita e posseduta da suo cognato e in cui era coinvolto anche suo padre. Zrinzo aveva ricoperto il ruolo di segretario della società, ma si era dimesso dall’incarico dopo lo scoppio dello scandalo politico e le richieste di libertà di informazione sulla violazione dei dati degli elettori da parte della società sono state presentate nell’aprile 2020. Farrugia ha assunto la posizione di Zrinzo al momento della sua uscita dall’azienda coinvolta nello scandalo e rimane l’unico azionista e amministratore della società. Le dimissioni di Zrinzo sono state depositate presso il Registro delle imprese di Malta il 23 dicembre 2020, ma sono state stranamente retrodatate alla data effettiva del 3 giugno 2020. La società era stata registrata per la prima volta nel giugno 2007. La violazione dei dati ha riguardato un database di elettori che conteneva informazioni personali come nomi, indirizzi e dati della carta d’identità di quasi tutti gli elettori. I dati includevano anche indicatori che indicavano se le persone erano più inclini a votare per il Partito laburista o per il Partito nazionalista. Il servizio di monitoraggio online – Under The Breach – ha rivelato per la prima volta la violazione quando ha twittato che i dati erano stati lasciati esposti da una società informatica maltese. Il cognato del ministro e proprietario dell’azienda, Philip Farrugia, è un ex direttore di produzione della società mediatica del partito laburista ONE Productions.

Una lettera arrivata sulle scrivanie dei rappresentanti legali di banche, società di brokeraggio, compagnie assicurative, cooperative e altre entità sottoposte alla supervisione della Sovrintendenza finanziaria ha ricordato loro il dovere di collaborare con la giustizia e le autorità per consegnare le informazioni richieste. La Circolare 32, firmata dal Supervisore Finanziario César Ferrari, parla della consegna di informazioni alle autorità senza la necessità di un ordine del tribunale, in modo che queste possano accedere ai dati finanziari di qualsiasi persona. L’ente giustifica che questa azione potrebbe prevenire i reati. La lettera, inviata il 24 maggio, afferma che “le richieste avanzate dalle autorità non richiedono un’ordinanza del tribunale, poiché mirano ad anticipare azioni criminali o terroristiche o a prevenire la violazione di diritti o libertà”. Aggiunge che vi è una necessità di rapidità nel rispondere alle richieste, “e pertanto la loro risposta richiede diligenza, tempestività e immediatezza”.”È importante che, nel fornire informazioni soggette a custodia o riservatezza, si tenga conto di questa qualità e che la riservatezza dei dati sia trasferita alle autorità o agli organismi richiedenti, per il loro uso esclusivo, in conformità con il loro dovere legale”, si legge nella circolare. In questo modo, il suggerimento agli enti vigilati è di creare un indirizzo e-mail esclusivo per gestire queste richieste di informazioni. E di designare un funzionario che assuma il ruolo di collegamento con le autorità. Questa persona dovrebbe tenere costantemente informato via e-mail l’organo giudiziario che richiede le informazioni. In risposta a questa richiesta, che ha fatto scattare qualche campanello d’allarme nel settore bancario, Ferrari ha affermato che non si tratta di una novità perché, a suo dire, la polizia chiede da dicembre dell’anno scorso che gli istituti finanziari collaborino in modo efficiente e rapido affinché le autorità possano agire rapidamente contro i criminali. Una delle questioni sollevate dalla suddetta circolare è la protezione delle informazioni finanziarie dei colombiani. Rafael Felipe Gómez, avvocato specializzato in diritto commerciale, ha spiegato che è importante chiarire che la Soprintendenza non sta modificando lo statuto organico del sistema finanziario colombiano, in termini di protezione dei dati, della privacy e tanto meno del segreto bancario.

Il Ruanda sta guadagnando sempre più attenzione a livello internazionale per le sue politiche digitali lungimiranti. Tali politiche, in parte, mirano a stimolare l’economia digitale emergente del Paese attraverso un approccio coordinato “a tutto campo”, sostenuto da una strategia nazionale per l’e-commerce recentemente pubblicata dall’UNCTAD. “La strategia nazionale per il commercio elettronico del Ruanda segna un’importante pietra miliare nel rafforzamento del quadro politico del Paese per facilitare il commercio digitale”, ha dichiarato Shamika N. Sirimanne, direttore UNCTAD per la tecnologia e la logistica. La strategia delinea un piano d’azione quinquennale per promuovere un ambiente favorevole al commercio elettronico in Ruanda, coinvolgendo i settori pubblico e privato. Essa contiene quadri dettagliati per la governance, l’attuazione, il monitoraggio e la valutazione. È il risultato di una partnership di lunga data che coinvolge l’UNCTAD, il governo ruandese e l’Ufficio per gli Affari Esteri, il Commonwealth e lo Sviluppo del Regno Unito. Alla strategia hanno contribuito anche l’agenzia di sviluppo tedesca GIZ, l’International Trade Centre e la Commissione delle Nazioni Unite per il diritto commerciale internazionale.Leva per uscire dallo status di Paese meno sviluppato Il Ruanda, una delle nazioni più densamente popolate dell’Africa subsahariana, ha fatto progressi per uscire dalla categoria dei Paesi meno sviluppati delle Nazioni Unite, in cui si trova dal 1971. Nell’ultimo decennio, ad esempio, il possesso di telefoni cellulari è aumentato costantemente, fino a raggiungere il 78,1% dei ruandesi nel 2022. Con la nuova strategia, gli esperti sono ottimisti sul fatto che il Ruanda potrà capitalizzare meglio l’e-commerce a vantaggio di imprese e consumatori, oltre a ottimizzare la fornitura di servizi governativi. “La crescita del commercio elettronico rappresenta un’opportunità unica per aprire l’accesso ai mercati internazionali e locali alle nostre piccole e medie imprese”, ha dichiarato Jean Chrysostome Ngabitsinze, ministro ruandese del Commercio e dell’Industria. “Può aiutare a rafforzare il contributo del settore privato alla crescita nazionale”, ha aggiunto il ministro. Al centro della strategia c’è l’ambizione del Ruanda di promuovere uno sviluppo sostenibile e inclusivo attraverso la digitalizzazione e il commercio elettronico .A tal fine, la strategia traduce le priorità politiche in iniziative attuabili che riguardano aree come le piattaforme di e-commerce, i dati, l’imprenditorialità, l’innovazione, i servizi finanziari e le soluzioni di pagamento digitale, nonché l’accesso ai finanziamenti.

English version

  • MALTA, THE ELECTORAL DATA BREACH SCANDAL DOES NOT SAVE EVEN THE FATHER OF THE MINISTER OF PUBLIC WORKS
  • COLOMBIA, AUTHORITIES MAY ACCESS BANK DATA EVEN WITHOUT A JUDICIAL PROVISION
  • RWANDA, THE STRATEGY TO FAVOUR E-COMMERCE

The father of Public Works and Planning Minister Stefan Zrinzo Azzopardi, Joseph Zrinzo, was also involved in C-Planet IT Services along with the minister’s brother-in-law Philip Farrugia but resigned from his position right after the electioneering data scandal broke.The company was involved in a massive data breach of information and political preferences of 337,384 voters that made its way to the Labour Party before the 2013 election, which the party won in a landslide. The data breach happened during Zrinzo Azzopardi’s time as party president between 2003 and 2013 and came from a company run and owned by his brother-in-law and in which his father was also involved. Zrinzo had served as company secretary but resigned from the post after the political scandal broke and freedom of information requests on the company’s voter data breach were filed in April 2020. Farrugia assumed Zrinzo’s position upon his exit from the scandal-tainted company and remains the company’s sole shareholder and director. Zrinzo’s resignation was filed at the Malta Business Registry on 23 December 2020 but was strangely backdated to an effective date of 3 June 2020. The company had first been registered in June 2007. The data breach involved a voter database that held personal information such as names, addresses and ID card details of almost the entire electorate. The data also included indicators as to whether individuals were more inclined to vote for the Labour Party or the Nationalist Party. Online monitoring service – Under The Breach – first revealed the breach when it tweeted that data had been left exposed by a Maltese IT company. The minister’s brother-in-law and company owner Philip Farrugia is a former production director at the Labour Party media company ONE Productions.

A letter that arrived on the desks of the legal representatives of banks, brokerage firms, insurance companies, cooperatives and other entities supervised by the Financial Superintendency reminded them of their duty to cooperate with the justice system and the authorities to hand over the information requested of them. Circular 32, signed by the Financial Supervisor, César Ferrari, talks about handing over information to the authorities without the need for a court order, so that they can access the financial data of any person. The entity justifies that this action could prevent crimes. The letter, sent on 24 May, states that “the requests made by the authorities do not require a court order since they seek to anticipate criminal or terrorist actions or to prevent the infringement of rights or freedoms”. It adds that there is a need for speed in responding to requests, “and therefore their response requires diligence, timeliness and immediacy”. “It is important that, when providing information subject to custody or confidentiality, this quality is taken into account and the confidentiality of the data is transferred to the requesting authorities or bodies, for their exclusive use, in compliance with their legal duty,” the circular reads. In this way, the suggestion to the supervised entities is to create an exclusive email address to deal with these requests for information. And also to designate an official to assume the role of liaison with the authorities. This person should keep the judicial body requesting information constantly informed by e-mail. In response to this request, which has set off some alarm bells in the banking sector, Ferrari said that this is nothing new because, he said, the police have been requesting since December last year that financial institutions collaborate efficiently and quickly so that the authorities can act swiftly against criminals. One of the issues raised by the aforementioned circular is the protection of Colombians’ financial information.Rafael Felipe Gómez, a lawyer specialising in commercial law, explained that it is important to be clear that the Superintendency is not modifying the organic statute of the financial system in Colombia, in terms of data protection, privacy, much less banking confidentiality.

Rwanda is increasingly gaining international attention for its forward-looking digital policies. These policies, in part, aim to stimulate the country’s emerging digital economy through a coordinated ‘whole-of-government’ approach, supported by a national e-commerce strategy recently published by UNCTAD. “Rwanda’s National E-Commerce Strategy marks an important milestone in strengthening the country’s policy framework to facilitate digital commerce,” said Shamika N. Sirimanne, UNCTAD Director for Technology and Logistics. The strategy outlines a five-year action plan to promote an enabling environment for e-commerce in Rwanda, involving the public and private sectors. It contains detailed frameworks for governance, implementation, monitoring and evaluation. It is the result of a long-standing partnership involving UNCTAD, the Government of Rwanda and the UK Foreign, Commonwealth and Development Office. The German development agency GIZ, the International Trade Centre and the United Nations Commission on International Trade Law have also contributed to the strategy.Leveraging out of Least Developed Country status Rwanda, one of the most densely populated nations in sub-Saharan Africa, has made progress in moving out of the UN Least Developed Country category, in which it has been placed since 1971. Over the past decade, for example, mobile phone ownership has steadily increased, reaching 78.1 per cent of Rwandans in 2022. With the new strategy, experts are optimistic that Rwanda will be able to better capitalise on e-commerce for the benefit of businesses and consumers, as well as optimise the delivery of government services. “The growth of e-commerce represents a unique opportunity to open access to international and local markets for our small and medium-sized enterprises,” said Jean Chrysostome Ngabitsinze, Rwanda’s Minister of Trade and Industry. ‘It can help strengthen the private sector’s contribution to national growth,’ the minister added. At the heart of the strategy is Rwanda’s ambition to promote sustainable and inclusive development through digitisation and e-commerce.To this end, the strategy translates policy priorities into actionable initiatives covering areas such as e-commerce platforms, data, entrepreneurship, innovation, financial services and digital payment solutions, and access to finance.

PRIVACYDAILY

N. 128/2023

LE TRE NEWS DI OGGI:

  • UK, IL GOVERNO SI APPELLA ALLE LEGGI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI PER RALLENTARE LE INCHIESTE SUL COVID
  • EU, TWITTER MINACCIA DI RITIRARSI DAL CODICE DI CONDOTTA SULLA DISINFORMAZIONE
  • USA, LA LEGGE DEL MONTANA CHE BANNA TIK TOK SOLLEVA QUESTIONI COSTITUZIONALI

I ministri hanno solo pochi giorni per decidere se compiere il passo straordinario di avviare un’azione legale contro l’inchiesta Covid, nell’ambito della loro battaglia per mantenere segreti una serie di messaggi sensibili provenienti da figure di alto livello come Boris Johnson e Rishi Sunak. A sole 48 ore dalla scadenza del termine per consegnare i messaggi e gli appunti non redatti tra Johnson e i suoi ministri, secondo l’Observer il governo è rimasto fermo nel suo rifiuto di divulgare il materiale. Fonti legali hanno detto che il governo ha solo pochi giorni per avviare un’azione legale per annullare le richieste di Heather Hallett, ex giudice della Corte d’Appello e presidente dell’inchiesta. La giudice ha avvertito che il mancato rispetto del suo ordine costituirebbe un reato penale punibile con una multa o con la reclusione. La battaglia è considerata estremamente importante per la definizione dell’inchiesta, con le prime udienze pubbliche a poco più di due settimane di distanza. Si prevede che i principali esponenti dei conservatori degli ultimi 13 anni di governo – tra cui David Cameron e George Osborne – saranno interrogati sulle misure adottate per prepararsi a una pandemia e sull’impatto dell’austerità sulla capacità di resistenza del Servizio sanitario nazionale. Gli avvocati dell’inchiesta hanno rivelato di aver gettato la rete “ad ampio raggio e a maglie strette”.Secondo l’Observer, l’Ufficio di Gabinetto continua a sostenere che l’inchiesta non ha il potere di costringerlo a consegnare il materiale non secretato che ritiene “inequivocabilmente irrilevante”. Il suo team legale sostiene che la divulgazione ostacolerebbe le future discussioni politiche e creerebbe un precedente dannoso. L’azienda cita la legge sui diritti umani e le leggi sulla protezione dei dati.Tuttavia, alcune figure di spicco stanno già avvertendo che è improbabile che qualsiasi sfida abbia successo. Dominic Grieve, ex procuratore generale dei conservatori, ha dichiarato: “Devono consegnare il materiale, oppure devono avviare un procedimento di revisione giudiziaria sulla base del fatto che la richiesta è irragionevole. Credo che se si presenteranno in tribunale per sostenere questa tesi, probabilmente riceveranno un’accoglienza piuttosto negativa”. “

L’annuncio del ritiro di Twitter dal codice di condotta sula disinformazione non sorprende chi ha partecipato all’impegno volontario. Da quando Elon Musk ha assunto il controllo dell’azienda tecnologica in ottobre, ha tagliato interi reparti, compresi quelli responsabili della moderazione dei contenuti, per ridurre i costi. “Stavo aspettando questo momento. Era solo una questione di tempo”, ha dichiarato a EURACTIV un funzionario dell’UE a condizione di anonimato, aggiungendo che l’eventuale ritiro di Twitter potrebbe essere la fine di un grattacapo per la Commissione, data la mancanza di conformità della piattaforma. “È l’unico modo, non possiamo costringerli a uscire”. La Commissione europea non ha fatto mistero di essere insoddisfatta del modo in cui Twitter ha rispettato il codice volontario, che è stato recentemente rivisto per portare gli impegni di lotta alla disinformazione a un livello completamente nuovo. A febbraio, i firmatari del codice di lotta alla disinformazione, che comprende tutte le principali piattaforme come Facebook, Google e TikTok, hanno dovuto presentare il loro primo rapporto sui progressi compiuti. Twitter si è distinto per lo scarso impegno nel rispettare gli impegni volontari e ha ricevuto un “cartellino giallo” morale. “Molti di noi sono rimasti sorpresi dal fatto che siano riusciti a presentare una relazione”, ha dichiarato un’altra parte coinvolta nel Codice, anch’essa in forma anonima, sottolineando che dopo i licenziamenti di massa, i rappresentanti di Twitter hanno iniziato ad abbandonare il lavoro da un giorno all’altro e la piattaforma si è disimpegnata dal lavoro.Secondo un secondo funzionario dell’UE, questa tensione di fondo sembra essere arrivata al culmine durante la riunione di mercoledì (24 maggio), quando “Twitter ci ha informato che sta seriamente considerando di lasciare il Codice”. “Non hanno ancora rassegnato le dimissioni, ma la Commissione europea si aspetta la comunicazione formale questa settimana”, ha dichiarato a EURACTIV un secondo stakeholder coinvolto nel Codice di condotta. Secondo il secondo funzionario dell’UE, i rappresentanti di Twitter hanno spiegato che con la nuova gestione Twitter si è orientato verso le Community Notes, un approccio di moderazione dei contenuti guidato dalla comunità.Tuttavia, questa argomentazione è “insincera” per la prima fonte di stakeholder, perché il codice avrebbe potuto essere adattato per coprire questo tipo di impegno della comunità. Tuttavia, Twitter non ha contribuito alla conversazione in quel momento.Secondo EURACTIV, la decisione finale sul ritiro spetta ora all’alta dirigenza, che potrebbe includere Musk. Una decisione formale in tal senso potrebbe essere annunciata alla prossima plenaria dei partecipanti al Codice, il 5 giugno.”Finora Twitter non ha ottemperato correttamente al suo primo obbligo di rendicontazione ai sensi del Codice rafforzato e la Commissione ha espresso preoccupazioni anche in merito al rispetto da parte di Twitter degli impegni assunti di dedicare risorse e misure adeguate per ridurre la disinformazione, nonché di fornire l’accesso ai dati ai ricercatori e al fact-checking”, ha dichiarato un portavoce della Commissione a EURACTIV.

TikTok ha citato in giudizio lo Stato per motivi costituzionali, accusando il Montana di aver ingiustamente indicato TikTok di aver violato le tutele della libertà di parola. Secondo avvocati e studiosi, è improbabile che il divieto sopravviva ai ricorsi e si prevede che l’esito influenzerà la decisione dei governatori di altri Stati di introdurre i propri divieti. La legge del Montana, firmata la scorsa settimana, impedisce alle piattaforme di app store di fornire TikTok per il download ai residenti dello Stato. L’accesso individuale all’applicazione è inoltre una violazione per la quale TikTok sarà multata di 10.000 dollari per ogni giorno in cui la sua applicazione opererà sui dispositivi del Montana dopo l’entrata in vigore della legge, il 1° gennaio 2024. Anche i creatori di contenuti di TikTok hanno intentato una causa contro lo Stato. I legislatori statali hanno inteso il divieto principalmente per proteggere i dati personali dei montanari dall’accesso del governo cinese, la stessa preoccupazione che ha spinto le agenzie statali e federali a bloccare l’uso dell’app sui dispositivi di proprietà del governo. Il Dipartimento di Giustizia sta indagando se il proprietario di TikTok Inc. ByteDance Ltd., con sede a Pechino, abbia sorvegliato gli account di cittadini statunitensi. Un precedente rapporto sulle azioni di ex dipendenti di ByteDance ha dimostrato che i dati degli utenti americani non sono completamente protetti da accessi impropri. TikTok, tuttavia, ha ripetutamente negato che il governo cinese abbia accesso ai dati degli utenti americani dell’app. Un portavoce della società ha rifiutato di fornire un commento aggiornato per questo articolo. Secondo il professore della Stanford Law School Evelyn Douek, studioso del Primo Emendamento, il Montana avrà bisogno di qualcosa di più dei timori per la sicurezza per difendere il divieto dalla causa di TikTok. “I tribunali non accetteranno le semplici affermazioni sull’esistenza di questi timori per la sicurezza nazionale”, ha detto. “Vorranno che il governo dimostri che i problemi di sicurezza nazionale sono reali, e finora non abbiamo visto queste prove”. Gli avvocati hanno dichiarato a Bloomberg Law che TikTok, nella sua denuncia iniziale, ha presentato solide argomentazioni relative alla libertà di parola, alle clausole di vincolo, alla prelazione federale e alla clausola commerciale. Uno dei maggiori ostacoli che impediranno alla legge del Montana di sopravvivere a una sfida legale sarà l’elevato livello di protezione della libertà di parola della Costituzione degli Stati Uniti, che TikTok sostiene sia stato messo in discussione. “Gli attuali precedenti legali supportano la tesi che questo divieto assoluto, con le conclusioni che il Montana e i suoi legislatori hanno presentato, è incostituzionale”, ha detto Douek. Il preambolo della legge (SB 419), oltre a citare le preoccupazioni per la sicurezza nazionale in merito alla raccolta e all’utilizzo dei dati personali dei cittadini del Montana, cita specifici tipi di contenuti sulla piattaforma come motivo per l’emanazione del divieto. La specificazione di particolari contenuti come base per il divieto probabilmente sottoporrà la legge del Montana a uno scrutinio rigoroso, richiedendo allo Stato di dimostrare una ragione convincente per la regolamentazione. Un tribunale potrebbe anche considerare il divieto come una restrizione preventiva alla libertà di parola, cosa che la Costituzione degli Stati Uniti generalmente proibisce. Nonostante i contenuti di TikTok possano essere “piuttosto sciocchi, piuttosto odiosi e alcuni piuttosto preoccupanti”, ha detto Douek, il Montana potrebbe avere difficoltà a dimostrare di avere una giustificazione convincente per bloccare l’applicazione.

English version

  • UK, GOVERNMENT APPEALS TO PERSONAL DATA PROTECTION LAWS TO SLOW DOWN COVID INVESTIGATIONS
  • EU, TWITTER THREATS TO WITHDRAW FROM CODE OF CONDUCT ON DISINFORMATION
  • USA, MONTANA LAW BANNING TIK TOK RAISES CONSTITUTIONAL QUESTIONS

Ministers have just days to decide whether to take the extraordinary step of launching legal action against the Covid inquiry, as part of their battle to keep secret a slew of sensitive messages from senior figures including Boris Johnson and Rishi Sunak. With just 48 hours remaining before the deadline to hand over unredacted messages and notes between Johnson and his ministers, the Observer understands the government is this weekend standing firm in its refusal to divulge the material. Legal sources said it has only a matter of days to launch legal action to quash the demands from Heather Hallett, the former court of appeal judge and chair of the inquiry. She has warned that a failure to comply with her order would amount to a criminal offence punishable with a fine or imprisonment. The battle is regarded as hugely important in shaping the inquiry, with the first public hearings just over two weeks away. It is set to see prominent Tories from across the last 13 years of government – including David Cameron and George Osborne – interrogated about the steps they took to prepare for a pandemic and the impact of austerity on the NHS’s resilience. Lawyers for the inquiry have revealed they have cast their net “widely and with a fine mesh”. The Observer understands the Cabinet Office continues to argue that the inquiry does not have the power to compel it to hand over unredacted material that it deems “unambiguously irrelevant”. Its legal team maintains that disclosure would hamper future policy discussions and set a harmful precedent. It cites the Human Rights Act and data protection laws. However, senior figures are already warning any challenge is unlikely to succeed. Dominic Grieve, the former Tory attorney general, said: “They’ve either got to hand the material over, or they have got to bring judicial review proceedings on the basis that her request is unreasonable. I think it is likely they will be given pretty short shrift if they turn up at court to argue that.

The announcement of Twitter’s withdrawal from the Disinformation Code of Conduct comes as no surprise to those who participated in the voluntary effort. Since Elon Musk took over the tech company in October, he has cut entire departments, including those responsible for moderating content, to cut costs. “I’ve been waiting for this moment. It was just a matter of time,” an EU official told EURACTIV on condition of anonymity, adding that Twitter’s eventual withdrawal could be the end of a headache for the Commission, given the platform’s lack of compliance. “It’s the only way, we can’t force them out.” The European Commission has made no secret of its dissatisfaction with the way Twitter has complied with the voluntary code, which was recently revised to take anti-misinformation commitments to a whole new level. In February, signatories to the Anti-Disinformation Code, which includes all major platforms such as Facebook, Google and TikTok, were due to submit their first progress report. Twitter stood out for its lack of commitment to meeting its voluntary commitments and received a moral “yellow card.” “Many of us were surprised that they were able to submit a report,” said another party involved in the Code, also on condition of anonymity, pointing out that after the mass layoffs, Twitter representatives began quitting overnight and the platform became disengaged from the work.According to a second EU official, this underlying tension seems to have peaked during Wednesday’s (May 24) meeting, when “Twitter informed us that they are seriously considering leaving the Code.” “They have not resigned yet, but the European Commission expects formal communication this week,” a second stakeholder involved in the Code of Conduct told EURACTIV. According to the second EU official, Twitter representatives explained that under new management Twitter has moved toward Community Notes, a community-driven approach to content moderation.However, this argument is “disingenuous” to the first stakeholder source because the code could have been adapted to cover this type of community engagement. However, Twitter did not contribute to the conversation at the time.According to EURACTIV, the final decision on withdrawal now rests with senior management, which could include Musk. A formal decision to that effect could be announced at the next plenary of Code participants on June 5. “To date, Twitter has not properly met its first reporting obligation under the enhanced Code, and the Commission has also expressed concerns about Twitter’s compliance with its commitments to dedicate adequate resources and measures to reduce disinformation, as well as to provide access to data to researchers and fact-checking,” a Commission spokesperson told EURACTIV.

TikTok sued the state on constitutional grounds, accusing Montana of unfairly singling out TikTok for violating free speech protections. According to lawyers and scholars, the ban is unlikely to survive the appeals, and the outcome is expected to influence the decision of other states’ governors to introduce their own bans. Montana’s law, signed last week, prevents app store platforms from providing TikTok for download to state residents. Individual access to the app is also a violation for which TikTok will be fined $10,000 for each day its app operates on Montana devices after the law takes effect Jan. 1, 2024. TikTok’s content creators also filed a lawsuit against the state. State lawmakers intended the ban primarily to protect Montanans’ personal data from Chinese government access, the same concern that prompted state and federal agencies to block the app’s use on government-owned devices. The Justice Department is investigating whether the owner of TikTok Inc. Beijing-based ByteDance Ltd. has been surveilling the accounts of U.S. citizens. An earlier report on the actions of former ByteDance employees showed that U.S. users’ data is not fully protected from improper access. TikTok, however, has repeatedly denied that the Chinese government has access to the app’s U.S. user data. A company spokesperson declined to provide an updated comment for this article. According to Stanford Law School professor Evelyn Douek, a First Amendment scholar, Montana will need more than security concerns to defend the ban against TikTok’s lawsuit. “The courts will not accept mere assertions about the existence of these national security concerns,” she said. “They will want the government to prove that the national security concerns are real, and so far we have not seen that evidence.” Lawyers told Bloomberg Law that TikTok, in its initial complaint, made strong arguments related to free speech, bonding clauses, federal preemption and the commerce clause. One of the biggest obstacles that will prevent Montana’s law from surviving a legal challenge will be the U.S. Constitution’s high level of free speech protections, which TikTok claims have been challenged. “Current legal precedents support the contention that this outright ban, with the conclusions that Montana and its legislators have presented, is unconstitutional,” Douek said. The preamble to the bill (SB 419), in addition to citing national security concerns about the collection and use of Montana citizens’ personal information, cites specific types of content on the platform as the reason for enacting the ban. TLhe specification of particular content as the basis for the ban will likely subject Montana’s law to strict scrutiny, requiring the state to demonstrate a compelling reason for the regulation. A court could also view the ban as a prior restriction on free speech, something the U.S. Constitution generally prohibits. Although TikTok’s content may be “pretty silly, pretty hateful, and some pretty troubling,” Douek said, Montana may have a hard time proving a compelling justification for blocking enforcement.

PRIVACYDAILY

N. 127/2023

LE TRE NEWS DI OGGI:

  • GERMANIA, AUTORITA’ GARANTE APRE UNA ISTRUTTORIA SU TESLA
  • AVANZA IL PROGETTO DI MEDIA FREEDOM ACT, LE PREOCCUPAZIONI SU RISERVATEZZA DELLE FONTI E TRASPARENZA
  • USA, MEDICO DEL MARYLAND ACCUSATO DI AVER VIOLATO LA PRIVACY DI PAZIENTI PER AIUTARE LA RUSSIA

Hadelsblatt citando l’ufficio per la protezione dei dati nello Stato in cui la casa automobilistica ha la sua gigafactory europea che le  autorità tedesche hanno seri indizi di possibili violazioni della protezione dei dati da parte di Tesla .Il rapporto di Handelsblatt afferma che la casa automobilistica elettrica statunitense non ha protetto adeguatamente i dati di clienti, dipendenti e partner commerciali, citando 100 gigabyte di dati riservati trapelati al giornale da un informatore. L’autorità di vigilanza sulla protezione dei dati nei Paesi Bassi, dove si trova la sede europea di Tesla, è stata informata del caso, ha dichiarato il giornale, aggiungendo che Tesla ha anche presentato una relazione preliminare alle autorità olandesi sulla questione. Il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR) stabilisce che le aziende sono obbligate a farlo se temono una fuga di dati personali. Tesla non è stata immediatamente disponibile per un commento sul rapporto. Handelsblatt ha poi detto che i dati dei clienti possono essere trovati “in abbondanza” nel set di dati, soprannominato “Tesla Files”.I file includono tabelle contenenti più di 100.000 nomi di ex e attuali dipendenti, tra cui il numero di previdenza sociale dell’amministratore delegato di Tesla Elon Musk, oltre a indirizzi e-mail privati, numeri di telefono, stipendi dei dipendenti, dati bancari dei clienti e dettagli segreti della produzione. La violazione violerebbe il GDPR, ha aggiunto il giornale. Handelsblatt ha citato un avvocato di Tesla, secondo cui un “ex dipendente scontento” avrebbe abusato del suo accesso come tecnico dell’assistenza per ottenere informazioni, aggiungendo che l’azienda avrebbe intrapreso un’azione legale contro il presunto ex dipendente .Secondo il giornale, l’informatore l’informatore ha notificato alle autorità tedesche la violazione della protezione dei dati in aprile.

Un nuovo testo di compromesso sulla legge europea sulla libertà dei media, elaborato dalla Presidenza svedese del Consiglio dell’UE, propone modifiche a settori quali la soglia di applicazione delle regole di trasparenza sull’assegnazione dei fondi pubblici e le disposizioni relative ai programmi spia e alla protezione delle fonti. La nuova legge sui media intende aumentare la trasparenza nella proprietà dei media e rafforzare il pluralismo del settore. Il testo di compromesso, datato 24 maggio e visionato da EURACTIV, sarà discusso dal Gruppo di lavoro “Audiovisivi e media” il 30 maggio. Finora, tuttavia, la legislazione ha suscitato polemiche su diversi punti: molti gruppi della società civile sostengono che non si spinge abbastanza in là e i governi nazionali difendono il loro controllo sulla regolamentazione dei media – tradizionalmente di competenza degli Stati membri – lamentando che si spinge troppo in là. Tra i cambiamenti proposti nel testo di compromesso di Stoccolma c’è una modifica della formulazione relativa ai soggetti protetti nelle disposizioni che riguardano le fonti giornalistiche e i programmi spia. La proposta include misure che impediscono agli Stati membri di obbligare i giornalisti a rivelare le loro fonti o di utilizzare software spia contro i fornitori di servizi mediatici. La proposta originaria della Commissione prevedeva che queste sezioni si applicassero ai fornitori di servizi di media e “ai loro familiari, o ai loro dipendenti o ai loro familiari”. Nel nuovo testo del Consiglio, invece, queste disposizioni si applicheranno ai fornitori di servizi di media o al loro “personale editoriale o a qualsiasi persona che, a causa del suo rapporto regolare con un fornitore di servizi di media o con il suo personale editoriale, possa disporre di informazioni che potrebbero identificare fonti giornalistiche”. I soggetti che rientrano in queste categorie dovrebbero essere anche quelli per i quali i Paesi dell’UE devono garantire il diritto a un’effettiva tutela giudiziaria in caso di violazioni. In un nuovo punto di questo articolo, e in un cenno a un dibattito molto più ampio sulla giustificazione dell’uso dei software spia, Stoccolma ha anche chiarito che le regole qui contenute non pregiudicano la responsabilità degli Stati membri di salvaguardare la sicurezza nazionale.

Una delle due dottoresse del Maryland accusate di aver cospirato per aiutare la Russia violando la privacy dei pazienti ha testimoniato in sua difesa giovedì.Le dottoresse Anna Gabrielian e Jamie Lee Henry sono state accusate a settembre di cospirazione per la divulgazione illecita di informazioni sanitarie identificabili individualmente.Nelle due ore e 20 minuti di testimonianza di giovedì, la Gabrielian ha ammesso di aver divulgato informazioni mediche private dei pazienti e si è scusata con questi ultimi.I suoi avvocati sostengono che la coppia di coniugi è stata intrappolata dagli investigatori federali.La Gabrielian, nata in Russia dove ha trascorso i primi otto anni della sua vita, ha contattato l’ambasciata russa nel marzo 2022, meno di una settimana dopo l’invasione dell’Ucraina daparte della Russia, per offrire assistenza. Ha testimoniato che stava offrendo la sua esperienza medica e accademica come anestesista impiegata alla Johns Hopkins e ha detto all’agente sotto copertura che era arrabbiata per l’interruzione dei progetti scientifici e delle collaborazioni mediche con i colleghi russi.Il suo avvocato ha mostrato ai giurati alcuni scambi di messaggi tra la Gabrielian e i suoi amici che mostravano il suo sostegno a un’iniziativa di approvvigionamento medico organizzata dal suo mentore, un medico ucraino.Uno dei messaggi recitava: “Che razza di medico sono, se me ne sto seduta nella mia comoda America senza fare nulla? Che razza di russo sono? Mi vergogno della mia inazione”.Ha raccontato che quella che era iniziata come “una genuina offerta di assistenza medica” a un impiegato dell’ambasciata si è trasformata in paura per la sua sicurezza e la sua carriera quando l’agente ha conosciuto dettagli personali su di lei, temendo che il funzionario fosse in realtà un ufficiale dei servizi segreti russi. La Gabrielian ha offerto l’esperienza del suo coniuge, il dottor Henry, come ufficiale medico dell’esercito americano, per aiutare i russi a costruire ospedali da campo, perché ciò avrebbe potuto salvare migliaia di vite. “Anche voi potete voler salvare vite russe”, ha detto alla giuria. La sua testimonianza dovrebbe continuare venerdì mattina.

English version

  • GERMANY, GUARANTOR AUTHORITY OPENS INSTRUCTION ON TESLA
  • MEDIA FREEDOM ACT DRAFT ADVANCED, CONCERNS ABOUT CONFIDENTIALITY OF SOURCES AND TRANSPARENCY
  • USA, MARYLAND DOCTOR ACCUSED OF VIOLATING PATIENTS’ PRIVACY TO HELP RUSSIA

Hadelsblatt quoting the data protection office in the state where the carmaker has its European gigafactory that German authorities have serious indications of possible data protection violations by Tesla .The Handelsblatt report states that the US electric carmaker did not adequately protect the data of customers, employees and business partners, citing 100 gigabytes of confidential data leaked to the newspaper by a whistleblower. The data protection supervisory authority in the Netherlands, where Tesla’s European headquarters is located, has been informed of the case, the newspaper said, adding that Tesla has also submitted a preliminary report to Dutch authorities on the matter. The European Union’s General Data Protection Regulation (GDPR) states that companies are obliged to do so if they fear a leak of personal data. Tesla was not immediately available for comment on the report. Handelsblatt went on to say that customer data can be found “in abundance” in the dataset, dubbed the “Tesla Files”.The files include tables containing more than 100,000 names of former and current employees, including Tesla CEO Elon Musk’s social security number, as well as private email addresses, phone numbers, employee salaries, customer bank details, and secret manufacturing details. The breach would violate the GDPR, the newspaper added. Handelsblatt quoted a Tesla lawyer as saying that a ‘disgruntled former employee’ had abused his access as a service technician to obtain information, adding that the company would take legal action against the alleged former employee.According to the newspaper, the whistleblower notified German authorities of the data protection breach in April.

A new compromise text on the European Media Freedom Act from the Swedish EU Council Presidency proposes changes to areas including the threshold of application for transparency rules on the allocation of public funds and the provisions covering spyware and the protection of sources.The new media law is meant to increase transparency in media ownership and strengthen the sector’s pluralism. The compromise text, dated 24 May and seen by EURACTIV, is set to be discussed at the Audiovisual and Media Working Party on 30 May. The legislation has drawn controversy on several points so far, however, with many civil society groups arguing that it does not go far enough and national governments defending their control over media regulation – traditionally a member state competence – by complaining that it goes too far. Amongst the changes proposed in Stockholm’s compromise text is an amendment of the wording surrounding those who are protected in the provisions covering journalistic sources and spyware. The proposal includes measures to prevent member states from obliging journalists to reveal their sources or from using spyware against media service providers. The Commission’s original proposal stated that these sections applied to media service providers and “their family members, or their employees or their family members”. In an expansion of this, however, in the Council’s new text, these provisions will now apply to media service providers or their “editorial staff or any persons who, because of their regular relationship with a media service provider or its editorial staff, may have information that could identify journalistic sources”. Those who fall into these categories should also be those for whom EU countries must ensure the right to effective judicial protection where breaches occur. Under a new point in this article, and in a nod to a much broader debate around the justification of the use of spyware, Stockholm also clarified that the rules here are without prejudice to member states’ responsibility for safeguarding national security.

One of the two Maryland doctors accused of conspiring to help Russia by violating patient privacy took the stand in her own defense Thursday.Doctors Anna Gabrielian and Jamie Lee Henry were charged in September with conspiracy to wrongfully disclose individually identifiable health information.In her two-hour, 20-minute testimony Thursday, Gabrielian admitted to disclosing private patient medical information and apologized to those patients.Her attorneys are arguing the married couple was entrapped by federal investigators. Gabrielian, born in Russia and spent the first eight years of her life there, reached out to the Russian embassy in March 2022, less than a week after Russia’s invasion of Ukraine, to offer assistance. She testified she was offering her medical and academic expertise as an anesthesiologist employed at Johns Hopkins.She told the undercover agent she was upset scientific projects and medical collaborations with Russian colleagues had been cut off.Her attorney showed jurors text exchanges between Gabrielian and her friends showing her support for a medical supply effort organized by her mentor, a Ukrainian physician.One of the texts read, “What kind of doctor am I to sit on my [expletive] in cushy America and do nothing? What kind of Russian am I? I am ashamed of my inaction.”She described what started as “a genuine offer of medical assistance” to an embassy clerk turned to fear for her safety and career when the agent knew personal details about her, fearing the official was actually a Russian intelligence officer. Gabrielian offered her spouse Dr. Henry’s expertise as a medical officer in the U.S. Army to help Russians build field hospitals because that could save thousands of lives. “You can just want to save Russian lives, too,” she told the jury.Her testimony is expected to continue Friday morning.


PRIVACYDAILY

N. 126/2023

LE TRE NEWS DI OGGI:

  • USA: UFFICIO IMMIGRAZIONE ACQUISIVA DATI DALLE BIG TECH
  • BELGIO: STOP AL TRAFFICO DEI DATI DEGLI AMERICANI ACCIDENTALI CON LE AUTORITA’ FISCALI USA
  • AUSTRALIA: GRAVE VIOLAZIONE DA PARTE DEL GOVERNO DELLO STATO DEL NORTHERN TERRITORY CON DATI INVIATI AD UN SOFTWARE CON SEDI ALL’ESTERO

L’Agenzia statunitense per l’immigrazione e l’applicazione delle leggi doganali (Ice) ha inviato ai “giganti della tecnologia”, tra cui Google, Twitter e Meta, almeno 500 citazioni amministrative per richiedere informazioni personali sensibili degli utenti, come risulta dai documenti esaminati dal Guardian. La pratica evidenzia la grande quantità di informazioni che l’Ice sta cercando di ottenere senza prima dimostrare la probabilità di una causa. Le citazioni amministrative non sono in genere certificate dal tribunale, il che significa che le aziende non sono legalmente tenute a rispettare o a rispondere fino a quando un giudice non le costringa a farlo. I documenti mostrano che in alcuni casi le aziende hanno consegnato le informazioni sugli utenti, anche se non è chiaro fino a che punto le aziende si siano conformate. Il documento evidenzia inoltre quanto sia ampia la rete che l’Ice sta gettando per sorvegliare i migranti. “Quando l’Ice ottiene i dati degli abbonati da Google o da Instagram, può combinare queste informazioni con miliardi di altri dati su centinaia di milioni di residenti negli Stati Uniti a cui ha accesso da altre aziende”, ha dichiarato Hannah Lucal, data and tech fellow di Just Futures Law, una delle organizzazioni che ha ottenuto i documenti. “Sebbene possano sembrare benevoli o come uno strumento legale, le citazioni amministrative stanno in realtà consentendo una sorveglianza Ice molto invasiva, non solo di qualcuno che l’agenzia sta prendendo di mira, ma potenzialmente anche di chiunque possa comunicare con quella persona su queste piattaforme tecnologiche”, ha detto Lucal. I documenti, che descrivono in dettaglio le richieste tra il 2018 e il 2021, mostrano che la maggior parte delle richieste erano legate agli sforzi dell’agenzia per l’applicazione delle leggi sull’immigrazione. Una manciata di casi riguardava il contrabbando di esseri umani e uno faceva parte di un’indagine per omicidio. Nella maggior parte dei casi, l’Ice ha chiesto alle aziende di consegnare informazioni sugli account, come l’indirizzo IP di una persona nel tempo e i dettagli dei pagamenti. In alcuni casi, l’agenzia si è spinta molto oltre, come risulta dai documenti. In un caso, l’Ice ha chiesto a Google i dettagli dell’account di Migrant Media, un canale YouTube che si concentrava e condivideva risorse sui problemi dei migranti. Nel mandato di comparizione, un funzionario dell’Ice ha dichiarato che l’agenzia stava cercando i nomi, gli indirizzi, le informazioni sui pagamenti e sulle fatture “e tutti gli indirizzi IP associati alla pagina YouTube” come parte di una “indagine o inchiesta in corso relativa all’applicazione delle leggi statunitensi sull’immigrazione”. Il mandato di comparizione non ha fornito ulteriori dettagli sulla natura dell’indagine.

Il Belgio smetterà di condividere i dati degli “americani accidentali” (persone che possiedono la cittadinanza statunitense in virtù della loro nascita ma che sono stabilite all’estero) con le autorità fiscali statunitensi dopo che l’Autorità per la protezione dei dati del Paese ha dichiarato illegale il trasferimento di informazioni. In base al Foreign Account Tax Compliance Act (FATCA), una misura contro l’evasione fiscale, le banche straniere devono inviare le informazioni sui conti detenuti dagli americani ai rispettivi governi, che le condividono con l’IRS. Il Congresso ha approvato la legge per catturare gli evasori fiscali americani che nascondono i loro fondi all’estero, ma ha anche preso di mira gli “americani accidentali” che sostengono di essere stati ingiustamente trascinati in una rete di rivelazione per un Paese con il quale hanno pochi legami. Per alcuni, le conseguenze sono state il rifiuto dei servizi bancari e altre seccature burocratiche nei loro Paesi d’origine. L’Autorità belga per la protezione dei dati ha dichiarato di aver riscontrato che i requisiti di condivisione delle informazioni violano il Regolamento generale sulla protezione dei dati (GDPR) dell’UE. L’agenzia ha affrontato la questione dopo che un gruppo di americani accidentali e un doppio cittadino belga-americano hanno presentato un reclamo nel 2020, ha dichiarato il governo in un comunicato. L’articolo 96 del GDPR consente di mantenere in vigore gli accordi internazionali precedenti al provvedimento dell’UE, se conformi alla legge al momento della loro stipula. Tuttavia, sia l’autorità per i dati che la Camera di Giustizia belga hanno affermato che il “trasferimento generalizzato e indifferenziato di dati fiscali” dell’accordo FATCA tra Stati Uniti e Belgio non soddisfa gli standard che richiedono che gli accordi internazionali contengano obiettivi precisi per il trasferimento di tali dati e che trattino solo i dati “strettamente” necessari per gli scopi perseguiti. “L’articolo 96 non può essere inteso come un’autorizzazione a che gli accordi internazionali rimangano contrari al GDPR nel tempo”, ha dichiarato Hielke Hijmans, presidente della Camera del contenzioso, nella dichiarazione di mercoledì. L’esenzione per gli accordi internazionali preesistenti “non esenta gli Stati membri dell’UE dal (ri)negoziare un accordo per renderlo conforme al GDPR”. La Camera del contenzioso ha anche rilevato che il FATCA “non contiene garanzie adeguate per assicurare che ai dati personali esportati sia garantito un livello di protezione simile a quello dei dati all’interno dell’UE”. “Ordinare la cessazione dei flussi di dati verso gli Stati Uniti ai sensi dell’accordo FATCA può sembrare severo, ma una volta constatato che non sono conformi alla legge applicabile, siamo obbligati a interrompere questi flussi di dati”, ha dichiarato Hijmans. La decisione è soggetta a ricorso, ha osservato l’autorità. “Il problema di fondo è che gli Stati membri dell’UE violano le proprie leggi per conformarsi a quelle statunitensi”, ha dichiarato in un comunicato Fabien Lehagre, presidente dell’Associazione degli Americani Accidentali. “È la prima volta che l’accordo FATCA viene dichiarato ufficialmente illegale”, ha aggiunto Lehagre via e-mail. “

In Australia il governo del Territorio del Nord ha violato la privacy di migliaia di pazienti della sanità pubblica inviando cartelle cliniche identificabili a un fornitore di software con uffici in Europa, Sud America e Cina. Un rapporto preliminare sull’incidente, ottenuto dall’ABC grazie alle leggi sulla libertà di informazione, mostra l’entità dei dati identificabili dei pazienti trasferiti tra la NT Health, il Core Clinical Systems Renewal Program (CCSRP) e il fornitore di software globale Intersystems tra il 2018 e il 2019.Il CCSRP – che fa capo al Dipartimento per lo sviluppo aziendale e digitale – è stato istituito nel 2017 per integrare quattro sistemi di cartelle cliniche di NT Health in uno solo, con un costo per i contribuenti di 259 milioni di dollari.Il nuovo sistema di cartelle cliniche, denominato “Acacia”, utilizza un software acquistato da Intersystems. Le cartelle cliniche di 50.616 pazienti sono state inviate dalla NT Health al CCSRP. Poi, come parte dell’accordo, 3.277 cartelle cliniche di pazienti identificabili sono state trasferite dal CCSRP a Intersystems. Questo secondo Intersystems, a cui il CCSRP ha chiesto una verifica dei dati trasferiti prima della segnalazione dell’incidente.Ma gli esperti hanno detto che non è chiaro se tutti i file inviati a Intersystems siano stati trovati.Il rapporto sull’incidente è stato commissionato da NT Health nel 2019 per quantificare l’entità dei dati trasferiti.Il rapporto ha stabilito quattro criteri per valutare il rischio clinico associato a ciascun record inviato tra NT Health, CCSRP e Intersystems.Due record trasferiti dal CCSRP a Intersystems sono stati classificati come “rischio molto elevato”, mentre 476 sono stati considerati “ad alto rischio”. Per essere classificate in queste due categorie di “classificazione del rischio”, il nome completo del paziente doveva essere visibile, con la presenza di informazioni “altamente sensibili” o “sensibili”.Le voci relative ai pazienti includevano relazioni psicologiche e visite a strutture psichiatriche, registrazioni di interruzioni di gravidanza o di nati morti e registrazioni di terapie elettroconvulsive, note anche come terapie con scosse elettriche.Sono stati trasferiti anche i dati relativi alle visite ai centri di cura oncologici, alle donazioni di organi e alle ricevute.Tutti gli altri dati relativi ai pazienti sono stati classificati come “a medio rischio” o “a basso rischio”, e il rapporto afferma che “il trasferimento di dati identificabili è stato un problema sistemico e non è stato effettuato da un singolo organismo.”

English version

  • USA: IMMIGRATION OFFICE ACQUIRED DATA FROM BIG TECH
  • BELGIUM: STOP TRAFFICING DATA OF ACCIDENTAL AMERICANS WITH U.S. TAX AUTHORITIES
  • AUSTRALIA: VIOLATION BY THE NORTHERN TERRITORY STATE GOVERNMENT WITH DATA SENT TO A SOFTWARE WITH LOCATIONS ABROAD

The U.S. Immigration and Customs Enforcement Agency (ICE) has sent “tech giants,” including Google, Twitter and Meta, at least 500 administrative subpoenas requesting sensitive personal information from users, according to documents reviewed by the Guardian. The practice highlights the large amount of information ICE is seeking without first demonstrating the likelihood of a lawsuit Administrative subpoenas are typically not certified by the court, meaning companies are not legally required to comply or respond until a judge forces them to do so. The documents show that in some cases companies have turned over user information, although it is unclear to what extent companies have complied. The document also highlights how wide a net Ice is casting to surveil migrants. “When ICE gets subscriber data from Google or Instagram, it can combine that information with billions of other data on hundreds of millions of U.S. residents that it has access to from other companies,” said Hannah Lucal, data and tech fellow at Just Futures Law, one of the organizations that obtained the documents. “While they may seem benign or like a legal tool, the administrative subpoenas are actually enabling very intrusive Ice surveillance, not only of someone the agency is targeting, but potentially anyone who may communicate with that person on these technology platforms,” Lucal said.The documents, which detail requests between 2018 and 2021, show that most of the requests were related to the agency’s immigration enforcement efforts. A handful of cases involved human smuggling and one was part of a murder investigation.In most cases, ICE asked companies to hand over account information, such as a person’s IP address over time and payment details.In some cases, the agency went much further, the documents show. In one case, ICE asked Google for account details of Migrant Media, a YouTube channel that focused and shared resources on migrant issues. In the subpoena, an ICE official said the agency was seeking the names, addresses, payment and billing information “and all IP addresses associated with the YouTube page” as part of an “ongoing investigation or inquiry related to the enforcement of U.S. immigration laws.” The subpoena provided no further details about the nature of the investigation.


Belgium will stop sharing data of “accidental Americans” (and people who hold U.S. citizenship by virtue of their birth but are based abroad) with U.S. tax authorities after the country’s Data Protection Authority declared the transfer of information illegal. Under the Foreign Account Tax Compliance Act (FATCA), an anti-tax evasion measure, foreign banks must send information about accounts held by Americans to their respective governments, which share it with the IRS. Congress passed the law to catch American tax evaders who hide their funds abroad, but it also targeted “accidental Americans” who claim they were unfairly dragged into a web of disclosure for a country with which they have little connection. For some, the consequences have been denial of banking services and other bureaucratic hassles in their home countries. The Belgian Data Protection Authority said it found that the information-sharing requirements violated the EU’s General Data Protection Regulation (GDPR). The agency addressed the issue after a group of accidental Americans and a dual Belgian-American citizen filed a complaint in 2020, the government said in a statement. Article 96 of the GDPR allows international agreements that predate the EU measure to remain in force if they were in accordance with the law at the time they were made. However, both the data authority and the Belgian Chamber of Justice said the FATCA agreement’s “blanket and undifferentiated transfer of tax data” between the U.S. and Belgium does not meet the standards that require international agreements to contain precise objectives for the transfer of such data and to deal only with data that is “strictly” necessary for the purposes pursued. “Article 96 cannot be understood as authorizing international agreements to remain contrary to the GDPR over time,” Hielke Hijmans, president of the Litigation Chamber, said in Wednesday’s statement. The exemption for pre-existing international agreements “does not exempt EU member states from (re)negotiating an agreement to bring it into compliance with the GDPR.” The Litigation Chamber also noted that FATCA “does not contain adequate safeguards to ensure that exported personal data is afforded a similar level of protection as data within the EU.” “Ordering the cessation of data flows to the U.S. under FATCA may seem harsh, but once we find that they do not comply with applicable law, we are obligated to stop these data flows,” Hijmans said. The decision is subject to appeal, the authority noted. “The underlying problem is that EU member states are violating their own laws to comply with U.S. laws,” Fabien Lehagre, president of the Association of Accidental Americans, said in a statement. “This is the first time the FATCA agreement has been officially declared illegal,” Lehagre added via e-mail. “

The Australian Northern Territory government violated the privacy of thousands of public health patients by sending identifiable medical records to a software vendor with offices in Europe, South America and China. A preliminary report on the incident, obtained by the ABC through Freedom of Information laws, shows the extent of identifiable patient data transferred between NT Health, the Core Clinical Systems Renewal Program (CCSRP) and global software vendor Intersystems between 2018 and 2019. CCSRP-which comes under the Department of Business and Digital Development-was established in 2017 to integrate four NT Health medical records systems into one, at a cost to taxpayers of $259 million.The new medical records system, called “Acacia,” uses software purchased from Intersystems. The medical records of 50,616 patients were sent from NT Health to CCSRP. Then, as part of the agreement, 3,277 identifiable patient records were transferred from CCSRP to Intersystems. This is according to Intersystems, which was asked by CCSRP for verification of the transferred data before the incident was reported.But experts said it is unclear whether all the files sent to Intersystems were found.The incident report was commissioned by NT Health in 2019 to quantify the extent of the transferred data. The report established four criteria to assess the clinical risk associated with each record sent between NT Health, CCSRP, and Intersystems.Two records transferred from CCSRP to Intersystems were classified as “very high risk,” while 476 were considered “high risk.” In order to be classified in these two “risk classification” categories, the full name of the patient had to be visible, with the presence of “highly sensitive” or “sensitive” information.Patient entries included psychological reports and visits to psychiatric facilities, records of pregnancy terminations or stillbirths, and records of electroconvulsive therapy, also known as electric shock therapy. Data on visits to cancer treatment centers, organ donations and receipts were also transferred.All other patient data were classified as “medium risk” or “low risk,” and the report states that “the transfer of identifiable data was a systemic issue and was not carried out by a single agency.”

PRIVACYDAILY

N. 125/2023

LE TRE NEWS DI OGGI:

  • USA: FTC VERSO LA REPRESSIONE DELLE AZIENDE SANITARIE CHE USANO I DATI DEI CLIENTI A SCOPI DI MARKETING
  • UK: I PARLAMENTARI CHIEDONO ALL’ICO DI AVVIARE UN’ISTRUTTORIA SU BGI GROUP L’AZIENDA CINESE LEADER NEL SETTORE DELLA GENOMICA
  • KENIA, PREOCCUPAZIONE PER LA PRIVACY E ID DIGITALE

L’avviso della Federal Trade Commission della scorsa settimana sul suo piano di repressione delle aziende sanitarie che utilizzano i dati dei clienti per il marketing è un segnale di guerra legale in arrivo. Il piano di utilizzare una norma sulla cybersicurezza vecchia di 14 anni “sta davvero superando il limite”, ha dichiarato Kirk Nahra, avvocato specializzato in privacy presso lo studio legale WilmerHale. Ha aggiunto: che l’agenzia sta cercando “retroattivamente” di “rivedere la norma per adattarla alle azioni esecutive che ha già intrapreso”. Nahra si aspetta molti commenti sulla portata dell’avviso – che a questo punto rimane una proposta, non una norma definitiva – e potenziali sfide legali se la FTC non lo ridimensiona. “Hanno ragione al 100% sul fatto che i dati sanitari… necessitano di una regolamentazione più completa in materia di privacy, ma non sono sicuro che la FTC abbia ricevuto dal Congresso gli strumenti sufficienti per farlo”, ha aggiunto Deven McGraw, ex funzionario di alto livello dell’HHS Office for Civil Rights e responsabile della gestione e condivisione dei dati presso l’azienda biotecnologica Invitae. Cosa contiene la proposta? L’obiettivo è spiegare come la norma sulla notifica delle violazioni sanitarie del 2009 della FTC, inizialmente concepita per definire le responsabilità delle aziende quando gli hacker accedono ai loro sistemi, si applichi alla condivisione dei dati per scopi di marketing. Se finalizzata, la proposta richiederebbe alle aziende sanitarie di ottenere l’approvazione del cliente prima di condividere le informazioni sanitarie di identificazione personale dei clienti. Chiarirà che le app per la salute, comprese quelle che offrono servizi e forniture per la salute – con una definizione ampia che include prodotti e servizi per il fitness, il sonno, la dieta e la salute mentale, oltre a un elenco di categorie – saranno soggette a regolamenti che impongono alle aziende di informare i clienti se i loro dati identificabili sono accessibili ai partner commerciali o condivisi a scopo di marketing. Fino a febbraio, quando ha raggiunto un accordo con il fornitore di servizi di monitoraggio dei prezzi dei farmaci e di teleassistenza GoodRx per presunta violazione della norma, la FTC non l’aveva mai utilizzata contro le aziende che condividevano consapevolmente i dati dei clienti con i partner commerciali.

Nel Regno Unito un gruppo di parlamentari ha avvertito che un’azienda cinese che vende test di gravidanza nel Paese sarà indagata per il rischio potenziale che i dati genetici possano essere  condivisi con il governo di Pechino. Deputati hanno chiesto che l’Information Commissioner’s Office (ICO) avvii un’indagine sul BGI Group, la principale azienda cinese di genomica. I deputati hanno utilizzato un’indagine condotta dall’agenzia di stampa Reuters nel 2021, secondo la quale l’azienda avrebbe utilizzato le informazioni genetiche raccolte da madri in attesa in tutto il mondo “per ricerche a tappeto sui tratti delle popolazioni”.Il rapporto affermava che il test prenatale non invasivo NIFTY è una fonte di dati genetici per l’azienda, che secondo il rapporto stava lavorando con l’esercito cinese per migliorare la “qualità della popolazione” e sulla ricerca genetica per combattere la perdita dell’udito e il mal di montagna nei soldati.L’azienda ha negato di essere legata allo Stato cinese e ha dichiarato di aver “precedentemente smentito” le accuse fatte dai politici nella loro lettera all’ICO.I parlamentari hanno sollevato preoccupazioni dopo che, a marzo, alcune entità del BGI sono state inserite nella lista nera del governo statunitense per le accuse di aver condotto analisi genetiche e attività di sorveglianza per conto di Pechino, che secondo Washington sarebbero state utilizzate per reprimere le minoranze etniche in Cina. Nella loro lettera all’ICO, i politici hanno affermato che: “È fondamentale che i consumatori abbiano piena trasparenza per valutare attentamente i rischi associati alla condivisione di tali dati con aziende cinesi legate allo Stato”.

Le iniziative governative in materia di identità digitale in Africa devono fare i conti con una mancanza di fiducia che potrebbe ostacolarne la diffusione, in quanto i civili si interrogano sul loro intento e sulla loro sicurezza. In Kenya, il piano del governo di sostituire le attuali carte d’identità di seconda generazione con un documento d’identità digitale di terza generazione, denominato Unique Personal Identifier (UPI), sta già sollevando le preoccupazioni dei gruppi della società civile, che chiedono una sufficiente protezione dei dati dei civili, nonché trasparenza e inclusione nel processo di transizione. Il governo ha comunque assicurato ai kenioti che l’UPI non ripeterà gli errori commessi durante l’introduzione dell’Huduma Number, che nonostante abbia consumato miliardi di denaro dei contribuenti, è finito per essere un altro progetto “elefante bianco” con milioni di carte che giacciono non ritirate negli uffici di registrazione civile di tutto il Paese. Parlando durante l’avvio della settima conferenza IF4Africa a Nairobi, alla quale hanno partecipato delegati provenienti da 90 Paesi, il responsabile dell’ICT Eliud Owalo ha dichiarato che il piano è di avere tutti i kenioti con un’identità digitale nella prima metà del prossimo anno. “Stiamo perseguendo questo obiettivo perché, a nostro avviso, dobbiamo trasformare il Kenya in un’economia digitale, vogliamo gestire un governo senza carta da un lato e, dall’altro, un’economia digitale che non può essere raggiunta se non abbiamo un’identità digitale”, ha dichiarato l’ICT CS Eliud Owalo. Ha chiarito che il governo non sta cercando di reinventare il numero Huduma, che ha affermato essere diverso dall’identità digitale UPI. “L’intenzione dell’Huduma Number era quella di mettere insieme un database della popolazione abilitato alle TIC; il nostro interesse qui non è quello di sviluppare un database della popolazione, ma di assicurare che ci sia una via tecnologica attraverso la quale il governo possa determinare con chi sta facendo affari, un ID virtuale per utilizzare i servizi governativi comodamente da dove si trovano (cittadini/stranieri/rifugiati) senza doversi recare fisicamente negli uffici governativi”, ha spiegato il CS Owalo, che ha anche messo in dubbio la tempistica dell’introduzione dell’Huduma Number, affermando che ciò ha contribuito al suo fallimento.

English version

  • USA: FTC TOWARDS REPRESSION OF HEALTH CARE COMPANIES USING CUSTOMER DATA FOR MARKETING PURPOSES
  • UK: PARLIAMENTARIANS ASK ICO TO LAUNCH INSTRUCTORY ON BGI GROUP THE CHINESE LEADER IN GENOMICS
  • KENYA, CONCERNS ABOUT PRIVACY AND DIGITAL ID

The Federal Trade Commission’s warning last week about its plan to crack down on healthcare companies that use customer data for marketing is a sign of a coming legal war. The plan to use a 14-year-old cybersecurity rule “is really crossing the line,” said Kirk Nahra, a privacy lawyer at the law firm WilmerHale. He added: that the agency is “retroactively” seeking to “revise the rule to fit the enforcement actions it has already taken.” Nahra expects much comment on the scope of the notice – which at this point remains a proposal, not a final rule – and potential legal challenges if the FTC does not scale it back. ‘They’re 100 per cent right that health data… needs more comprehensive privacy regulation, but I’m not sure the FTC has been given enough tools by Congress to do that,’ added Deven McGraw, a former senior official at the HHS Office for Civil Rights and head of data management and sharing at biotech firm Invitae. What does the proposal contain? It aims to explain how the FTC’s 2009 health breach notification rule, initially designed to define companies’ responsibilities when hackers access their systems, applies to data sharing for marketing purposes. If finalised, the proposal would require healthcare companies to obtain customer approval before sharing customers’ personally identifiable health information. It will clarify that health apps, including those offering health services and supplies – with a broad definition including fitness, sleep, diet and mental health products and services, as well as a list of categories – will be subject to regulations requiring companies to inform customers whether their personally identifiable data is accessed by business partners or shared for marketing purposes. Until February, when it reached a settlement with drug price monitoring and telehealth service provider GoodRx for allegedly violating the rule, the FTC had never used it against companies that knowingly shared customer data with business partners.

A parliamentary group has warned that a Chinese company selling pregnancy tests in the UK will be investigated over the potential risk that genetic data could be shared with the Beijing government. MPs called for the Information Commissioner’s Office (ICO) to launch an investigation into BGI Group, China’s leading genomics company. The MPs used an investigation conducted by the Reuters news agency in 2021, according to which the company used genetic information collected from expectant mothers around the world ‘for blanket research into population traits’.The report claimed that the NIFTY non-invasive prenatal test is a source of genetic data for the company, which according to the report was working with the Chinese army to improve ‘population quality’ and on genetic research to combat hearing loss and altitude sickness in soldiers. The company denied being linked to the Chinese state and said it had ‘previously denied’ the allegations made by the politicians in their letter to the ICO.The MPs raised concerns after some BGI entities were blacklisted by the US government in March over allegations that they had conducted genetic analysis and surveillance activities on behalf of Beijing, which Washington said were used to suppress ethnic minorities in China. In their letter to the ICO, the politicians stated that: “It is critical that consumers have full transparency to carefully assess the risks associated with sharing such data with Chinese state-linked companies.”

Government digital identity initiatives in Africa face a lack of trust that could hinder their deployment, as civilians question their intent and security. In Kenya, the government’s plan to replace the current second-generation ID cards with a third-generation digital ID, called Unique Personal Identifier (UPI), is already raising concerns from civil society groups, who are demanding sufficient protection of civilian data, as well as transparency and inclusiveness in the transition process. The government has however assured Kenyans that the UPI will not repeat the mistakes made during the introduction of the Huduma Number, which despite consuming billions of taxpayers’ money, ended up being another ‘white elephant’ project with millions of cards lying uncollected in civil registration offices across the country. Speaking during the launch of the seventh IF4Africa conference in Nairobi, attended by delegates from 90 countries, ICT head Eliud Owalo said the plan is to have all Kenyans with a digital identity in the first half of next year. “We are pursuing this because, in our view, we need to transform Kenya into a digital economy, we want to run a paperless government on the one hand and, on the other hand, a digital economy that cannot be achieved if we do not have a digital identity,” said ICT CS Eliud Owalo. He clarified that the government is not trying to reinvent the Huduma number, which he said is different from the UPI digital identity. “The intention of the Huduma Number was to put together an ICT-enabled database of the population; our interest here is not to develop a population database, but to ensure that there is a technological avenue through which the government can determine who it is doing business with, a virtual ID to use government services from the comfort of where they (citizens/foreigners/refugees) are without having to physically go to government offices,” explained CS Owalo, who also questioned the timing of the introduction of the Huduma Number, saying that this contributed to its failure.

PRIVACYDAILY

N. 124/2023

LE TRE NEWS DI OGGI:

  • USA FTC AFFERMA CHE EDMONDO (PROVIDER DI SERVIZI EDUCATIVI TECH) HA USATO ILLEGALMENTE I DATI DEI BAMBINI
  • MICROSOFT DOVREBBE SOSPENDRE LA COSTRUZIONE DEI DATA CENTER IN ARABIA SAUDITA
  • GERMANIA, IL BGH (CASSAZIONE TEDESCA) SI PRONUNCIA SUL DIRITTO ALL’OBLIO

La Federal Trade Commission ha ottenuto un ordine contro il fornitore di tecnologie per l’istruzione Edmodo per aver raccolto dati personali di bambini senza il consenso dei genitori e per averli utilizzati a fini pubblicitari, in violazione della Children’s Online Privacy Protection Act Rule (COPPA Rule), e per aver illegittimamente esternalizzato le proprie responsabilità di conformità alla COPPA alle scuole. In base all’ordine proposto, adottato dal Dipartimento di Giustizia (DOJ) per conto della FTC, a Edmodo, Inc. sarà vietato richiedere agli studenti di fornire più dati personali di quelli necessari per partecipare a un’attività didattica online. Si tratta di una prima volta per un ordine della FTC ed è in linea con una dichiarazione politica emessa dalla FTC nel maggio 2022 che metteva in guardia le aziende di tecnologia educativa dal costringere genitori e scuole a fornire dati personali sui bambini per partecipare all’istruzione online. Nel corso dell’indagine della FTC, Edmodo ha sospeso le attività negli Stati Uniti. L’ordine, se approvato dal tribunale, vincolerà l’azienda, anche nel caso in cui riprenda le attività negli Stati Uniti. “Questo ordine chiarisce che i fornitori di tecnologie didattiche non possono esternalizzare le responsabilità di conformità alle scuole o costringere gli studenti a scegliere tra la loro privacy e l’istruzione”, ha dichiarato Samuel Levine, direttore dell’Ufficio per la protezione dei consumatori della FTC. “Altri fornitori di tecnologie didattiche dovrebbero esaminare attentamente le loro pratiche per assicurarsi di non compromettere la privacy degli studenti”. In una denuncia, anch’essa presentata dal DOJ, la FTC afferma che Edmodo ha violato la COPPA Rule non fornendo informazioni sulle pratiche di raccolta dei dati dell’azienda a scuole e insegnanti e non ottenendo il consenso verificabile dei genitori. La COPPA prevede che i servizi online e i siti web rivolti ai minori di 13 anni informino i genitori sulle informazioni personali che raccolgono e ottengano il consenso verificabile dei genitori per la raccolta e l’utilizzo di tali informazioni. Fino a settembre 2022, Edmodo, con sede in California, ha offerto una piattaforma online e un’applicazione mobile con spazi di classe virtuali per ospitare discussioni, condividere materiali e altre risorse online per insegnanti e scuole negli Stati Uniti tramite un servizio gratuito e in abbonamento. L’azienda ha raccolto informazioni personali sugli studenti, tra cui il nome, l’indirizzo e-mail, la data di nascita e il numero di telefono, nonché identificatori persistenti, che ha utilizzato per fornire annunci pubblicitari.

Diciotto gruppi per i diritti umani hanno dichiarato che Microsoft dovrebbe sospendere i suoi piani di investimento in un nuovo centro dati cloud in Arabia Saudita fino a quando non sarà in grado di dimostrare come mitigherà le potenziali violazioni dei diritti umani. C’è un rischio enorme che le autorità saudite possano ottenere l’accesso ai dati memorizzati nel centro dati cloud di Microsoft, ponendo così minacce uniche e dirette ai diritti umani e alla privacy, hanno affermato i gruppi per i diritti umani. Il record abissale del governo saudita in materia di diritti umani, la storia di infiltrazione nelle piattaforme tecnologiche per spiare gli attivisti per i diritti umani, l’impiego di sofisticati software di sorveglianza informatica – tra cui spyware – contro i dissidenti, e le disposizioni vaghe e ampie delle sue leggi contro il crimine informatico e per la protezione dei dati mettono in serio dubbio la capacità di Microsoft di sostenere le proprie responsabilità in materia di diritti umani nel Paese. “Il fatto che il governo saudita violi impunemente i diritti alla privacy rappresenta un grave pericolo per i dati conservati all’interno dei suoi confini”, ha dichiarato Joey Shea, ricercatore sull’Arabia Saudita di Human Rights Watch. “Microsoft deve condurre un’accurata procedura di due diligence sui diritti umani e deve spiegare pubblicamente come mitigherà i potenziali impatti negativi sui diritti umani associati all’hosting del data center in Arabia Saudita”. Nel febbraio 2023 Microsoft ha annunciato l’intenzione di investire in un data center cloud in Arabia Saudita per offrire servizi cloud aziendali, nonostante la mancanza di tutele legali, la lunga lista di abusi dei diritti umani e i numerosi precedenti di spionaggio dei dissidenti attraverso l’accesso illegale ai dati personali. Human Rights Watch ha scritto a Microsoft nel febbraio 2023 evidenziando queste preoccupazioni. Microsoft ha risposto alle domande di Human Rights Watch, sottolineando l’impegno di Microsoft nei confronti dei Trusted Cloud Principles e il suo approccio per la gestione di data center in Paesi o regioni con problemi di diritti umani, ma ha affermato che le sue risposte dovevano rimanere ufficiose. Dall’ascesa al potere del principe ereditario Mohammad bin Salman nel 2017, le autorità saudite hanno scatenato un’ondata di arresti che hanno colpito difensori dei diritti umani, attivisti di spicco per i diritti delle donne, importanti uomini d’affari, alti membri della famiglia reale e funzionari governativi.

Quando le persone interessate hanno il diritto di chiedere a Google di rimuovere dalle sue liste di ricerca articoli discutibili che le riguardano? La Corte Suprema Federale (BGH) si sta occupando di questa questione. Il ricorso è stato presentato da una coppia del settore dei servizi finanziari che si è sentita screditata su Internet. I due vogliono che diversi articoli critici sul loro modello di investimento non compaiano più tra le hit list quando si cerca il loro nome su Google. Finora Google non ha rimosso i link agli articoli, sostenendo di non poter giudicare la veridicità delle accuse. Nel 2018 l’Oberlandesgericht di Colonia aveva stabilito che Google poteva continuare a mostrare la maggior parte dei testi oggetto del contendere. I ricorrenti non avevano dimostrato una violazione evidente nel modo richiesto. La Corte di giustizia europea (CGUE) ha stabilito nel dicembre 2022 che gli operatori dei motori di ricerca non sono obbligati a condurre delle vere e proprie indagini in questi casi. Di conseguenza, gli interessati devono dimostrare da soli che le informazioni sono false. Se ci riescono, Google deve rimuovere i link ai contenuti controversi.

English version

  • USA FTC STATES THAT EDMONDO (TECH EDUCATIONAL SERVICES PROVIDER) ILLEGALLY USED CHILDREN’S DATA
  • MICROSOFT SHOULD STOP CONSTRUCTION OF DATA CENTERS IN SAUDI ARABIA
  • GERMANY, BGH (GERMAN CASH) RULES ON RIGHT TO OBLIGATION

The Federal Trade Commission obtained an order against education technology provider Edmodo for collecting personal data from children without parental consent and using it for advertising purposes, in violation of the Children’s Online Privacy Protection Act Rule (COPPA Rule), and for unlawfully outsourcing its COPPA compliance responsibilities to schools. Under the proposed order, filed by the Justice Department on behalf of the FTC, Edmodo, Inc. will be prohibited from requiring students to provide more personal information than is necessary to participate in an online educational activity. This is a first for an FTC order and is in line with a policy statement issued by the FTC in May 2022 that warned educational technology companies against forcing parents and schools to provide personal data about children to participate in online education. In the course of the FTC investigation, Edmodo suspended operations in the United States. The order, if approved by the court, will bind the company, even if it resumes operations in the US. “This order makes clear that educational technology providers cannot outsource compliance responsibilities to schools or force students to choose between their privacy and education,” said Samuel Levine, director of the FTC’s Bureau of Consumer Protection. “Other educational technology providers should carefully examine their practices to ensure they are not compromising student privacy.” In a complaint, also filed by the DOJ, the FTC alleges that Edmodo violated the COPPA Rule by failing to provide information about the company’s data collection practices to schools and teachers and by failing to obtain verifiable parental consent. The COPPA Rule requires online services and websites targeting children under 13 to inform parents about the personal information they collect and obtain verifiable parental consent for the collection and use of that information. Until about September 2022, California-based Edmodo offered an online platform and mobile application with virtual classroom spaces to host discussions, share materials and other online resources for teachers and schools in the US through a free, subscription-based service. The company collected personal information about students, including name, email address, date of birth and phone number, as well as persistent identifiers, which it used to provide advertisements.

Eighteen human rights groups said Microsoft should suspend its plans to invest in a new cloud data centre in Saudi Arabia until it can demonstrate how it will mitigate potential human rights violations. There is a huge risk that Saudi authorities could gain access to data stored in Microsoft’s cloud data centre, posing unique and direct threats to human rights and privacy, human rights groups said. The Saudi government’s abysmal human rights record, history of infiltrating technology platforms to spy on human rights activists, the use of sophisticated cyber surveillance software – including spyware – against dissidents, and the vague and broad provisions of its cybercrime and data protection laws cast serious doubt on Microsoft’s ability to uphold its human rights responsibilities in the country. “The fact that the Saudi government violates privacy rights with impunity poses a grave danger to data stored within its borders,” said Joey Shea, Saudi Arabia researcher at Human Rights Watch. “Microsoft must conduct thorough human rights due diligence and publicly explain how it will mitigate the potential negative human rights impacts associated with hosting the data centre in Saudi Arabia.” In February 2023, Microsoft announced its intention to invest in a cloud data centre in Saudi Arabia to offer corporate cloud services, despite the lack of legal protections, the long list of human rights abuses, and the numerous history of spying on dissidents through illegal access to personal data. Human Rights Watch wrote to Microsoft in February 2023 highlighting these concerns. Microsoft responded to Human Rights Watch’s questions, emphasising Microsoft’s commitment to the Trusted Cloud Principles and its approach to operating data centres in countries or regions with human rights concerns, but said its answers should remain off the record. Since Crown Prince Mohammad bin Salman came to power in 2017, Saudi authorities have unleashed a wave of arrests targeting human rights defenders, prominent women’s rights activists, prominent businessmen, senior members of the royal family and government officials.

When do data subjects have a right to have Google remove questionable articles about them from its hit lists? The Federal Supreme Court (BGH) is now dealing with this question. The complaint was filed by a couple from the financial services industry who felt they had been discredited on the internet. They want several critical articles about their investment model to no longer appear as hits when people search for their names on Google. Google has so far not removed the links to the articles – on the grounds that it could not judge whether there was any truth in the accusations. The Cologne Higher Regional Court had ruled in 2018 that Google may continue to display most of the offending texts. The plaintiffs had not shown an obvious infringement in the required manner. The European Court of Justice (ECJ) had ruled in December 2022 that search engine operators are not obliged to conduct their own investigations in such cases. Accordingly, those affected must prove themselves that the information is false. If they succeed, Google must remove the links to the offending content.

PRIVACYDAILY

N. 123/2023

LE TRE NEWS DI OGGI:

  • IRLANDA, META SANZIONATA PER 1,2 MILIARDI DI EURO
  • COMMISSIONE EU: L’ANALLISI DEI MESSAGGI PER CONTRASTARE LA PEDOPORNOGRAFIA NON E’ CONTRO I DIRITTI FONDAMENTALI
  • IL CAPO DEGLI AFFARI INTERNI PEZZULLI E’ STATO INTERROGATO SULLE REGOLE DEI SOCIAL DOPO IL DIVIETO DI TIKTOK

L’Autorità garante della privacy irlandese ha deciso di infliggere una multa record da 1,2 miliardi di euro a Meta per violazione delle legge europea sulla protezione dei dati tramite il social Facebook. Lo ha reso noto il Garante europeo per la privacy. Si tratta della più alta sanzione imposta da un regolatore della protezione dei dati in Europa, risultato di un’indagine avviata nel 2020. Meta, che intende presentare ricorso, è stata condannata per aver “continuato a trasferire dati personali” di utenti dallo Spazio economico europeo (See) agli Stati Uniti in violazione delle norme europee in materia, ha indicato nella sua decisione la Commissione irlandese per la protezione dei dati (Dpc). Meta deve inoltre “sospendere qualsiasi trasferimento di dati personali negli Stati Uniti entro cinque mesi” dalla notifica della decisione e deve conformarsi entro sei mesi, si legge ancora nella nota. Meta definisce la multa “ingiustificata e non necessaria” e avvierà un’azione legale per sospenderla, ha reagito immediatamente il gigante dei social media in una dichiarazione. “Migliaia di aziende e organizzazioni fanno affidamento sulla capacità di trasferire dati tra Ue e Usa” e “c’è un conflitto di diritti fondamentali tra le regole del governo Usa sull’accesso ai dati e i diritti europei alla privacy” ha spiegato il colosso californiano

La Commissione europea ha difeso la sua proposta legislativa per combattere il materiale pedopornografico (CSAM) in un documento informale, sostenendo che non è incompatibile con la Carta dei diritti fondamentali dell’UE e con la giurisprudenza. La legge sul materiale pedopornografico autorizzerebbe le autorità giudiziarie a emettere ordini di rilevamento che impongano a piattaforme come WhatsApp e Gmail di implementare strumenti automatizzati per analizzare tutte le comunicazioni sui loro servizi al fine di individuare contenuti sospetti e tentativi di “pedofilia”. Da quando la proposta è stata presentata l’anno scorso, ha ricevuto un’accoglienza contrastante, dovuta in parte al suo effetto sproporzionato sui diritti fondamentali, da parte del Garante europeo della protezione dei dati (GEPD), da una valutazione esterna del Parlamento europeo e dal servizio giuridico del Consiglio dell’UE. Proprio quest’ultimo, particolarmente influente nel processo decisionale dell’UE, sembra aver spinto la Commissione europea ad assumere una posizione difensiva in un documento informale del 16 maggio all’organo tecnico competente del Consiglio dell’UE. “I servizi della Commissione ritengono che le norme proposte e la giurisprudenza disponibile fino ad oggi, considerate nella loro interezza e correttamente interpretate, non forniscano alcun motivo per concludere che su questo punto il regolamento proposto sia incompatibile con la Carta [dei diritti fondamentali dell’UE]”, si legge nel documento, a cui EURACTIV ha avuto accesso. Per garantire ciò, le ingiunzioni possono essere emesse solo dopo una “valutazione preventiva obbligatoria del rischio e un processo di mitigazione”. Il tribunale nazionale competente deve innanzitutto valutare se vi siano prove di un rischio significativo che il servizio sia utilizzato per abusi sessuali su minori e se le ragioni per emettere l’ingiunzione siano superiori alle conseguenze negative, dopo aver bilanciato tutti i diritti fondamentali e altri diritti e interessi in gioco. Inoltre, la Commissione europea ha sottolineato che anche le autorità pubbliche indipendenti devono essere coinvolte nel processo. Una delle garanzie a questo proposito è che i fornitori di servizi soggetti a un ordine di rilevamento “devono riferire regolarmente sull’attuazione e l’autorità nazionale competente deve valutare regolarmente se l’obbligo di rilevamento debba essere modificato”, al fine di garantire “un’efficace gestione dei ricorsi e dei reclami” e altri controlli.

Il gabinetto federale sta chiedendo il parere del Dipartimento degli Affari Interni sui rischi per la sicurezza di Instagram, Netflix, Twitter e delle app di incontri, sulla scia del divieto di TikTok sui dispositivi in dotazione al governo. Il segretario del Dipartimento Mike Pezzullo ha confermato che il rapporto di una revisione interna dei rischi dei social media è stato fornito al Ministro degli Affari Interni Clare O’Neil a marzo, durante l’audizione del Senato di lunedì scorso. Pezzullo si è rifiutato di rivelare la natura del parere, ma ha lasciato intendere che il gabinetto stava prendendo in considerazione la possibilità di limitare l’uso di applicazioni diverse da TikTok quando ha detto che la signora O’Neil aveva deciso di presentare la revisione al gabinetto. Il ministro ha deciso di sottoporre la questione ai suoi colleghi. È attualmente oggetto di considerazione da parte di tutto il governo”, ha dichiarato. “Ha chiesto l’approvazione per l’esame della questione attraverso i processi di governo”. Pezzullo ha fatto queste osservazioni dopo che gli era stato chiesto se il dipartimento avesse svolto una “due diligence” sull’uso di applicazioni diverse da TikTok sui telefoni e sui computer portatili dei dipendenti pubblici, sulla scia dell’ampio divieto francese. A marzo il governo francese ha annunciato un divieto non solo su Tik Tok, ma su tutte le piattaforme di social media, giochi e applicazioni di video-streaming come Twitter, Instagram, Netflix e Candy Crush, a causa di problemi di cybersicurezza e privacy. Pezzullo ha risposto a una domanda se avrebbe fornito una copia della revisione dei rischi dei social media da parte degli Affari interni alla commissione del Senato che sta conducendo l’audizione sulle stime, dicendo che avrebbe chiesto indicazioni alla signora O’Neil in merito alla sua pubblicazione. Ha confermato che l’analisi faceva parte della più ampia indagine che il Ministro degli Interni Clare O’Neil ha commissionato all’inizio dell’anno sui rischi posti dall’uso delle piattaforme di social media sui dispositivi in dotazione al governo. Tale indagine ha spinto il governo Albanese a vietare TikTok sui telefoni e sui computer di politici e dipendenti pubblici ad aprile, per timori legati alla sicurezza che l’app cinese rappresentasse un rischio di spionaggio e a seguito di divieti simili in altri Paesi occidentali.Il governo non ha annunciato un divieto su altre piattaforme.

English version

  • IRELAND, META SANCTIONETED FOR 1.2 BILLION EUROS.
  • EU COMMISSION: ANALYSIS OF MESSAGES TO COUNTER PEDOPORNOGRAPHY IS NOT AGAINST FUNDAMENTAL RIGHTS
  • HEAD OF INTERNAL AFFAIRS PEZZULLI WAS QUESTIONED ABOUT SOCIAL MEDIA RULES AFTER TIKTOK BAN

Ireland’s Privacy Authority has decided to impose a record €1.2 billion fine on Meta for violating European data protection laws through the social Facebook. This was announced by the European Privacy Authority. It is the highest fine imposed by a data protection regulator in Europe, the result of an investigation launched in 2020. Meta, which plans to appeal, was convicted of “continuing to transfer personal data” of users from the European Economic Area (EEA) to the United States in violation of relevant European rules, the Irish Data Protection Commission (Dpc) indicated in its decision. Meta must also “suspend any transfer of personal data to the U.S. within five months” of notification of the decision and must comply within six months, the memo further states. Meta calls the fine “unjustified and unnecessary” and will initiate legal action to suspend it, the social media giant reacted immediately in a statement. “Thousands of companies and organizations rely on the ability to transfer data between the EU and the U.S.” and “there is a fundamental rights conflict between U.S. government rules on data access and European privacy rights,” the California-based giant explained.

The European Commission has defended its legislative proposal to combat child sexual abuse material (CSAM) in a non-paper, arguing that it is not incompatible with the EU Charter of Fundamental Rights and case law. The Child Sexual Abuse Material Act would empower judicial authorities to issue detection orders requiring platforms such as WhatsApp and Gmail to implement automated tools to analyze all communications on their service to detect suspicious content and attempts at “pedophilia.” Since the proposal was introduced last year, it has received a mixed reception due in part to its disproportionate effect on fundamental rights from the European Data Protection Supervisor (EDPS), an external evaluation by the European Parliament, and the EU Council’s legal service. It is precisely the latter, which is particularly influential in EU policy-making, that seems to have prompted the European Commission to take a defensive stance in a May 16 non-paper to the relevant technical body of the EU Council. “The Commission services consider that the proposed rules and the case law available to date, considered in their entirety and correctly interpreted, provide no reason to conclude that on this point the proposed regulation is incompatible with the Charter [of Fundamental Rights of the EU],” reads the non-paper, accessed by EURACTIV.The document reiterates that detection orders are meant to be used only as a last resort. To ensure this, injunctions can only be issued after a “mandatory prior risk assessment and mitigation process.” The competent national court must first consider whether there is evidence of a significant risk that the service is being used for child sexual abuse and whether the reasons for issuing the injunction outweigh the negative consequences, after balancing all fundamental rights and other rights and interests at stake. In addition, the European Commission has stressed that independent public authorities must also be involved in the process. One of the safeguards in this regard is that service providers who are subject to a detection order “shall regularly report on the implementation, and the competent national authority shall regularly assess whether the detection obligation should be modified” in order to ensure “effective redress and complaint handling” and other controls.

Federal cabinet is canvassing advice from the Home Affairs Department on the security risks of Instagram, Netflix, Twitter and dating apps in the wake of a TikTok ban on government-issued devices. Department secretary Mike Pezzullo confirmed the report from an internal review of social media risks had been provided to Home Affairs Minister Clare O’Neil in March as he was grilled at a Senate estimates hearing on Monday. While Mr Pezzullo refused to disclose the nature of the advice, he hinted cabinet was considering restricting the use of apps other than TikTok when he said Ms O’Neil had decided to present the review to cabinet. The minister has made a decision to bring this forward to her colleagues. It’s currently the subject of consideration across government,” he said. “She … has sought approval for the matter to be considered through cabinet processes.” Mr Pezzullo made the remarks after he was asked if the department had carried out “due diligence” on the use of apps other than TikTok on public servants’ phones and laptops in the wake of France’s wide-ranging ban. The French government in March announced a ban not only on Tik Tok, but on all social media platforms, gaming and video-streamed apps such as Twitter, Instagram, Netflix and Candy Crush because of cybersecurity and privacy concerns. Mr Pezzullo took a question on whether he would provide a copy of Home Affairs’ social media risk review to the Senate committee running the estimates hearing on notice, saying he’d seek guidance from Ms O’Neil regarding its release. He confirmed the review formed part of the broader investigation Home Affairs Minister Clare O’Neil commissioned earlier this year into the risks posed by the use of social media platforms on government-issued devices. That probe prompted the Albanese government to ban TikTok on phones and computers operated by politicians and public servants in April, over security concerns the Chinese social media app posed an espionage risk and following similar bans in other western countries. The government hasn’t announced a ban on any other platforms.

PRIVACYDAILY

N. 122/2023

LE TRE NEWS DI OGGI:

  • G7 HIROSHIMA : BISOGNA COLLABORARE PER RAFFORZARE LA COOPERAZIONE SULL’AI, NE VALE ANCHE DELLA PRIVACY
  • MESSICO CONFLITTO TRA GIUDICE E SENATO SULLE NOMINE DEI COMMISSARI
  • VIETNAM IN ARRIVO UNA GRANDE ISPEZIONE DEL MINISTERO DELL’INFORMAZIONE SULLA PROTEZIONE DEI DATI PERSONALI SUI SOCIAL

I leader dei Paesi del G7 hanno deciso sabato di lanciare un gruppo di lavoro per rafforzare la collaborazione nell’affrontare le varie questioni legate alla nuova tecnologia. I Paesi del G7 avvieranno l’iniziativa – denominata Hiroshima AI process – nel corso dell’anno per facilitare le discussioni. Si prevede che al gruppo si uniscano anche gli organismi internazionali competenti, tra cui l’OCSE. Gli strumenti di IA generativa come ChatGPT hanno conquistato il mondo della tecnologia e si ritiene che possano cambiare le carte in tavola, aumentando in modo significativo la produttività globale. Ma è probabile che presentino anche dei rischi, come l’eliminazione di posti di lavoro e la diffusione di fake news. “Riconosciamo la necessità di fare immediatamente il punto sulle opportunità e le sfide dell’IA generativa”, si legge nella dichiarazione congiunta. Il G7 si impegna a redigere standard di IA per una “IA responsabile”, lavorando con più parti interessate in modo trasparente, aperto ed equo, hanno aggiunto. La definizione di regole per la governance dell’IA sta diventando una questione urgente per molti Paesi e regioni, con gli sforzi dell’Unione Europea per introdurre severe misure legali che hanno recentemente attirato l’attenzione. La dichiarazione congiunta dei leader del G7 afferma che le posizioni sulle normative in materia di IA sono probabilmente diverse, ma è necessario un certo grado di standardizzazione. Sottolinea inoltre che “la governance dell’economia digitale dovrebbe continuare a essere aggiornata in linea con i nostri valori democratici condivisi”, sottolineando che ciò vale anche per altre tendenze tecnologiche in crescita, come il metaverso e la scienza dell’informazione quantistica. Oltre ad aver aperto la strada al rafforzamento della cooperazione in materia di IA tra i membri del G7, il Giappone è riuscito a convincere gli altri leader del G7 a promuovere ulteriormente un’iniziativa per la sicurezza dei flussi di dati transfrontalieri, nota come Data Free Flow with Trust (DFFT). Poiché il DFFT è stato proposto dal Giappone nel 2019, fare progressi su questo tema al vertice del G7 era una priorità importante per il Paese. In vista del vertice di Hiroshima di aprile, i ministri del G7 responsabili del digitale e della tecnologia hanno deciso di creare un quadro istituzionale internazionale per avviare progetti DFFT specifici. Il vertice di Hiroshima ha approvato questo piano. Il DFFT intende contrastare le iniziative di alcuni Paesi volte a controllare strettamente i flussi di dati transfrontalieri attraverso l’introduzione di norme rigorose, come l’obbligo per gli operatori commerciali di conservare ed elaborare i dati all’interno del proprio territorio e di chiedere l’autorizzazione alle autorità per inviare determinati tipi di dati all’estero. Negli ultimi anni, un numero sempre maggiore di Paesi, tra cui Cina e Vietnam, ha introdotto tali normative, note come localizzazione dei dati, nel tentativo di rafforzare la sicurezza nazionale e proteggere la privacy dei dati e le industrie nazionali. Secondo un rapporto dell’OCSE pubblicato lo scorso giugno, al 2021 erano state implementate 92 misure relative alla localizzazione dei dati in 39 Paesi, la maggior parte delle quali introdotte negli ultimi cinque anni. Tuttavia, molte aziende hanno affermato che tali misure aumentano gli ostacoli e i costi per le loro operazioni commerciali. Per questo motivo il Giappone, insieme ai suoi colleghi del G7, sta proponendo dei modi per garantire flussi di dati transfrontalieri senza intoppi e in modo affidabile. Il comunicato dei leader del G7 osserva che, sebbene sia importante per i governi affrontare sfide come la privacy e la protezione dei dati, i flussi di dati transfrontalieri sono essenziali per la crescita dell’economia digitale globale.

Il 17° tribunale in materia amministrativa, con sede a Città del Messico, ha ordinato al Consiglio di coordinamento politico (Jucopo) del Senato di preparare la lista dei candidati per ricoprire il ruolo di commissario dell’Istituto nazionale per la trasparenza, l’accesso all’informazione e la protezione dei dati personali (INAI), e che la Commissione permanente del Congresso autorizzi lo svolgimento di un periodo straordinario per la nomina di un nuovo membro dell’organismo per la trasparenza. Qualche ora dopo, il senatore Ricardo Monreal, presidente del Jucopo, ha dichiarato che il Senato presenterà un reclamo contro questa risoluzione giudiziaria. Sebbene sia favorevole a procedere con l’elezione del commissario – essenziale perché l’organo possa riunirsi -, ha sottolineato di non poter parlare a nome di tutti i suoi colleghi, ha ricordato che per convocare un periodo straordinario è necessaria la maggioranza qualificata della Commissione permanente. In mattinata è stato annunciato che il tribunale ha concesso una sospensione provvisoria nell’ambito del processo amparo 1714/2022, in modo che l’INAI, oggi senza tre dei suoi commissari, possa svolgere le sue funzioni. La causa di amparo è stata presentata da un membro del Consiglio consultivo dell’INAI contro gli atti del Jucopo e di altre autorità. Dopo mezzogiorno Monreal ha confermato di aver ricevuto la sentenza del tribunale, che concede al Jucopo un termine di tre giorni lavorativi per preparare la proposta di candidati a commissario. Il provvedimento giudiziario è una misura cautelare fino a quando non si entrerà nel merito della questione e si deciderà se concedere una sospensione definitiva al firmatario dell’amparo o se respingere il ricorso. In un’intervista, Monreal ha dichiarato: “Cosa dovremmo fare in questo caso? Che esauriamo le istanze legali e abbiamo il diritto di presentare un reclamo per sospendere il procedimento, fino a quando il tribunale non risolverà qualcosa in sospeso.”. Ha sottolineato infine che l’udienza in cui si risolverà la sospensione è il 30 maggio. “Presenteremo il ricorso. Il Senato è in pausa, ovviamente”, anche se il consulente legale di quest’aula agisce in modo istituzionale.

Basta digitare le parole chiave “can cuoc cong dan” (carte d’identità) o “ban thong tin” (informazioni in vendita) sulle caselle di ricerca di Telegram e Facebook Messenger per vedere un elevato numero di annunci che mostrano indirizzi per il commercio illegale di informazioni personali degli utenti. Secondo l’Autorità per la sicurezza informatica (AIS), il commercio di informazioni personali rimane una questione molto complicata. Dopo che l’agenzia ha condotto una serie di campagne di scansione e gestione dei siti web che pubblicizzano l’acquisto o la vendita di informazioni personali, ci sono ancora gruppi di soggetti che operano su piattaforme OTT transfrontaliere. L’AIS ha dichiarato che l’acquisto o la vendita di informazioni personali non avviene solo tra individui, ma anche con la partecipazione organizzata di imprese. Alcune imprese e società di servizi raccolgono le informazioni personali dei clienti e permettono a terzi di accedervi. La compravendita di informazioni e dati personali è organizzata in modo metodico e persino con garanzie. Gli esperti hanno citato una serie di ragioni alla base del problema, tra cui la scarsa consapevolezza della protezione delle informazioni personali; la negligenza delle persone che forniscono informazioni in modo arbitrario, soprattutto sui social network; la mancanza di misure di protezione dei dati da parte di agenzie, organizzazioni e imprese che raccolgono informazioni; la condivisione illegale di informazioni a terzi e la fuga di informazioni dai responsabili della gestione dei dati. Inoltre, i sistemi informatici raccolgono, elaborano e conservano informazioni personali senza garantire la sicurezza informatica, con il risultato di essere attaccati. Nel frattempo, il phishing online per raccogliere informazioni personali è aumentato notevolmente negli ultimi tempi. Nel suo recente rapporto all’Assemblea nazionale, il MIC ha dichiarato che il ministero ha pubblicato 10 documenti legali relativi alla protezione delle informazioni personali, chiedendo alle agenzie, alle organizzazioni e alle imprese del Paese di controllare e rispettare i regolamenti per garantire la sicurezza delle informazioni personali. Il MIC ha consigliato al governo di promulgare il decreto 14, pubblicato nel 2022, che modifica e integra alcuni articoli del decreto 15, del 2020, sulle sanzioni amministrative per le violazioni nei settori delle poste, delle telecomunicazioni, delle radiofrequenze, dell’informatica e delle transazioni elettroniche, e del decreto 119, del 2020, sulle sanzioni per le attività di pubblicazione. Il decreto appena pubblicato include norme sulle sanzioni relative alla raccolta e al trattamento dei dati personali.Nel quarto trimestre del 2023, il MIC ha organizzato e inviato personale a 11 delegazioni interministeriali di ispettori per fornire valutazioni sul lavoro di garanzia della sicurezza e della cybersecurity.

English version

  • G7 HIROSHIMA : WE NEED TO COLLABORATE TO STRENGTHEN COOPERATION ON AI, IT’S ALSO AT STAKE WITH PRIVACY
  • MESSICO CONFLICT BETWEEN JUDGE AND SENATE ON COMMISSIONER APPOINTMENTS
  • VIETNAM COMING SOON A MAJOR INSPECTION BY THE MINISTRY OF INFORMATION ON THE PROTECTION OF PERSONAL DATA ON SOCIAL

Leaders of the Group of Seven meeting in Hiroshima decided Saturday to launch a working group to strengthen collaboration in addressing various issues related to the new technology. The G7 countries will launch the initiative — called the Hiroshima AI process — later this year to facilitate discussions. The group is also expected to be joined by relevant international bodies, including the OECD. Generative AI tools such as ChatGPT have taken the tech world by storm and are expected to be game changers, significantly increasing global productivity. But they are also likely to present risks, such as the elimination of jobs and the spread of fake news. “We recognize the need to take stock immediately of the opportunities and challenges of generative AI,” the joint statement reads. The G7 is committed to drafting AI standards for “responsible AI,” working with multiple stakeholders in a transparent, open and fair manner, they added. Rule-making for AI governance is becoming an urgent issue for many countries and regions, with the European Union’s efforts to introduce tough legal measures recently attracting attention. The G7 leaders’ joint statement says that positions on AI regulations are likely to differ, but some degree of standardization is needed. It also emphasizes that “governance of the digital economy should continue to be updated in line with our shared democratic values,” noting that this also applies to other growing technology trends, such as the metaverse and quantum information science. In addition to paving the way for the strengthening of AI cooperation among G7 members, Japan succeeded in convincing other G7 leaders to further promote an initiative to secure cross-border data flows, known as Data Free Flow with Trust (DFFT). Since DFFT was proposed by Japan in 2019, making progress on this issue at the G7 summit was an important priority for the country. Ahead of the Hiroshima Summit in April, the G7 ministers responsible for digital and technology agreed to create an international institutional framework to initiate specific DFFT projects. The Hiroshima summit approved this plan. The DFFT aims to counter initiatives by some countries to tightly control cross-border data flows through the introduction of strict rules, such as requiring traders to store and process data within their own territory and to seek permission from authorities to send certain types of data abroad. In recent years, an increasing number of countries, including China and Vietnam, have introduced such regulations, known as data localization, in an effort to strengthen national security and protect data privacy and domestic industries. According to an OECD report released last June, as of 2021, 92 data localization measures had been implemented in 39 countries, most of them introduced in the past five years. However, many companies said such measures increase obstacles and costs for their business operations. For this reason, Japan, together with its G7 colleagues, is proposing ways to ensure smooth and reliable cross-border data flows. The G7 leaders’ communiqué notes that while it is important for governments to address challenges such as privacy and data protection, cross-border data flows are essential to the growth of the global digital economy.


The 17th Tribunal in Administrative Matters, based in Mexico City, ordered the Senate’s Policy Coordination Council (Jucopo) to prepare the list of candidates to fill the role of commissioner of the National Institute for Transparency, Access to Information and Personal Data Protection (INAI), and that the Congressional Standing Committee authorize the holding of an extraordinary period for the appointment of a new member of the transparency body. A few hours later, Senator Ricardo Monreal, president of Jucopo, stated that the Senate will file a complaint against this judicial resolution. Although he is in favor of proceeding with the election of the commissioner-essential for the body to convene-he stressed that he could not speak for all his colleagues-he recalled that a qualified majority of the Standing Committee is required to convene an extraordinary period. It was announced in the morning that the court granted an interim stay in the amparo 1714/2022 case so that INAI, now without three of its commissioners, can carry out its functions. The amparo suit was filed by a member of INAI’s Advisory Council against the acts of the Jucopo and other authorities. After noon, Monreal confirmed that he had received the court’s ruling granting the Jucopo a three-working-day deadline to prepare a proposal for commissioner candidates. The court order is a precautionary measure until the merits of the matter are entered and a decision is made on whether to grant a permanent stay to the amparo petitioner or dismiss the appeal. In an interview, Monreal said, “What should we do in this case? That we exhaust the legal petitions and have the right to file a complaint to stay the proceedings until the court resolves something pending.” He finally stressed that the hearing where the suspension will be resolved is May 30. “We will file the appeal. The Senate is in recess, of course,” although the legal counsel for this chamber is acting in an institutional manner.


One only has to type the keywords “can cuoc cong dan” (ID cards) or “ban thong tin” (information for sale) on Telegram and Facebook Messenger search boxes to see a high number of ads showing addresses for illegal trading of users’ personal information. According to the Information Security Authority (ISA), trading personal information remains a very complicated issue. After the agency conducted a series of campaigns to scan and manage websites that advertise the purchase or sale of personal information, there are still groups of entities operating on cross-border OTT platforms. AIS stated that the buying or selling of personal information is not only between individuals, but also with the organized participation of businesses. Some enterprises and service companies collect customers’ personal information and allow third parties to access it. The buying and selling of personal information and data is organized methodically and even with guarantees. Experts cited a number of reasons behind the problem, including lack of awareness of the protection of personal information; people’s negligence in providing information arbitrarily, especially on social networks; lack of data protection measures by agencies, organizations and businesses that collect information; illegal sharing of information to third parties; and leakage of information from data managers. In addition, computer systems collect, process and store personal information without ensuring cybersecurity, resulting in attacks. Meanwhile, online phishing to collect personal information has increased significantly in recent times. In its recent report to the National Assembly, MIC said the ministry has issued 10 legal documents related to the protection of personal information, asking agencies, organizations and enterprises in the country to monitor and comply with regulations to ensure the security of personal information. The MIC advised the government to promulgate Decree 14, published in 2022, which amends and supplements some articles of Decree 15, of 2020, on administrative penalties for violations in the postal, telecommunications, radio frequency, information technology and electronic transactions sectors, and Decree 119, of 2020, on penalties for publication activities. The newly published decree includes rules on sanctions related to the collection and processing of personal data.In the fourth quarter of 2023, MIC organized and sent staff to 11 interministerial delegations of inspectors to provide assessments on security and cybersecurity assurance work.

PRIVACYDAILY

N. 121/2023

LE TRE NEWS DI OGGI:

  • UK: L’INVESTIGATORE PRIVATO DEL DAILY MIRROR RACCONTA “L’OSCURA ARTE” DI RACCOGLIERE INFORMAZIONI ILLEGALMENTE
  • USA: CONTINUANO AD AUMENTARE GLI STATI CHE SI DOTANO DI LEGGI SULLA PRIVACY
  • AUSTRALIA: IL SETTORE DEL REAL ESTATE CONTRO LA NUOVA LEGGE SULLA PRIVACY

Steve Whittamore un investigatore privato che ha lavorato per l’editore del Daily Mirror afferma che i giornalisti con cui ha avuto a che fare sapevano “benissimo” che raccoglieva in maniera illegale alcune informazioni. Il Mirror Group Newspapers nega che gli alti dirigenti fossero a conoscenza di queste pratiche e che non le abbiano fermate. Un altro testimone chiave ha descritto il MGN come un “gruppo criminale organizzato”. Whittamore stava testimoniando al processo civile sulle violazioni della privacy del Duca di Sussex e di altre personalità. Si sostiene che i giornalisti dei giornali abbiano ottenuto informazioni private e riservate sulla vita delle persone attraverso una serie di mezzi illegali tra il 1991 e il 2011, tra cui l’accesso ai messaggi della segreteria telefonica. Whittamore ha dichiarato di non avere dubbi sul fatto che i clienti dei suoi giornali fossero consapevoli che le informazioni erano state ottenute attraverso il “blagging”. Se le informazioni fossero state disponibili legittimamente, ha detto, i giornali non avrebbero avuto bisogno del suo aiuto. A un certo punto, ha affermato di aver utilizzato un indirizzo e-mail blag2049@hotmail.com per inviare le fatture ai suoi clienti giornalisti L’azienda ha ammesso l’uso di metodi illegali per raccogliere storie, ma nega che dirigenti e redattori ne fossero a conoscenza. Whittamore è stato condannato per violazione delle leggi sull’informazione nel 2005, dopo un’indagine durante la quale sono stati sequestrati tutti i suoi documenti e le fatture di pagamento. Durante il controinterrogatorio, Andrew Green KC, per conto dell’editore, ha suggerito che alcuni di questi documenti indicavano che aveva anche fornito ricerche legittime ai giornalisti.” Ammette che la maggior parte del lavoro che ha svolto per la MGN era lecito?”. “No”, ha risposto il signor Whittamore. “Forse lei non è stato così cattivo come ora vuole far credere alla corte”, ha detto il signor Green, riferendosi alle fatture del signor Whittamore.”Beh, non ero io a fare i controlli”, ha risposto il signor Whittamore. La sua attività consisteva nel trattare con una rete di “subappaltatori” esperti nel carpire informazioni riservate. Gli è stata chiesta una fattura per una “conversione di un TP mobile” a nome di Tom Newton-Dunn, allora giovane giornalista del Daily Mirror, poi redattore politico del Sun e ora conduttore di Times Radio.

Quest’anno il numero di Stati con leggi complete sulla privacy sta per raddoppiare, raggiungendo quota10. Iowa, Indiana e Tennessee hanno emanato leggi nelle ultime settimane, mentre le proposte di legge del Montana e della Florida sono in attesa di un’azione governativa. Questa ondata di azioni legislative si aggiunge ai cinque Stati che già dispongono di ampie leggi che offrono ai consumatori un maggiore controllo sul modo in cui le aziende raccolgono e utilizzano i loro dati. Le nuove misure seguono in gran parte gli approcci alla privacy già esistenti negli Stati, anche se alcune disposizioni specifiche differiscono. Quest’anno i legislatori statali hanno spinto ampie protezioni per i consumatori accanto a proposte più ristrette sulla privacy, in assenza di una legge federale completa. Ogni volta che viene approvata una nuova legge statale sulla privacy, dobbiamo sederci e chiederci: “È applicabile all’azienda?”, ha dichiarato David Saunders, partner di McDermott Will & Emery LLP. “E se lo è, allora la domanda diventa: OK, cosa c’è di diverso da A a B. I legislatori del Texas, ad esempio, stanno lavorando per trovare un accordo su una legge completa dopo che versioni diverse sono passate alla Camera e al Senato. Le nuove leggi complete seguono schemi simili a quelle precedentemente emanate in Colorado, Connecticut, Virginia e Utah. La California è l’unico stato a creare una nuova agenzia di regolamentazione per supervisionare la sua legge sulla privacy, la California Privacy Protection Agency (Agenzia per la protezione della privacy della California), incaricata di elaborare le norme. Le leggi si rivolgono alle aziende che operano e raccolgono dati sui residenti in ogni Stato, le disposizioni danno ai consumatori il diritto di sapere quali informazioni le aziende raccolgono e come le utilizzano, oltre a richiedere il consenso o a permettere di rinunciare a determinati usi. “Hanno punti in comune, ma sono diversi”, ha dichiarato Odia Kagan, partner e presidente del settore conformità al regolamento generale sulla protezione dei dati dell’UE e privacy internazionale presso Fox Rothschild LLP. Alcune leggi statali, ad esempio, prevedono disposizioni diverse per i dati sensibili e per i dati precisi di geolocalizzazione, ha detto Kagan. Ci sono ulteriori sfumature, come le dichiarazioni di non responsabilità richieste per i siti web e il trattamento della pubblicità mirata, ha detto Saunders. La legge dell’Iowa entrerà in vigore il 1° gennaio 2025. Il Tennessee seguirà il 1° luglio 2025 e la legge dell’Indiana entrerà in vigore il 1° gennaio 2026. Alcuni Stati hanno adottato approcci diversi in materia di privacy.

Gli agenti immobiliari australiani  si oppongono alle proposte di modifica della legge sulla privacy, affermando che le piccole imprese non devono affrontare ulteriori oneri burocratici per mantenere al sicuro i dati dei clienti e degli inquilini. Il presidente del Real Estate Institute of Australia, Hayden Groves, ha dichiarato che “un ulteriore livello non è davvero necessario” in aggiunta ai doveri esistenti degli agenti e che l’aumento dei rischi normativi potrebbe essere “l’ultima goccia” per le agenzie più piccole. Sulla scia delle violazioni dei dati di Optus e Medibank, Groves ha riconosciuto che esiste un dibattito legittimo sulle informazioni personali raccolte dagli agenti. I franchising delle agenzie immobiliari Harcourts e LJ Hooker sono stati colpiti da violazioni di dati nel 2022. La facciata di un condominio con rivestimenti bianchi, rossi e arancioni. La maggior parte degli affittuari australiani ritiene che le applicazioni di terze parti richiedano troppi dati privati, secondo un sondaggio di Choice. Ma Groves ha suggerito che un codice di condotta potrebbe aiutare a guidare gli agenti a raccogliere solo le informazioni necessarie, senza farli rientrare nel campo di applicazione della legge federale sulla privacy. A febbraio il Dipartimento del Procuratore Generale ha pubblicato una revisione che chiede agli australiani di ottenere un maggiore controllo sulle proprie informazioni personali. Gli utenti avrebbero la possibilità di scegliere di non ricevere annunci pubblicitari mirati, di cancellare i propri dati e di fare causa in caso di gravi violazioni della privacy. Nonostante il consenso sulla necessità di aggiornare le leggi sulla privacy, alcuni aspetti della proposta sono stati attaccati dalle società di social media e tecnologiche, preoccupate per i limiti al “targeting” degli utenti, e dalle organizzazioni dei media che vogliono un’esenzione dal diritto di fare causa. Ora il REIA ha chiesto al governo di mantenere l’esenzione per le piccole imprese dal Privacy Act, perché altrimenti si stima che due terzi delle agenzie con un fatturato inferiore a 3 milioni di dollari saranno catturate. Il documento del REIA propone anche di rinviare al 2025 il nuovo regime sanzionatorio. Groves ha affermato che la rimozione “unilaterale” dell’esenzione “potrebbe non portare benefici tangibili ai consumatori, aggiungendo invece inutili rischi aggiuntivi per le piccole imprese”.” Non siamo contrari alla protezione dei consumatori, ovviamente”, ha detto. “Sono i nostri clienti”. Ha detto che il REIA ha ricordato ai membri di raccogliere solo i dati “sufficienti” di cui hanno bisogno per valutare la capacità dei potenziali inquilini di adempiere agli obblighi previsti da un contratto di locazione, verificando che “siano chi dicono di essere” e niente di più.

English version

  • UK: DAILY MIRROR’S PRIVATE INVESTIGATOR RECLAIMS “THE DARK ART” OF GETTING INFORMATION ILLEGALLY
  • USA.: MORE STATES CONTINUE TO ADOPT PRIVACY LAWS
  • AUSTRALIA: REAL ESTATE SECTOR AGAINST NEW PRIVACY LAW

Steve Whittamore a private investigator who worked for the publisher of the Daily Mirror says that the journalists he dealt with knew “full well” that he was illegally collecting certain information. The Mirror Group Newspapers denies that senior executives were aware of these practices and did not stop them. Another key witness described the MGN as an “organized criminal group.” Whittamore was testifying at the civil trial about privacy violations by the Duke of Sussex and other dignitaries. It is alleged that newspaper journalists obtained private and confidential information about people’s lives through a variety of illegal means between 1991 and 2011, including access to voicemail messages. Whittamore said he had no doubt that his newspaper clients were aware that the information was obtained through “blagging.” If the information had been available legitimately, he said, the newspapers would not have needed his help. At one point, he said he used an e-mail address blag2049@hotmail.com to send invoices to his journalist clients The company has admitted using illegal methods to gather stories, but denies that managers and editors knew about it. Whittamore was convicted of violating information laws in 2005 after an investigation during which all of its records and payment invoices were seized. During cross-examination, Andrew Green KC, on behalf of the publisher, suggested that some of these documents indicated that he had also provided legitimate research to journalists.” Do you admit that most of the work you did for MGN was legitimate?” “No,” Mr. Whittamore replied. “Maybe you were not as bad as you now want the court to believe,” Mr. Green said, referring to Mr. Whittamore’s invoices. “Well, I wasn’t the one doing the checking,” Mr. Whittamore replied. His business consisted of dealing with a network of “subcontractors” who were experts in seizing confidential information. He was asked for an invoice for a “mobile TP conversion” in the name of Tom Newton-Dunn, then a young reporter for the Daily Mirror, later political editor of the Sun and now host of Times Radio.

This year the number of states with comprehensive privacy laws is about to double to 10. Iowa, Indiana and Tennessee have enacted laws in recent weeks, while Montana and Florida’s proposed bills are awaiting government action. This wave of legislative action adds to the five states that already have extensive laws that give consumers greater control over how companies collect and use their data. The new measures largely follow existing privacy approaches in the states, although some specific provisions differ. This year, state lawmakers have pushed broad consumer protections alongside narrower privacy proposals in the absence of a comprehensive federal law. “Whenever a new state privacy law is passed, we have to sit back and ask, ‘Does it apply to the business?” said David Saunders, partner at McDermott Will & Emery LLP. “And if it is, then the question becomes, OK, what’s different from A to B. Texas lawmakers, for example, are working to agree on a comprehensive bill after different versions passed in the House and Senate. The new comprehensive laws follow similar patterns to those previously enacted in Colorado, Connecticut, Virginia and Utah. California is the only state to create a new regulatory agency to oversee its privacy law, the California Privacy Protection Agency, charged with drafting the rules. The laws target companies that operate and collect data on residents in each state, the provisions give consumers the right to know what information companies collect and how they use it, as well as requiring consent or allowing them to opt out of certain uses. “They have commonalities, but they are different,” said Odia Kagan, partner and chair of EU General Data Protection Regulation compliance and international privacy at Fox Rothschild LLP. Some state laws, for example, have different provisions for sensitive data and precise geolocation data, Kagan said. There are additional nuances, such as required disclaimers for websites and the treatment of targeted advertising, Saunders said. Iowa’s law will take effect Jan. 1, 2025. Tennessee will follow on July 1, 2025, and Indiana’s law will go into effect on Jan. 1, 2026. Some states have taken different approaches to privacy.

Australian real estate agents oppose proposed changes to the Privacy Act, saying that small businesses should not face additional bureaucratic burdens to keep client and tenant data safe. The president of the Real Estate Institute of Australia, Hayden Groves, said that “an additional layer is not really necessary” on top of agents’ existing duties and that increased regulatory risks could be “the last straw” for smaller agencies. In the wake of the Optus and Medibank data breaches, Groves acknowledged that there is a legitimate debate about personal information collected by agents. Real estate agency franchises Harcourts and LJ Hooker were affected by data breaches in 2022. The facade of an apartment building with white, red, and orange siding. Most Australian renters believe third-party apps require too much private data, according to a Choice survey. But Groves suggested that a code of conduct could help guide agents to collect only the information they need, without bringing them under the federal Privacy Act. In February, the Attorney General’s Department released a review calling for Australians to gain more control over their personal information. Users would have the option of opting out of targeted advertisements, deleting their data and suing in the event of serious privacy violations. Despite the consensus on the need to update privacy laws, aspects of the proposal have come under attack from social media and technology companies, which are concerned about limits on “targeting” users, and media organizations that want an exemption from the right to sue. Now the REIA has asked the government to maintain the exemption for small businesses from the Privacy Act, because otherwise it is estimated that two-thirds of agencies with revenues of less than $3 million will be caught. The REIA document also proposes postponing the new penalty regime until 2025. Groves said that “unilateral” removal of the exemption “may not bring tangible benefits to consumers, instead adding unnecessary additional risks for small businesses.” We’re not against consumer protection, of course,” he said. “They are our customers.” He said the REIA has reminded members to collect only the “sufficient” data they need to assess potential tenants’ ability to fulfill their obligations under a lease, verifying that “they are who they say they are” and nothing more.

PRIVACYDAILY

N. 120/2023

LE TRE NEWS DI OGGI:

  • COOKIE: ATTIVISTA AUSTRIACO LOTTA PER LA PRIVACY ON LINE
  • PERCHE’ GLI STATI UNITI VOGLIONO VIETARE TIK TOK?
  • LA VIOLAZIONE DEI DATI ESPONE LE INFORMAZIONI DEL PERSONALE DEL CONGRESSO

Scherms il 35enne avvocato austriaco e il suo gruppo sulla privacy NOYB (None Of Your Business), stanno e gestendo non meno di 800 reclami in varie giurisdizioni per conto degli utenti di Internet.” Per un cittadino medio è quasi impossibile far valere i propri diritti”, ha dichiarato l’avvocato Schrems all’AFP. “Per noi, come organizzazione, è già molto lavoro farlo data la complessità del sistema dovuta ai diversi requisiti delle autorità di regolamentazione” Il Regolamento generale sulla protezione dei dati (GDPR) del 2018 impone regole severe su come le aziende possono utilizzare e conservare i dati personali, con la minaccia di multe salate per le aziende che le violano. Sebbene siano state imposte multe per centinaia di milioni di euro in seguito alle denunce presentate da NOYB, Schrems ha affermato che il GDPR non viene quasi mai applicato. E questo è un “grosso problema”, ha aggiunto l’avvocato, il disprezzo per i diritti fondamentali come la privacy dei dati è quasi paragonabile a “una dittatura”..In base al regolamento, le aziende sono obbligate a chiedere il consenso degli utenti per l’installazione di “cookie” che consentono ai browser di salvare informazioni sulle abitudini online degli utenti per proporre annunci altamente mirati. L’avvocato trentacinquenne sta gestendo non meno di 800 reclami in varie giurisdizioni per conto degli utenti di internet, I dati del settore indicano che solo il tre per cento degli utenti di Internet approva effettivamente i cookie, ma oltre il 90 per cento è spinto ad acconsentire a causa di un “design ingannevole” che presenta per lo più pulsanti di “accettazione”. Stremati dall’assenza di una semplice opzione “sì o no” e sommersi da una marea di pop-up, gli utenti si stufano a tal punto da rinunciare, ha detto l’avvocato Schrems. Contrariamente all’intento della legge, l’onere viene “spostato sul singolo consumatore, che dovrebbe trovare una soluzione”. Anche se la società si rende conto dell’importanza del diritto all’oblio o alla rimozione di informazioni private da Internet, il controllo reale sui dati personali è ancora lontano, ha detto l’attivista. Ma NOYB ha aiutato coloro che vogliono riprendere il controllo lanciando campagne per il diritto alla privacy che hanno portato le aziende ad adottare i pulsanti di “rifiuto”. Le autorità di regolamentazione hanno imposto pesanti sanzioni alle aziende che hanno violato le norme del GDPR: Meta, proprietaria di Facebook e con sede europea a Dublino, è stata colpita a gennaio da multe per un totale di 390 milioni di euro (424 milioni di dollari). Uno dei motivi per cui i giganti tecnologici come Google o Meta, così come le aziende più piccole, scelgono di non rispettare le regole del GDPR è che eluderle conviene, ha detto Schrems.

Il governatore del Montana Greg Gianforte ha firmato una legge che vieta a TikTok, società con sede in Cina, di operare nello Stato per “proteggere i montanesi” dalla presunta sorveglianza cinese, diventando così il primo Stato americano a vietare la popolare App. Il direttore dell’FBI Chris Wray ha dichiarato a novembre che TikTok rappresenta un rischio per la sicurezza nazionale, aggiungendo che le aziende cinesi sono tenute a fare essenzialmente “tutto ciò che il governo cinese vuole che facciano in termini di condivisione di informazioni”. A marzo i membri del Congresso hanno denunciato che il governo cinese detiene una “golden share” in ByteDance, che gli conferisce potere su TikTok. TikTok ha risposto che “un’entità affiliata al governo cinese possiede l’1% di una sussidiaria di ByteDance, Douyin Information Service” e che la partecipazione “non ha alcuna rilevanza sulle operazioni globali di ByteDance al di fuori della Cina, compreso TikTok”. Wray ha anche affermato che le operazioni statunitensi di TikTok destano preoccupazioni per la sicurezza nazionale, perché il governo cinese potrebbe sfruttare l’app di condivisione video per influenzare gli utenti o controllare i loro dispositivi. I rischi includono “la possibilità che il governo cinese possa utilizzare per controllare la raccolta di dati su milioni di utenti o controllare l’algoritmo di raccomandazione, che potrebbe essere utilizzato per operazioni di influenza”, ha dichiarato Wray ai legislatori statunitensi. Il direttore della National Security Agency, Paul Nakasone, ha dichiarato a marzo di essere preoccupato per i dati raccolti da TikTok, per l’algoritmo utilizzato per distribuire le informazioni agli utenti e per “il controllo di chi possiede l’algoritmo”. Ha affermato che la piattaforma TikTok potrebbe consentire operazioni di influenza a tappeto perché TikTok potrebbe influenzare gli utenti in modo proattivo e potrebbe anche “spegnere il messaggio”. TikTok afferma che “non permette a nessun governo di influenzare o modificare il suo modello di raccomandazione”. TikTok consegnerà i dati degli americani ai funzionari del governo cinese.

Una violazione del programma di a sostegno del “pendolarismo” del Dipartimento dei Trasporti (DOT) potrebbe aver esposto i dati dei dipendenti del Congresso. Un portavoce del DOT ha dichiarato a The Hill che l’Office of the Chief Information Officer (OCIO) sta indagando sulla violazione e che agenzie come la Cybersecurity and Infrastructure Security Agency (CISA) stanno fornendo assistenza. Il portavoce ha dichiarato inoltre che un’indagine preliminare ha stabilito che la violazione ha interessato alcuni sistemi amministrativi del DOT utilizzati per funzioni come il programma TRANServe, e che non ha interessato alcun sistema di sicurezza dei trasporti. “Con il supporto di altre agenzie federali, tra cui il CISA, l’OCIO sta affrontando la violazione e ha sospeso l’accesso ai sistemi pertinenti mentre si indaga ulteriormente sul problema e si mettono in sicurezza i sistemi”. TRANServe “copre” i dipendenti federali per le spese di pendolarismo, per incentivarli a utilizzare i mezzi di trasporto di massa per ridurre la congestione del traffico e aiutare l’ambiente. I dipendenti possono ricevere fino a 280 dollari al mese per coprire le spese di pendolarismo. La Reuters ha riportato per prima la notizia della violazione venerdì: fonti informate sulla questione hanno riferito che sono stati esposti i dati di 237.000 dipendenti pubblici attuali ed ex. FedScoop, un organo di informazione tecnologica che si occupa del governo federale, ha riferito che le informazioni eventualmente compromesse potrebbero includere i nomi dei destinatari, l’agenzia, l’e-mail di lavoro, il numero di telefono di lavoro, l’indirizzo di lavoro, l’indirizzo di casa, il numero della carta SmarTrip e il numero della carta TRANServe.

English version

  • COOKIE FIGHT: AUSTRIAN ACTIVIST IN TOUGH ONLINE PRIVACY
  • WHY DOES THE UNITED STATES WANT TO BAN TIK TOK?
  • DATA BREACH EXPOSE CONGRESSIONAL STAFF INFO

Scherms the 35-year-old Austrian lawyer and his privacy group NOYB (None Of Your Business), are and handling no less than 800 complaints in various jurisdictions on behalf of Internet users.” It is almost impossible for the average citizen to enforce their rights,” lawyer Schrems told AFP. “It’s already a lot of work for us as an organization to do that given the complexity of the system due to the different requirements of the regulators. “The 2018 General Data Protection Regulation (GDPR) imposes strict rules on how companies can use and store personal data, with the threat of steep fines for companies that violate them. Although fines of hundreds of millions of euros have been imposed following complaints filed by NOYB, Schrems said the GDPR is hardly ever enforced. And this is a “big problem,” the lawyer added; the disregard for basic rights such as data privacy is almost comparable to “a dictatorship. “Under the regulation, companies are obliged to ask for users’ consent to install “cookies” that allow browsers to save information about users’ online habits in order to serve highly targeted ads. The 35-year-old lawyer is handling no fewer than 800 complaints in various jurisdictions on behalf of Internet users, Industry data show that only three percent of Internet users actually approve of cookies, but more than 90 percent are pressured to consent because of a “misleading design” that features mostly “accept” buttons. Exhausted by the absence of a simple “yes or no” option and overwhelmed by a barrage of pop-ups, users get so fed up that they give up, said attorney Schrems. Contrary to the intent of the law, the burden is “shifted to the individual consumer, who should find a solution.” Even if society realizes the importance of the right to be forgotten or to remove private information from the Internet, real control over personal data is still far away, activists said. But NOYB has helped those who want to take back control by launching campaigns for privacy rights that have led companies to adopt “deny” buttons. Regulators have imposed heavy fines on companies that have violated GDPR rules: Meta, which owns Facebook and is based in Europe in Dublin, was hit with fines totaling 390 million euros ($424 million) in January. One reason why tech giants such as Google or Meta, as well as smaller companies, choose not to comply with GDPR rules is that circumventing them pays off, Schrems said.

Montana Governor Greg Gianforte signed a law banning China-based TikTok from operating in the state to “protect Montanans” from alleged Chinese surveillance, becoming the first U.S. state to ban the popular app. FBI Director Chris Wray said in November that TikTok poses a national security risk, adding that Chinese companies are required to do essentially “whatever the Chinese government wants them to do in terms of sharing information.” In March, members of Congress complained that the Chinese government holds a “golden share” in ByteDance, which gives it power over TikTok. TikTok responded that “an entity affiliated with the Chinese government owns 1 percent of a ByteDance subsidiary, Douyin Information Service” and that the stake “has no bearing on ByteDance’s global operations outside China, including TikTok.” Wray also said that TikTok’s U.S. operations raise national security concerns because the Chinese government could exploit the video-sharing app to influence users or control their devices. Risks include “the possibility that the Chinese government could use to control data collection on millions of users or control the recommendation algorithm, which could be used for influence operations,” Wray told U.S. lawmakers. National Security Agency Director Paul Nakasone said in March that he was concerned about the data collected by TikTok, the algorithm used to distribute information to users and “control over who owns the algorithm.” He said the TikTok platform could enable blanket influence operations because TikTok could proactively influence users and could also “turn off the message.” TikTok states that it “does not allow any government to influence or change its recommendation model.” TikTok will turn over Americans’ data to Chinese government officials.

A breach of the Department of Transportation’s (DOT) “commuting support” program may have exposed the data of congressional employees. A DOT spokesperson told The Hill that the Office of the Chief Information Officer (OCIO) is investigating the breach and that agencies such as the Cybersecurity and Infrastructure Security Agency (CISA) are providing assistance. The spokesperson also stated that a preliminary investigation has determined that the breach affected some DOT administrative systems used for functions such as the TRANServe program, and that it did not affect any transportation security systems. “With support from other federal agencies, including CISA, the OCIO is addressing the breach and has suspended access to relevant systems while the problem is further investigated and systems are secured.” TRANServe “covers” federal employees for commuting expenses to incentivize them to use mass transit to reduce traffic congestion and help the environment. Employees can receive up to $280 a month to cover commuting expenses. Reuters first reported the news of the breach on Friday: sources briefed on the matter reported that the records of 237,000 current and former public employees were exposed. FedScoop, an information technology body dealing with the federal government, reported that possibly compromised information could include recipients’ names, agency, work e-mail, work phone numb