PRIVACYDAILY

N. 121/2023

LE TRE NEWS DI OGGI:

  • UK: L’INVESTIGATORE PRIVATO DEL DAILY MIRROR RACCONTA “L’OSCURA ARTE” DI RACCOGLIERE INFORMAZIONI ILLEGALMENTE
  • USA: CONTINUANO AD AUMENTARE GLI STATI CHE SI DOTANO DI LEGGI SULLA PRIVACY
  • AUSTRALIA: IL SETTORE DEL REAL ESTATE CONTRO LA NUOVA LEGGE SULLA PRIVACY

Steve Whittamore un investigatore privato che ha lavorato per l’editore del Daily Mirror afferma che i giornalisti con cui ha avuto a che fare sapevano “benissimo” che raccoglieva in maniera illegale alcune informazioni. Il Mirror Group Newspapers nega che gli alti dirigenti fossero a conoscenza di queste pratiche e che non le abbiano fermate. Un altro testimone chiave ha descritto il MGN come un “gruppo criminale organizzato”. Whittamore stava testimoniando al processo civile sulle violazioni della privacy del Duca di Sussex e di altre personalità. Si sostiene che i giornalisti dei giornali abbiano ottenuto informazioni private e riservate sulla vita delle persone attraverso una serie di mezzi illegali tra il 1991 e il 2011, tra cui l’accesso ai messaggi della segreteria telefonica. Whittamore ha dichiarato di non avere dubbi sul fatto che i clienti dei suoi giornali fossero consapevoli che le informazioni erano state ottenute attraverso il “blagging”. Se le informazioni fossero state disponibili legittimamente, ha detto, i giornali non avrebbero avuto bisogno del suo aiuto. A un certo punto, ha affermato di aver utilizzato un indirizzo e-mail blag2049@hotmail.com per inviare le fatture ai suoi clienti giornalisti L’azienda ha ammesso l’uso di metodi illegali per raccogliere storie, ma nega che dirigenti e redattori ne fossero a conoscenza. Whittamore è stato condannato per violazione delle leggi sull’informazione nel 2005, dopo un’indagine durante la quale sono stati sequestrati tutti i suoi documenti e le fatture di pagamento. Durante il controinterrogatorio, Andrew Green KC, per conto dell’editore, ha suggerito che alcuni di questi documenti indicavano che aveva anche fornito ricerche legittime ai giornalisti.” Ammette che la maggior parte del lavoro che ha svolto per la MGN era lecito?”. “No”, ha risposto il signor Whittamore. “Forse lei non è stato così cattivo come ora vuole far credere alla corte”, ha detto il signor Green, riferendosi alle fatture del signor Whittamore.”Beh, non ero io a fare i controlli”, ha risposto il signor Whittamore. La sua attività consisteva nel trattare con una rete di “subappaltatori” esperti nel carpire informazioni riservate. Gli è stata chiesta una fattura per una “conversione di un TP mobile” a nome di Tom Newton-Dunn, allora giovane giornalista del Daily Mirror, poi redattore politico del Sun e ora conduttore di Times Radio.

Quest’anno il numero di Stati con leggi complete sulla privacy sta per raddoppiare, raggiungendo quota10. Iowa, Indiana e Tennessee hanno emanato leggi nelle ultime settimane, mentre le proposte di legge del Montana e della Florida sono in attesa di un’azione governativa. Questa ondata di azioni legislative si aggiunge ai cinque Stati che già dispongono di ampie leggi che offrono ai consumatori un maggiore controllo sul modo in cui le aziende raccolgono e utilizzano i loro dati. Le nuove misure seguono in gran parte gli approcci alla privacy già esistenti negli Stati, anche se alcune disposizioni specifiche differiscono. Quest’anno i legislatori statali hanno spinto ampie protezioni per i consumatori accanto a proposte più ristrette sulla privacy, in assenza di una legge federale completa. Ogni volta che viene approvata una nuova legge statale sulla privacy, dobbiamo sederci e chiederci: “È applicabile all’azienda?”, ha dichiarato David Saunders, partner di McDermott Will & Emery LLP. “E se lo è, allora la domanda diventa: OK, cosa c’è di diverso da A a B. I legislatori del Texas, ad esempio, stanno lavorando per trovare un accordo su una legge completa dopo che versioni diverse sono passate alla Camera e al Senato. Le nuove leggi complete seguono schemi simili a quelle precedentemente emanate in Colorado, Connecticut, Virginia e Utah. La California è l’unico stato a creare una nuova agenzia di regolamentazione per supervisionare la sua legge sulla privacy, la California Privacy Protection Agency (Agenzia per la protezione della privacy della California), incaricata di elaborare le norme. Le leggi si rivolgono alle aziende che operano e raccolgono dati sui residenti in ogni Stato, le disposizioni danno ai consumatori il diritto di sapere quali informazioni le aziende raccolgono e come le utilizzano, oltre a richiedere il consenso o a permettere di rinunciare a determinati usi. “Hanno punti in comune, ma sono diversi”, ha dichiarato Odia Kagan, partner e presidente del settore conformità al regolamento generale sulla protezione dei dati dell’UE e privacy internazionale presso Fox Rothschild LLP. Alcune leggi statali, ad esempio, prevedono disposizioni diverse per i dati sensibili e per i dati precisi di geolocalizzazione, ha detto Kagan. Ci sono ulteriori sfumature, come le dichiarazioni di non responsabilità richieste per i siti web e il trattamento della pubblicità mirata, ha detto Saunders. La legge dell’Iowa entrerà in vigore il 1° gennaio 2025. Il Tennessee seguirà il 1° luglio 2025 e la legge dell’Indiana entrerà in vigore il 1° gennaio 2026. Alcuni Stati hanno adottato approcci diversi in materia di privacy.

Gli agenti immobiliari australiani  si oppongono alle proposte di modifica della legge sulla privacy, affermando che le piccole imprese non devono affrontare ulteriori oneri burocratici per mantenere al sicuro i dati dei clienti e degli inquilini. Il presidente del Real Estate Institute of Australia, Hayden Groves, ha dichiarato che “un ulteriore livello non è davvero necessario” in aggiunta ai doveri esistenti degli agenti e che l’aumento dei rischi normativi potrebbe essere “l’ultima goccia” per le agenzie più piccole. Sulla scia delle violazioni dei dati di Optus e Medibank, Groves ha riconosciuto che esiste un dibattito legittimo sulle informazioni personali raccolte dagli agenti. I franchising delle agenzie immobiliari Harcourts e LJ Hooker sono stati colpiti da violazioni di dati nel 2022. La facciata di un condominio con rivestimenti bianchi, rossi e arancioni. La maggior parte degli affittuari australiani ritiene che le applicazioni di terze parti richiedano troppi dati privati, secondo un sondaggio di Choice. Ma Groves ha suggerito che un codice di condotta potrebbe aiutare a guidare gli agenti a raccogliere solo le informazioni necessarie, senza farli rientrare nel campo di applicazione della legge federale sulla privacy. A febbraio il Dipartimento del Procuratore Generale ha pubblicato una revisione che chiede agli australiani di ottenere un maggiore controllo sulle proprie informazioni personali. Gli utenti avrebbero la possibilità di scegliere di non ricevere annunci pubblicitari mirati, di cancellare i propri dati e di fare causa in caso di gravi violazioni della privacy. Nonostante il consenso sulla necessità di aggiornare le leggi sulla privacy, alcuni aspetti della proposta sono stati attaccati dalle società di social media e tecnologiche, preoccupate per i limiti al “targeting” degli utenti, e dalle organizzazioni dei media che vogliono un’esenzione dal diritto di fare causa. Ora il REIA ha chiesto al governo di mantenere l’esenzione per le piccole imprese dal Privacy Act, perché altrimenti si stima che due terzi delle agenzie con un fatturato inferiore a 3 milioni di dollari saranno catturate. Il documento del REIA propone anche di rinviare al 2025 il nuovo regime sanzionatorio. Groves ha affermato che la rimozione “unilaterale” dell’esenzione “potrebbe non portare benefici tangibili ai consumatori, aggiungendo invece inutili rischi aggiuntivi per le piccole imprese”.” Non siamo contrari alla protezione dei consumatori, ovviamente”, ha detto. “Sono i nostri clienti”. Ha detto che il REIA ha ricordato ai membri di raccogliere solo i dati “sufficienti” di cui hanno bisogno per valutare la capacità dei potenziali inquilini di adempiere agli obblighi previsti da un contratto di locazione, verificando che “siano chi dicono di essere” e niente di più.

English version

  • UK: DAILY MIRROR’S PRIVATE INVESTIGATOR RECLAIMS “THE DARK ART” OF GETTING INFORMATION ILLEGALLY
  • USA.: MORE STATES CONTINUE TO ADOPT PRIVACY LAWS
  • AUSTRALIA: REAL ESTATE SECTOR AGAINST NEW PRIVACY LAW

Steve Whittamore a private investigator who worked for the publisher of the Daily Mirror says that the journalists he dealt with knew “full well” that he was illegally collecting certain information. The Mirror Group Newspapers denies that senior executives were aware of these practices and did not stop them. Another key witness described the MGN as an “organized criminal group.” Whittamore was testifying at the civil trial about privacy violations by the Duke of Sussex and other dignitaries. It is alleged that newspaper journalists obtained private and confidential information about people’s lives through a variety of illegal means between 1991 and 2011, including access to voicemail messages. Whittamore said he had no doubt that his newspaper clients were aware that the information was obtained through “blagging.” If the information had been available legitimately, he said, the newspapers would not have needed his help. At one point, he said he used an e-mail address blag2049@hotmail.com to send invoices to his journalist clients The company has admitted using illegal methods to gather stories, but denies that managers and editors knew about it. Whittamore was convicted of violating information laws in 2005 after an investigation during which all of its records and payment invoices were seized. During cross-examination, Andrew Green KC, on behalf of the publisher, suggested that some of these documents indicated that he had also provided legitimate research to journalists.” Do you admit that most of the work you did for MGN was legitimate?” “No,” Mr. Whittamore replied. “Maybe you were not as bad as you now want the court to believe,” Mr. Green said, referring to Mr. Whittamore’s invoices. “Well, I wasn’t the one doing the checking,” Mr. Whittamore replied. His business consisted of dealing with a network of “subcontractors” who were experts in seizing confidential information. He was asked for an invoice for a “mobile TP conversion” in the name of Tom Newton-Dunn, then a young reporter for the Daily Mirror, later political editor of the Sun and now host of Times Radio.

This year the number of states with comprehensive privacy laws is about to double to 10. Iowa, Indiana and Tennessee have enacted laws in recent weeks, while Montana and Florida’s proposed bills are awaiting government action. This wave of legislative action adds to the five states that already have extensive laws that give consumers greater control over how companies collect and use their data. The new measures largely follow existing privacy approaches in the states, although some specific provisions differ. This year, state lawmakers have pushed broad consumer protections alongside narrower privacy proposals in the absence of a comprehensive federal law. “Whenever a new state privacy law is passed, we have to sit back and ask, ‘Does it apply to the business?” said David Saunders, partner at McDermott Will & Emery LLP. “And if it is, then the question becomes, OK, what’s different from A to B. Texas lawmakers, for example, are working to agree on a comprehensive bill after different versions passed in the House and Senate. The new comprehensive laws follow similar patterns to those previously enacted in Colorado, Connecticut, Virginia and Utah. California is the only state to create a new regulatory agency to oversee its privacy law, the California Privacy Protection Agency, charged with drafting the rules. The laws target companies that operate and collect data on residents in each state, the provisions give consumers the right to know what information companies collect and how they use it, as well as requiring consent or allowing them to opt out of certain uses. “They have commonalities, but they are different,” said Odia Kagan, partner and chair of EU General Data Protection Regulation compliance and international privacy at Fox Rothschild LLP. Some state laws, for example, have different provisions for sensitive data and precise geolocation data, Kagan said. There are additional nuances, such as required disclaimers for websites and the treatment of targeted advertising, Saunders said. Iowa’s law will take effect Jan. 1, 2025. Tennessee will follow on July 1, 2025, and Indiana’s law will go into effect on Jan. 1, 2026. Some states have taken different approaches to privacy.

Australian real estate agents oppose proposed changes to the Privacy Act, saying that small businesses should not face additional bureaucratic burdens to keep client and tenant data safe. The president of the Real Estate Institute of Australia, Hayden Groves, said that “an additional layer is not really necessary” on top of agents’ existing duties and that increased regulatory risks could be “the last straw” for smaller agencies. In the wake of the Optus and Medibank data breaches, Groves acknowledged that there is a legitimate debate about personal information collected by agents. Real estate agency franchises Harcourts and LJ Hooker were affected by data breaches in 2022. The facade of an apartment building with white, red, and orange siding. Most Australian renters believe third-party apps require too much private data, according to a Choice survey. But Groves suggested that a code of conduct could help guide agents to collect only the information they need, without bringing them under the federal Privacy Act. In February, the Attorney General’s Department released a review calling for Australians to gain more control over their personal information. Users would have the option of opting out of targeted advertisements, deleting their data and suing in the event of serious privacy violations. Despite the consensus on the need to update privacy laws, aspects of the proposal have come under attack from social media and technology companies, which are concerned about limits on “targeting” users, and media organizations that want an exemption from the right to sue. Now the REIA has asked the government to maintain the exemption for small businesses from the Privacy Act, because otherwise it is estimated that two-thirds of agencies with revenues of less than $3 million will be caught. The REIA document also proposes postponing the new penalty regime until 2025. Groves said that “unilateral” removal of the exemption “may not bring tangible benefits to consumers, instead adding unnecessary additional risks for small businesses.” We’re not against consumer protection, of course,” he said. “They are our customers.” He said the REIA has reminded members to collect only the “sufficient” data they need to assess potential tenants’ ability to fulfill their obligations under a lease, verifying that “they are who they say they are” and nothing more.

PRIVACYDAILY

N. 120/2023

LE TRE NEWS DI OGGI:

  • COOKIE: ATTIVISTA AUSTRIACO LOTTA PER LA PRIVACY ON LINE
  • PERCHE’ GLI STATI UNITI VOGLIONO VIETARE TIK TOK?
  • LA VIOLAZIONE DEI DATI ESPONE LE INFORMAZIONI DEL PERSONALE DEL CONGRESSO

Scherms il 35enne avvocato austriaco e il suo gruppo sulla privacy NOYB (None Of Your Business), stanno e gestendo non meno di 800 reclami in varie giurisdizioni per conto degli utenti di Internet.” Per un cittadino medio è quasi impossibile far valere i propri diritti”, ha dichiarato l’avvocato Schrems all’AFP. “Per noi, come organizzazione, è già molto lavoro farlo data la complessità del sistema dovuta ai diversi requisiti delle autorità di regolamentazione” Il Regolamento generale sulla protezione dei dati (GDPR) del 2018 impone regole severe su come le aziende possono utilizzare e conservare i dati personali, con la minaccia di multe salate per le aziende che le violano. Sebbene siano state imposte multe per centinaia di milioni di euro in seguito alle denunce presentate da NOYB, Schrems ha affermato che il GDPR non viene quasi mai applicato. E questo è un “grosso problema”, ha aggiunto l’avvocato, il disprezzo per i diritti fondamentali come la privacy dei dati è quasi paragonabile a “una dittatura”..In base al regolamento, le aziende sono obbligate a chiedere il consenso degli utenti per l’installazione di “cookie” che consentono ai browser di salvare informazioni sulle abitudini online degli utenti per proporre annunci altamente mirati. L’avvocato trentacinquenne sta gestendo non meno di 800 reclami in varie giurisdizioni per conto degli utenti di internet, I dati del settore indicano che solo il tre per cento degli utenti di Internet approva effettivamente i cookie, ma oltre il 90 per cento è spinto ad acconsentire a causa di un “design ingannevole” che presenta per lo più pulsanti di “accettazione”. Stremati dall’assenza di una semplice opzione “sì o no” e sommersi da una marea di pop-up, gli utenti si stufano a tal punto da rinunciare, ha detto l’avvocato Schrems. Contrariamente all’intento della legge, l’onere viene “spostato sul singolo consumatore, che dovrebbe trovare una soluzione”. Anche se la società si rende conto dell’importanza del diritto all’oblio o alla rimozione di informazioni private da Internet, il controllo reale sui dati personali è ancora lontano, ha detto l’attivista. Ma NOYB ha aiutato coloro che vogliono riprendere il controllo lanciando campagne per il diritto alla privacy che hanno portato le aziende ad adottare i pulsanti di “rifiuto”. Le autorità di regolamentazione hanno imposto pesanti sanzioni alle aziende che hanno violato le norme del GDPR: Meta, proprietaria di Facebook e con sede europea a Dublino, è stata colpita a gennaio da multe per un totale di 390 milioni di euro (424 milioni di dollari). Uno dei motivi per cui i giganti tecnologici come Google o Meta, così come le aziende più piccole, scelgono di non rispettare le regole del GDPR è che eluderle conviene, ha detto Schrems.

Il governatore del Montana Greg Gianforte ha firmato una legge che vieta a TikTok, società con sede in Cina, di operare nello Stato per “proteggere i montanesi” dalla presunta sorveglianza cinese, diventando così il primo Stato americano a vietare la popolare App. Il direttore dell’FBI Chris Wray ha dichiarato a novembre che TikTok rappresenta un rischio per la sicurezza nazionale, aggiungendo che le aziende cinesi sono tenute a fare essenzialmente “tutto ciò che il governo cinese vuole che facciano in termini di condivisione di informazioni”. A marzo i membri del Congresso hanno denunciato che il governo cinese detiene una “golden share” in ByteDance, che gli conferisce potere su TikTok. TikTok ha risposto che “un’entità affiliata al governo cinese possiede l’1% di una sussidiaria di ByteDance, Douyin Information Service” e che la partecipazione “non ha alcuna rilevanza sulle operazioni globali di ByteDance al di fuori della Cina, compreso TikTok”. Wray ha anche affermato che le operazioni statunitensi di TikTok destano preoccupazioni per la sicurezza nazionale, perché il governo cinese potrebbe sfruttare l’app di condivisione video per influenzare gli utenti o controllare i loro dispositivi. I rischi includono “la possibilità che il governo cinese possa utilizzare per controllare la raccolta di dati su milioni di utenti o controllare l’algoritmo di raccomandazione, che potrebbe essere utilizzato per operazioni di influenza”, ha dichiarato Wray ai legislatori statunitensi. Il direttore della National Security Agency, Paul Nakasone, ha dichiarato a marzo di essere preoccupato per i dati raccolti da TikTok, per l’algoritmo utilizzato per distribuire le informazioni agli utenti e per “il controllo di chi possiede l’algoritmo”. Ha affermato che la piattaforma TikTok potrebbe consentire operazioni di influenza a tappeto perché TikTok potrebbe influenzare gli utenti in modo proattivo e potrebbe anche “spegnere il messaggio”. TikTok afferma che “non permette a nessun governo di influenzare o modificare il suo modello di raccomandazione”. TikTok consegnerà i dati degli americani ai funzionari del governo cinese.

Una violazione del programma di a sostegno del “pendolarismo” del Dipartimento dei Trasporti (DOT) potrebbe aver esposto i dati dei dipendenti del Congresso. Un portavoce del DOT ha dichiarato a The Hill che l’Office of the Chief Information Officer (OCIO) sta indagando sulla violazione e che agenzie come la Cybersecurity and Infrastructure Security Agency (CISA) stanno fornendo assistenza. Il portavoce ha dichiarato inoltre che un’indagine preliminare ha stabilito che la violazione ha interessato alcuni sistemi amministrativi del DOT utilizzati per funzioni come il programma TRANServe, e che non ha interessato alcun sistema di sicurezza dei trasporti. “Con il supporto di altre agenzie federali, tra cui il CISA, l’OCIO sta affrontando la violazione e ha sospeso l’accesso ai sistemi pertinenti mentre si indaga ulteriormente sul problema e si mettono in sicurezza i sistemi”. TRANServe “copre” i dipendenti federali per le spese di pendolarismo, per incentivarli a utilizzare i mezzi di trasporto di massa per ridurre la congestione del traffico e aiutare l’ambiente. I dipendenti possono ricevere fino a 280 dollari al mese per coprire le spese di pendolarismo. La Reuters ha riportato per prima la notizia della violazione venerdì: fonti informate sulla questione hanno riferito che sono stati esposti i dati di 237.000 dipendenti pubblici attuali ed ex. FedScoop, un organo di informazione tecnologica che si occupa del governo federale, ha riferito che le informazioni eventualmente compromesse potrebbero includere i nomi dei destinatari, l’agenzia, l’e-mail di lavoro, il numero di telefono di lavoro, l’indirizzo di lavoro, l’indirizzo di casa, il numero della carta SmarTrip e il numero della carta TRANServe.

English version

  • COOKIE FIGHT: AUSTRIAN ACTIVIST IN TOUGH ONLINE PRIVACY
  • WHY DOES THE UNITED STATES WANT TO BAN TIK TOK?
  • DATA BREACH EXPOSE CONGRESSIONAL STAFF INFO

Scherms the 35-year-old Austrian lawyer and his privacy group NOYB (None Of Your Business), are and handling no less than 800 complaints in various jurisdictions on behalf of Internet users.” It is almost impossible for the average citizen to enforce their rights,” lawyer Schrems told AFP. “It’s already a lot of work for us as an organization to do that given the complexity of the system due to the different requirements of the regulators. “The 2018 General Data Protection Regulation (GDPR) imposes strict rules on how companies can use and store personal data, with the threat of steep fines for companies that violate them. Although fines of hundreds of millions of euros have been imposed following complaints filed by NOYB, Schrems said the GDPR is hardly ever enforced. And this is a “big problem,” the lawyer added; the disregard for basic rights such as data privacy is almost comparable to “a dictatorship. “Under the regulation, companies are obliged to ask for users’ consent to install “cookies” that allow browsers to save information about users’ online habits in order to serve highly targeted ads. The 35-year-old lawyer is handling no fewer than 800 complaints in various jurisdictions on behalf of Internet users, Industry data show that only three percent of Internet users actually approve of cookies, but more than 90 percent are pressured to consent because of a “misleading design” that features mostly “accept” buttons. Exhausted by the absence of a simple “yes or no” option and overwhelmed by a barrage of pop-ups, users get so fed up that they give up, said attorney Schrems. Contrary to the intent of the law, the burden is “shifted to the individual consumer, who should find a solution.” Even if society realizes the importance of the right to be forgotten or to remove private information from the Internet, real control over personal data is still far away, activists said. But NOYB has helped those who want to take back control by launching campaigns for privacy rights that have led companies to adopt “deny” buttons. Regulators have imposed heavy fines on companies that have violated GDPR rules: Meta, which owns Facebook and is based in Europe in Dublin, was hit with fines totaling 390 million euros ($424 million) in January. One reason why tech giants such as Google or Meta, as well as smaller companies, choose not to comply with GDPR rules is that circumventing them pays off, Schrems said.

Montana Governor Greg Gianforte signed a law banning China-based TikTok from operating in the state to “protect Montanans” from alleged Chinese surveillance, becoming the first U.S. state to ban the popular app. FBI Director Chris Wray said in November that TikTok poses a national security risk, adding that Chinese companies are required to do essentially “whatever the Chinese government wants them to do in terms of sharing information.” In March, members of Congress complained that the Chinese government holds a “golden share” in ByteDance, which gives it power over TikTok. TikTok responded that “an entity affiliated with the Chinese government owns 1 percent of a ByteDance subsidiary, Douyin Information Service” and that the stake “has no bearing on ByteDance’s global operations outside China, including TikTok.” Wray also said that TikTok’s U.S. operations raise national security concerns because the Chinese government could exploit the video-sharing app to influence users or control their devices. Risks include “the possibility that the Chinese government could use to control data collection on millions of users or control the recommendation algorithm, which could be used for influence operations,” Wray told U.S. lawmakers. National Security Agency Director Paul Nakasone said in March that he was concerned about the data collected by TikTok, the algorithm used to distribute information to users and “control over who owns the algorithm.” He said the TikTok platform could enable blanket influence operations because TikTok could proactively influence users and could also “turn off the message.” TikTok states that it “does not allow any government to influence or change its recommendation model.” TikTok will turn over Americans’ data to Chinese government officials.

A breach of the Department of Transportation’s (DOT) “commuting support” program may have exposed the data of congressional employees. A DOT spokesperson told The Hill that the Office of the Chief Information Officer (OCIO) is investigating the breach and that agencies such as the Cybersecurity and Infrastructure Security Agency (CISA) are providing assistance. The spokesperson also stated that a preliminary investigation has determined that the breach affected some DOT administrative systems used for functions such as the TRANServe program, and that it did not affect any transportation security systems. “With support from other federal agencies, including CISA, the OCIO is addressing the breach and has suspended access to relevant systems while the problem is further investigated and systems are secured.” TRANServe “covers” federal employees for commuting expenses to incentivize them to use mass transit to reduce traffic congestion and help the environment. Employees can receive up to $280 a month to cover commuting expenses. Reuters first reported the news of the breach on Friday: sources briefed on the matter reported that the records of 237,000 current and former public employees were exposed. FedScoop, an information technology body dealing with the federal government, reported that possibly compromised information could include recipients’ names, agency, work e-mail, work phone numb

PRIVACYDAILY

N. 119/2023

LE TRE NEWS DI OGGI:

  • I MINISTRI CHIEDONO CHE LA TECNOLOGIA DI RICONOSCIMENTO FACCIALE SIA USATA DALLA POLIZIA TUTTI I GIORNI
  • IL DNA UMANO E’ OVUNQUE SULLA TERRA, UN VANTAGGIO PER LA SCIENZA MA UN PROBLEMA DI PRIVACY
  • LA VIOLAZIONE DEI DATI CAPITA COLPISCE IL PIU’ GRANDE FONDO PENSIONE BRITANNICO

I ministri chiedono che la tecnologia di riconoscimento facciale sia utilizzata dalla polizia tutti i giorni, anche collegandola potenzialmente alle telecamere indossate dagli agenti mentre pattugliano le strade. Finora, l’uso del riconoscimento facciale da parte della polizia in Inghilterra e Galles è stato limitato a operazioni speciali come le partite di calcio o l’incoronazione. Il Prof. Fraser Sampson, commissario per la biometria e le telecamere di sorveglianza, ha dichiarato che la potenziale espansione è “molto significativa” e che “le preoccupazioni orwelliane delle persone, la capacità dello Stato di osservare ogni movimento, è molto reale”. Le intenzioni del governo sono state rivelate in un documento prodotto per il commissario per le telecamere di sorveglianza, in cui si discutono le modifiche alla supervisione della tecnologia e della sorveglianza. Nel documento si legge che: “La questione è resa più urgente dal fatto che il ministro della polizia [Chris Philp] ha espresso il desiderio di utilizzare la tecnologia di riconoscimento facciale nelle forze di polizia e sta valutando cosa il governo possa fare di più per sostenere la polizia in questo senso”. È molto probabile che tale integrazione includa l’esplorazione dell’integrazione di questa tecnologia con i video indossati dalla polizia”. Sampson ne ha confermato l’accuratezza, così come un portavoce del Ministero dell’Interno, e il documento riassume un incontro organizzato dal governo e tenutosi il mese scorso per discutere della tecnologia. Il body-worn video è stato introdotto per catturare prove e interazioni tra agenti e pubblico. Le piccole telecamere sono attualmente in grado di catturare video in alta definizione ed è tecnicamente possibile collegarle al riconoscimento facciale in tempo reale (LFR), un sistema che confronta i dati biometrici dei volti delle persone con quelli delle persone inserite in una lista di sorveglianza. Sampson ha dichiarato: “Una telecamera su un agente che cammina per strada potrebbe controllare i volti rispetto a una lista di sorveglianza di sospetti. Potrebbero controllare centinaia, se non migliaia, di persone mentre sono in servizio. “La tecnologia sarà in grado di fare molte cose, non tutte desiderate dal pubblico. In Cina l’algoritmo è in grado di rilevare l’etnia. “Sarà in grado di stimare l’età; alcuni produttori sostengono che può stimare l’umore o lo stato d’ansia di una persona”. Sampson ha detto che le regole per l’LFR finora non sono state elaborate dal parlamento, ma interpretate in fretta e furia dopo che le autorità, compresa la polizia, hanno perso cause giudiziarie sull’uso della tecnologia. Ha detto che: “Se l’uso non è vincolato, nessuno è in grado di dare garanzie su quali confronti stia facendo l’LFR, quali conclusioni stia traendo e quali siano le conseguenze per l’utente”. L’attività di polizia si basa sul consenso e sulla fiducia, che è fondamentale per l’attività di polizia”.

Sulla spiaggia, nell’oceano, viaggiando lungo i fiumi, nell’afosa Florida e nella fredda Irlanda, persino  fluttuando nell’aria, tossiamo, sputiamo, spargiamo e scarichiamo il nostro DNA in tutti questi luoghi e in innumerevoli altri. Secondo un nuovo studio dell’Università della Florida, i segni della vita umana si trovano quasi ovunque, ad eccezione di isole isolate e cime remote. Questa ubiquità è allo stesso tempo un vantaggio scientifico e un dilemma etico, dicono i ricercatori dell’UF che hanno sequenziato questo DNA diffuso. Il DNA era di qualità così elevata che gli scienziati hanno potuto identificare le mutazioni associate alle malattie e determinare l’ascendenza genetica delle popolazioni vicine. Hanno anche potuto associare le informazioni genetiche a singoli partecipanti che si erano offerti di recuperare il loro DNA errato. David Duffy, il professore di genomica delle malattie della fauna selvatica dell’UF che ha guidato il progetto, sostiene che i campioni di DNA ambientale gestiti in modo etico potrebbero essere utili in campi che vanno dalla medicina e dalle scienze ambientali all’archeologia e alla criminalistica. Per esempio, i ricercatori potrebbero seguire le mutazioni del cancro provenienti dalle acque reflue o individuare siti archeologici sconosciuti controllando il DNA umano nascosto. Oppure gli investigatori potrebbero identificare i sospetti dal DNA che fluttua nell’aria di una scena del crimine. Ma questo livello di informazioni personali deve essere gestito con estrema attenzione. Ora gli scienziati e le autorità di regolamentazione devono confrontarsi con i dilemmi etici insiti nel raccogliere accidentalmente – o intenzionalmente – informazioni genetiche umane, non da campioni di sangue ma da una paletta di sabbia, una fiala d’acqua o il respiro di una persona. Pubblicato il 15 maggio su Nature Ecology and Evolution, il documento del gruppo di Duffy illustra la relativa facilità di raccogliere DNA umano quasi ovunque. “Nel corso di questo progetto siamo rimasti costantemente sorpresi dalla quantità di DNA umano che abbiamo trovato e dalla qualità di quel DNA”, ha detto Duffy. “Nella maggior parte dei casi la qualità è quasi equivalente a quella di un campione prelevato da una persona”. A causa della capacità di identificare potenzialmente gli individui, i ricercatori affermano che per questo tipo di ricerca è necessario un controllo etico. Lo studio è stato condotto con l’approvazione del comitato di revisione istituzionale dell’UF, che garantisce il rispetto delle linee guida etiche durante gli studi di ricerca. “È uno standard scientifico rendere queste sequenze disponibili al pubblico. Ma questo significa anche che se non si schermano le informazioni umane, chiunque può arrivare e raccogliere queste informazioni”, ha detto Duffy. “Questo solleva problemi di consenso. È necessario ottenere il consenso per prelevare questi campioni? O istituire dei controlli per rimuovere le informazioni umane?”.

Fino a 350 fondi pensione britannici potrebbero essere stati colpiti dalla violazione dei dati, che potrebbe diventare una delle peggiori violazioni nella storia del Regno Unito, secondo quanto riportato venerdì dal The Telegraph. L’azienda londinese di outsourcing e servizi professionali Capita, che conta 50.000 dipendenti, detiene oltre 8 miliardi di dollari di contratti governativi nel Regno Unito. I clienti spaziano nei settori governativo, informatico, sanitario e dell’istruzione e comprendono il Servizio sanitario nazionale, le forze armate britanniche, la Royal Bank of Scotland e i giganti delle telecomunicazioni O2 e Vodafone. Il più grande fondo pensionistico britannico, l’Universities Superannuation Scheme, è tra le organizzazioni che stanno avvertendo i cittadini che i loro dati personali potrebbero essere stati esposti dalla violazione dei dati, con un elevato rischio di furto di identità. L’USS gestisce un patrimonio di 103 miliardi di dollari e fornisce prestazioni pensionistiche e sanitarie ai suoi membri, che sono personale accademico. Ha dichiarato di utilizzare la piattaforma tecnologica Hartlink di Capita per gestire il proprio fondo pensione. La settimana scorsa, la società Capita, quotata in borsa, ha avvertito gli investitori che i costi di pulizia derivanti dall’attacco hacker e dalla violazione dei dati potrebbero raggiungere i 25 milioni di dollari. Un gruppo di ransomware ha rivendicato il merito dell’attacco (si veda: Elementari domande sulla violazione dei dati rimangono, cara Capita). L’USS ha riferito che giovedì ha appreso da Capita che i dati personali di circa 470.000 membri attivi, pensionati e differiti potrebbero essere stati violati dai pirati informatici che hanno violato i server di Capita. I dati a rischio includono il nome, la data di nascita, il numero di previdenza nazionale e il numero di iscrizione all’USS, ma non sono stati rubati i dati di accesso ai conti dei membri. “Sebbene Capita non possa al momento confermare se questi dati siano stati definitivamente ‘esfiltrati’ – cioè acceduti e/o copiati – dagli hacker, ci consiglia di lavorare sulla base dell’ipotesi che lo siano stati”, ha dichiarato l’USS. L’USS ha dichiarato di aver notificato la violazione dei dati personali all’Information Commissioner’s Office, al Pensions Regulator e alla Financial Conduct Authority.

English version

  • MINISTER LOOKING AT BODY-WORN FACIAL RECOGNITION TECHNOLOGY FOR POLICE
  • HUMAN DNA IS EVERYWHERE ON EARTH, ADVANTAGE FOR SCIENCE BUT PRIVACY PROBLEM FOR PEOPLE
  • CAPITA DATA BREACH AFFECTS BRITAIN’S LARGEST PENSION FUND

Ministers are calling for facial recognition technology to be used by police every day, including potentially linking it to cameras worn by officers as they patrol the streets. So far, the use of facial recognition by police in England and Wales has been limited to special operations such as soccer matches or coronations. Prof. Fraser Sampson, commissioner for biometrics and surveillance cameras, said the potential expansion is “very significant” and that “people’s Orwellian concerns, the ability of the state to observe every movement, is very real.” The government’s intentions were revealed in a document produced for the surveillance camera commissioner discussing changes to the oversight of technology and surveillance. The document states: “The issue is made more urgent by the fact that the police minister [Chris Philp] has expressed a desire to use facial recognition technology in the police force and is considering what more the government can do to support the police in this regard.” It is very likely that such integration will include exploring the integration of this technology with police-worn video.” Sampson confirmed its accuracy, as did a Home Office spokesman, and the paper summarizes a meeting organized by the government and held last month to discuss the technology. Body-worn video was introduced to capture evidence and interactions between officers and the public. The small cameras are currently capable of capturing high-definition video, and it is technically possible to link them to real-time facial recognition (LFR), a system that compares biometric data of people’s faces with those of people on a watch list. Sampson said, “A camera on an officer walking down the street could check faces against a surveillance list of suspects. They could check hundreds, if not thousands, of people while on duty. “The technology will be able to do many things, not all of them desired by the public. In China, the algorithm can detect ethnicity. “It will be able to estimate age; some manufacturers claim it can estimate a person’s mood or state of anxiety.” Sampson said the rules for the LFR so far have not been drafted by parliament, but hastily interpreted after authorities, including the police, lost court cases over the use of the technology. He said: “If the use is unconstrained, no one is able to give guarantees about what comparisons the LFR is making, what conclusions it is drawing and what the consequences are for the user.” Policing is based on consent and trust, which is fundamental to policing.”

On the beach, in the ocean, traveling along rivers, in sultry Florida and cold Ireland, even floating in the air, we cough, spit, shed and dump our DNA in all these places and countless others. According to a new University of Florida study, signs of human life are found almost everywhere except isolated islands and remote peaks. This ubiquity is both a scientific advantage and an ethical dilemma, say UF researchers who sequenced this widespread DNA. The DNA was of such high quality that scientists were able to identify disease-associated mutations and determine the genetic ancestry of nearby populations. They were also able to match the genetic information to individual participants who had volunteered to retrieve their errant DNA. David Duffy, the UF professor of wildlife disease genomics who led the project, says ethically managed environmental DNA samples could be useful in fields ranging from medicine and environmental science to archaeology and criminalistics. For example, researchers could track cancer mutations from wastewater or identify unknown archaeological sites by checking hidden human DNA. Or investigators could identify suspects from DNA floating in the air at a crime scene. But this level of personal information must be handled with extreme care. Now scientists and regulators must confront the ethical dilemmas inherent in accidentally-or intentionally-collecting human genetic information, not from blood samples but from a scoop of sand, a vial of water or a person’s breath. Published May 15 in Nature Ecology and Evolution, the paper by Duffy’s group illustrates the relative ease of collecting human DNA almost anywhere. “Over the course of this project we have been consistently surprised by the amount of human DNA we have found and the quality of that DNA,” Duffy said. “In most cases the quality is almost equivalent to that of a sample taken from a person.” Because of the ability to potentially identify individuals, the researchers say ethical review is required for this type of research. The study was conducted with the approval of UF’s institutional review board, which ensures that ethical guidelines are followed during research studies. “It is a scientific standard to make these sequences available to the public. But that also means that if you don’t screen out human information, anyone can come in and collect this information,” Duffy said. “This raises issues of consent. Should consent be obtained to take these samples? Or set up controls to remove human information?”

Up to 350 U.K. pension funds may have been affected by the data breach, which could make it one of the worst breaches in British history, The Telegraph reported Friday. London-based outsourcing and professional services firm Capita, which has 50,000 employees, holds more than $8 billion in U.K. government contracts. Customers span government, IT, healthcare and education sectors and include the National Health Service, Britain’s military, the Royal Bank of Scotland and telecommunications giants O2 and Vodafone. Britain’s largest pension fund, the Universities Superannuation Scheme, is among the organizations now warning individuals that their personal details may have been exposed by the data breach, leaving them at elevated risk of identity theft. USS manages $103 billion in assets and provides retirement and health benefits to members, who are academic staff. It said it uses Capita’s Hartlink technology platform to manage its pension fund. Last week, publicly traded Capita warned investors that cleanup costs from the hack attack and data breach could reach $25 million. A ransomware group claimed credit for the attack (see: Elementary Data Breach Questions Remain, My Dear Capita). USS reported that on Thursday it learned from Capita that personal details on around 470,000 active, deferred and retired members may have been accessed when hackers breached Capita’s servers. At-risk details include each individual’s name, birthdate, National Insurance Number and USS member number, but it said members’ account login details were not stolen. “While Capita cannot currently confirm if this data was definitively ‘exfiltrated’ – i.e., accessed and/or copied – by the hackers, they recommend we work on the assumption it was,” USS said. USS said it had notified Britain’s Information Commissioner’s Office, Pensions Regulator and the Financial Conduct Authority about the breach of personal data.

PRIVACYDAILY

N. 118/2023

LE TRE NEWS DI OGGI:

  • WHATSAPP PERMETTERA’ AGLI UTENTI DI BLOCCARE E NASCONDERE LE CONVERSAZIONI
  • LA PIU’ GRANDE BANCA ISLAMICA INDONESIANA DICHIARA CHE I DATI DEI CLIENTI SONO AL SICURO
  • PARERE LEGALE DEL CONSIGLIO UE DA UNO SCHIAFFO ALLA LEGGE CONTRO GLI ABUSI SESSUALI SUI MINORI

Gli utenti di WhatsApp potranno presto bloccare e nascondere le conversazioni grazie a una nuova funzione. Chat Lock rimuoverà un thread di chat dalla normale casella di posta sullo schermo dell’app e lo inserirà in una nuova cartella che potrà essere aperta solo tramite una password o un dato biometrico, come il riconoscimento facciale o l’impronta digitale. È l’ultima di una serie di funzioni del servizio di messaggistica criptata utilizzato in tutto il mondo, che lo mette in contrasto con la legge sulla sicurezza online del governo britannico. Mark Zuckerberg, amministratore delegato di Meta, ha confermato la nuova funzione in un post su Facebook. L’azienda ha già avvertito che preferirebbe che agli utenti britannici venisse impedito di utilizzare i suoi servizi piuttosto che rischiare di compromettere la loro privacy. Ma un portavoce del governo ha insistito sul fatto che la legge “non richiederà alle aziende di rompere la crittografia end-to-end o di monitorare abitualmente le comunicazioni private”. “Alcuni hanno definito questa proposta di legge come una scelta  tra privacy e sicurezza: ma è sbagliato”, ha aggiunto il portavoce che ha  proseguito: “Siamo a favore di una crittografia forte, ma questa non può andare a scapito della sicurezza pubblica . “Grazie al nostro approccio favorevole all’innovazione, siamo fiduciosi che la tecnologia possa supportare l’implementazione della crittografia end-to-end in modo tale da proteggere i bambini dagli abusi online, rispettando al contempo la privacy degli utenti”. Anche alcune associazioni di beneficenza, tra cui l’NSPCC, affermano di sostenere gli obiettivi della proposta di legge e i sondaggi indicano che essa gode del sostegno di un gran numero di adulti britannici. Tuttavia, la piattaforma di messaggistica Element, con sede nel Regno Unito e utilizzata da enti come il Ministero della Difesa, il Corpo dei Marines degli Stati Uniti e le forze armate ucraine, ha affermato che la proposta di legge è “assolutamente pericolosa” e indebolirebbe la sicurezza nazionale. Matthew Hodgson, amministratore delegato di Element, ha dichiarato: “I cattivi attori non giocano secondo le regole. Gli Stati nazione, i terroristi e i criminali che non rispettano le regole prenderanno di mira questo accesso con ogni risorsa a loro disposizione”. Hodgson ha aggiunto: “È uno shock vedere il Regno Unito, un Paese simbolo di democrazia e libertà, introdurre una sorveglianza di massa di routine e minare fondamentalmente la crittografia. “I cattivi attori continueranno semplicemente a utilizzare le applicazioni non regolamentate esistenti, mentre i buoni attori che utilizzano applicazioni conformi vedranno compromessa la loro privacy”. L’ampia legislazione mira a regolamentare i contenuti di Internet per mantenere le persone al sicuro e darebbe all’ente regolatore dei media Ofcom il potere di richiedere alle piattaforme di identificare e rimuovere i contenuti pedopornografici. Se si rifiutano di adeguarsi, le aziende potrebbero incorrere in multe salate.

Il più grande istituto di credito islamico indonesiano, Bank Syariah Indonesia (BSI) (BRIS.JK), ha dichiarato  di essere al lavoro con le autorità di regolamentazione per proteggere la propria sicurezza informatica, dopo che i media hanno riferito che i dati dei conti di 15 milioni di clienti sono stati pubblicati online.  La violazione dei dati, che secondo un esperto di cybersicurezza è stata la peggiore del Paese per un istituto finanziario, è l’ultima di una serie di fughe di notizie avvenute negli ultimi anni presso aziende e agenzie governative indonesiane. BSI, uno dei 10 principali istituti di credito in Indonesia, in un comunicato non ha confermato la fuga di dati, ma ha affermato che sta “conducendo sforzi di recupero, revisione e mitigazione in modo che non si verifichino simili interruzioni” .”Speriamo che i clienti possano rimanere tranquilli perché possiamo assicurare che i loro dati e i loro fondi sono al sicuro e che le transazioni sono sicure”, ha dichiarato la banca. L’Autorità indonesiana per i servizi finanziari ha dichiarato poi di non essere in grado di stabilire con certezza se si tratti di una fuga di dati, aggiungendo che sta conducendo un esame forense. La banca ha aggiunto che l’8 maggio i servizi finanziari del prestatore sono stati interrotti, compresi i prelievi agli sportelli automatici e l’online banking, a causa di “interferenze” nel suo sistema, ma che il problema è stato risolto il 9 maggio. Secondo l’esperto di sicurezza informatica Teguh Aprianto e la società di sicurezza tecnologica DarkTracer, con sede a Singapore, il gruppo di hacker LockBit 3.0 ha rivendicato la responsabilità dell’attacco. LockBit, che in passato ha preso di mira il gruppo francese di difesa e tecnologia Thales, ha dichiarato di aver avuto accesso ai dati di BSI l’8 maggio e di averli pubblicati online martedì. Reuters non ha potuto verificare in modo indipendente la rivendicazione del gruppo. Il quotidiano indonesiano Tempo ha dichiarato di aver verificato alcune delle informazioni trapelate con i clienti di BSI. “Questo è il peggior attacco a una banca”, ha dichiarato Teguh, un consulente di cybersicurezza i cui clienti passati includono una banca locale e diverse aziende di tecnologia finanziaria, aggiungendo che i dettagli trapelati includono i titolari dei conti bancari, i numeri, i saldi e la cronologia delle transazioni.

Il servizio giuridico del Consiglio dei ministri dell’UE ha criticato la proposta dell’Unione europea per la lotta al materiale pedopornografico (CSAM), criticando in particolare l’ambiguità degli ordini di rilevamento e il loro possibile impatto sui diritti alla privacy. Il progetto di legge sul CSAM è stato oggetto di controversie da quando è stato proposto dalla Commissione europea lo scorso anno. Questo conferisce alle autorità giudiziarie il potere di emettere ordini di accertamento nei confronti di fornitori di servizi di comunicazione che considerano a rischio significativo di essere utilizzati per diffondere questo tipo di contenuti illegali. Dopo aver ricevuto un ordine di rilevamento, servizi come Gmail o WhatsApp sarebbero costretti a implementare strumenti che scansionano automaticamente e-mail o testi privati per individuare i contenuti sospetti. Questo strumento è stato accusato di colpire in modo sproporzionato la privacy delle persone, poiché potenzialmente ogni persona che utilizza il servizio potrebbe essere interessata. A queste preoccupazioni ha fatto eco il Garante europeo della protezione dei dati, uno studio commissionato dal Parlamento europeo. Nel testo della Commissione, gli ordini di rilevamento possono essere emessi da un organo giudiziario nazionale o da un organo amministrativo indipendente per individuare materiale noto, nuovo materiale e grooming, la pratica dei predatori che cercano di adescare i bambini. Sebbene l’intento dichiarato sia quello di rendere la proposta tecnologicamente neutrale, il parere legale osserva che “il contenuto di tutte le comunicazioni deve essere accessibile e scansionato, e deve essere eseguito utilizzando gli strumenti automatizzati disponibili”. Sulla carta, il progetto di legge dovrebbe anche essere il meno invasivo possibile in termini di impatto sui diritti degli utenti alla privacy e alla protezione dei dati. Tuttavia, il parere osserva che se tutte le comunicazioni devono essere scansionate “con l’assistenza di un’operazione automatizzata”, ciò interferisce “con il diritto alla protezione dei dati, indipendentemente dall’uso successivo di tali dati”. Il parere legale aggiunge che l’applicazione degli ordini non può “superare i 24 mesi per la diffusione di CSAM noti o nuovi e i 12 mesi per l’adescamento di minori”. Secondo il documento, gli ordini di rilevamento non sono “sufficientemente chiari, precisi e completi”. Ad esempio, non viene spiegato cosa si intenda per tecnologia “efficace”. Il significato spetta in ultima analisi ai fornitori di servizi, il che solleva “seri dubbi sulla prevedibilità dell’impatto di queste misure sui diritti fondamentali in gioco” .L’entità dell’interferenza sarebbe determinata da coloro che scelgono le tecnologie utilizzate per attuare “l’ordine di rilevamento caso per caso”, come il Centro dell’UE, le autorità nazionali, i giudici e i fornitori di servizi.” L’ampiezza della discrezionalità potrebbe dare adito a una gamma molto ampia di possibili interpretazioni e preoccupazioni diverse per quanto riguarda il rispetto dei diritti fondamentali”, si legge nel parere legale, che chiede limitazioni più dettagliate.

English version

  • WHATSAPP WILL ALLOW USERS TO BLOCK AND HIDE CONVERSATIONS
  • INDONESIAN’S LARGEST ISLAMIC BANK SAYS CUSTOMER DATA IS SAFE
  • EU COUNCIL’S LEGAL OPINION GIVES SQUASH TO LAW AGAINST CHILD SEXUAL ABUSE

WhatsApp users will soon be able to lock and hide conversations thanks to a new feature. Chat Lock will remove a chat thread from the normal inbox on the app’s screen and place it in a new folder that can only be opened via a password or biometric data, such as facial recognition or fingerprint. It is the latest in a series of features on the encrypted messaging service used worldwide that puts it at odds with the British government’s online security law. Mark Zuckerberg, Meta’s CEO, confirmed the new feature in a Facebook post. The company has already warned that it would rather have British users prevented from using its services than risk compromising their privacy. But a government spokesman insisted that the bill “will not require companies to break end-to-end encryption or routinely monitor private communications.” “Some have called this bill a choice between privacy and security: but that is wrong,” added the spokesman, who continued: “We are in favor of strong encryption, but this cannot come at the expense of public safety . “With our pro-innovation approach, we are confident that technology can support the implementation of end-to-end encryption in a way that protects children from online abuse while respecting users’ privacy.” A number of charities, including the NSPCC, also say they support the bill’s goals, and polls indicate that it has the support of a large number of British adults. However, the U.K.-based messaging platform Element, which is used by entities such as the Ministry of Defense, the U.S. Marine Corps and the Ukrainian armed forces, said the bill is “absolutely dangerous” and would weaken national security. Matthew Hodgson, CEO of Element, said, “Bad actors don’t play by the rules. Nation states, terrorists and criminals who don’t play by the rules will target this access with every resource at their disposal.” Hodgson added: “It is a shock to see the United Kingdom, a country that is a symbol of democracy and freedom, introduce routine mass surveillance and fundamentally undermine encryption. “Bad actors will simply continue to use existing unregulated applications, while good actors using compliant applications will see their privacy compromised.” The broad legislation aims to regulate Internet content to keep people safe and would give media regulator Ofcom the power to require platforms to identify and remove content.

 Indonesia’s largest Islamic lending institution, Bank Syariah Indonesia (BSI) (BRIS.JK), said it is working with regulators to protect its cybersecurity after media reports that account data of 15 million customers was posted online.  The data breach, which one cybersecurity expert said was the worst in the country for a financial institution, is the latest in a series of leaks in recent years at Indonesian companies and government agencies. BSI, one of the top 10 lending institutions in Indonesia, in a statement did not confirm the data leak, but said it is “conducting recovery, review and mitigation efforts so that similar disruptions do not occur” . “We hope customers can remain reassured that their data and funds are safe and that transactions are secure,” the bank said. The Indonesian Financial Services Authority later said it was unable to determine with certainty whether this was a data leak, adding that it is conducting a forensic examination. The bank added that the lender’s financial services were disrupted on May 8, including ATM withdrawals and online banking, due to “interference” in its system, but that the problem was resolved on May 9. According to cybersecurity expert Teguh Aprianto and Singapore-based technology security firm DarkTracer, the hacker group LockBit 3.0 claimed responsibility for the attack. LockBit, which has previously targeted French defense and technology group Thales, said it accessed BSI data on May 8 and posted it online on Tuesday. Reuters could not independently verify the group’s claim. The Indonesian newspaper Tempo said it had verified some of the leaked information with BSI customers. “This is the worst attack on a bank,” said Teguh, a cybersecurity consultant whose past clients include a local bank and several financial technology companies, adding that the leaked details include bank account holders, numbers, balances and transaction history.

 The Legal Service of the EU Council of Ministers has criticized the European Union’s proposal to combat child pornography (CSAM), criticizing in particular the ambiguity of detection orders and their possible impact on privacy rights. The draft law on CSAM has been controversial since it was proposed by the European Commission last year. It gives judicial authorities the power to issue discovery orders against communication service providers that they consider to be at significant risk of being used to disseminate this type of illegal content. After receiving a discovery order, services such as Gmail or WhatsApp would be forced to implement tools that automatically scan private emails or texts for suspicious content. This tool has been accused of disproportionately affecting people’s privacy, as potentially every person using the service could be affected. These concerns were echoed by the European Data Protection Supervisor, a study commissioned by the European Parliament. In the commission’s text, detection orders can be issued by a national judicial body or an independent administrative body to detect known material, new material, and grooming, the practice of predators seeking to lure children. Although the stated intent is to make the proposal technologically neutral, the legal opinion notes that “the content of all communications must be accessible and scanned, and must be performed using available automated tools.” On paper, the bill should also be as least intrusive as possible in terms of its impact on users’ rights to privacy and data protection. However, the opinion notes that if all communications are to be scanned “with the assistance of an automated operation,” this interferes “with the right to data protection, regardless of the subsequent use of such data.” The legal opinion adds that enforcement of the orders cannot “exceed 24 months for dissemination of known or new CSAMs and 12 months for solicitation of minors.”According to the document, the detection orders are not “sufficiently clear, precise and complete.” For example, it is not explained what is meant by “effective” technology. The meaning is ultimately up to the service providers, which raises “serious doubts about the predictability of the impact of these measures on the fundamental rights at stake.” .The extent of interference would be determined by those who choose the technologies used to implement the “detection order on a case-by-case basis,” such as the EU Center, national authorities, judges and service providers.” The breadth of discretion could give rise to a very wide range of possible

PRIVACYDAILY

N. 117/2023

LE TRE NEWS DI OGGI:

  • UK: ALLARME SULLA PRIVACY DEI DATI DEL SERVIZIO SANITARIO NAZIONALE DOPO CHE UN MEDICO “STALKER” CONDIVIDE LE CARTELLE CLINICHE DI UNA DONNA
  • HRW VINCE DUE WEBBY AWARDS: UNO E’ PER LE INCHIESTE SULLA PRIVACY DEI MINORI ON LINE DURANTE IL COVID
  • USA: IL RICONOSCIMENTO FACCIALE IN AEROPORTO E’ EFFICACE?

La riservatezza delle cartelle cliniche del Servizio sanitario nazionale britannico è stata messa in dubbio dopo che un medico ospedaliero “stalker” ha avuto accesso e condiviso informazioni altamente sensibili su una donna che aveva iniziato a frequentare il suo ex fidanzato, pur non essendo coinvolto nelle sue cure. La vittima è rimasta in preda alla paura, allo shock e all’orrore quando ha appreso che il medico aveva utilizzato il sistema di cartelle cliniche dell’ospedale per consultare le cartelle cliniche del suo medico di famiglia per leggere – e condividere – dettagli intimi. “Mi sono sentita violata quando ho appreso che questa donna, che non conoscevo, era riuscita ad accedere in diverse occasioni a dettagli della mia vita che avevo condiviso con il mio medico di famiglia e solo con la mia famiglia e gli amici più intimi. “, ha raccontatocosì la donna. Il caso ha messo in guardia sul fatto che qualsiasi medico in Inghilterra potrebbe abusare del proprio accesso privilegiato alle cartelle cliniche private per motivi personali piuttosto che clinici. Sam Smith, del gruppo per la privacy dei dati sanitari MedConfidential, ha dichiarato: “Questo è un caso assolutamente spaventoso. Il fatto che il medico abbia fatto questo è un problema individuale. Ma è un problema sistemico il fatto che lo abbiano potuto fare e che le falle nel funzionamento dei sistemi di gestione dei dati del Servizio sanitario nazionale abbiano fatto sì che qualsiasi medico potesse fare una cosa del genere a qualsiasi paziente. “La donna era inizialmente perplessa su come il medico fosse venuto in possesso di informazioni molto personali su di lei, sua sorella e i suoi figli, che il medico aveva poi trasmesso al suo ex fidanzato nelle prime fasi della sua nuova relazione. “Il medico ha detto di averle avute da amici, da persone del suo coro o da genitori della scuola dei miei figli e  io e mia sorella ci siamo chieste se qualcuno dei nostri amici più stretti ci avesse tradito, perché sapevamo che solo poche persone erano a conoscenza di questi dettagli. Il mistero è stato risolto quando, su sua richiesta, l’Addenbrooke’s ha fornito alla donna un controllo dettagliato di tutto il personale che aveva avuto accesso alle sue cartelle cliniche. È emerso che il medico ha avuto accesso alle sue cartelle cliniche sette volte nei mesi di agosto e settembre dello scorso anno. In tre occasioni, il medico incriminato  è entrato per la prima volta in Epic, il sistema di cartelle cliniche dell’ospedale Addenbrooke.

A Human Rights Watch è stato assegnato il Premio Webby alla campagna interattiva sui prodotti per l’apprendimento online che potrebbero aver sorvegliato i bambini e raccolto dati personali durante la chiusura delle scuole per il Covid-19. “È un grande privilegio poter raccontare queste storie e siamo onorati di essere stati premiati. “#StudentsNotProducts ha vinto invece il People’s Voice Award nella categoria Siti web e siti mobili.Innovazione responsabile. Human Rights Watch ha creato una campagna interattiva online e un video che svela le violazioni dei diritti dei bambini in tutto il mondo da parte dei governi che hanno autorizzato i prodotti di apprendimento online durante la pandemia da Covid-19 senza proteggere adeguatamente la privacy dei bambini. “I bambini meritano di essere al sicuro a scuola, di persona e online”, ha dichiarato Amanda Alampi, direttore delle campagne e dell’impegno pubblico di Human Rights Watch. “Ispirata dalla nostra ricerca innovativa, la campagna di Human Rights Watch #StudentsNotProducts ha fornito a genitori, insegnanti e bambini gli strumenti per proteggerli dai prodotti di apprendimento online raccomandati dal governo che ledono i diritti dei bambini”.Con due premi per ogni categoria, la 27a edizione dei Webby Awards ha ricevuto quasi 14.000 candidature da oltre 70 Paesi del mondo e un numero record di candidature sociali. Human Rights Watch ha gareggiato contro alcune delle migliori e più grandi organizzazioni giornalistiche del mondo, tra cui Reuters e CBS News. I vincitori saranno premiati nel corso di una cerimonia che si terrà a New York il 15 maggio. I premi sono assegnati dall’Accademia internazionale delle arti e delle scienze digitali, una rete di oltre 2.000 membri. Ifé Fatunase, Laura Prieto Uribe, produttrice video e redattrice di Human Rights Watch, e Ziva Luddy Juneja, responsabile delle campagne digitali di Human Rights Watch, parteciperanno alla cerimonia e avranno l’opportunità di pronunciare uno dei famosi discorsi di accettazione dei Webby, composto da cinque parole, a nome dell’organizzazione.

Un passeggero si avvicina a un punto di controllo di sicurezza aeroportuale, inserisce una carta d’identità in una fessura e guarda in una telecamera posta sopra un piccolo schermo. Sullo schermo appare la scritta “Foto completata” e la persona passa il controllo, senza dover consegnare i propri documenti all’agente della TSA seduto dietro lo schermo. Tutto questo fa parte di un progetto pilota dell’Amministrazione per la sicurezza dei trasporti per valutare l’uso della tecnologia di riconoscimento facciale in diversi aeroporti del Paese. “Quello che stiamo cercando di fare con questa tecnologia è aiutare gli agenti a determinare effettivamente chi siete, chi dite di essere”, ha detto Jason Lim, responsabile delle capacità di gestione dell’identità, durante una dimostrazione della tecnologia ai giornalisti all’aeroporto internazionale Thurgood Marshall di Baltimora-Washington. L’iniziativa arriva in un momento in cui l’uso di varie forme di tecnologia per migliorare la sicurezza e snellire le procedure è in continuo aumento. La TSA afferma che il progetto pilota è volontario e accurato, ma i critici hanno sollevato preoccupazioni in merito a questioni di parzialità della tecnologia di riconoscimento facciale e a possibili ripercussioni per i passeggeri che vogliono rinunciare. La tecnologia è attualmente presente in 16 aeroporti. Oltre a Baltimora, viene utilizzata al Reagan National vicino a Washington, D.C., negli aeroporti di Atlanta, Boston, Dallas, Denver, Detroit, Las Vegas, Los Angeles, Miami, Orlando, Phoenix, Salt Lake City, San Jose e Gulfport-Biloxi e Jackson in Mississippi. Tuttavia, non è presente in tutti i checkpoint TSA, quindi non tutti i viaggiatori che attraversano questi aeroporti devono necessariamente sperimentarlo. La tecnologia controlla che le persone presenti in aeroporto corrispondano al documento d’identità che presentano e che l’identificazione sia effettivamente reale. Un funzionario della TSA è sempre presente e approva lo screening. Un piccolo cartello avverte i viaggiatori che la loro foto sarà scattata nell’ambito del progetto pilota e che, se lo desiderano, possono rinunciare. Include anche un codice QR per ottenere ulteriori informazioni. Da quando è stato reso noto, il progetto pilota è stato messo sotto osservazione da alcuni funzionari eletti e dai sostenitori della privacy. In una lettera inviata a febbraio alla TSA, cinque senatori – quattro democratici e un indipendente che fa parte del caucus democratico – hanno chiesto all’agenzia di fermare il programma, affermando che: “L’aumento della sorveglianza biometrica degli americani da parte del governo rappresenta un rischio per le libertà civili e i diritti alla privacy”.

English version

The confidentiality of NHS medical records was called into question after a “stalker” hospital doctor accessed and shared highly sensitive information about a woman who had begun dating her ex-boyfriend, despite not being involved in his care. The victim was left in fear, shock, and horror when she learned that the doctor had used the hospital’s medical record system to consult her family doctor’s medical records to read-and share-intimate details. “I felt violated when I learned that this woman, whom I did not know, had been able to access on several occasions details of my life that I had shared with my family doctor and only with my family and close friends. ” the woman recounted. The case warned that any doctor in England could abuse his or her privileged access to private medical records for personal rather than clinical reasons. Sam Smith, of the health data privacy group MedConfidential, said, “This is an absolutely appalling case. The fact that the doctor did this is an individual problem. But it’s a systemic problem that they were able to do this and that the flaws in the operation of the NHS data management systems meant that any doctor could do this to any patient. “The woman was initially puzzled as to how the doctor had come into possession of very personal information about her, her sister and her children, which the doctor had then passed on to her ex-boyfriend in the early stages of her new relationship. “The doctor said he had gotten them from friends, people in his choir, or parents at my children’s school, and my sister and I wondered if any of our close friends had betrayed us, because we knew that only a few people knew these details. The mystery was solved when, at her request, Addenbrooke’s provided the woman with a detailed check of all the staff who had accessed her medical records. It turned out that the doctor had accessed her medical records seven times in August and September last year. On three occasions, the indicted doctor first accessed Epic, Addenbrooke’s Hospital’s medical records system.

Human Rights Watch was awarded the Webby Prize for its interactive campaign on online learning products that may have surveilled children and collected personal data during school closures for Covid-19. “It’s a great privilege to be able to tell these stories and we are honored to be honored,” he said. “Instead, #StudentsNotProducts won the People’s Voice Award in the Websites and Mobile Sites category.Responsible Innovation. Human Rights Watch created an interactive online campaign and video revealing violations of children’s rights around the world by governments that authorized online learning products during the Covid-19 pandemic without adequately protecting children’s privacy. “Children deserve to be safe in school, in person and online,” said Amanda Alampi, director of campaigns and public engagement at Human Rights Watch. “Inspired by our groundbreaking research, Human Rights Watch’s #StudentsNotProducts campaign provided parents, teachers, and children with the tools to protect them from government-recommended online learning products that infringe on children’s rights. “With two awards in each category, the 27th annual Webby Awards received nearly 14,000 nominations from more than 70 countries around the world and a record number of social nominations. Human Rights Watch competed against some of the world’s best and largest news organizations, including Reuters and CBS News. The winners will be honored at a ceremony in New York on May 15. The awards are presented by the International Academy of Digital Arts and Sciences, a network of more than 2,000 members. Ifé Fatunase, Laura Prieto Uribe, video producer and editor at Human Rights Watch, and Ziva Luddy Juneja, digital campaigns manager at Human Rights Watch, will attend the ceremony and have the opportunity to deliver one of the Webbies’ famous five-word acceptance speeches on behalf of the organization.

A passenger approaches an airport security checkpoint, inserts an ID card into a slot, and looks into a camera located above a small screen. “Photo completed” appears on the screen, and the person passes the checkpoint, without having to hand over his or her documents to the TSA agent sitting behind the screen. This is all part of a Transportation Security Administration pilot project to evaluate the use of facial recognition technology at several airports around the country. “What we’re trying to do with this technology is help agents actually determine who you are, who you say you are,” said Jason Lim, head of identity management capabilities, during a demonstration of the technology to reporters at Thurgood Marshall International Airport in Baltimore-Washington. The initiative comes at a time when the use of various forms of technology to improve security and streamline procedures is steadily increasing. TSA says the pilot project is voluntary and accurate, but critics have raised concerns about issues of bias in facial recognition technology and possible repercussions for passengers who want to opt out. The technology is currently in place at 16 airports. In addition to Baltimore, it is used at Reagan National near Washington, D.C., at airports in Atlanta, Boston, Dallas, Denver, Detroit, Las Vegas, Los Angeles, Miami, Orlando, Phoenix, Salt Lake City, San Jose, and Gulfport-Biloxi and Jackson in Mississippi. However, it is not present at all TSA checkpoints, so not all travelers going through these airports necessarily need to experience it. The technology checks that people at the airport match the ID they present and that the identification is actually real. A TSA official is always present and approves the screening. A small sign warns travelers that their photo will be taken as part of the pilot project and that they can opt out if they wish. It also includes a QR code to get more information. Since it became known, the pilot project has come under scrutiny from some elected officials and privacy advocates. In a letter sent to the TSA in February, five senators-four Democrats and one independent who is part of the Democratic caucus-asked the agency to stop the program, stating: “Increased government biometric surveillance of Americans poses a risk to civil liberties and privacy rights.”

PRIVACYDAILY

N. 116/2023

LE TRE NEWS DI OGGI:

  • ELISABETH BORNE, PRIMO MINISTRO FRANCESE, PRONTA A FARE CAUSA PER IL LIBRO CHE VIOLA LA SUA PRIVACY
  • LA MONETA DIGITALE CINESE SOLLEVA PREOCCUPAZIONI, MENTRE I SALARI DI MIGLIAIA DI DIPENDENTI PUBBLICI PASSANO ALLA MONETA ELETTRONICA
  • IL GARANTE MESSICANO E’ SOSPESO FINCHE’ IL SENATO NON AVRA’ NOMINATO IL MEMBRO MANCANTE

Il primo ministro francese Elisabeth Borne ha fatto causa a un editore francese per il libro che fa riferimento al suo orientamento sessuale e alla sua vita familiare. L’avvocato della Borne chiede che i passaggi del libro “La Secrète”, scritto dalla giornalista francese Bérengère Bonte, “che fanno riferimento alla sua salute e al suo orientamento sessuale” siano rimossi da ulteriori edizioni del libro, secondo la denuncia presentata dalla Borne e citata dall’AFP. Il contenuto “che fa riferimento alla vita familiare della Borne… [non] rientra nell’ambito della legittima libertà di informare il pubblico”, si legge nel documento. Il primo ministro francese chiede anche 5.001 euro di danni e spese legali, ha dichiarato all’AFP il suo avvocato Emilie Sudre. In un comunicato, la casa editrice Archipel ha difeso il lavoro di Bonte. “Questo libro […] è il prodotto di un’indagine durata un anno, di decine di interviste, tra cui due lunghe interviste a Elisabeth Borne, nonché ai membri più importanti del suo gabinetto, alla sua famiglia e ai suoi amici intimi, con l’approvazione [del primo ministro]”, ha dichiarato Archipel in un comunicato. In passato la Borne ha risposto a domande sul suo orientamento sessuale, anche in un’intervista alla rivista LGBTQI+ Têtu. “Se avessi avuto una relazione con una donna, non so perché non l’avrei detto”, ha detto. In passato, in alcune interviste, il primo ministro ha fatto riferimento al suo compagno come a un uomo, ma ha detto di non voler rivelare né lui né la sua vita privata.

A partire da questo mese, migliaia di lavoratori di una città cinese riceveranno il loro stipendio interamente in yuan digitali, in quella che è stata descritta dal governo centrale come una “pietra miliare” per la valuta. Tuttavia, poiché lo yuan digitale è emesso dalla banca centrale cinese – e non da una criptovaluta decentralizzata come il Bitcoin – ci sono state preoccupazioni sulla privacy e sul potere che dà alle autorità di controllare le finanze dei cittadini.”Il Grande Fratello non osserva solo te, ma anche il tuo portafoglio”, ha scritto un utente di Weibo. Le autorità hanno iniziato a sperimentare l’e-CNY nel 2019 in diverse città, tra cui Shanghai, Shenzhen e Xi’an. Ora si è esteso a 26 città in 17 province. L’Accademia cinese delle scienze sociali ha dichiarato che Changshu – anch’essa coinvolta nella sperimentazione – ha “implementato con successo l’e-CNY per le buste paga, il che rappresenta un’importante pietra miliare nell’applicazione pratica della valuta”. I cittadini possono pagare con lo yuan digitale presso i ristoranti e i negozi al dettaglio aderenti all’iniziativa, nonché per alcuni servizi di intrattenimento e di ride-sharing. Le autorità locali hanno anche offerto incentivi – come sconti e buoni per i negozi – per incoraggiare i cittadini a utilizzare la valuta. I dati ufficiali mostrano che, ad agosto 2022, più di 5,6 milioni di negozi accettano e-CNY come opzione di pagamento e sono già state effettuate più di 360 milioni di transazioni per un valore totale di 100 miliardi di yuan (22,2 miliardi di dollari). La valuta è stata ampiamente utilizzata anche ai Giochi olimpici invernali di Pechino del 2022.

Il 17° tribunale collegiale messicano in materia amministrativa ha concesso la sospensione definitiva al Consiglio consultivo dell’Istituto nazionale per la trasparenza, l’accesso all’informazione e la protezione dei dati personali (INAI) affinché il Senato nomini il commissario in sostituzione di Francisco Javier Acuña Llama, con il quale l’agenzia potrà riprendere le sessioni. Il 20° tribunale collegiale in materia amministrativa ha confermato la sospensione provvisoria che lo stesso giudice distrettuale aveva concesso al Consiglio, dichiarando infondate e inoperanti le doglianze del Consiglio di coordinamento politico del Senato, che sosteneva che l’omissione della nomina dei commissari mancanti non può produrre un’incidenza irreparabile o un danno imminente che non consenta di attendere l’emissione della sentenza definitiva del processo di protezione. “Questo tribunale ritiene corretto che il giudice abbia concesso la sospensione rispetto a un atto negativo, poiché in termini di Legge sulla protezione e di giurisprudenza vincolante della Corte Suprema, a partire dalla legge in materia emessa nel 2013, la sospensione non è solo una misura cautelare, ma anche restitutiva, in modo che con essa si possano anticipare gli effetti di un’eventuale concessione della protezione”. Il giudice Fernando Silva García ha affermato che “nessun potere costituito, il Senato, ha il potere di disattivare […] il funzionamento di un organo costituzionale autonomo per garantire i diritti umani alla trasparenza e ai dati personali, nati dalla Costituzione, come l’INAI”. Ha aggiunto che “il congelamento della funzione costituzionale dell’INAI genererebbe il mancato adempimento dei suoi doveri di rispettare, promuovere e garantire i diritti umani ai dati personali, alla trasparenza, all’informazione pubblica, a un ambiente libero dalla corruzione e alla responsabilità”. È stato corretto, ha sottolineato, che il giudice Celina Angélica Quintero Rico, capo del 17° Tribunale distrettuale in materia amministrativa, abbia concesso la sospensione provvisoria, che tende a favorire la trasparenza e a evitare l’opacità. “È valida e conforme all’interesse pubblico […], la concessione delle misure cautelari rivolte al Consiglio di Coordinamento Politico e allo stesso Senato, per attivare il loro potere di nomina, per attivare questa procedura di nomina del nuovo commissario dell’INAI nel recente posto vacante, al fine di evitare che l’istituto rimanga senza quorum e inoperoso dal 1° aprile 2023”.

English version

France’s Prime Minister Elisabeth Borne is suing a French publisher over a book that makes references to her sexual orientation and family life. Borne’s lawyer is requesting that passages of the book “La Secrète,” written by the French journalist Bérengère Bonte, “making reference to her health and sexual orientation” should be removed from further editions of the book, according to the complaint filed by Borne and quoted by the AFP. Content “referring to Borne’s family life … [does] not figure in the scope of a legitimate freedom to inform the public,” the document reads. The French prime minister is also requesting €5,001 in damages and legal fees, her lawyer Emilie Sudre told the AFP. In a statement, the publishers Archipel defended the work of Bonte. “This book […] is the product of a year-long investigation, of dozens of interviews, including two long interviews with Elisabeth Borne, as well as with top members of her cabinet, her family and her close friends, with [the prime minister’s] approval,” Archipel said in a statement. Borne has fielded questions about her sexual orientation in the past, including in an interview with the LGBTQI+ magazine Têtu. “If I was in a relationship with a woman, I don’t know why I wouldn’t have said so,” she said. The prime minister has referred in past interviews to her companion as a man but said she didn’t want to expose him or her private life.

Starting this month, thousands of workers in a Chinese city will be paid their wages entirely in digital yuan, in what has been described by the central government as a “milestone” for the currency. However, since the digital yuan is issued by China’s central bank — and not a decentralised cryptocurrency exchange like Bitcoin — there have been concerns about privacy and the power it gives authorities to control people’s finances.”Big Brother is not only watching you, but also your wallet,” one Weibo user wrote. Authorities started piloting e-CNY in 2019 across multiple cities, including Shanghai, Shenzhen and Xi’an. It has now expanded to 26 cities across 17 provinces. The Chinese Academy of Social Sciences said Changshu — which was also involved in the trial — had “successfully implemented e-CNY for payroll, which is an important milestone in the practical application of the currency”. People can pay with the digital yuan at participating restaurants and retail stores, and for some entertainment and ride-sharing services.Local authorities have also been offering incentives — such as store discounts and vouchers — to encourage people to use the currency. Official data shows that, as of August 2022, more than 5.6 million shops accept e-CNY as a payment option, and more than 360 million transactions with a total value of 100 billion yuan ($22.2 billion) have already been made.The currency had also been widely used at the 2022 Beijing Winter Olympic Games.

The 17th district court in administrative matters granted the definitive suspension to the Advisory Council of the National Institute of Transparency, Access to Information and Protection of Personal Data (INAI) for the Senate to appoint the commissioner to replace Francisco Javier Acuña Llama, with which the agency would be able to resume sessions. The 20th collegiate court in administrative matters confirmed the provisional suspension that the same district judge granted to the council, by declaring unfounded and inoperative the grievances of the Senate’s Political Coordination Board, which argued that the omission to appoint the missing commissioners cannot produce an irreparable affectation or imminent damage that does not allow waiting for the issuance of the final judgment of the amparo trial. “This court considers it correct that the judge granted the suspension with respect to a negative act, since in terms of the Amparo Law and the mandatory jurisprudence of the Supreme Court, as of the law of the matter issued in 2013, the suspension is not only a precautionary measure, but also a restitutive one, so that with it the effects of a possible granting of the amparo can be advanced.” Justice Fernando Silva García held that “no constituted power, the Senate, has the power to deactivate […] the operation of an autonomous constitutional body to guarantee the human rights to transparency and personal data, born from the Constitution, such as the INAI.” He added that the “freezing of INAI’s constitutional function would generate a failure to comply with its duties to respect, promote and guarantee the human rights to personal data, to transparency, to public information, to an environment free of corruption and to accountability”. It was correct, he pointed out, that Judge Celina Angélica Quintero Rico, head of the 17th District Court in Administrative Matters, granted the provisional suspension, which tends to favor transparency and avoid opacity. “It is valid and in accordance with the public interest […], the granting of the precautionary measures aimed at the Political Coordination Board and the Senate itself, to activate their power of appointment, to activate this procedure to appoint the new INAI commissioner in the recent vacancy in order to prevent the institute from remaining without quorum and inoperative since April 1, 2023.”

PRIVACY DAILY 115/2023

Toyota Motor Corp ha dichiarato venerdì che i dati dei veicoli di 2,15 milioni di utenti in Giappone, ovvero quasi l’intera base di clienti che si sono iscritti alle sue principali piattaforme di servizi cloud dal 2012, sono stati disponibili in maniera pubblica per un decennio a causa di un errore umano.
L’incidente, che ha riguardato anche i clienti del suo marchio di lusso Lexus, arriva mentre la più grande casa automobilistica del mondo per vendite si orienta verso la connettività dei veicoli e la gestione dei dati basata su cloud, considerati cruciali per offrire la guida autonoma e altre funzioni supportate dall’intelligenza artificiale. Il problema, iniziato nel novembre 2013 e durato fino a metà aprile, è derivato da un errore umano, che ha portato a impostare un sistema cloud come pubblico anziché privato, così ha detto un portavoce di Toyota. L’azienda ha dichiarato inoltre che non sono stati segnalati casi di uso improprio di tali informazioni: “Mancavano meccanismi di rilevamento attivo e attività per rilevare la presenza o l’assenza di elementi che diventavano pubblici”, ha concluso il portavoce in risposta al motivo per cui ci è voluto del tempo per capire che c’era stato un errore. Toyota ha dichiarato che introdurrà un sistema di verifica delle impostazioni del cloud, istituirà un sistema di monitoraggio continuo delle impostazioni e istruirà a fondo i dipendenti sulle regole di gestione dei dati.

C’ è un progetto di legge che intende introdurre regole di trasparenza per le campagne politiche in vista delle elezioni del Parlamento europeo del 2024, ma i tempi diventano ogni giorno più incerti perché le istituzioni europee faticano a fare progressi . L’ultimo ostacolo riguarda l’uso di dati sensibili per la pubblicità politica online. In un documento informale visionato da EURACTIV, la Commissione ha delineato diversi scenari potenziali, tra cui alcune misure che potrebbero abbassare le protezioni al di sotto della soglia prevista dal Digital Services Act. La mancanza di progressi sta portando a una crescente frustrazione, soprattutto da parte del Parlamento europeo. In seno al Consiglio dell’UE, la presidenza svedese insiste che l’obiettivo è quello di finalizzare un accordo entro la fine del mese di giugno. Tra le questioni che rimangono in sospeso vi sono la creazione di archivi centralizzati di annunci, il divieto di sponsorizzazione di annunci da parte di Paesi terzi, l’applicazione delle norme e le misure relative alla fornitura transfrontaliera di annunci politici. Un funzionario del Parlamento europeo ha dichiarato che sono stati compiuti pochi progressi sulle disposizioni chiave del regolamento, sia a livello tecnico che politico, e che si è persino discusso di aggiungere un ulteriore trilogo al calendario. “Non credo che questo risolverebbe il problema”, ha detto il funzionario, “perché il problema non è la quantità di triloghi, il problema è la mancanza di progressi a livello tecnico, soprattutto nel risolvere le questioni che sono problematiche”.

I risultati riservati dei test antidroga e alcolici dei paramedici australiani diplomati sono risultati disponibili a tutti i membri del personale dell’Ambulance Victoria, in seguito a un’importante violazione che è stata segnalata all’organo di controllo della privacy dello Stato.L’amministratore delegato dell’Ambulance Victoria, Jane Miller, ha confermato venerdì pomeriggio che la violazione “inaccettabile” ha riguardato 600 risultati di test relativi a “poche centinaia” di persone e ha offerto le sue scuse senza riserve a coloro che ne sono stati colpiti, affermando che l’organizzazione stava contattando le persone che erano state colpite dalla violazione, tra le quali circa 30 risultati positivi ai test. Secondo un’e-mail inviata giovedì scorso ai membri del Victorian Ambulance Union, e riportata per la prima volta dal Guardian, i fogli di calcolo riservati relativi ai test pre-assunzione dei paramedici laureati nel 2017 e nel 2018 erano disponibili sull’intranet del personale fino a quando il sindacato non ha avvertito Ambulance Victoria del problema. Nell’e-mail inviata ai membri, il sindacato ha affermato che le informazioni private includevano i nomi completi dei paramedici laureati, la data in cui erano stati sottoposti al test, se il risultato era positivo o negativo e, in caso di positività, la sostanza rilevata. Il sindacato ha dichiarato di aver scritto ad Ambulance Victoria invitandola a contattare tutti i dipendenti interessati, compresi quelli passati, in merito alla violazione, a condurre una verifica per determinare chi avesse avuto accesso ai file e a sospendere immediatamente tutti gli screening per l’assunzione di alcol e droghe fino a quando non avesse avuto la certezza che il problema fosse stato risolto.

English version

Toyota Motor Corp said Friday that the vehicle data of 2.15 million users in Japan, or nearly the entire customer base that has subscribed to its main cloud service platforms since 2012, had been publicly available for a decade due to human error. The incident, which also affected customers of its Lexus luxury brand, comes as the world’s largest automaker by sales moves toward vehicle connectivity and cloud-based data management, considered crucial to delivering autonomous driving and other AI-supported features. The problem, which began in November 2013 and lasted until mid-April, stemmed from a human error that led to a cloud system being set up as public instead of private, so said a Toyota spokesman. The company also said there were no reported instances of misuse of such information. “There was a lack of active detection mechanisms and activities to detect the presence or absence of items that became public,” the spokesperson concluded in response to why it took time to realize there had been an error. Toyota said it will introduce a cloud settings verification system, institute continuous monitoring of settings, and thoroughly educate employees on data management rules.

There is a draft law that aims to introduce transparency rules for political campaigns ahead of the 2024 European Parliament elections, but the timetable is becoming more uncertain by the day as the European institutions struggle to make progress, so EU officials involved in the negotiations who spoke to EURACTIV anonymously reported. The latest hurdle concerns the use of sensitive data for online political advertising. In a non-paper viewed by EURACTIV, the Commission outlined several potential scenarios, including a number of measures that could lower protections below the threshold in the Digital Services Act. The lack of progress is leading to growing frustration, especially from the European Parliament. In the EU Council, the Swedish presidency insists that the goal is to finalize an agreement by the end of June. Among the issues that remain outstanding are the creation of centralized ad repositories, a ban on ad sponsorship from third countries, enforcement, and measures related to the cross-border provision of political ads. A European Parliament official later told EURACTIV that little progress has been made on key provisions of the regulation, both at the technical and political level, and that there have even been discussions about adding an additional trialogue to the timetable. “I don’t think that would solve the problem,” the official said, “because the problem is not the amount of trialogues, the problem is the lack of progress at the technical level, especially in solving the issues that are problematic.”

Confidential drug and alcohol test results of certified paramedics were found to be available to all Ambulance Victoria staff members following a major breach that was reported to the state’s privacy watchdog. Ambulance Victoria CEO Jane Miller confirmed Friday afternoon that the “unacceptable” breach affected 600 test results related to “a few hundred” people and offered an unreserved apology to those affected, saying the organization was contacting those affected by the breach, including about 30 positive test results. According to an email sent last Thursday to members of the Victorian Ambulance Union, and first reported by the Guardian, confidential spreadsheets related to pre-employment testing of paramedics who graduated in 2017 and 2018 were available on the staff intranet until the union alerted Ambulance Victoria to the problem. In the email sent to members, the union said the private information included the full names of the graduate paramedics, the date they were tested, whether the result was positive or negative, and, if positive, the substance detected. The union said it had written to Ambulance Victoria urging it to contact all affected employees, including past employees, about the breach, conduct an audit to determine who had accessed the files, and immediately suspend all alcohol and drug screenings until it was satisfied that the problem had been resolved.

PRIVACY DAILY 114/2023

L’agente Mike Martinez ha una mappa mentale di tutte le telecamere di sicurezza della piccola città californiana di Rialto. Guidando per la città, è in grado di individuare anche i dispositivi di sorveglianza più nascosti, dalle piccole telecamere che sorvegliano una stazione di servizio all’angolo, a una fila di dispositivi che sorvegliano il muro di un magazzino a pochi isolati di distanza. “Non si tratta del Grande Fratello che vi sorveglia”, ha detto alla Thomson Reuters Foundation dal volante del suo SUV bianco e nero. “Si tratta di sicurezza pubblica”. Nell’ultimo anno Martinez ha cercato di convincere i proprietari di telecamere di sorveglianza private a iscriversi a un programma gestito dalla città che può condividere il controllo di tali telecamere con la polizia. Nel 2019, la città di 100.000 abitanti è diventata una delle prime sulla costa occidentale degli Stati Uniti a introdurre la tecnologia di Fusus, un’azienda statunitense di tecnologie di sicurezza che mira ad aumentare la sicurezza pubblica rendendo più facile per la polizia l’accesso alle telecamere di sorveglianza di proprietà privata. Nel 2022 l’azienda ha dichiarato alla società di ricerca sulla sorveglianza IPVM di aver contribuito a collegare in rete più di 33.000 telecamere individuali in oltre 2.400 luoghi diversi negli Stati Uniti. A Rialto, la polizia ha accesso a oltre 150 livestream tra ristoranti, stazioni di servizio e complessi residenziali privati, un numero che spera di aumentare grazie alle iniziative di Martinez e altri. La tecnologia Fusus viene utilizzata in oltre 70 diverse città e contee in più di una dozzina di Stati, da dipartimenti di polizia, distretti scolastici e sceriffi come parte di iniziative di sicurezza pubblica, secondo le richieste di documenti pubblici e gli annunci visti dalla Thomson Reuters Foundation. Dall’inizio dell’anno, più di una dozzina di città e sobborghi di piccole e medie dimensioni hanno introdotto o ampliato l’uso della tecnologia Fusus, alimentando il dibattito locale sull’equilibrio tra la privacy degli abitanti delle città e la sicurezza pubblica. Secondo Fusus, i capi della polizia e i leader delle città, collegare le telecamere pubbliche e private in un unico sistema di sorveglianza è fondamentale per il lavoro della polizia moderna, consentendo agli agenti di avere una maggiore “consapevolezza della situazione” e rendendo più facile il recupero delle prove.

Le autorità finlandesi non hanno violato i diritti religiosi dei testimoni di Geova etichettando come illegali le loro pratiche di raccolta dati durante le visite domiciliari, così ha stabilito la Corte dei diritti umani di Strasburgo.. La decisione ha posto fine a una lunga e complicata disputa ricca di colpi di scena. Martedì scorso, la Corte di Strasburgo infatti  ha stabilito all’unanimità che la decisione finlandese che dichiarava illegale la raccolta di informazioni personali non comprometteva il diritto alla libertà religiosa dei Testimoni di Geova. “La Corte ha ritenuto che le autorità nazionali avessero correttamente bilanciato gli interessi della comunità richiedente con i diritti degli individui per quanto riguarda le loro informazioni personali, ritenendo che fosse necessario ottenere il consenso”, così  ha scritto la Corte europea in un comunicato stampa. Nel 2013, l’Ombudsman finlandese per la protezione dei dati ha ritenuto illegale il modo in cui i Testimoni di Geova raccolgono informazioni personali quando visitano le case delle persone, osservando che tali informazioni possono costituire un registro. Tuttavia, secondo i Testimoni di Geova, tali pratiche erano solo un mezzo per prendere appunti e raccogliere materiale per gli incontri successivi, affermando che la privacy delle persone non veniva invasa. Il Tribunale amministrativo di Helsinki ha dato ragione al gruppo e ha annullato il verdetto precedente. Tuttavia, questa non è stata la fine della saga. Nel 2018, la Corte amministrativa suprema ha ritenuto illegale la raccolta di informazioni personali perché non era stata richiesta l’autorizzazione alla raccolta. Il caso è poi passato alla Corte europea dei diritti dell’uomo di Strasburgo, che può pronunciarsi quando tutte le altre vie legali sono state esaurite.

In un tweet, Musk ha dichiarato che l’ultimo aggiornamento dell’app includerà almeno due nuove funzioni per la funzione di messaggistica diretta della piattaforma, oltre all’introduzione della crittografia per i DM. “Il test più importante è che non potrei vedere i vostri DM nemmeno se mi puntassero una pistola alla testa”, ha scritto Musk. Ha poi  aggiunto che l’aggiornamento consente agli utenti di rispondere a qualsiasi messaggio in un thread DM, non solo al messaggio più recente nella chat. Musk ha concluso che le funzioni di messaggistica criptata “dovrebbero” essere disponibili da mercoledì. Non ha fornito invece una tempistica concreta per il lancio delle funzioni di videochiamata e di chiamata vocale, che consentirebbero agli utenti di Twitter di chiamare altri utenti sulla piattaforma. In passato Twitter ha faticato a mantenere le sue promesse in tempo, e a volte non le ha mantenute affatto. A febbraio, ad esempio, Musk ha dichiarato che Twitter avrebbe diviso i suoi introiti pubblicitari con i creatori di contenuti, cosa che non si è ancora realizzata. La crittografia è il processo di protezione di dati sensibili o privati che utilizza un algoritmo per scramble le informazioni in modo che solo il mittente e il destinatario possano leggerle. Il passaggio alla messaggistica criptata è generalmente positivo per gli utenti dei social media, ha dichiarato Kohei Kurihara, cofondatore di Privacy by Design Lab. Gli utenti dovrebbero chiedere a Twitter se i loro dati sono sicuramente protetti dalla crittografia end-to-end e chiedere trasparenza per condividere e proteggere i propri dati”, ha dichiarato Kurihara a CBS MoneyWatch. I piani di Musk per l’implementazione della crittografia end-to-end si scontrano con alcune delle precedenti modifiche alla politica di Twitter da parte dell’amministratore delegato, che secondo i critici minano la sicurezza del sito. A marzo, Twitter ha eliminato l’autenticazione a due fattori per tutti gli utenti ad eccezione di quelli che si iscrivono al servizio a pagamento Twitter Blue, che rappresentano solo lo 0,2% degli utenti della piattaforma, come riporta The Information.

English version

Officer Mike Martinez has a mental map of all the security cameras in the small Californian town of Rialto.Driving around town, he can pick out even the most hidden surveillance devices, from the small cameras keeping watch on a corner gas station, to a row of devices guarding the wall of a warehouse a few blocks away.“This is not about Big Brother watching you,” he told the Thomson Reuters Foundation from behind the wheel of his black and white SUV police cruiser. “This is about public safety.” For the past year Martinez has been trying to convince owners of private surveillance cameras to enroll in a city-run program that can share control of those cameras with the police.In 2019, the city of 100,000 became one of the first on the U.S. West Coast to roll out technology from Fusus, a U.S. security tech company that aims to boost public safety by making it easier for police to access privately owned surveillance cameras. In 2022 the company told surveillance research firm IPVM that it had helped network more than 33,000 individual cameras in over 2,400 distinct locations around the U.S. In Rialto, the police have access to over 150 livestreams across restaurants, gas stations, and private residential developments – a number they are hoping to increase through Martinez and others’ outreach. Fusus technology is being operated in over 70 different cities and counties across more than a dozen states, by police departments, school districts and sheriffs as part of public safety initiatives, according to public records requests and announcements seen by the Thomson Reuters Foundation.Since the beginning of the year, over a dozen small and medium-sized cities and suburbs have introduced or expanded their use of Fusus tech, fueling local debate about the balance between city dwellers’ privacy and public safety. According to Fusus, police chiefs and city leaders, hooking public and private cameras into one surveillance system is key for modern police working, allowing officers to have greater “situational awareness,” and making it easier for them to retrieve evidence.

Finnish authorities did not violate the religious rights of Jehovah’s Witnesses by labeling their data collection practices during home visits as illegal, the Strasbourg Court of Human Rights has ruled. The decision ended a long and complicated dispute full of twists and turns. On Tuesday, the Strasbourg Court in fact ruled unanimously that the Finnish decision declaring the collection of personal information illegal did not compromise Jehovah’s Witnesses’ right to religious freedom. “The Court found that the national authorities had correctly balanced the interests of the requesting community against the rights of individuals with regard to their personal information, holding that consent was required,” the European Court wrote in a press release. In 2013, the Finnish Data Protection Ombudsman found it illegal for Jehovah’s Witnesses to collect personal information when visiting people’s homes, noting that such information may constitute a record. However, according to Jehovah’s Witnesses, such practices were only a means of taking notes and collecting material for later meetings, claiming that people’s privacy was not being invaded. The Helsinki Administrative Court agreed with the group and overturned the earlier verdict. However, this was not the end of the saga. In 2018, the Supreme Administrative Court ruled that the collection of personal information was illegal because permission for collection had not been sought. The case then went to the European Court of Human Rights in Strasbourg, which can rule when all other legal avenues have been exhausted.

In a tweet, Musk said the latest update to the app will include at least two new features for the platform’s direct messaging function, as well as the introduction of encryption for DMs. “The most important test is that I could not see your DMs even if they put a gun to my head,” Musk wrote. He added that the update allows users to reply to any message in a DM thread, not just the most recent message in the chat. Musk concluded that the encrypted messaging features “should” be available starting Wednesday. He did not, however, provide a concrete timeline for the launch of video calling and voice calling features, which would allow Twitter users to call other users on the platform. Twitter has struggled in the past to deliver on its promises on time, and sometimes not at all. In February, for example, Musk declared that Twitter would share its advertising revenue with content creators, something that has not yet materialized. Encryption is the process of protecting sensitive or private data that uses an algorithm to scramble information so that only the sender and recipient can read it. The move to encrypted messaging is generally positive for social media users, said Kohei Kurihara, co-founder of Privacy by Design Lab. Users should ask Twitter whether their data is definitely protected by end-to-end encryption and demand transparency to share and protect their data,” Kurihara told CBS MoneyWatch. Musk’s plans to implement end-to-end encryption clash with some of the CEO’s previous changes to Twitter policy, which critics say undermine the site’s security. In March, Twitter eliminated two-factor authentication for all users except those who sign up for the paid service Twitter Blue, which accounts for only 0.2 percent of the platform’s users, as The Information reports.

PRIVACY DAILY 113/2023

Il ministro giapponese per la trasformazione e la riforma digitale, Taro Kono, si è scusato dopo che un’applicazione governativa ha violato la privacy dei cittadini. L’applicazione si chiama “Certificate Issuing Server” e, come spiegato dal governo municipale della città di Kodaira, consente ai residenti di stampare documenti come i certificati che attestano il pagamento delle tasse. Fujitsu Japan ha sviluppato e gestisce il servizio, che prepara i file PDF in risposta alle richieste degli utenti e li invia alle stampanti dei negozi. Il servizio non è universale: le amministrazioni locali scelgono di utilizzarlo. I negozi ospitano stampanti multifunzione per produrre i documenti. Poiché i minimarket sono assolutamente onnipresenti in tutto il Giappone, il servizio è un modo molto comodo per accedere ai documenti governativi. O lo sarebbe, se l’app non stampasse i documenti sbagliati. In una conferenza stampa tenutasi ieri, il ministro ha riconosciuto che il servizio ha stampato in molte occasioni documenti appartenenti a persone diverse da quelle che lo avevano richiesto – ha parlato di 13 errori in un solo comune. Ha quindi sospeso il servizio e ha chiesto a Fujitsu di correggerlo e di smettere di violare la privacy.  Secondo quanto riferito, Fujitsu si è anche scusata per l’incidente. Il pasticcio è imbarazzante per Fujitsu, ma anche un grosso problema per il ministro, che ricopre il ruolo dal 2022 e ha dimostrato zelo riformista. Il Giappone rimane tristemente dipendente dai processi basati sulla carta e i fax sono ancora molto diffusi. Il ministro e i suoi predecessori hanno promesso di portare il Giappone più avanti nell’era digitale, ma hanno poco da mostrare per i loro sforzi. Durante la conferenza stampa, il ministro ha ammesso che l’incidente ha ridotto la fiducia del pubblico nei servizi digitali. Dato che il suo compito è quello di aumentare la fiducia del pubblico per incoraggiare l’adozione di un maggior numero di servizi digitali, questo errore è molto sgradito. Almeno il ministro ha avuto altre buone notizie da condividere durante la conferenza stampa di martedì: il completamento di una specifica per la condivisione di documenti in cloud a tutti i livelli di governo e il lancio di un hackathon per sviluppare nuove funzioni per i portali governativi.

Il progetto di legge CSAM è stato oggetto di controversie da quando lo scorso anno è stato proposto dalla Commissione europea. Questo conferisce alle autorità giudiziarie il potere di emettere ordini di rilevamento rivolti ai fornitori di servizi di comunicazione che considerano a rischio significativo di essere utilizzati per diffondere contenuti illegali. Dopo aver ricevuto un ordine di rilevamento, servizi come Gmail o WhatsApp sarebbero costretti a implementare strumenti che scansionano automaticamente e-mail o testi privati per individuare i contenuti sospetti. Questo strumento è stato accusato di colpire in modo sproporzionato la privacy delle persone, poiché potenzialmente ogni persona che utilizza il servizio potrebbe essere interessata. A queste preoccupazioni ha fatto eco il Garante europeo della protezione dei dati con uno studio commissionato dal Parlamento europeo. Il servizio giuridico del Consiglio dell’UE, estremamente influente nel processo legislativo dell’Unione, si aggiunge ora alla storia travagliata della proposta, secondo alcuni estratti del suo parere legale visionati da EURACTIV. Nel testo della Commissione, gli ordini di rilevamento possono essere emessi da un organo giudiziario nazionale o da un organo amministrativo indipendente per individuare materiale noto, nuovo materiale e grooming, la pratica dei predatori che cercano di adescare i bambini. Sebbene l’intento dichiarato sia quello di rendere la proposta tecnologicamente neutrale, il parere legale osserva che “il contenuto di tutte le comunicazioni deve essere accessibile e scansionato, e deve essere effettuato utilizzando gli strumenti automatici disponibili”. Tuttavia, il parere osserva che la scansione di tutte le comunicazioni “con l’ausilio di un’operazione automatizzata” interferisce “con il diritto alla protezione dei dati, indipendentemente dal loro successivo utilizzo”. Il parere legale aggiunge che l’applicazione degli ordini non può “superare i 24 mesi per la diffusione di CSAM noti o nuovi e i 12 mesi per l’adescamento di minori”.

Il poliziotto eroe che sabato ha ucciso il tiratore neo-nazista al centro commerciale Allen Premium Outlet, a nord di Dallas (Texas) è un membro del dipartimento di polizia di Allen che non è stato identificato. Si trovava al centro commerciale per una chiamata non correlata alla sparatoria quando ha sentito gli spari di Mauricio Martinez Garcia. Si è lanciato coraggiosamente contro Garcia rappresentando al meglio le forze dell’ordine ed apprezzerebbe che fosse mantenuta la sua privacy per poter elaborare serenamente quanto di doloroso è accaduto come ha sottolineato il suo avvocato Zach Horn. L’audio della disperata chiamata al 911 dell’agente rivela come egli abbia implorato i suoi colleghi di unirsi a lui sulla scena, dicendo via radio: “Ho bisogno di tutti “. A quel punto Garcia, 33 anni, aveva già sparato a 12 persone ed era armato con circa 60 munizioni. L’assassino, che sfoggiava tatuaggi da suprematista bianco e aveva fatto dichiarazioni razziste online, ha ucciso otto persone e ne ha ferite molte altre, tre in modo grave. Circa due minuti dopo aver chiamato i rinforzi, il poliziotto ha detto: “L’ho messo a terra”. Pochi minuti dopo, si sente un’altra voce alla radio che dice: “Abbiamo delle vittime. Ho bisogno di un’ambulanza”. Un altro primo soccorritore sulla scena è stato un ex agente di polizia, Steven Spainhouer, che ha dichiarato alla NBC Dallas-Forth Worth di essersi recato al centro commerciale dopo che suo figlio, che lavora presso la sede di H&M, lo aveva chiamato per dirgli dell’attacco. Spainhouer ha raccontato di aver praticato la rianimazione cardiopolmonare a un uomo in fin di vita e di aver confortato un ragazzo ricoperto dal sangue della madre. In aprile, il folle assassino ha fatto ricerche nei momenti di maggiore affluenza al centro commerciale e a metà aprile ha postato sui social media le foto di un negozio vicino al luogo in cui ha iniziato il suo attacco. L’attività online di Garcia tradiva anche un’attrazione per la supremazia bianca e le sparatorie di massa, che descriveva come uno sport.

English version

Japan’s minister for digital transformation and digital reform, Taro Kono, has apologized after a government app breached citizens’ privacy. The app is called the “Certificate Issuing Server” and, as explained by the municipal government of Kodaira City, allows residents to print documents such as certificates that prove they’ve paid taxes. Fujitsu Japan developed and operates the service, which preps PDF files in response to user requests and then despatches them to printers in convenience stores. The service is not universal: local governments opt in to deploy it. Convenience stores host multifunction printers to produce the documents. As convenience stores are utterly ubiquitous across Japan, the service is a very … erm … convenient way to access government documents. Or it would be, if the app weren’t printing the wrong documents. At a press conference yesterday the minister acknowledged that the service has printed documents belonging to people other than those who requested the service on many occasions – he mentioned 13 errors in one municipality alone. He’s therefore suspended the service and told Fujitsu to fix the service and stop breaching privacy.  Fujitsu has reportedly also apologized for the incident. The foul-up is embarrassing to Fujitsu, but also a big problem for the minister, who has served in the role since 2022 and demonstrated reformist zeal. Japan remains infamously reliant on paper-based processes, and fax machines remain plentiful. The minister and his predecessors have promised to bring Japan further into the digital age, but have little to show for their efforts. At his press conference, the minister conceded the incident has reduced the public’s confidence in digital services. Given his job is to increase public confidence to encourage adoption of more digital services, this foul-up is most unwelcome. At least the minister had other good news to share at his Tuesday press conference: the completion of a spec for cloudy document sharing across all tiers of government, and the launch of a hackathon to develop new functions for government portals.

The draft CSAM law has been controversial since it was proposed by the European Commission last year. It gives judicial authorities the power to issue detection orders aimed at providers of communication services that they consider to be at significant risk of being used to spread illegal content. After receiving a detection order, services such as Gmail or WhatsApp would be forced to implement tools that automatically scan private emails or texts for suspicious content. This tool has been accused of disproportionately affecting people’s privacy, as potentially every person using the service could be affected. These concerns were echoed by the European Data Protection Supervisor in a study commissioned by the European Parliament. The EU Council’s legal service, highly influential in the EU legislative process, is now adding to the troubled history of the proposal, according to excerpts of its legal opinion viewed by EURACTIV. In the Commission’s text, detection orders can be issued by a national judicial body or an independent administrative body to detect known material, new material, and grooming, the practice of predators seeking to lure children. Although the stated intent is to make the proposal technologically neutral, the legal opinion notes that “the content of all communications must be accessible and scanned, and must be done using available automated tools.” However, the opinion notes that scanning all communications “using an automated operation” interferes “with the right to data protection, regardless of their subsequent use.” The legal opinion adds that enforcement of the orders cannot “exceed 24 months for dissemination of known or new CSAMs and 12 months for solicitation of minors.”

The hero cop who killed the neo-Nazi shooter at the Allen Premium Outlet mall in north Dallas on Saturday is a member of the Allen Police Department who has not been identified. He was at the mall on an unrelated call to the shooting when he heard Mauricio Martinez Garcia’s gunshots. He bravely threw himself at Garcia representing law enforcement as best he could and would appreciate his privacy being maintained so he could peacefully process what was painful as his attorney Zach Horn pointed out. Audio of the officer’s desperate 911 call reveals how he pleaded with his colleagues to join him at the scene, saying over the radio, “I need everyone.” By then Garcia, 33, had shot 12 people and was armed with about 60 rounds of ammunition. The shooter, who sported white supremacist tattoos and had made racist statements online, killed eight people and wounded several others, three seriously. About two minutes after calling for backup, the policeman said, “I put him down.” A few minutes later, another voice can be heard on the radio saying, “We have victims. I need an ambulance.” Another first responder on the scene was a former police officer, Steven Spainhouer, who told NBC Dallas-Forth Worth that he went to the mall after his son, who works at H&M headquarters, called him to tell him about the attack. Spainhouer recounted giving CPR to a dying man and comforting a boy covered in his mother’s blood. In April, the crazed killer did searches at busy times at the mall and in mid-April posted photos on social media of a store near where he began his attack. Garcia’s online activity also betrayed a fascination with white supremacy and mass shootings, which he described as a sport.

PRIVACY DAILY 112/2023

In seguito alle rivelazioni del 2021 secondo le quali i governi di tutto il mondo avevano sistematicamente utilizzato il software di spionaggio fornito dalla NSO il Parlamento Europeo ha istituito una commissione per indagare su Pegasus. Il testo del documento prodotto, basato su 15 mesi di indagini, include anche raccomandazioni specifiche per ogni Paese. Il rapporto è stato adottato con 30 voti a favore e 3 contrari; le raccomandazioni hanno ricevuto 30 voti a favore e 5 contrari. Le due saranno votate dall’intero Parlamento nella prossima sessione plenaria. La relazione è “la panoramica più completa mai realizzata sull’uso illegittimo e sul commercio di spyware all’interno e attraverso l’UE”, ha dichiarato all’EURACTIV la relatrice aderente al partito liberale e centrista Renew Europe, aggiungendo che “il documento dipinge un quadro estremamente allarmante”. In una nuova serie di raccomandazioni, la commissione parlamentare Pegasus sullo spyware ha espresso preoccupazione per la “fondamentale inadeguatezza” dell’UE nell’affrontare gli attacchi interni alla democrazia e ha chiesto l’intervento del Consiglio e della Commissione per dare un giro di vite alla vendita e all’uso della tecnologia di sorveglianza. La relazione emendata contiene una modifica fondamentale alla disposizione del progetto di relazione che riguarda la regolamentazione dei software spia. Per poter continuare a utilizzare i software spia, la versione finale della relazione prevede che i Paesi dell’UE debbano soddisfare alcuni criteri entro il 31 dicembre 2023, definiti come una “moratoria di fatto” da Saskia Bricmont, legislatrice dei Verdi. Le condizioni che devono soddisfare includono l’investigazione completa dei presunti abusi, la fornitura di un quadro normativo adeguato in linea con il diritto europeo, l’impegno esplicito a coinvolgere Europol nelle indagini sul suo uso illegittimo e la revoca delle licenze di esportazione che non sono in linea con il regolamento dell’UE sul doppio uso. Secondo la risoluzione, la Commissione europea dovrebbe valutare se queste condizioni sono state soddisfatte e pubblicare le proprie conclusioni in una relazione separata entro il 30 novembre. Il rapporto include anche richieste di azione a diversi livelli su una serie di argomenti, tra cui i diritti delle persone non bersaglio i cui dati vengono raccolti durante la sorveglianza, l’inclusione di marcatori specifici per aiutare a identificare la tecnologia utilizzata e l’istituzione di una task force della Commissione per garantire l’integrità delle elezioni europee del 2024.

Twitter e il suo proprietario Elon Musk stanno affrontando le critiche di alcuni utenti del social network dopo che sulla piattaforma sono state postate immagini delle vittime della sparatoria al centro commerciale Allen Premium Outlets. Tali critiche riguardano non solo le immagini stesse che sono state giudicate cruente ma anche la privacy delle vittime.  La diffusione delle immagini su Twitter mette in evidenza i cambiamenti nella moderazione dei contenuti del servizio di social media sotto la guida del miliardario Elon Musk, che ha acquistato l’azienda lo scorso anno e ha rivisto molte delle sue politiche. In una e-mail a  domande su queste immagini, Twitter ha risposto con un’emoji della cacca, pare con una risposta automatica che arriva a qualsiasi richiesta viene inviata a press@twitter.com. Ella Irwin, vicepresidente per la fiducia e la sicurezza di Twitter, non ha risposto a una richiesta di commento. Musk ha ridotto la moderazione dei contenuti da quando ha acquistato Twitter l’anno scorso, licenziando i dipendenti che si occupavano della disinformazione sulla piattaforma di social media. La maggior parte dei grandi social network ha team dedicati al monitoraggio dei discorsi d’odio e all’applicazione delle regole contro i contenuti dannosi, ma con l’avvento di Musk questi contenuti sono proliferati. Alcuni utenti si sono lamentati delle immagini dell’attacco, in cui un uomo armato ha ucciso otto persone e ne ha ferite molte altre, ma sembra che il miliardario abbia risposto solo lunedì mattina. Nei giorni successivi alla sparatoria del 6 maggio, Musk ha twittato una sua foto sulla copertina di Time Magazine e ha pubblicato un sondaggio in cui chiedeva agli utenti se i loro feed fossero il più “avvincenti possibile”. “Non c’è nulla di virtuoso o etico nel mostrare bambini e adulti morti facilmente identificabili, le cui famiglie potrebbero non sapere ancora che sono morti”, ha scritto su Twitter Emily Bell, docente e direttrice del Tow Center for Digital Journalism della Columbia University. È profondamente immorale: priva le vittime e le loro famiglie della privacy e della dignità della morte”, e ha aggiunto: “Serve solo alla “click farm” di Musk”.

Un caso di omicidio a Calgary è stato rinviato a metà processo dopo che una sentenza della Corte Suprema ha aperto alla tesi della difesa che sostiene  che l’accusato di omicidio ha diritto alla privacy sul DNA dei suoi familiari.  Nel 2020, Leonard Cochrane, 53 anni, è stato accusato dell’omicidio di Barry Buchart e Trevor Deakins, uccisi nel 1994. La teoria dell’accusa è che Cochrane fosse uno dei due uomini mascherati che l’11 luglio 1994 si introdussero nella casa delle vittime per rubare droga o denaro. Il secondo sospetto non è mai stato identificato o accusato. Cochrane è stato arrestato e incriminato 26 anni dopo gli omicidi, quando la polizia è riuscita a confrontare il DNA dell’accusato con il sangue trovato sulla scena del crimine.L’investigatore Ken Carrier ha cercato nei siti web di genealogia come ancestry.com le corrispondenze parziali – membri della famiglia – con il DNA della scena del crimine. Il detective si è poi avvalso di genealogisti per costruire un albero genealogico utilizzando quei membri della famiglia e altre informazioni come i social media, i registri del censimento, i necrologi e gli archivi dei giornali. Alla fine Cochrane è stato identificato come sospetto. La polizia ha poi ottenuto segretamente un campione del DNA di Cochrane, che è risultato compatibile con il sangue lasciato sulla scena del crimine. Prima del processo di Cochrane, iniziato due settimane fa, il giudice Keith Yamauchi del tribunale di King’s Bench ha respinto la richiesta della difesa di opporsi all’inclusione della prova genetica genealogica, sulla base della violazione dei diritti della Carta dei diritti fondamentali dell’imputato. Ma a metà del processo, la Corte Suprema ha emesso una decisione che cambia il modo in cui i giudici possono respingere le richieste come quella di Cochrane. Yamauchi si dovrà pronunciare, dopo una serie di interrogatori,  sulla possibilità che l’accusato abbia una ragionevole aspettativa di privacy nel vedere esaminato e confrontato il suo DNA.

English version

Following revelations in 2021 that governments around the world had systematically used NSO-supplied spying software, a commission was established to investigate Pegasus. The text of the document produced, based on 15 months of investigation, also includes country-specific recommendations. The report was adopted by a vote of 30 in favor and 3 against; the recommendations received 30 votes in favor and 5 against. The two will be voted on by the entire Parliament in the next plenary session. The report is “the most comprehensive overview yet of the illegitimate use and trade of spyware within and across the EU,” the rapporteur, a member of the liberal, centrist Renew Europe party, told EURACTIV, adding that “the document paints an extremely alarming picture.” In a new set of recommendations, the Pegasus Parliamentary Committee on Spyware expressed concern about the EU’s “fundamental inadequacy” in dealing with domestic attacks on democracy and called for Council and Commission action to crack down on the sale and use of surveillance technology. The amended report contains a key change to the provision in the draft report dealing with the regulation of spy software. In order for spy software to continue to be used, the final version of the report requires EU countries to meet certain criteria by Dec. 31, 2023, referred to as a “de facto moratorium” by Green lawmaker Saskia Bricmont. The conditions they must meet include fully investigating alleged abuses, providing an appropriate regulatory framework in line with European law, explicitly committing to involve Europol in investigating its illegitimate use, and revoking export licenses that are not in line with the EU dual-use regulation. According to the resolution, the European Commission should assess whether these conditions have been met and publish its findings in a separate report by Nov. 30. The report also includes calls for action at different levels on a number of topics, including the rights of non-target individuals whose data is collected during surveillance, the inclusion of specific markers to help identify the technology used, and the establishment of a Commission task force to ensure the integrity of the 2024 European elections.

Twitter and its owner Elon Musk are facing criticism from some of the social network’s users after images of the victims of the Allen Premium Outlets mall shooting were posted on the platform . criticism that involves not only the images themselves that were deemed gory but also the privacy of the victims.  The release of the images on Twitter highlights changes in content moderation at the social media service under the leadership of billionaire Elon Musk, who bought the company last year and revised many of its policies. In an email to questions about these images, Twitter responded with a poop emoji, apparently with an automated response that comes to any request is sent to press@twitter.com. Ella Irwin, Twitter’s vice president for trust and security, did not respond to a request for comment. Musk has cut back on content moderation since he bought Twitter last year, firing employees who dealt with misinformation on the social media platform. Most large social networks have teams dedicated to monitoring hate speech and enforcing rules against harmful content, but with the advent of Musk, such content has proliferated. Some users have complained about images of the attack, in which a gunman killed eight people and injured many more, but it appears that the billionaire did not respond until Monday morning. In the days following the May 6 shooting, Musk tweeted a photo of himself on the cover of Time Magazine and posted a survey asking users if their feeds were as “compelling as possible.” “There is nothing virtuous or ethical about showing easily identifiable dead children and adults whose families may not yet know they are dead,” Emily Bell, professor and director of Columbia University’s Tow Center for Digital Journalism, wrote on Twitter. It is deeply unethical: it deprives victims and their families.

A murder case in Calgary has been postponed mid-trial after a Supreme Court ruling opened to the defense’s argument that the accused murderer has a right to privacy over his family members’ DNA.  In 2020, Leonard Cochrane, 53, was charged with the murder of Barry Buchart and Trevor Deakins, who were killed in 1994. The prosecution’s theory is that Cochrane was one of two masked men who broke into the victims’ home on July 11, 1994, to steal drugs or money. The second suspect was never identified or charged. Cochrane was arrested and charged 26 years after the murders, when police were able to match the accused’s DNA to blood found at the crime scene.Detective Ken Carrier searched genealogy websites such as ancestry.com for partial matches-family members-with DNA from the crime scene. The detective then used genealogists to construct a family tree using those family members and other information such as social media, census records, obituaries and newspaper archives. Cochrane was eventually identified as a suspect. Police then secretly obtained a sample of Cochrane’s DNA, which matched blood left at the crime scene. Before Cochrane’s trial, which began two weeks ago, Judge Keith Yamauchi of the King’s Bench court rejected the defense’s request to object to the inclusion of genealogical genetic evidence on the grounds that it violated the defendant’s Charter of Fundamental Rights rights. But midway through the trial, the Supreme Court issued a decision that changes the way judges can reject requests like Cochrane’s. Yamauchi will have to rule, after a series of interrogatories, on whether the defendant has a reasonable expectation of privacy in having his DNA examined and compared.