Privacy Daily – 16 febbraio 2021

La Commissione pubblica uno studio sulla valutazione delle norme degli Stati membri dell’UE sui dati sanitari alla luce del GDPR

La Commissione ha pubblicato uno studio sulla ” Valutazione delle norme degli Stati membri dell’UE sui dati sanitari alla luce del GDPR “. Lo studio rileva che nonostante le norme del GDPR applicabili a tutti gli Stati membri, permangono differenze normative a livello nazionale legate al settore della salute. Ciò – suggerisce lo studio – ha portato ad un approccio frammentato rispetto al modo in cui viene condotto il trattamento dei dati sanitari. Ciò può determinare un impatto negativo sulla cooperazione transfrontaliera per la fornitura di cure, la governance del sistema sanitario, la salute pubblica e la ricerca. Lo studio evidenzia che per supportare lo Spazio europeo dei dati è necessario intraprendere alcune azioni a livello dell’UE.

https://ec.europa.eu/newsroom/sante/newsletter-specific-archive-issue.cfm?archtype=specific&newsletter_service_id=327&newsletter_issue_id=30034&page=1&fullDate=Thu%2002%20Dec%202021&lang=default


La CNIL parere sulle modifiche all’applicazione “TousAntiCovid”

La CNIL ha approvato una bozza di decreto che modifica quello del 29 maggio 2020 relativo al trattamento dei dati denominato “StopCovid”. La bozza si propone di introdurre un sistema di registrazione degli accessi ad alcuni esercizi aperti al pubblico come ristoranti e palazzetti dello sport. Grazie all’applicazione “TuousAntiCovid” le modifiche mirano ad avvisare gli utenti della compresenza di una o più persone positive al COVID-19. Nella prospettiva della riapertura di alcuni pubblici esercizi, CNIL ha ritenuto sufficientemente dimostrata l’utilità di un ulteriore dispositivo per l’identificazione dei contatti a rischio di contaminazione.

https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-evolutions-de-lapplication-tousanticovid


UID: app di identificazione digitale biometrica della polizia iraniana

UID, un’azienda iraniana di identificazione digitale e biometria, ha sviluppato un’applicazione di riconoscimento facciale che verrà utilizzata dalle forze dell’ordine iraniane in grado d’ora in poi di identificare qualsiasi soggetto in poco meno di due minuti. L’applicazione fornisce un ID digitale senza password che può essere trasportato e utilizzato offline.

https://www.biometricupdate.com/202102/uid-to-supply-biometric-digital-id-app-to-irans-national-police

Privacy Daily – 15 febbraio 2021

Proteste e allarme sulla proposta di una “legge informatica” della giunta militare del Myanmar che limita l’accesso alla Rete e la privacy

Diversi sostenitori dei diritti umani e organizzazioni della società civile, tra cui l’Asia Internet Coalition (AIC), hanno lanciato l’allarme contro il disegno di legge per una nuova “Legge informatica” voluta dalla giunta militare alla guida del Myanmar. Secondo Reporter senza frontiere (RSF) la legge prevederebbe una censura preventiva online, limitando le attività dei sostenitori della democrazia e violando la riservatezza dei dati dei giornalisti e il diritto ad avere informazioni affidabili. Le piattaforme di social media possono essere costrette “a condividere informazioni private sui loro utenti quando richiesto dalle autorità” e senza bisogno di un ordine del Giudice.

Civil society groups raise alarm over proposed Myanmar junta cyberlaw restricting access and privacy – JURIST – News – Legal News & Commentary


La privacy è morta? Lunga vita alla privacy

In Australia e non solo il tempa della privacy è “sempre più caldo” come dice Daniel Harding, direttore, Australia Operations, MaxContact. Gli esperti di tutto il mondo si confrontano Nick Savvides Senior Director of Strategic Business, APAC afferma: “La privacy è morta è una conclusione facile da raggiungere, ma non credo sia vero. La privacy è un argomento ingannevolmente complesso, è qualcosa che deve essere guardato attraverso lenti sociali e tecnologiche, che a loro volta cambiano nel tempo”

iTWire – Is privacy dead?


L’indice della privacy: quali sono le aziende con il maggior numero di dati dei consumatori israeliani?

Sono 450 le aziende che detengono più dati dei cittadini israeliani. A dirlo è la startup israeliana MINE che consente agli utenti di riacquistare potere sui propri dati personali, cancellando al contempo le informazioni esistenti, e che ha predisposto un indice su quali aziende controllano il maggior numero di dati dei cittadini israeliani. Quali sono quelle cui è arrivato il maggior numero di richieste di cancellazione? Chi adempie più velocemente? La consapevolezza crescente attorno alla privacy ha portato gli utenti di tutto il mondo a richiedere le loro informazioni a grandi aziende. Trai i dati della ricerca di Mine, l’azienda cui gli israeliani richiedono il maggior numero di cancellazione dei dati è Wish, la piattaforma di e-commerce. Seguono Change.org e le piattaforme di social media Twitter, Snapchat, Pinterest e Tumblr

Data privacy index: Which companies know most about the Israeli consumer? (geektime.com)

Privacy Daily – 14 febbraio 2021

I prodotti pensati e realizzati per proteggere i dati

Si moltiplicano i prodotti pensati e realizzati dai designer per tutelare i dati. Gli studenti dell’Università di Chicago hanno sviluppato un braccialetto, battezzato come il “braccialetto del silenzio”, da indossare quando si desidera una conversazione privata, i suoi molteplici sensori ad ultrasuoni disabilitano i microfoni vicini, impedendo loro di sentire qualsiasi cosa tu dica. Chissà se avrà più o meno successo dei dispositivi e delle app che nascono con l’obiettivo opposto: impossessarsi dei nostri dati. Le scommesse sono aperte.

Product designs that protect your data, conversations, and privacy from Google and Amazon! | Yanko Design


DPA svedese: la polizia ha usato illegalmente l’app di riconoscimento facciale

L’Autorità svedese per la protezione della privacy (IMY) rileva che l’autorità di polizia svedese ha trattato i dati personali in violazione della legge sui dati penali, utilizzando Clearview AI per identificare le persone. Il Garante aveva avviato un’indagine all’esito della quale è emerso che la polizia non ha adempiuto ai propri obblighi di titolare del trattamento. La Polizia non ha inoltre adottato sufficienti misure organizzative per garantire ed essere in grado di dimostrare che il trattamento dei dati personali in questo caso fosse stato effettuato nel rispetto della legge sui dati penali. Utilizzando Clearview AI, infine, sono stati trattati illegalmente i dati biometrici per il riconoscimento facciale e non è stata condotta una valutazione dell’impatto sulla protezione dei dati che questo caso di trattamento richiederebbe.

Swedish DPA: Police unlawfully used facial recognition app | Comité Europe de Protección de Datos (europa.eu)


Il prossimo conflitto sul riconoscimento facciale

Gli arresti e le accuse all’indomani dell’insurrezione di Capitol Hill del 6 gennaio hanno chiarito il potere del riconoscimento facciale, anche se gli sforzi per limitare la tecnologia stanno crescendo. Con dozzine di aziende che vendono la capacità di identificare le persone dalle immagini dei loro volti – e nessuna chiara regolamentazione federale – il riconoscimento facciale negli Stati Uniti sta sollevando importanti domande sull’etica e l’efficacia. Grandi aziende tecnologiche come Microsoft possono decidere di non vendere software di riconoscimento facciale ai dipartimenti di polizia, ma ci sono molte startup per prendere il loro posto. E come ha dimostrato il 6 gennaio, anche gli individui possono usare facilmente soluzioni di riconoscimento facciale per diventare cyber-sleuth – o cyber-vigilantes. Il dibattito è sempre più accesso e non solo negli USA.

The Capitol Hill riot shows the power and peril of facial recognition – Axios

Privacy Daily – 13 febbraio 2021

L’UE avverte Apple: applicare le norme sulla privacy in modo coerente

Le modifiche alla privacy policy pianificate da Apple che richiederanno agli sviluppatori di app una preventiva autorizzazione degli utenti per il tracciamento degli utenti per scopi pubblicitari preoccupano la Commissione UE. La vicepresidente della Commissione Margrethe Vestager ha, infatti, avvertito la società di trattare tutte le app allo stesso modo, incluse le proprie. Vestager ha affermato che se Apple non trattasse le sue app nello stesso modo per quanto riguarda i requisiti di privacy, “potrebbe trattarsi di concorrenza sleale”.

EU Warns Apple To Apply Privacy Rules Consistently – Macworld UK


I giocattoli sessuali possono mettere a rischio la privacy

La guida *Privacy Not Included” realizzata, proprio in occasione di San Valentino, dalla fondazione che gestisce Firefox, ha esaminato le politiche sulla privacy di 26 giocattoli sessuali e di 24 app di incontri. I risultati dicono che la metà dei giocattoli sessuali e l’87% delle app di incontri esaminate espongono a vulnerabilità le informazioni personali degli utenti. I rischi connessi al loro utilizzo sono molteplici. Tra l’altro le aziende possono condividere i dati con società di marketing e possono inviare annunci mirati e individuare la posizione.

Are Your Sex Toys Putting Your Privacy At Risk? (refinery29.com)


Congresso USA: proposta di legge bipartisan per rafforzare la privacy online

I senatori statunitensi Catherine Cortez Masto (D-Nev.) e Deb Fischer (R-Neb.) così come i rappresentanti Haley Stevens (MI-11) e Anthony Gonzalez (OH-16) hanno presentato il Promoting Digital Privacy Technologies Act sia al Senato che alla Camera. La proposta legislativa affida alla National Science Foundation (NSF) la promozione della ricerca sulle tecnologie per migliorare la privacy (PET) e di sviluppare standard per l’integrazione dei PET nell’uso dei dati del settore pubblico e privato.

Senators Cortez Masto, Fischer and Reps. Stevens, Gonzalez Introduce Bipartisan Bill to Strengthen Online Data Privacy | U.S. Senator Catherine Cortez Masto of Nevada (senate.gov)

Privacy Daily – 12 febbraio 2021

Germania: BFDI critica la posizione del Consiglio sul regolamento ePrivacy

Il Commissario federale per la protezione dei dati e la libertà di informazione (BfDI) Ulrich Kelber ha rilasciato una dichiarazione all’indomani del via libera del Consiglio UE al mandato negoziale finalizzato alla revisione delle norme del Regolamento ePrivacy, Il BfDI ha evidenziato una serie di criticità tra le quali la conservazione dei dati, l’uso di cookie wall, i diritti degli interessato, le valutazioni d’impatto sulla protezione dei dati. Kelber ha osservato che: “Se il testo del regolamento ePrivacy rimane quello deciso dal Consiglio si tratterebbe di un duro colpo per la protezione dei dati. Esorto il Parlamento europeo e la Commissione europea a sostenere l’innalzamento del livello di protezione dei dati”.

Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit – zu den Pressemitteilungen – BfDI kritisiert Position des Rats zur ePrivacy-Verordnung


Russia, riconoscimento facciale per identificare i manifestanti

Il blogger russo Georgy Malets viene identificato con la tecnologia di riconoscimento facciale e arrestato a Mosca a seguito della partecipazione alle proteste in sostegno di Alexei Navalny. “C’è ancora molto che non sappiamo del sistema di riconoscimento facciale in Russia”, afferma Kirill Koroteev, avvocato del gruppo “Agorà” per i diritti umani. “All’inizio hanno detto che il sistema di identificazione sarebbe stato utilizzato per trovare bambini scomparsi e latitanti”, aggiunge Sarkis Darbinyan, un sostenitore della libertà di Internet. “In un secondo tempo è stato utilizzato per monitorare chi era in isolamento durante la pandemia, mentre ora si è chiaramente passati al monitoraggio degli attivisti.”

“Face control”: Russian police go digital against protesters | Reuters


Helsinki entra a far parte della rete MyData Global

Helsinki annuncia di voler aderire alla rete MyData Global con l’obiettivo di costruire una città in cui le persone possano utilizzare i propri dati personali per i propri fini e condividerli in modo sicuro, alle proprie condizioni. Lo scopo di MyData Global è proprio quello di responsabilizzare le persone migliorando il diritto all’autodeterminazione per quanto riguarda i dati personali. Helsinki si impegna alla realizzazione di un pieno controllo dei dati, della portabilità, dell’accesso e riuso, trasparenza e interoperabilità dei dati personali.

Helsinki joins international personal data network – Smart Cities World

Privacy Daily – 10 febbraio 2021

La National Security Commission on Artificial Intelligence: Governo USA valuti l’impatto dell’AI su privacy e diritti civili

Le raccomandazioni della National Security Commission on Artificial Intelligence sollecitano le agenzie di intelligence, il Dipartimento per la Sicurezza Interna e il Federal Bureau of Investigation a valutare come l’Intelligenza Artificiale venga utilizzata nel conteso della sicurezza nazionale e le sue conseguenze su privacy e diritti civili al fine di alleviare le preoccupazioni dell’opinione pubblica in merito a potenziali abusi della tecnologia. La commissione, guidata dall’ex presidente di Google Eric Schmidt, sottolinea la crescente importanza dell’IA e invita a raddoppiare la spesa annuale per la ricerca e lo sviluppo per raggiungere $ 32 miliardi all’anno entro il 2026.

AI Panel’s Privacy, Civil Rights Advice Points to Gaps in Law (bloomberglaw.com)


Australia, il Procuratore Generale chiede di aggiornare la definizione di “informazione personale” della legge sulla privacy

Il Dipartimento del Procuratore Generale è impegnato nella revisione dell’Australia Privacy Act che risale al 1988, chiedendo a tutte le parti interessate di fornire pareri. Un tema ricorrente di molte delle proposte è stato quello di allineare la legge nazionale a quelle internazionali in special modo rispetto al Regolamento generale europeo sulla protezione dei dati (GDPR). Il Cyber Security Cooperative Research Centre (CSCRC) della Edith Cowan University ha chiesto che la definizione di informazioni personali sia modificata allineandosi proprio al GPDR.

Attorney-General asked to update ‘personal information’ definition in Privacy Act | ZDNet


La biometria nel sistema bancario della Nigeria

il BVN (Bank Verification Number) di ogni cittadino nigeriano viene collegato ai conti bancari di tutte le banche del Paese e, oltre a eseguire transazioni bancarie, pagamenti, prelievi di contanti o richiedere un prestito, i cittadini potranno anche utilizzare il BVN per autenticare la propria identità, con la creazione di una piattaforma per l’ identificazione unica, verificabile e accettata da tutti sistemi, anche in aree remote del paese.

Integrated Biometrics’ mobile solution deployed for Nigeria’s bank ID initiative | Biometric Update

Privacy Daily – 9 febbraio 2021

IMDEA Networks Institute: molte app di parental control presentano opacità sulla privacy e manipolazione dei dati a scopi pubblicitari

L’IMDEA Networks, Istituto di ricerca internazionale con sede a Madrid, ha rilevato opacità in molte delle app utilizzate per il parental control: il 75% di esse raccoglie dati per scopi diversi dal controllo parentale quali ad esempio quello della pubblicità. Una grossa parte delle app esaminate condivide inoltre i dati dei propri utenti senza consenso. Lo studio è frutto di una collaborazione tra l’IMDEA e l’EPFL e alimenta il dibattito sulla protezione della privacy in settori molto vulnerabili della popolazione. “Con il paper Angel or Devil? A Privacy Study of Mobile Parental Control Apps”, i ricercatori Alvaro Feal e Narseo Vallina-Rodriguez (IMDEA Networks), Paolo Calciati e Alessandra Gorla (IMDEA Software) e Carmela Troncoso (Spring Lab EPFL) hanno vinto il Premio “Emilio Aced” promosso dall’Autorità garante spagnola per la protezione dei dati personali (AEPD) .

Several parental control apps are privacy opaque, research says (businessinsider.com)


“Se non ha l’età, i social possono attendere”. Lo spot del Garante privacy e di Telefono Azzurro per sensibilizzare i genitori

Questa immagine ha l'attributo alt vuoto; il nome del file è minori-teaser-spot-1.jpg

“Se non ha l’età, i social possono attendere”. E’ questo il claim dello spot, realizzato dal Garante per la protezione dei dati personali in collaborazione con Telefono Azzurro, dedicato al tema della protezione dei minori sui social network. A partire da Tik Tok, piattaforma espressamente rivolta ai giovanissimi, a cui il Garante ha imposto nei giorni scorsi misure a tutela dei più piccoli, dopo il tragico caso della bambina di Palermo. La campagna informativa andrà in onda sulle reti della Rai, Sky, Mediaset, La 7 e partirà da domani 9 febbraio, giorno in cui Tik Tok inizierà a bloccare gli utenti italiani e a richiedere nuovamente l’età ai propri utenti allo scopo di evitare che si iscrivano alla piattaforma i minori di 13 anni.

“Se non ha l’età, i social possono attendere”. Lo spot del Garante… – Garante Privacy


Il COPPA spiegato bene, come la legge USA protegge la privacy dei bambini

Children Online Privacy Protection Act, con l’acronimo COPPA, approvata dal Congresso nel 1998, stabilisce tra l’altro che i siti e servizi internet diretti o comunque aperti anche a minori di 13 anni debbano sempre ottenere un consenso verificato dei genitori del minore (“Verifiable Parental Consent – VPC”) prima di iniziare a raccogliere informazioni personali di qualunque tipo relative a tale minore. In cosa consiste esattamente e cosa comporta? Come rispettarla? Ecco gli aspetti principali della legge.

COPPA explained: How this law protects children’s privacy | CSO Online

Privacy Daily – 8 febbraio 2021

Hanno preso d’assalto il Campidoglio. Le loro app li hanno monitorati.

Il New York Times ha identificato le persone presenti il 6 gennaio scorso a Capitol Hill, il giorno dell’assalto al Congresso USA. Sebbene non ci siano nomi o numeri di telefono in chiaro, per il tramite degli ID unici degli smartphone raccolti a fini pubblicitari da società di marketing, il giornale pubblica la prova del collegamento di dozzine di dispositivi ai loro proprietari, abbinando le loro posizioni anonime a nomi, indirizzi di casa, social network e numeri di telefono di chi ha partecipato agli scontri o che si trovava nell’area dei disordini. Tre membri di una stessa famiglia sono stati tracciati. Una di quelle che notizie che racconta meglio di fiumi di inchiostro dove siamo in termini di tracciabilità delle nostre vite.

Opinion | They Stormed the Capitol. Their Apps Tracked Them. – The New York Times (nytimes.com)


L’Ufficio per la protezione dei dati personali della Repubblica Ceca (UOOU) indaga sulla trasmissione dati delle persone in quarantena

L’Ufficio per la protezione dei dati personali (UOOU) della Repubblica Ceca ha annunciato l’apertura di un’istruttoria sulla pratica di trasmettere alla polizia i dati delle persone messe in quarantena, nonché sulle finalità e le modalità con cui dati vengono utilizzati e conservati. In particolare, Jiří Kaucký, presidente dell’UOOU, ha sottolineato che: “Le autorità devono sempre trattare i dati personali dei cittadini in conformità alla legge, in modo lecito, con il consenso e proporzionato”.

Úřad prošetřuje předávání strukturovaných dat o osobách, kterým byla nařízena karanténa, Policii ČR: Úřad pro ochranu osobních údajů (uoou.cz)


Philippine National Privacy Commission: le norme sulla circolazione dei dati personali

La Commissione nazionale filippina per la privacy ha recentemente pubblicato la circolare npc n. 2020-03 sugli accordi di condivisione dei dati personali. La circolare si applica all’utilizzo di dati da parte di un responsabile del trattamento delle informazioni personali (PIC) ad un altro PIC. Si applica anche ai dati personali consolidati da più responsabili del trattamento e condivisi o messi a disposizione l’uno dell’altro.

Philippines: New Circular on Data Sharing Agreements issued by the National Privacy Commission (globalcompliancenews.com)

Privacy Daily – 7 febbraio 2021

EDPB: chiarimenti alla Commissione UE su GDPR e ricerca sanitaria

L’EDPB risponde alla richiesta della Commissione europea di chiarimenti sull’applicazione coerente del Regolamento generale sulla protezione dei dati (GDPR) nel settore della ricerca sanitaria. In particolare, la risposta riguarda la base giuridica per il trattamento dei dati sanitari per la ricerca scientifica, l’ulteriore trattamento dei dati sanitari raccolti in precedenza, la nozione di ampio consenso, la trasparenza del trattamento dei dati, l’anonimizzazione, la pseudonimizzazione e le salvaguardie, nonché le questioni generali sul trattamento di categorie speciali di dati su larga scala.

edpb_replyec_questionnaireresearch_final.pdf (europa.eu)


Corte distrettuale della California: l’informativa di Google non è abbastanza specifica

Il Tribunale distrettuale settentrionale della California ha stabilito che l’informativa sulla privacy di Google potrebbe non essere abbastanza specifica per quanto riguarda la raccolta dati di app di terze parti da parte del sistema operativo mobile Android. La class action intentata nei confronti di Google riguarda l’utilizzo di un software chiamato Android Lockbox che permette di visualizzare dati di ricerche di mercato anonimizzati circa la frequenza con cui gli utenti aprono app rivali e per quanto tempo vengono utilizzate. Nel contenzioso, Google ha sostenuto che gli utenti avevano acconsentito alla raccolta e che la sua politica sulla privacy comunica sia la raccolta di dati da app di terze parti sia lo scopo specifico di tale raccolta.

Court Says Google Privacy Policy Not Specific Enough (zwillgen.com)


Il disegno di legge bipartisan cerca di proteggere i dati degli studenti durante l’apprendimento a distanza

Dallo scorso marzo centinaia di migliaia di studenti del Minnesota – come d’altra parte in tutto il mondo – sono diventati “studenti a distanza” a tempo pieno o part-time, utilizzando laptop e tablet per partecipare alle lezioni e sostenere esami. Ora c’è un disegno di legge dello Stato che mira ad affrontare le preoccupazioni sulla privacy dei dati degli studenti. La proposta richiede alle aziende tecnologiche di informare le scuole delle violazioni dei dati e di “distruggere o restituire” i dati che creano, alla scadenza dei loro contratti. La normativa in corso di definizione non consentirebbe alle aziende tecnologiche di “vendere, condividere o diffondere” i dati degli studenti, a meno che non siano autorizzate a tale scopo.

Bipartisan bill seeks to protect student data during distance learning | KSTP.com


Privacy Daily – 6 febbraio 2021

Sudafrica, la Corte Costituzionale dichiara incostituzionale la legge sulle intercettazioni

La Corte costituzionale del Sudafrica ha confermato la sentenza dell’Alta Corte secondo cui la legge sull’intercettazione delle comunicazioni è incostituzionale nella misura in cui non fornisce garanzie adeguate per la tutela del diritto alla privacy. Tra i altri rilievi, la Corte Costituzionale di Pretoria ha censurato la compressione dei diritti di azione e della libertà di espressione. I ricorrenti, AmaBhungane Centre for Investigative Journalism NPC e Stephen Sole, un giornalista che era stato oggetto di sorveglianza statale, hanno visto accolti la gran parte delle eccezioni mosse, riconoscendo l’importanza del diritto alla privacy strettamente connessa alla dignità delle persone.

Amabhungane Centre for Investigative Journalism NPC and Another v Minister of Justice and Correctional Services and Others; Minister of Police v Amabhungane Centre for Investigative Journalism NPC and Others CCT278/19 & CCT279/19 (concourt.org.za)


UE: il comitato JURI presenta un parere sulla strategia europea in materia di dati

La commissione giuridica del Parlamento europeo (JURI) ha presentato un proprio parere sulla strategia digitale della Commissione europea che accoglie con favore il progetto e formula suggerimenti. In particolare, il comitato JURI ha rilevato tra l’altro la necessità di cooperazione con i paesi terzi, l’adozione di un approccio incentrato sulla persona, la delicatezza dello scambio di dati tra enti pubblici e privati e la necessità di una maggiore certezza giuridica per contribuire alla diffusione di tecnologie come le soluzioni di intelligenza artificiale (AI) e la blockchain.

EU: JURI Committee issues opinion on European data strategy | News post | DataGuidance


La Virginia sarà il prossimo Stato USA ad avere una legge sulla privacy

La Virginia si candida ad essere il prossimo Stato USA ad avere una legislazione sulla privacy. In tre settimane l’Assemblea generale dello Stato ha discusso un testo di legge che dovrebbe essere approvato definitivamente entro la fine di febbraio. Nella sua forma attuale, il disegno di legge si applica alle aziende che controllano o elaborano dati per almeno 100.000 persone ed a quelle che ricevono il 50% delle loro entrate lorde dalla vendita di dati personali.

Virginia Consumer Data Protection Act on the horizon — Now what? (iapp.org)