PRIVACY DAILY 75/2023

Lo Utah è il primo Stato americano a limitare i trattamenti dei dati degli adolescenti da parte dei social media. Il governatore Spencer Cox sta per firmare due proposte di legge che mirano a proteggere i bambini dalla dipendenza e da altri potenziali danni dei social media. Le piattaforme dovranno ottenere il consenso dei genitori, se un utente di età inferiore ai 18 anni deciderà di aprire un account, e potrebbero incorrere in sanzioni e azioni legali in caso di violazioni. Queste proposte di legge sono tra gli sforzi più importanti che hanno impegnato quest’anno i legislatori statali in tutti gli Stati Uniti per regolamentare la fruizione dei servizi online da parte dei minori. La prima proposta richiede alle piattaforme di social media di verificare l’età degli utenti a partire dal 1° marzo 2024. Agli adolescenti verrebbe impedito, inoltre, di utilizzare i social media durante alcune ore notturne senza che un genitore modifichi le impostazioni dell’account. È inoltre prevista una limitazione della raccolta di informazioni personali dei minori. La seconda misura vieterebbe alle aziende di social media di utilizzare funzioni di design che creano dipendenza per i giovani sotto i 18 anni a partire dal 1° marzo 2024. Le violazioni potrebbero comportare sanzioni di 250.000 dollari per ogni funzione o pratica che crea dipendenza e di 2.500 dollari per ogni minore esposto, a meno che le aziende non verifichino e correggano le loro pratiche entro un determinato periodo di tempo. La misura prevede anche un diritto di azione legale per i danni subiti dal titolare di un account minorenne. Se l’utente ha meno di 16 anni, vi sarebbe una presunzione che il danno si sia verificato, rendendo più facile il successo di una richiesta di risarcimento in tribunale.

Secondo uno studio, alcune delle 12 principali app australiane per la fertilità raccolgono e vendono dati particolari. Lo studio, condotto congiuntamente da Katharine Kemp, researcher in law presso l’Università del New South Wales, e dal gruppo di consumatori Choice, ha valutato le privacy policy delle 12 app per la fertilità più popolari in Australia. Choice ha riscontrato che BabyCenter consentirebbe all’azienda di raccogliere informazioni sui propri utenti attraverso altre aziende e broker di dati, nonché di vendere dati personali ad altre aziende o di fornirli ad aziende che fanno pubblicità all’interno dell’app. Inoltre, permetterebbe alle aziende di tracciare i dati all’interno dell’app, a meno che non si scelga di non farlo, senza peraltro specificare se i dati vengono cancellati dopo un certo periodo di tempo. Choice ha scoperto che le app Glow Fertility, Nurture ed Eve “raccolgono ulteriori informazioni” sugli utenti da altre aziende, descritte solo come fonti di terze parti. Per di più, le app disporrebbero di tecnologie di tracciamento. Stando ai terms of service di Glow, tutti i dati degli utenti potrebbero essere diffusi a un’altra società, qualora l’app o il database venissero venduti. È stato, altresì, riscontrato che le app Ovia Fertility e Pregnancy raccoglierebbero numerosi dati non necessari per l’applicazione, tra cui malattie, situazione finanziaria, abitazione, sicurezza e livello di istruzione. Queste app potrebbero anche condividere la posizione e l’attività all’interno dell’app con gli inserzionisti. Choice ha riferito che l’app What To Expect è in grado di raccogliere informazioni sui suoi utenti da altre aziende, compresi gli intermediari di dati, consente la vendita dei dati degli utenti e permette ad altre aziende di tracciare gli utenti nell’app. Un esponente di Choice ha dichiarato che l’aspetto più preoccupante è la monetizzazione dei dati da parte delle app.

Neanche l’Intelligenza artificiale di ChatGpt è al sicuro da guasti tecnici che potrebbero pregiudicare la privacy. Nelle scorse ore, il software ha smesso di funzionare. A causare il disservizio la decisione dello sviluppatore, OpenAI, di bloccare temporaneamente la piattaforma per un bug, un errore che ha esposto i titoli delle conversazioni degli utenti. Il contenuto delle conversazioni, come ha precisato OpenAI a Bloomberg, non è stato diffuso. Dopo aver intercettato il problema la società, su cui Microsoft ha investito molto nei mesi scorsi, ha bloccato l’accesso alla chatbot per evitare che l’errore di privacy si estendesse ulteriormente. Prima di essere messo offline, sulla pagina principale di ChatGpt, invece di vedere la cronologia dei titoli delle proprie chat con l’AI, si potevano leggere quelli, casuali, di altri navigatori. Per evitare altri problemi, anche dopo la risoluzione, la cronologia degli utenti è rimasta indisponibile, con l’impossibilità di accedere alle domande fatte in precedenza all’intelligenza artificiale. La pagina di stato di ChatGpt ha specificato che OpenAI sta ancora lavorando per ripristinare il tutto.

English version

Utah is the first US state to restrict the processing of teenagers’ data by social media. Governor Spencer Cox is about to sign two bills that aim to protect children from the addiction and other potential harms of social media. Platforms will have to obtain parental consent if a user under the age of 18 decides to open an account, and could face penalties and legal action for violations. These bills are among the most important efforts that have engaged state legislators across the US this year to regulate minors’ use of online services. The first proposal would require social media platforms to verify the age of users as of 1 March 2024. Teenagers would also be prevented from using social media during certain hours at night without a parent changing their account settings. There would also be a restriction on the collection of personal information from minors. The second measure would prohibit social media companies from using addictive design features for young people under the age of 18 from 1 March 2024. Violations could result in penalties of $250,000 for each addictive feature or practice and $2,500 for each exposed minor, unless companies verify and correct their practices within a specified time period. The measure also provides a right of action for damages suffered by a minor account holder. If the user is under 16 years of age, there would be a presumption that the damage has occurred, making it easier to make a successful claim in court.

Some of Australia’s top 12 fertility apps collect and sell special data, according to a study. The study, conducted jointly by Katharine Kemp, a researcher in law at the University of New South Wales, and the consumer group Choice, assessed the privacy policies of the 12 most popular fertility apps in Australia. Choice found that BabyCenter would allow the company to collect information about its users through other companies and data brokers, as well as sell personal data to other companies or provide it to companies that advertise within the app. It would also allow companies to track data within the app unless you choose not to, without specifying whether the data is deleted after a certain period of time. Choice found that the apps Glow Fertility, Nurture and Eve ‘collect additional information’ about users from other companies, described only as third-party sources. What is more, the apps would have tracking technologies. According to Glow’s terms of service, all user data could be disclosed to another company if the app or database were sold. It was also found that the Ovia Fertility and Pregnancy apps would collect a lot of data not needed for the app, including illness, financial situation, housing, security and education level. These apps could also share location and activity within the app with advertisers. Choice reported that the What To Expect app is able to collect information about its users from other companies, including data brokers, allows the sale of user data, and allows other companies to track users in the app. A Choice representative stated that the most worrying aspect is the monetisation of data by apps.

Not even ChatGpt’s artificial intelligence is safe from technical failures that could affect privacy. In recent hours, the software has stopped working. The disruption was caused by the decision of the developer, OpenAI, to temporarily block the platform due to a bug, an error that exposed the titles of users’ conversations. The content of the conversations, as OpenAI clarified to Bloomberg, was not released. After intercepting the problem, the company, in which Microsoft has invested heavily in recent months, blocked access to the chatbot to prevent the privacy error from spreading further. Before being taken offline, on ChatGpt’s main page, instead of seeing the history of one’s chats with the AI, one could read the random ones of other surfers. To avoid other problems, even after the resolution, the users’ history remained unavailable, making it impossible to access the questions previously asked by the artificial intelligence. The ChatGpt status page specified that OpenAI is still working to restore everything.

Della cicatrice francese e di altri demoni da tenere lontano dalla portata dei bambini

L’ultimo allarme lo ha appena lanciato l’Autorità Antitrust italiana aprendo un’istruttoria nei confronti di TikTok nell’ambito della quale contesta alla società di non aver fatto abbastanza per evitare che tra i suoi video spopolassero quelli che invitano i più giovani a farsi l’ormai drammaticamente celebre “cicatrice francese”, diventata, in qualche mese, protagonista di una delle tante challenge che impazzano sui social di tutto il mondo: qui vince chi si crea l’ematoma più visibile, più grave, più simile a una vera cicatrice.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui

PRIVACY DAILY 74/2023

Il Governo Britannico chiamato in tribunale per l’uso dei dati personali dei migranti. L’alta Corte del Regno Unito è stata investita di un ricorso riguardante il trattamento dei dati personali dei migranti da parte dell’esecutivo. La Corte è chiamata a decidere in particolare se la cosiddetta “immigration exception”, che consente il trattamento dei dati personali senza il consenso, sia compatibile con l’art. 23 del GDPR britannico. Il Data Protection Act del 2018 stabilisce specifici diritti, ma include anche la “immigration exception”, la disposizione per cui i diritti delle persone possono essere limitati proprio per questioni relative all’immigrazione. Un’“exception” che può essere attivata solo dal Segretario di Stato e dal Ministro dell’Interno al fine di consentire un “efficace controllo dei flussi migratori”. Per bocca di una sua responsabile Meg Foulkes, Open Right Group contesta tale impostazione, sottolineando che “Il rifiuto del Governo di affrontare il problema dei dati dei migranti dimostra che la sua priorità è mantenere un ambiente digitale ostile, piuttosto che un sistema di immigrazione equo e trasparente”. Non è la prima volta che il Governo viene trascinato in tribunale per aver fatto ricorso all’exception migratoria. Già 3million e la stessa Open Rights Group, a seguito di un ricorso alla giustizia britannica, avevano ottenuto che il sistema di limitazione dei diritti fosse corretto, introducendo le necessarie salvaguardie. Open Rights Group e the3million sono rappresentati da Waleed Sheikh, partner di Leigh Day e dall’avvocato Erin Alcock i quali dichiarano che “I nostri clienti continuano a essere preoccupati per la mancanza di tutele nell’ambito dell’esenzione per l’immigrazione. Ritengono fermamente che le misure adottate dal governo per rimediare ai difetti individuati dalla Corte d’Appello non siano sufficienti per raggiungere la conformità con il GDPR”. “Molte persone soggette a controlli sull’immigrazione – concludono – sono altamente vulnerabili ed è fondamentale che i loro diritti fondamentali siano salvaguardati”.

Parte il contropiede di TikTok a seguito delle crescenti pressioni occidentali sui temi della cybersicurezza e della privacy. L’amministratore delegato Shou Zi Chew è atteso giovedì davanti ai legislatori del Congresso degli Stati Uniti, dove sarà interrogato sulle pratiche dell’azienda – ovviamente con uno speciale focus su protezione dei dati e sicurezza – e sui rapporti con il governo cinese. Chew ha dichiarato in un video di TikTok che l’audizione “arriva in un momento cruciale” per l’azienda, dopo che i legislatori hanno iniziato a lavorare a misure che potrebbero portare ad un vero e proprio divieto statunitense dell’app. “Alcuni politici hanno iniziato a parlare di vietare TikTok. Ora questo potrebbe togliere TikTok a tutti i 150 milioni di voi”, ha detto Chew, vestito in modo casual con jeans e felpa blu con cappuccio, con la cupola del Campidoglio degli Stati Uniti a Washington sullo sfondo. Ha, poi, aggiunto: “Questa settimana testimonierò davanti al Congresso per condividere tutto ciò che stiamo facendo per proteggere gli americani che utilizzano l’app”. TikTok ha anche presentato regole e standard aggiornati per i contenuti e gli utenti in una serie riorganizzata di linee guida della comunità che includono otto principi per guidare le decisioni di moderazione dei contenuti. Queste misure, che entreranno in vigore il 21 aprile, sono state rielaborate dalle regole esistenti di TikTok con ulteriori dettagli e spiegazioni. Tra le modifiche più significative vi sono ulteriori dettagli sulle restrizioni ai deepfakes, noti anche come media sintetici creati dalla tecnologia dell’intelligenza artificiale. TikTok espone più chiaramente la sua politica, affermando che tutti i deepfake o i contenuti manipolati che mostrano scene realistiche devono essere etichettati per indicare che sono falsi o alterati in qualche modo. I deepfake di personaggi pubblici sono accettabili in determinati contesti, come ad esempio per i contenuti artistici o educativi, ma non per gli endorsement politici o commerciali.

Il maglione che rende invisibile esiste ed è un’invenzione tutta italiana. Ad idearlo Rachele Didero dottoranda di ricerca in “Textile and machine learning for privacy” al Politecnico di Milano. Didero è co-fondatrice della startup Cap-able, che produce maglioni e tessuti che confondono le telecamere con riconoscimento facciale. L’idea è nata nel 2019, quando Didero si trovava a New York dove venne a sapere di alcuni cittadini che avevano vinto una causa contro il complesso residenziale in cui vivevano, che aveva installato delle telecamere con riconoscimento biometrico. L’obiettivo della startup è produrre capi d’abbigliamento che preservino la privacy e i dati sensibili delle persone dalle telecamere con riconoscimento facciale. La startup è stata creata nel 2022 con l’aiuto di altri professionisti del settore tessile e dell’ingegneria. La collezione di capi d’abbigliamento della startup è stata chiamata “Collezione Manifesto”, con capi appariscenti che vogliono evidenziare i rischi dell’uso improprio di determinate tecnologie. E se qualcuno crede che tutto questo non sia legale, si sbaglia: al contrario, secondo il “patto per la sicurezza urbana tra sindaco e prefettura”, oggi in Italia non è possibile utilizzare telecamere con riconoscimento biometrico in luoghi pubblici (a meno di eventi di ordine pubblico).

English version

British government summoned to court over use of migrants’ personal data. The UK High Court has been seized with an appeal concerning the executive’s processing of migrants’ personal data. The Court is asked to decide in particular whether the so-called ‘immigration exception’, which allows the processing of personal data without consent, is compatible with Article 23 of the UK GDPR. The Data Protection Act 2018 sets out specific rights, but also includes the ‘immigration exception’, the provision whereby individuals’ rights can be restricted precisely because of immigration issues. An ‘exception’ that can only be activated by the Secretary of State and the Home Secretary in order to enable ‘effective control of migration flows’. Through one of its officers, Meg Foulkes, the Open Right Group challenges this approach, pointing out that ‘the government’s refusal to address the issue of migrant data shows that its priority is to maintain a hostile digital environment, rather than a fair and transparent immigration system’. This is not the first time that the government has been dragged into court over its use of migration exception. Already 3million and the Open Rights Group itself, following an appeal to the British courts, had obtained that the system of restricting rights be corrected by introducing the necessary safeguards. Open Rights Group and the3million are represented by Waleed Sheikh, partner at Leigh Day and lawyer Erin Alcock who state that ‘Our clients continue to be concerned about the lack of safeguards under the immigration exemption. They feel strongly that the steps taken by the government to remedy the defects identified by the Court of Appeal are not sufficient to achieve compliance with the GDPR.” “Many people subject to immigration controls,” they conclude, “are highly vulnerable and it is vital that their fundamental rights are safeguarded.

TikTok’s counter-attack starts in the wake of growing Western pressure on cybersecurity and privacy issues. CEO Shou Zi Chew is expected to appear before lawmakers in the US Congress on Thursday, where he will be questioned about the company’s practices – obviously with a special focus on data protection and security – and its relationship with the Chinese government. Chew said in a TikTok video that the hearing “comes at a crucial time” for the company, after lawmakers began working on measures that could lead to a full-fledged US ban on the app. “Some politicians have started talking about banning TikTok. Now this could take TikTok away from all 150 million of you,” said Chew, dressed casually in jeans and a blue hoodie, with the dome of the US Capitol in Washington in the background. He added: “This week I will testify before Congress to share everything we are doing to protect Americans who use the app. TikTok also presented updated rules and standards for content and users in a reorganised set of community guidelines that include eight principles to guide content moderation decisions. These measures, which will go into effect on 21 April, have been reworked from existing TikTok rules with additional details and explanations. Among the most significant changes are further details on restrictions on deepfakes, also known as synthetic media created by artificial intelligence technology. TikTok sets out its policy more clearly, stating that all deepfakes or manipulated content showing realistic scenes must be labelled to indicate that they are fake or altered in some way. Deepfakes of public figures are acceptable in certain contexts, such as for artistic or educational content, but not for political or commercial endorsements.

The jumper that makes you invisible exists and is an all-Italian invention. It was invented by Rachele Didero, a PhD student in ‘Textile and machine learning for privacy’ at the Politecnico di Milano. Didero is co-founder of the startup Cap-able, which produces jumpers and textiles that confuse cameras with facial recognition. The idea was born in 2019, when Didero was in New York where he heard about some citizens who had won a lawsuit against the apartment complex they lived in, which had installed cameras with biometric recognition. The startup’s goal is to produce clothing that preserves people’s privacy and sensitive data from facial recognition cameras. The startup was created in 2022 with the help of other textile and engineering professionals. The startup’s clothing collection has been called the ‘Manifesto Collection’, with flashy garments intended to highlight the risks of misuse of certain technologies. And if anyone believes that all this is not legal, they are mistaken: on the contrary, according to the ‘urban security pact between the mayor and the prefecture’, in Italy today it is not possible to use cameras with biometric recognition in public places (unless for public order events).

24 marzo, seminario “SICUREZZA DEI DATI E GESTIONE DEL RISCHIO IN AMBITO SANITARIO”

Venerdì 24 marzo sarò a Padova al Ciclo seminariale “Privacy e sanità” – “Sicurezza dei dati e gestione del rischio in ambito sanitario“, realizzato dall’Azienda ULSS6 Euganea con l’Accademia Italiana del Codice di Internet – IAIC.

Scarica qui il programma.

PRIVACY DAILY 73/2023

È morto Spiros Simitis, primo giurista ad aver formulato il diritto alla protezione dei dati personali. Si è spento all’età di 88 anni a Königsstein (Taunus) il professore greco, naturalizzato tedesco, padre della prima legge sulla protezione dei dati personali in Europa, adottata dal Land dell’Assia nel 1970. La storia globale della protezione dei dati inizia, infatti, proprio con questa legge, da cui hanno preso le mosse tutte le normative successive. Simitis, allora giovane professore presso l’Università Johann Wolfgang Goethe di Francoforte, ha messo a punto il testo normativo ed è stato, poi, commissario per la protezione dei dati dell’Assia dal 1975 al 1991. “Forse non è riuscito a far rispettare a tutti la protezione dei dati, ma è riuscito a farla conoscere a tutti” commenta la stampa tedesca. Ed in effetti, Spiros Simitis ha iniziato a studiare la protezione dei dati quando i computer erano ancora delle enormi scatole e venivano programmati con il nastro perforato, arrivando fino al cloud computing. Per lui, però, è stato subito chiaro che la protezione dei dati non era soltanto un aspetto della privacy, ma una forma di protezione della democrazia stessa. Nel pensiero di Simitis, il controllo sulle informazioni rappresenta, infatti, un prerequisito fondamentale delle società democratiche. Nato ad Atene, figlio di un avvocato, Spiros Simitis è arrivato in Germania all’età di 17 anni per studiare legge con il fratello Kostas, che in seguito è diventato primo ministro della Grecia. Ha conseguito il dottorato a 22 anni e l’abilitazione a 29. È stato professore prima a Giessen, poi a Francoforte, con cattedre di diritto civile, diritto commerciale, diritto del lavoro e informatica giuridica, nonché visiting professor in prestigiosi Atenei, tra cui Yale, Berkeley e Parigi.

Allo staff del Cremlino coinvolto nella campagna elettorale per le presidenziali del 2024 è stato vietato l’uso degli iPhone. Il giorno dopo la prima visita di Putin in Ucraina, si è diffusa la notizia, riferita dal giornale russo Kommersant, che ai membri dello staff coinvolti nella campagna per la rielezione dello stesso Putin alle presidenziali del 2024 è stato vietato, a partire dal prossimo 1° aprile, l’uso degli iPhone per il timore che i dispositivi possano essere vulnerabili alle agenzie di intelligence occidentali. Secondo la fonte citata dal Kommersant, i funzionari sono stati esortati a sostituire i loro iPhone con telefoni Android o con i loro analoghi di produzione cinese o russa. Finora provvedimenti di questo genere erano stati presi solo «in direzione opposta», ovvero da Occidente ad Oriente e in relazione ad aziende (e prodotti) cinesi, causando in alcuni casi veri e propri terremoti sul mercato degli smartphone, come quando nel 2019 il governo degli Stati Uniti ha messo al bando Huawei per timori analoghi o quando recentemente — riportava giorni fa il Financial Times — ha sospeso l’emissione di licenze per le esportazioni tecnologiche «made in Usa» a Huawei e imposto restrizioni all’esportazione di semiconduttori a diversi gruppi cinesi, per il timore che la società aiuti il governo di Pechino nello spionaggio. Non si dimentichi, inoltre, l’arresto da parte della polizia canadese, su mandato di cattura americano, della direttrice finanziaria di Huawei, Meng Wanzhou, figlia del fondatore dell’azienda, nel dicembre 2018. Sempre in Occidente, tre settimane fa la Commissione Ue ha chiesto a tutti i dipendenti, come già aveva fatto il governo americano, di disinstallare l’app cinese TikTok dai telefoni professionali, consentendone l’uso solo su quelli personali se non contengono documenti di lavoro.

Abuso di posizione dominante all’interno del suo mercato online, potenziali violazioni della privacy dei consumatori connesse alle sue telecamere Ring e all’assistente digitale Alexa. Sono i tre filoni lungo i quali l’Amministrazione Biden intende agire nei confronti del colosso Amazon, che ha all’attivo almeno una dozzina di importanti indagini a suo carico e che potrebbero creare non pochi problemi. Da ultimo, si è anche aggiunta da parte dell’FTC, l’istruttoria sull’acquisto del produttore di aspirapolveri iRobot. Sebbene Amazon sia già stata colpita da diverse controversie legali sotto il profilo antitrust a livello statale – sia a Washington che in California – le prossime cause federali rappresenterebbero le sfide più significative per l’azienda. Lunga è la contrapposizione tra l’FTC e Amazon, citata in giudizio anche con l’accusa di aver trattenuto illegalmente le mance da alcuni autisti addetti alle consegne. L’azienda ha risolto il caso, pagando quasi 60 milioni di dollari per rimborsare gli autisti. Nell’ultimo anno, i funzionari dell’Amministrazione Biden hanno seguito e con molta decisione le fusioni aziendali e le mosse delle aziende tecnologiche. L’anno scorso, ad esempio, la FTC ha fatto causa per bloccare l’acquisto di Activision da parte di Microsoft per 69 miliardi di dollari, e il Dipartimento di Giustizia ha due cause contro Google per le sue attività di ricerca e pubblicità, oltre a preparare un caso antitrust contro Apple. Stando a indiscrezioni, ci sono almeno due indagini della FTC aperte sulla privacy, una sul business delle videocamere e dei sistemi di sicurezza Ring di Amazon e l’altra sull’assistente vocale Alexa per potenziali violazioni del Children’s Online Privacy Protection Act. L’esito di almeno una di queste potrebbe arrivare nei prossimi due mesi. I rappresentanti della FTC e di Amazon hanno, però, rifiutato di commentare le indagini.

English version

Spiros Simitis, the first jurist to formulate the right to personal data protection, has died. The Greek professor, naturalised German, father of the first data protection law in Europe, adopted by the Land of Hesse in 1970, died at the age of 88 in Königsstein (Taunus). In fact, the global history of data protection begins with this very law, from which all subsequent regulations have been based. Simitis, then a young professor at Frankfurt’s Johann Wolfgang Goethe University, developed the regulatory text and was then Hessen’s data protection commissioner from 1975 to 1991. ‘He may not have succeeded in enforcing data protection for everyone, but he managed to make it known to everyone,’ comments the German press. And indeed, Spiros Simitis started studying data protection when computers were still huge boxes and were programmed with punched tape, all the way to cloud computing. For him, however, it was immediately clear that data protection was not just an aspect of privacy, but a form of protection of democracy itself. In Simitis’ thinking, control over information is, in fact, a fundamental prerequisite of democratic societies. Born in Athens, the son of a lawyer, Spiros Simitis came to Germany at the age of 17 to study law with his brother Kostas, who later became prime minister of Greece. He obtained his doctorate at the age of 22 and his habilitation at 29. He was a professor first in Giessen, then in Frankfurt, holding professorships in civil law, commercial law, labour law and legal informatics, as well as a visiting professor at prestigious universities, including Yale, Berkeley and Paris.

Kremlin staff members involved in the 2024 presidential election campaign have been banned from using iPhones. The day after Putin’s first visit to Ukraine, news broke, reported by the Russian newspaper Kommersant, that staff members involved in Putin’s 2024 presidential re-election campaign have been banned from using their iPhones as of 1 April due to fears that the devices could be vulnerable to Western intelligence agencies. According to the source quoted by Kommersant, officials were urged to replace their iPhones with Android phones or their Chinese- or Russian-made analogues. Until now, such measures had only been taken ‘in the opposite direction’, i.e. from West to East and in relation to Chinese companies (and products), in some cases causing real earthquakes on the smartphone market, such as when in 2019 the US government banned Huawei due to similar fears, or when recently – the Financial Times reported days ago – it suspended the issuing of licences for ‘made in the USA’ technology exports to Huawei and imposed restrictions on the export of semiconductors to several Chinese groups, due to fears that the company would aid the Beijing government in spying. Let us also not forget the arrest by Canadian police, on a US arrest warrant, of Huawei’s chief financial officer, Meng Wanzhou, daughter of the company’s founder, in December 2018. Also in the West, three weeks ago the EU Commission asked all employees, as the US government had already done, to uninstall the Chinese app TikTok from professional phones, allowing its use only on personal ones if they do not contain work documents.

Abuse of dominant position within its online marketplace, potential violations of consumer privacy related to its Ring cameras and digital assistant Alexa. These are the three strands along which the Biden administration intends to take action against the giant Amazon, which has at least a dozen major investigations against it to its credit and which could create quite a few problems. Most recently, the FTC has also added the investigation into Amazon’s purchase of vacuum cleaner manufacturer iRobot. Although Amazon has already been hit by several antitrust litigations at the state level – both in Washington and California – the upcoming federal lawsuits would represent the most significant challenges for the company. Long is the dispute between the FTC and Amazon, which is also being sued on charges of illegally withholding tips from some delivery drivers. The company settled the case, paying nearly $60 million to reimburse the drivers. Over the past year, Biden administration officials have been very vocal in following corporate mergers and moves by technology companies. Last year, for example, the FTC sued to block Microsoft’s $69 billion purchase of Activision, and the Justice Department has two lawsuits against Google over its search and advertising activities, as well as preparing an antitrust case against Apple. According to rumours, there are at least two open FTC privacy investigations, one on Amazon’s Ring camera and security systems business and the other on the voice assistant Alexa for potential violations of the Children’s Online Privacy Protection Act. The outcome of at least one of these could come within the next two months. Representatives of the FTC and Amazon have, however, declined to comment on the investigation.

Le iniziative delle altre Autorità

L’Autorità svedese e il “regulatory testing”. Pubblicata una guida per sostenere il progetto di AI decentralizzata nella sanità

L’Autorità garante svedese (Integritetsskyddsmyndigheten, IMY) annuncia di aver completato con successo un progetto pilota in cui ha condotto attività di “regulatory testing” sull’IA decentralizzata.
L’IMY vuole evitare che si crei un divario tra il rapido sviluppo della tecnologia e il quadro normativo in materia di protezione dei dati personali e, in tale ottica, sta cercando di individuare nuovi modi di lavorare nel settore pubblico per poter contribuire a uno sviluppo digitale sostenibile.
La sperimentazione pubblica di soluzioni tecnologiche di IA è un’opportunità per mettere alla prova questi nuovi metodi.
Nella fattispecie, l’IMY ha fornito supporto al progetto Decentralised AI in Health Care – Federated machine learning between two healthcare providers (IA decentralizzata nell’assistenza sanitaria – Apprendimento automatico federato tra due fornitori di assistenza sanitaria) condotto dalla Regione Halland e dall’Ospedale universitario Sahlgrenska, insieme ad AI Sweden – il centro nazionale svedese per l’IA applicata -.
Questa iniziativa ha lo scopo di studiare le possibilità aperte da un’assistenza sanitaria data-driven, utilizzando l’IA, al fine di personalizzare le decisioni sia a livello individuale che di sistema e a sviluppare diagnosi e trattamenti più avanzati e accurati. In particolare, ciò dovrebbe avvenire mediante lo scambio di modelli di apprendimento automatico.
L’IMY ha supportato i soggetti coinvolti nella corretta interpretazione e applicazione delle norme, per garantire una sana gestione dei dati sanitari, attraverso la predisposizione di un’apposita guida.
Si tratta di un’applicazione del c.d. “regulatory testing”, nell’ambito del quale le organizzazioni possono testare le loro idee confrontandosi con l’IMY e ricevere supporto sulle questioni legali relative ai progetti sperimentali.
Tale confronto si articola in workshop e incontri le cui conclusioni sono poi utilizzate – sono state utilizzate nel caso di specie – per la redazione di una guida in cui vengono prospettate le conclusioni raggiunte e le soluzioni da impiegare.
In particolare, nel caso in questione, la guida si è concentrata su questioni relative alla base giuridica per il trattamento dei dati personali, nell’addestramento del modello di apprendimento automatico “locale” da parte degli operatori sanitari e nella comunicazione di dati personali nell’ambito dell’attività di apprendimento automatico “federato” tra i diversi soggetti

“Neuroverso” – Recensione autopromozionale 😉

Il nostro cervello è nudo, o, almeno, lo sarà presto. Ciò che fino a ieri era fantascienza, oggi è ricerca applicata. Le nostre idee, le emozioni, i pensieri, le opinioni, il contenuto del nostro cervello, incluso l’inconscio, è e sarà sempre più accessibile dall’esterno senza bisogno di interventi chirurgici, cavi o elettrodi. È la rivoluzione delle neuroscienze e delle neurotecnologie che promette cambiamenti antropologici epocali per il genere umano, più di quanto non abbia fatto l’arrivo di Internet.
Provando ad analizzare i cambiamenti in atto sul versante delle neuroscienze e neurotecnologie e a immaginarne l’impatto sulle nostre vite, sui diritti e le libertà, ho scritto “Neuroverso” (Mondadori), un testo in cui ho provato a raccontare storie straordinarie e, secondo me, esemplari della rivoluzione in atto, a riassumere qualche mia riflessione ed a delineare alcune prospettive future.
Nel libro ho cercato di non limitarmi soltanto a descrivere la pur eccezionale portata della rivoluzione tecno-scientifica in corso, ma anche a tracciare il contesto sociale, economico, politico nel quale queste tecnologie si sviluppano, immerse come sono nell’ecosistema digitale e nella società degli algoritmi.
Le neurotecnologie non rimangono infatti ancorate alla ricerca medica e biomedica cui sono state fino ad oggi relegate, ma spaziano sempre più, fino a raggiungere ambiti decisamente extraclinici grazie al proliferare dell’intelligenza artificiale e degli algoritmi che hanno contributo a consentire di decodificare le attività cerebrali.
Prova ne sia il sorgere del “consumer neuro – technologies”, diretta conseguenza dell’esondazione delle neuroscienze nel campo dei mercati di massa e delle loro molteplici applicazioni commerciali.
Come lo sono le forme, per fortuna ancora embrionali, di giustizia predittiva alla “Minority Report”, il rischio cioè che le nuove forme di neuroscienze e neurotecnologie amplifichino il rischio che qualcuno possa essere privato della sua libertà perché un algoritmo si è reso persuaso della colpa di un individuo sulla base di una “processo alle intenzioni”.
Il libro credo si ponga al crocevia tra neuroscienze, neurotecnologia, società, mercato e democrazia e tenta di proporre, senza pretese di esaustività, interrogativi da affrontare e risolvere per governare al meglio l’immersione dell’umanità nel neuroverso con particolare attenzione alle cose della privacy.
Mi interrogo sull’opportunità di raccogliere l’appello di taluni giuristi e neuroscienziati all’elaborazione e istituzionalizzazione di nuovi “neurodiritti”, o, piuttosto, di “aggiornare” i diritti che già abbiamo per evitarne un’inflazione.

Per i giudici austriaci il videogioco Fifa è gioco d’azzardo. Vero o falso, salvaguardiamo i più piccoli

Lo scorso 26 febbraio il tribunale distrettuale di Hermagor ha deciso che alcune delle funzionalità di Fifa, uno dei più popolari videogiochi di calcio di tutti i tempi prodotto dalla EA – Electronic Arts con centinaia di milioni di giocatori in tutto il mondo devono essere considerate a tutti gli effetti gioco d’azzardo con tutte le conseguenze del caso sul piano della legalità dell’attività, della responsabilità di chi la esercita e della loro messa a disposizione a soggetti minorenni.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui.

PRIVACY DAILY 72/2023

Gli Stati Uniti stanno valutando la possibilità di vietare completamente l’uso di TikTok, ma è improbabile che l’Europa segua la stessa strada. Così ha dichiarato Theo Bertram, vicepresidente delle relazioni governative e delle politiche pubbliche per l’Europa di TikTok. “Quando si parla di libertà di parola per il pubblico, credo che le regole siano chiare. Dovreste avere una base legale molto forte per vietare qualsiasi app in qualsiasi Paese d’Europa”. Bertram ha detto che “c’è una chiara comprensione” tra i responsabili, gli esperti e i politici con cui ha parlato nelle ultime settimane e che un divieto generale dell’app di social media nei Paesi europei sarebbe “un livello di scala completamente diverso”. Negli Stati Uniti, l’amministrazione Biden ha vietato l’applicazione dai dispositivi del governo federale. Proprio questa settimana, inoltre, ha ordinato al proprietario cinese di TikTok, ByteDance, di disinvestire dall’applicazione o di affrontare un possibile divieto negli Stati Uniti, ricordando una minaccia simile sotto la precedente amministrazione guidata da Donald Trump. Questo mese l’azienda ha lanciato un’offensiva di charme con i governi europei, denominata Project Clover, incentrata sul mantenimento di un maggior numero di dati degli utenti su server in Europa e sull’individuazione di una società europea per la verifica dei controlli sulla sicurezza informatica e sulla protezione dei dati. Bertram ha dichiarato che l’amministratore delegato dell’azienda, Shou Zi Chew, ha inviato una lettera alla Commissione Europea chiedendo un’udienza e che esponenti dell’azienda responsabili degli affari legali, della sicurezza e della privacy europea si sono recati a Bruxelles per cercare di incontrare il dipartimento IT della Commissione. Un portavoce della Commissione avrebbe dichiarato di essere disponibile a incontrare TikTok e di dover fissare una data.

Hunter Biden ha citato in giudizio un riparatore di computer del Delaware per violazione della privacy e pubblicazione di informazioni private. Questa azione legale risponde alla causa per diffamazione intentata dallo stesso riparatore, John Mac Isaac, il quale avrebbe violato privacy del figlio del Presidente degli Stati Uniti accedendo e condividendo indebitamente i suoi dati personali con diversi soggetti nel 2019. Mac Isaac ha dichiarato di aver ottenuto le informazioni dal computer portatile di Hunter Biden in modo legale e ha affermato che egli stesso lo ha lasciato nell’aprile 2019 e non è mai tornato a reclamarlo. Dopo aver atteso 90 giorni, ha considerato il computer abbandonato. I legali di Biden sostengono però che la clausola di abbandono di 90 giorni inserita da Mac Isaac nel contratto di riparazione non è conforme alla legge del Delaware, in quanto essa stabilisce che la proprietà materiale non va considerata abbandonata fino a quando non sia trascorso un anno intero, e prima che un’altra parte ne prenda possesso, un tribunale deve inviare un avviso al proprietario e affiggere l’avviso “in cinque o più luoghi pubblici” e “in un giornale”. L’azione legale è l’ultima mossa di un cambiamento strategico da parte del figlio del presidente, mirato a respingere in modo deciso gli attacchi feroci da parte di alleati e collaboratori dell’ex presidente Donald Trump. La causa arriva infatti in un momento in cui i repubblicani al Congresso stanno intensificando le indagini sugli affari all’estero che Hunter Biden ha intrapreso quando suo padre Joe era vicepresidente. Gli avvocati di Biden sostengono che nel settembre 2019, Mac Isaac scrisse all’avvocato di Trump, Rudy Giuliani, e “pianificò di creare una pen drive con i dati in suo possesso che consistevano in documenti chiave” . Giuliani avrebbe poi fornito una copia all’ex stratega della Casa Bianca Stephen Bannon, che a sua volta li avrebbe consegnati al magnate cinese Guo Wengui per far diffondere le informazioni ai suoi seguaci su WhatsApp. 

Niente più controlli biometrici negli stadi spagnoli. Nelle ultime settimane, migliaia di tifosi hanno ricevuto dai loro club l’invito a presentarsi allo stadio con la carta d’identità e l’abbonamento per poter accedere agli spalti. Questo passo ha fatto seguito alla protesta avviata dai tifosi del Burgos. Con lo slogan “No all’impronta digitale”, hanno decretato uno sciopero del tifo e invitato gli spalti dello stadio El Plantío a non fornire i propri dati. Finora si entrava attraverso dei tornelli con controllo biometrico o identificandosi con l’impronta digitale, misura adottata dal Ministero degli Interni e dal Consejo Superior de Deportes per aumentare la sicurezza quasi un decennio fa, dopo l’omicidio di un tifoso del Deportivo de La Coruña in una rissa. Ma adesso tutto è stato congelato per volere dell’Agenzia spagnola per la protezione dei dati (AEPD). Vari gruppi di tifosi stanno festeggiando, poiché ritenevano che questi controlli una violazione dei loro diritti. Il presidente della Liga, Javier Tebas, però, chiede al governo di avviare una modifica della normativa per ripristinare la misura. Il sistema si basava su un accordo della Commissione statale contro la violenza, il razzismo, la xenofobia e l’intolleranza, ai sensi della legge contro la violenza nello sport approvata nel 2007 dal governo Zapatero. La Liga si è appellata anche al GPDR, sostenendo che  sussistesse un “interesse pubblico” da individuare nella prevenzione dei “crimini d’odio”. La AEPD però ha concluso che “l’installazione di sistemi biometrici per il controllo di tutti gli accessi alle tribune dei tifosi che consentono l’identificazione univoca dei tifosi che vi accedono non è conforme alle norme sulla protezione dei dati”. 

English version

The US is considering a complete ban on the use of the TikTok social media application, but Europe is unlikely to follow suit. So said Theo Bertram, vice president of government relations and public policy for Europe at TikTok. “When it comes to free speech for the public, I think the rules are clear. You should have a very strong legal basis to ban any app in any country in Europe.” Bertram said that “there is a clear understanding” among policymakers, experts and politicians he has spoken to in recent weeks that a blanket ban on social media app use in European countries would be “a completely different level of scale”. In the US, the Biden administration banned the app from federal government devices in December. This week, the administration ordered TikTok’s Chinese owner, ByteDance, to divest from the app or face a possible ban in the US, recalling a similar threat under the previous Donald Trump-led administration. This month, the company launched a charm offensive with European governments, dubbed Project Clover, focused on keeping more user data on servers in Europe and granting far-reaching access to a European security firm to audit cybersecurity and data protection controls. Bertram said that the company’s CEO, Shou Zi Chew, had sent a letter to the Commission requesting a hearing and that the company’s CEOs in charge of European legal, security and privacy affairs had travelled to Brussels to try to meet with the Commission’s IT department. A spokesperson for the Commission reportedly said they were willing to meet with TikTok and would have to set a date.

Hunter Biden has sued a Delaware computer repairman for invasion of privacy and publishing private information. This is in response to a defamation lawsuit filed by the same repairman, John Mac Isaac, who allegedly violated his privacy by improperly accessing and sharing his personal information with several individuals in 2019. Mac Isaac claimed that he obtained the information from Hunter Biden’s laptop in a legal manner and claimed that he himself left it in April 2019 and never returned to claim it. After waiting 90 days, he considered the computer abandoned. Biden’s attorneys argue, however, that the 90-day abandonment clause inserted by Mac Isaac in the repair agreement does not comply with Delaware law, as it states that tangible property is not to be considered abandoned until one full year has passed, and before another party takes possession, a court must send notice to the owner and post the notice “in five or more public places” and “in a newspaper.” The lawsuit is the latest move in a strategic shift by the president’s son, aimed at decisively fending off vicious attacks from allies and associates of former President Donald Trump. Indeed, the lawsuit comes at a time when Republicans in Congress are stepping up investigations into the foreign dealings Hunter Biden undertook when his father Joe was vice president. Biden’s lawyers claim that in September 2019, Mac Isaac wrote to Trump’s lawyer, Rudy Giuliani, and “planned to create a pen drive with data in his possession that consisted of key documents”. Giuliani would then provide a copy to former White House strategist Stephen Bannon, who in turn would hand it over to Chinese tycoon Guo Wengui to spread the information to his followers on WhatsApp.

No more biometric controls in Spanish stadiums. In recent weeks, thousands of fans have been asked by their clubs to present themselves at the stadium with their identity card and season ticket in order to enter the stands. This step followed the protest initiated by the Burgos fans. With the slogan ‘No to fingerprinting’, they declared a supporters’ strike and invited the stands of the El Plantío stadium not to provide their data. Until now, one entered through turnstiles with biometric control or by identifying oneself with a fingerprint, a measure adopted by the Ministry of the Interior and the Consejo Superior de Deportes to increase security almost a decade ago, after the murder of a Deportivo de La Coruña fan in a brawl. But now everything has been frozen at the behest of the Spanish Data Protection Agency (AEPD). Various fan groups are celebrating, as they considered these controls a violation of their rights. The president of La Liga, Javier Tebas, however, is asking the government to initiate a change in the legislation to reinstate the measure. The system was based on an agreement of the State Commission against Violence, Racism, Xenophobia and Intolerance, under the law against violence in sport approved in 2007 by the Zapatero government. La Liga also appealed to the GPDR, arguing that there was a ‘public interest’ to be found in the prevention of ‘hate crimes’. The AEPD, however, concluded that ‘the installation of biometric systems to control all access to the supporters’ stands that allow the unambiguous identification of fans accessing them does not comply with data protection regulations’.