Nei Paesi Bassi l’Autoriteit Persoonsgegevens (AP) ha convocato il ministro degli Esteri Wopke Hoekstra per ottenere spiegazioni sull’uso di un algoritmo segreto e potenzialmente illegale per valutare i richiedenti il visto. Secondo un’indagine del NRC e del collettivo giornalistico Lighthouse Reports, dal 2015 il ministero degli Affari esteri ha utilizzato il sistema di profilazione per analizzare il rischio determinato dalle persone che richiedono visti per soggiorni di breve durata nell’area Schengen. Secondo Lighthouse e il NRC, il sistema ha profilato milioni di richiedenti il visto in base alla loro nazionalità, al sesso e all’età. Coloro che sono considerati “ad alto rischio” vengono automaticamente spostati in un “percorso intensivo”, che può comportare lunghi ritardi nell’elaborazione della domanda e aumentare la probabilità di un rifiuto. Il sistema era già stato criticato da Niels Westerlaken, funzionario del Ministero degli Affari Esteri addetto alla protezione dei dati, che nel 2022 aveva dichiarato che in quell’anno il 17% delle domande di visto presentate da uomini provenienti dal Suriname era stato inserito nel percorso intensivo. Ha quindi chiesto al ministero di smettere di “profilare i richiedenti il visto, ma la richiesta di Westerlaken non ha avuto seguito, come ha dichiarato un portavoce dell’AP al giornale. Un portavoce del ministero degli Affari esteri ha confermato che è stata presentata una richiesta di maggiori informazioni sulla “necessità e proporzionalità del trattamento dei dati”. Infatti i Paesi Bassi sono stati più volte accusati di utilizzare algoritmi distorti. All’inizio di quest’anno, l’AP ha dichiarato di aver iniziato a monitorare l’uso degli algoritmi come parte di un programma governativo per prevenire la discriminazione e l’esclusione. Lo scandalo dei sussidi per l’infanzia, scoppiato nel 2020, ne è un esempio. Tra il 2004 e il 2019, migliaia di genitori sono stati ingiustamente etichettati come truffatori. La doppia cittadinanza era uno degli indicatori di un potenziale rischio di frode e i dati dei doppi cittadini venivano elaborati in modo illegale e discriminatorio. Un altro esempio è il programma governativo di rilevamento delle frodi SyRI, che è stato giudicato in violazione dei diritti umani in seguito a una causa giudiziaria.
I comuni di Burgos e Aranda de Duero fanno parte – anche se per motivi diversi – dell’elenco delle 14 amministrazioni pubbliche che nell’ultimo anno non hanno rispettato i requisiti dell’Agenzia spagnola per la protezione dei dati (AEPD) e sono statIisanzionati per non aver rispettato le norme sul trattamento dei dati personali dei cittadini sotto la loro giurisdizione. Si tratta di una questione estremamente delicata, vista la proliferazione degli attacchi informatici e dell’uso criminale dei dati personali protetti. In particolare, il 21 agosto 2020 il Consiglio comunale della capitale è stato sanzionato per aver inviato e-mail senza utilizzare l’opzione BCC (blind carbon copy), che impedisce ai destinatari di accedere ai dati personali di altri destinatari. Nello specifico è stato ricevuto un reclamo da parte di un utente perché la sua e-mail e il suo numero identificativo non erano nascosti, il che, secondo la risoluzione dell’AEPD, “implica la violazione dei principi di “limitazione delle finalità” e di “integrità e riservatezza” regolamentati […], nonché la responsabilità proattiva del titolare del trattamento di dimostrare la conformità”. Il 28 agosto, l’AEPD ha chiesto quindi al Comune di dimostrare, entro un mese, di aver adottato le misure necessarie per conformarsi alla normativa.Il Comune non ha risposto entro un mese, né ha risposto nelle altre due occasioni in cui l’AEPD lo ha sollecitato (l’8 ottobre 2020 e il 16 settembre 2021).
Visto il silenzio del Comune, il 21 marzo 2022 il direttore dell’AEPD, Mar España Martí, ha avviato un procedimento disciplinare, al quale l’amministrazione in questione non ha presentato alcuna accusa. La risoluzione sottolinea che il Comune rischia sanzioni amministrative fino a 20 milioni di euro, considerando “molto grave” il mancato rispetto delle risoluzioni emesse dall’autorità di protezione dei dati. Per il momento, l’AEPD ha optato per una sanzione di avvertimento, per la comunicazione della risoluzione al Mediatore e per l’inserimento del Comune nell’elenco delle amministrazioni segnalate. Nel caso del Comune di Aranda de Duero, sono la mancanza di un responsabile della protezione dei dati e il silenzio in risposta alle due notifiche inviate dall’AEPD che hanno portato alla sanzione. Il responsabile della protezione dei dati può essere un dipendente comunale o una società esterna ma è obbligatorio e la sua assenza può comportare una sanzione amministrativa fino a 10 milioni di euro. Le diffide al Comune di Arandino risalgono al febbraio e all’aprile del 2022 e il procedimento sanzionatorio è datato 15 luglio 2022, senza che siano state mosse accuse. La risoluzione resa pubblica dall’AEPD stabilisce una sanzione di avvertimento, imponendo la nomina di un responsabile della protezione dei dati entro un mese. Burgos e Aranda fanno parte di un elenco di soggetti sanzionati che comprende, tra gli altri, la Direzione Generale della Guardia Civile, l’Azienda Municipale di Trasporto Urbano di Gijón, case di riposo delle Asturie e altri consigli comunali con più di 20.000 abitanti, come quelli di Oria, Majadahonda, Llanos de Aridane, Cambre, Arrecife, Moncada, Algete e San Andrés de Rabanedo.
Le class action contro le aziende per aver violato la legge sulla privacy biometrica dell’Illinois sono più che raddoppiate sulla scia di una sentenza della Corte Suprema dello Stato del febbraio scorso, che ha ampliato il potenziale di risarcimento di danni elevati. Il numero di cause intentate nei tribunali dell’Illinois per violazioni della legge sulla protezione delle informazioni biometriche del 2008 è aumentato del 65%, raggiungendo 122 casi, nei due mesi successivi alla sentenza Cothron v. White Castle System Inc. del 17 febbraio, secondo un’analisi di Bloomberg Law degli atti fino al 17 aprile. Nei due mesi precedenti la decisione, tra il 17 dicembre e il 17 febbraio, erano state intentate 74 cause. Per contro, il totale delle cause depositate presso il tribunale della contea di Cook (Ill) – il tribunale in cui viene depositata la maggior parte delle azioni collettive BIPA dell’Illinois – è aumentato complessivamente solo del 2,8% nello stesso periodo. Anche i tribunali federali hanno registrato un modesto aumento di nuove cause BIPA. “Credo che le cause continueranno ad avere un ritmo sostenuto, visti i cinque anni di prescrizione, l’entrata in scena di nuovi attori e le nuove teorie di responsabilità”, ha dichiarato in Mary Smigielski, partner di Lewis Brisbois Bisgaard & Smith LLP. Haskell Garfinkel, socio fondatore del Garfinkel Group LLC, ha affermato infatti che l’aumento dei casi è probabilmente legato a una crescente consapevolezza della legge e dei divieti che essa impone. Anche le piccole aziende sono sempre più consapevoli della legge, ma le cause continueranno a essere intentate contro aziende di tutte le dimensioni che non rispettano lo statuto.La legge dell’Illinois prevede che le aziende che raccolgono dati biometrici, tra cui le impronte digitali e il riconoscimento facciale, debbano ricevere il consenso scritto da parte di dipendenti e clienti e sviluppare una politica scritta sulla loro raccolta, conservazione e distruzione. L’Illinois, è il primo stato a emanare una legge di questo tipo, ha visto la sua corte suprema emettere quest’anno alcune delle più importanti sentenze giudiziarie statali che interpretano i diritti alla privacy biometrica. Il caso White Castle ha aumentato la possibilità di multe salate in caso di violazione. La sentenza Tims v. Black Horse Carriers Inc. del 2 febbraio ha chiarito che la prescrizione di cinque anni – e non di un anno – si applica a tre specifiche violazioni della legge.
English version
In the Netherlands, the Autoriteit Persoonsgegevens (AP) has summoned Foreign Minister Wopke Hoekstra for explanations on the use of a secret and potentially illegal algorithm to assess visa applicants. According to an investigation by the NRC and the journalism collective Lighthouse Reports, since 2015 the Ministry of Foreign Affairs has used the profiling system to analyze the risk determined by people applying for short-stay visas in the Schengen area. According to Lighthouse and the NRC, the system has profiled millions of visa applicants based on their nationality, gender, and age. Those deemed “high risk” are automatically moved to an “intensive path,” which can lead to long delays in processing the application and increase the likelihood of rejection. The system had already been criticized by Niels Westerlaken, a Ministry of Foreign Affairs data protection officer, who said in 2022 that 17 percent of visa applications submitted by men from Suriname were placed on the intensive pathway that year. He then asked the ministry to stop “profiling” visa applicants, but Westerlaken’s request went unheeded, an AP spokesman told the newspaper. A spokesperson for the Ministry of Foreign Affairs confirmed that a request was made for more information on the “necessity and proportionality of data processing.” In fact, the Netherlands has repeatedly been accused of using biased algorithms. Earlier this year, the PA said it had begun monitoring the use of algorithms as part of a government program to prevent discrimination and exclusion. The child benefit scandal, which erupted in 2020, is one example. Between 2004 and 2019, thousands of parents were unfairly labeled as cheaters. Dual citizenship was one of the indicators of a potential risk of fraud, and data from dual citizens were processed in an illegal and discriminatory way. Another example is the government’s SyRI fraud detection program, which was found to be in violation of human rights following a court case.
The municipalities of Burgos and Aranda de Duero are part – albeit for different reasons – of the list of 14 public administrations that have failed to comply with the requirements of the Spanish Data Protection Agency (AEPD) over the past year and have been statIisanctioned for failing to comply with the rules on the processing of personal data of citizens under their jurisdiction. This is an extremely sensitive issue given the proliferation of cyber attacks and criminal use of protected personal data. Specifically, on August 21, 2020, the Capital City Council was sanctioned for sending emails without using the BCC (blind carbon copy) option, which prevents recipients from accessing the personal data of other recipients. Specifically, a complaint was received from a user because his e-mail and ID number were not hidden, which, according to the AEPD resolution, “implies a violation of the regulated principles of ‘purpose limitation’ and ‘integrity and confidentiality’ […] as well as the proactive responsibility of the data controller to demonstrate compliance.” On August 28, the AEPD then asked the municipality to demonstrate, within one month, that it had taken the necessary measures to comply with the regulations.The municipality did not respond within one month, nor did it respond on the other two occasions when the AEPD urged it to do so (on October 8, 2020 and September 16, 2021).
Given the municipality’s silence, AEPD director Mar España Martí initiated disciplinary proceedings on March 21, 2022, to which the administration in question did not file charges. The resolution points out that the municipality risks administrative penalties of up to 20 million euros, considering the failure to comply with the resolutions issued by the data protection authority to be “very serious.” For the time being, the AEPD has opted for a warning sanction, communication of the resolution to the Ombudsman, and inclusion of the municipality on the list of reported administrations. In the case of the municipality of Aranda de Duero, it is the lack of a data protection officer and the silence in response to the two notifications sent by the AEPD that led to the sanction. The data protection officer can be a municipal employee or an external company, but it is mandatory and its absence can result in an administrative penalty of up to 10 million euros. The warnings to the municipality of Arandino date back to February and April 2022, and the sanction proceedings are dated July 15, 2022, with no charges brought. The resolution made public by the AEPD establishes a warning sanction, requiring the appointment of a data protection officer within one month. Burgos and Aranda are part of a list of sanctioned entities that includes, among others, the General Directorate of the Civil Guard, the Municipal Urban Transport Company of Gijón, nursing homes in Asturias, and other municipal councils with more than 20,000 inhabitants, such as those of Oria, Majadahonda, Llanos de Aridane, Cambre, Arrecife, Moncada, Algete, and San Andrés de Rabanedo.
Class actions accusing companies of violating the Illinois Biometric Privacy Act have more than doubled in the wake of a February state Supreme Court ruling that expanded the potential for high damages. The number of lawsuits filed in Illinois courts for violations of the Biometric Information Protection Act of 2008 increased by 65 percent, to 122 cases, in the two months since the Feb. 17 Cothron v. White Castle System Inc. ruling, according to a Bloomberg Law analysis of records through April 17. In the two months prior to the decision, between Dec. 17 and Feb. 17, 74 cases had been filed. By contrast, the total number of lawsuits filed in Cook County (Ill)-the court where most Illinois BIPA class actions are filed-increased overall by only 2.8 percent over the same period. Federal courts also saw a modest increase in new BIPA lawsuits. “I think lawsuits will continue at a brisk pace given the five-year statute of limitations, the entry of new plaintiffs and new theories of liability,” said in Mary Smigielski, partner at Lewis Brisbois Bisgaard & Smith LLP. In fact, Haskell Garfinkel, founding partner of the Garfinkel Group LLC, said the increase in cases is likely related to a growing awareness of the law and the prohibitions it imposes. Small businesses are also increasingly aware of the law, but lawsuits will continue to be filed against companies of all sizes that fail to comply with the statute.Illinois law requires that companies that collect biometric data, including fingerprints and facial recognition, must receive written consent from employees and customers and develop a written policy on its collection, storage and destruction. Illinois, is the first state to enact such a law, has seen its Supreme Court issue some of the most important state court rulings interpreting biometric privacy rights this year. The White Castle case raised the possibility of steep fines in the event of a violation. The Tims v. Black Horse Carriers Inc. ruling on Feb. 2 clarified that the five-year statute of limitations-and not the one-year statute of limitations-applies to three specific violations of the law.
