L’EDPB ha adottato il suo parere sulla bozza di decisione di adeguatezza relativa al Data Privacy Framework UE-USA pubblicata dalla Commissione Europea lo scorso 13 dicembre. Ad annunciarlo è il Board stesso, il quale comunica che accoglie con favore i miglioramenti sostanziali apportati, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE. Allo stesso tempo, però, l’EDPB esprime preoccupazioni e chiede chiarimenti su diversi punti. In particolare, le perplessità concernono alcuni diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea dei bulk data e il funzionamento pratico del meccanismo di ricorso. L’EDPB sarebbe favorevole a subordinare non solo l’entrata in vigore ma anche l’adozione della decisione all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 del Presidente degli Stati Uniti da parte di tutte le agenzie di intelligence statunitensi. L’EDPB raccomanda alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’EDPB. Il presidente dell’EDPB Andrea Jelinek ha dichiarato: “Un elevato livello di protezione dei dati è essenziale per salvaguardare i diritti e le libertà delle persone dell’UE. Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di affrontare le preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire la validità della decisione di adeguatezza. Per lo stesso motivo, riteniamo che dopo la prima revisione della decisione di adeguatezza, le revisioni successive debbano avvenire almeno ogni tre anni e ci impegniamo a contribuirvi”.
Il governo indiano ha annunciato un audit esterno su Diksha, app educativa che utilizza per fornire istruzione online agli studenti. Lo riporta Human Rights Watch (HRW), aggiungendo che il governo si è impegnato a proteggere meglio i dati dei bambini e degli insegnanti che utilizzano l’applicazione. La notizia arriva dopo che a gennaio HRW aveva denunciato la pubblicazione dei dati personali di milioni di studenti e insegnanti per oltre un anno da parte dell’applicazione. I dati non protetti includevano i nomi dei bambini, le scuole, lo stato, il distretto e l’isolato in cui vivono, i punteggi dei test e i numeri di telefono e gli indirizzi e-mail, parzialmente ridimensionati. Human Rights Watch ha anche documentato come l’applicazione fosse in grado di raccogliere i dati precisi sulla posizione dei bambini e che trasmettesse i loro dati a una società terza utilizzando un tracker progettato per la pubblicità. Il gruppo per i diritti digitali Internet Freedom Foundation, ha chiesto alla Commissione nazionale per la protezione dei diritti dell’infanzia di avviare un’indagine sulle violazioni della privacy dei bambini da parte del governo. Il governo indiano ha negato che Diksha raccolga dati precisi sulla posizione, ma ha ammesso di aver raccolto dati su Stai e distretto di residenza. L’esecutivo non ha, però, risposto sul perché l’applicazione sia stata costruita con la capacità di raccogliere dati precisi sulla posizione degli utenti, né sul perché l’applicazione trasmetta i dati dei bambini a una società terza che utilizza un tracker pubblicitario. Peraltro, HRW ritiene che la proposta di legge in materia protezione dei dati ad oggi in discussione non impedirà che tali violazioni si ripetano.
L’Autorità Garante privacy turca (KVKK) ha inflitto una sanzione da 175 milioni di lire turche (circa 8,5 milioni di euro) a TikTok. La violazione contestata riguarda il trattamento illecito di dati personali dei minori e la raccolta di dati senza valido consenso. L’istruttoria del KVKK era stata avviata sulla base dell’art. 15 del Kişisel Verilerin Korunması Kanunu (Legge sulla protezione dei dati personali turca), a seguito di varie notizie e reclami. Dalle verifiche effettuate è emerso che l’informativa privacy di TikTok era stata modificata nel gennaio 2021 e che, a seguito dell’aggiornamento, l’impostazione predefinita della privacy per gli account degli utenti di età compresa tra i 13 e i 15 anni era stata modificata in “privata”, in modo che potevano essere visualizzati solo i video condivisi con i follower approvati. Tuttavia, è emerso anche che prima di gennaio 2021, venivano visualizzate informazioni e contenuti relativi a minori di età inferiore ai 13 anni che utilizzavano l’applicazione e sono stati raccolti dati sui bambini senza un adeguato consenso dei genitori. Peraltro, è stato anche appurato che il testo dei Termini di servizio non è disponibile in turco e, dunque, il contenuto non viene presentato agli utenti in una forma facile da capire ed è verosimile ritenere che i termini vengano spesso accettati senza essere compresi appieno. Inoltre, sempre da quanto ricostruito dall’Autorità, non viene ottenuto un consenso esplicito durante la creazione di un account sulla piattaforma né viene in merito all’attività di trattamento dei dati personali effettuata mediante l’utilizzo di cookie per finalità di profilazione. Così la società è stata sanzionata per 175 milioni di lire turche ed è stata invitata, tra l’altro, ad aggiornarne l’informativa privacy e a tradurre i termini di servizio in turco.
English version
The EDPB adopted its opinion on the draft adequacy decision on the EU-US Data Privacy Framework published by the European Commission on 13 December. This was announced by the Board itself, which states that it welcomes the substantial improvements made, such as the introduction of requirements incorporating the principles of necessity and proportionality for US intelligence collection and the new redress mechanism for EU data subjects. At the same time, however, the EDPB expresses concerns and seeks clarification on several points. In particular, concerns relate to certain data subject rights, onward transfers, the scope of exemptions, the temporary collection of bulk data and the practical functioning of the redress mechanism. The EDPB would favour making not only the entry into force but also the adoption of the decision conditional on the adoption of updated policies and procedures for the implementation of US President’s Executive Order 14086 by all US intelligence agencies. The EDPB recommends that the Commission assess these updated policies and procedures and share its assessment with the EDPB. EDPB Chairman Andrea Jelinek said: ‘A high level of data protection is essential to safeguard the rights and freedoms of EU individuals. While recognising that the improvements made to the US legal framework are significant, we recommend addressing the concerns expressed and providing the clarifications required to ensure the validity of the adequacy decision. For the same reason, we believe that after the first review of the Adequacy Decision, subsequent reviews should take place at least every three years and we are committed to contributing to this.
The Indian government announced an external audit of Diksha, an educational app it uses to provide online education to students. This was reported by Human Rights Watch (HRW), adding that the government has pledged to better protect the data of children and teachers using the app. The news comes after HRW reported in January that the app had been publishing the personal data of millions of students and teachers for over a year. The unprotected data included children’s names, schools, the state, district and block where they live, test scores, and partially redacted phone numbers and email addresses. Human Rights Watch also documented how the app was able to collect the precise location data of the children and that it transmitted their data to a third-party company using a tracker designed for advertising. The digital rights group Internet Freedom Foundation asked the National Commission for the Protection of Children’s Rights to launch an investigation into the government’s violation of children’s privacy. The Indian government has denied that Diksha collects precise location data, but admitted that it has collected data on state and district of residence. The executive did not, however, answer why the app was built with the capacity to collect precise location data from users, nor why the app transmits children’s data to a third-party company using an advertising tracker. Moreover, HRW believes that the proposed data protection law currently under discussion will not prevent such violations from happening again.
The Turkish Privacy Authority (KVKK) imposed a fine of 175 million Turkish Liras (approximately EUR 8.5 million) on TikTok. The alleged violation concerns the unlawful processing of personal data of minors and the collection of data without valid consent. The KVKK investigation had been initiated on the basis of Article 15 of the Kişisel Verilerin Korunması Kanunu (Turkish Personal Data Protection Law), following various reports and complaints. Checks revealed that TikTok’s privacy policy had been changed in January 2021 and that, following the update, the default privacy setting for accounts of users aged between 13 and 15 had been changed to ‘private’, so that only videos shared with approved followers could be viewed. However, it was also found that prior to January 2021, information and content related to children under the age of 13 using the app was displayed and data on children was collected without proper parental consent. Moreover, it was also found that the text of the Terms of Service is not available in Turkish and, therefore, the content is not presented to users in an easy-to-understand form and it is likely that the terms are often accepted without being fully understood. Moreover, again according to the Authority’s reconstruction, explicit consent is not obtained when creating an account on the platform, nor is it given when personal data is processed through the use of cookies for profiling purposes. Thus, the company was fined 175 million Turkish liras and asked, among other things, to update its privacy policy and translate its terms of service into Turkish.
