Privacy Daily

PRIVACYDAILY

aggiornato il

N. 181/2023

LE TRE NEWS DI OGGI:

  • SVIZZERA, CHI CERCA CASA IN AFFITTO NEL MIRINO DELLE SOCIETA’ D’INVESTIGAZIONE PRIVATA INGAGGIATE DALLE AGENZIE IMMOBILIARI
  • I RESPONSABILI PRIVACY SEMPRE PIU’ IMPORTANTI NELLE AZIENDE CHE PRODUCONO AI
  • HONG KONK AUTORITA’ GARANTE STRINGE SUL MANAGEMENT DEI DATI DA PARTE DELLE BANCHE

Un ascoltatore del programma On en Parle, che stava facendo domanda per affittare un appartamento, ha scoperto che la società di gestione immobiliare aveva utilizzato una società privata per ottenere informazioni molto dettagliate su di lui e sulla sua famiglia, a sua insaputa.Nella lettera con cui l’agenzia immobiliare gli ha restituito il suo incartamento, Alain ha trovato una relazione sui suoi dati personali redatta da una società privata, che riportava molte più informazioni di quelle solitamente richieste nei moduli di affitto. Inviata ad Alain per errore, la relazione di tre pagine include dettagli sui precedenti luoghi di residenza, sull’occupazione, sulla formazione e sull’attività professionale, oltre a dati finanziari come il reddito e la dichiarazione dei redditi. Include anche ricerche sul carattere, la reputazione e le lamentele del vicinato.Florence Henguely, vice commissario federale per la protezione dei dati e l’informazione, spiega la legalità di queste pratiche in un’intervista a On en Parle.I limiti legali della raccolta dei dati e i diritti della persona interessata La raccolta di tali informazioni può essere illegale. Sebbene le agenzie immobiliari abbiano il diritto di raccogliere dati per valutare i candidati, tale raccolta deve rispettare determinate regole.In primo luogo, le informazioni richieste devono essere necessarie per la conclusione del contratto di locazione, come l’identità, i dati di contatto, le informazioni finanziarie e la solvibilità. In secondo luogo, in caso di errori nelle informazioni ottenute, l’interessato ha il diritto di chiederne la rettifica. Può inoltre richiedere una copia di tutti i dati raccolti su di lui, nonché l’origine e il destinatario di tali dati. Se le informazioni sono state comunicate solo per una specifica abitazione, è possibile chiedere che vengano distrutte. Infine, come spiega Florence Henguely: “La nuova legge sulla protezione dei dati rafforzerà il diritto attivo all’informazione, in base al quale tutti devono essere informati sui dati trattati”. Ciò significa che chiunque raccolga dati sarà obbligato a informare la persona interessata. Saranno inoltre introdotte sanzioni per il mancato rispetto di questo obbligo.

Mentre le aziende si destreggiano tra le intricate questioni legali e i rischi dell’intelligenza artificiale, si trovano anche ad affrontare un problema pratico immediato: chi dovrebbe prendere il controllo?Non esiste un manuale, ma la supervisione aziendale dell’intelligenza artificiale richiede una persona esperta di tecnologia e di legge, in grado di individuare i rischi che si profilano e di utilizzare le competenze di tutta l’azienda. Spesso è il responsabile della privacy, che ha “un insieme di competenze ovviamente trasmissibili”, a essere incaricato di questo ruolo, ha affermato J. Trevor Hughes, presidente e amministratore delegato dell’Associazione internazionale dei professionisti della privacy. Ma le aziende non possono fare affidamento solo sulle strutture esistenti in materia di privacy per affrontare l’IA.”La sfida è questa: i domini di rischio creati dall’IA sono così ampi da rendere davvero una caccia all’unicorno cercare di trovare una singola persona o un singolo insieme di competenze che possano essere esperte in tutti questi ambiti”, ha affermato Hughes.Secondo un rapporto dell’IAPP di gennaio, più della metà delle aziende intervistate che stavano costruendo nuovi sistemi di governance dell’IA lo stavano facendo in aggiunta ai programmi di privacy esistenti. Separatamente, un team dell’Ohio State University ha intervistato 75 aziende su chi sta dirigendo la loro governance dell’IA quest’anno, e la risposta principale è stata il team della privacy, ha detto Dennis Hirsch, professore di legge e direttore del Programma sui dati e la governance dell’Ohio State University, che ha guidato la ricerca. Ma l’IA generativa solleva una tale serie di questioni legali ed etiche che guardare esclusivamente attraverso la lente della privacy rende un’azienda vulnerabile a non cogliere rischi importanti. Questi rischi includono le minacce alla sicurezza informatica, i pericoli per la proprietà intellettuale, l’incertezza sullo status giuridico della proprietà intellettuale dei risultati dell’IA generativa e la possibilità di evitare pregiudizi.I responsabili della privacy sono ben preparati ad affrontare la governance dell’IA perché hanno una profonda conoscenza dei dati, bilanciano diversi diritti e interessi e lavorano in modo trasversale nelle loro organizzazioni, ha dichiarato Caroline Louveaux, Chief Privacy and Data Responsibility Officer di Mastercard.”È un ottimo punto di partenza, ma una governance efficace non può basarsi solo sulla conoscenza della privacy”, ha dichiarato Louveaux, che fa parte del consiglio di amministrazione dell’IAPP. “I professionisti della privacy possono davvero svolgere un ruolo importante, ovvero quello di organizzare e coordinare diverse funzioni all’interno dell’azienda”.Le aziende più grandi, e quelle che pensano all’IA da più tempo, spesso hanno team interdisciplinari che valutano i rischi e considerano le implicazioni legali ed etiche.

L’ufficio del Commissario per la privacy per i dati personali ha invitato una banca virtuale con quasi 700.000 clienti al giorno a rafforzare la gestione del trattamento dei dati per evitare fughe di notizie.L’ente di controllo ha però dichiarato che la ZA Bank, una delle più grandi banche virtuali della RAS, ha generalmente rispettato i requisiti di legge nel trattamento dei dati dei clienti.La ZA Bank gestisce quotidianamente grandi quantità di informazioni sensibili, per cui il commissario per la privacy Ada Chung Lai-ling ha voluto verificare il suo sistema di gestione dei dati personali.La banca ha ottenuto la licenza di banca virtuale dall’Autorità Monetaria di Hong Kong nel marzo 2019 ed è diventata la prima banca virtuale nella RAS nel marzo 2020, offrendo servizi bancari digitali principalmente via internet e attraverso un’applicazione mobile.Il controllo ha mostrato che la ZA Bank aveva quasi 700.000 clienti al dettaglio alla fine di giugno.Il commissario ha inoltre riscontrato che la banca ha istituito un programma per la tutela della privacy e ha nominato un responsabile della protezione dei dati per sviluppare un sistema di conformità ai requisiti dell’ordinanza sui dati personali (privacy) e per gestire le informazioni sui clienti.L’organo di controllo ha inoltre dichiarato di aver riscontrato con soddisfazione che la banca si è impegnata a proteggere i dati personali implementando un ufficio senza carta, conducendo esercitazioni per contrastare la minaccia di attacchi di phishing e promuovendo una cultura della privacy sul posto di lavoro.”Spero che i risultati e le raccomandazioni di questa ispezione non solo aiutino la ZA Bank a rafforzare ulteriormente la protezione dei dati personali dei suoi clienti, a garantire la sicurezza e a prevenire gli incidenti di violazione dei dati, ma servano anche da riferimento per altre banche virtuali”, ha dichiarato Chung.Alla ZA Bank è stato raccomandato di rafforzare la gestione dei processi relativi ai dati, di migliorare le capacità di monitoraggio del sistema di prevenzione delle perdite di dati, di limitare il tempo di accesso del personale ai dati personali dei clienti e di rivedere continuamente e regolarmente il proprio sistema di dati personali.Negli ultimi due mesi Hong Kong ha registrato numerosi episodi di fuga di dati.Giovedì scorso il commissario per la privacy ha dichiarato di aver ricevuto segnalazioni da cinque scuole e organizzazioni di assistenza sociale, secondo le quali i loro account WhatsApp erano stati violati nell’ultimo mese, con la conseguente fuga di informazioni di oltre 900 persone.Il mese scorso Cyberport ha reso disponibili sul dark web circa 400 gigabyte di dati, tra cui numeri di carte HKID, estratti conto e curriculum, dopo che non era stato pagato un “riscatto” per le informazioni rubate.Due settimane dopo il Consiglio dei consumatori ha scoperto che il suo server era stato hackerato. Il Consiglio ha dichiarato che si sospetta che siano stati compromessi i dati di circa 8.000 persone.

English version

  • SWITZERLAND, HOUSE HUNTERS IN THE SIGHT OF PRIVATE INVESTIGATION COMPANIES HIRED BY REAL ESTATE AGENCIES
  • PRIVACY OFFICERS INCREASINGLY IMPORTANT IN COMPANIES PRODUCING AI
  •  HONG KONG KONK DATA PROTECTION AUTHORITY STRENGTHENS DATA MANAGEMENT BY BANKS

A listener to the programme On en Parle, who was applying to rent a flat, discovered that the property management company had used a private company to obtain very detailed information about him and his family, without his knowledge.In the letter from the estate agency returning his file, Alain found a report of his personal details from a private company, which listed much more than the information usually requested on property rental forms.Sent to Alain by mistake, the three-page report includes details of previous places of residence, occupation, training and professional activity, as well as financial data such as income and tax assessment. It also includes research into character, reputation and neighbourhood complaints.Florence Henguely, Deputy Federal Data Protection and Information Commissioner, explains the legality of these practices in an interview with On en Parle.The legal limits of data collection and the rights of the data subjectThe collection of such information may be unlawful. Although estate agents have the right to collect data in order to assess applicants, this collection must comply with certain rules.Firstly, the information requested must be necessary for the conclusion of the lease contract, such as identity, contact details, financial information and solvency. Secondly, in the event of errors in the information obtained, the person concerned has the right to request that it be rectified. They may also request a copy of all the data collected about them, as well as the origin and recipient of that data. If the information has been communicated solely for a specific dwelling, it is possible to request that it be destroyed.Finally, as Florence Henguely explains: “The new Data Protection Act will strengthen the active right to information, whereby everyone must be informed about the data being processed”. This means that anyone collecting data will be obliged to inform the person concerned. Penalties will also be introduced for failure to comply with this obligation.

As companies navigate the murky legal implications and risks of artificial intelligence, they’re also facing an immediate practical problem: Who should take the lead?There’s no playbook, but corporate AI oversight calls for someone versed in technology and the law who’s able to spot looming risks and tap expertise across the company. It’s often the privacy officer, who has “an obviously transferable set of skills,” who’s tasked with the role, said J. Trevor Hughes, president and CEO of the International Association of Privacy Professionals. But companies can’t rely on their existing privacy structures alone to tackle AI.“Here’s the challenge: The domains of risk created by AI are so broad as to really make it a unicorn hunt to try and find a single person or a single set of skills that can be expert in all of them,” Hughes said.According to a January IAPP report, more than half of the companies surveyed that were building new AI governance approaches were doing so on top of existing privacy programs. Separately, an Ohio State University team surveyed 75 companies about who is leading their AI governance this year, and the primary answer was the privacy team, said Dennis Hirsch, professor of law and director of the Program on Data and Governance at The Ohio State University, who led the research.But generative AI raises such an array of legal and ethical questions that looking solely through a privacy lens leaves a company vulnerable to missing important risks. Those risks include cybersecurity threats, dangers to intellectual property, uncertainty regarding the IP law status of generative AI’s outputs, and avoiding bias.Privacy officials are well-positioned to take on AI governance because they have a deep understanding of data, balance different rights and interests, and work across their organizations, said Caroline Louveaux, chief privacy and data responsibility officer at Mastercard.

The office of the Privacy Commissioner for Personal Data has called on a virtual bank with almost 700,000 retail customers to strengthen management of data processing to prevent leakage.But the watchdog said ZA Bank, one of the biggest virtual banks in the SAR, has generally complied with legal requirements in handling customers’ data.ZA Bank handles vast amounts of sensitive information on a daily basis, so privacy commissioner Ada Chung Lai-ling had wanted to check its personal data system.The bank was granted a virtual banking license by the Hong Kong Monetary Authority in March 2019 and became the first virtual bank in the SAR in March 2020, offering digital banking services mainly via the internet and through a mobile app.The check showed ZA Bank had almost 700,000 retail customers by the end of June.The commissioner also found the bank had established a privacy program and appointed a dedicated data protection officer to develop a system to comply with requirements of the Personal Data (Privacy) Ordinance and to manage customer information.The watchdog also said it was pleased to note the bank is committed to protecting personal data by implementing a paperless office, conducting drills to counter the threat of phishing attacks and promoting a culture of privacy in the workplace.”I hope the findings and recommendations of this inspection will not only assist ZA Bank to further strengthen the protection of its customers’ personal data, ensure security and prevent data breach incidents but also serve as a reference for other virtual banks,” Chung said.But ZA Bank was recommended to strengthen management of its data processes, enhance the monitoring capabilities of a data loss prevention system, to limit the time for staff to access customers’ personal data, and to continuously and regularly review its personal data system.Hong Kong has seen multiple data leakage incidents during the last two months.And the privacy commissioner said last Thursday that reports had been received from five schools and social welfare organizations that their WhatsApp accounts had been hijacked during the past month, resulting in the information of more than 900 individuals being leaked.And last month Cyberport had some 400 gigabytes of data that included HKID card numbers, bank statements and resumes released on the dark web after a “ransom” was not paid for the stolen information.Two weeks later the Consumer Council discovered its computer server had been hacked. The council said the data of approximately 8,000 individuals was suspected to have been compromised.

Related posts:

  1. PRIVACY DAILY 107/2023
  2. PRIVACYDAILY
  3. PRIVACYDAILY
  4. PRIVACYDAILY