N. 126/2023
LE TRE NEWS DI OGGI:
- USA: UFFICIO IMMIGRAZIONE ACQUISIVA DATI DALLE BIG TECH
- BELGIO: STOP AL TRAFFICO DEI DATI DEGLI AMERICANI ACCIDENTALI CON LE AUTORITA’ FISCALI USA
- AUSTRALIA: GRAVE VIOLAZIONE DA PARTE DEL GOVERNO DELLO STATO DEL NORTHERN TERRITORY CON DATI INVIATI AD UN SOFTWARE CON SEDI ALL’ESTERO
L’Agenzia statunitense per l’immigrazione e l’applicazione delle leggi doganali (Ice) ha inviato ai “giganti della tecnologia”, tra cui Google, Twitter e Meta, almeno 500 citazioni amministrative per richiedere informazioni personali sensibili degli utenti, come risulta dai documenti esaminati dal Guardian. La pratica evidenzia la grande quantità di informazioni che l’Ice sta cercando di ottenere senza prima dimostrare la probabilità di una causa. Le citazioni amministrative non sono in genere certificate dal tribunale, il che significa che le aziende non sono legalmente tenute a rispettare o a rispondere fino a quando un giudice non le costringa a farlo. I documenti mostrano che in alcuni casi le aziende hanno consegnato le informazioni sugli utenti, anche se non è chiaro fino a che punto le aziende si siano conformate. Il documento evidenzia inoltre quanto sia ampia la rete che l’Ice sta gettando per sorvegliare i migranti. “Quando l’Ice ottiene i dati degli abbonati da Google o da Instagram, può combinare queste informazioni con miliardi di altri dati su centinaia di milioni di residenti negli Stati Uniti a cui ha accesso da altre aziende”, ha dichiarato Hannah Lucal, data and tech fellow di Just Futures Law, una delle organizzazioni che ha ottenuto i documenti. “Sebbene possano sembrare benevoli o come uno strumento legale, le citazioni amministrative stanno in realtà consentendo una sorveglianza Ice molto invasiva, non solo di qualcuno che l’agenzia sta prendendo di mira, ma potenzialmente anche di chiunque possa comunicare con quella persona su queste piattaforme tecnologiche”, ha detto Lucal. I documenti, che descrivono in dettaglio le richieste tra il 2018 e il 2021, mostrano che la maggior parte delle richieste erano legate agli sforzi dell’agenzia per l’applicazione delle leggi sull’immigrazione. Una manciata di casi riguardava il contrabbando di esseri umani e uno faceva parte di un’indagine per omicidio. Nella maggior parte dei casi, l’Ice ha chiesto alle aziende di consegnare informazioni sugli account, come l’indirizzo IP di una persona nel tempo e i dettagli dei pagamenti. In alcuni casi, l’agenzia si è spinta molto oltre, come risulta dai documenti. In un caso, l’Ice ha chiesto a Google i dettagli dell’account di Migrant Media, un canale YouTube che si concentrava e condivideva risorse sui problemi dei migranti. Nel mandato di comparizione, un funzionario dell’Ice ha dichiarato che l’agenzia stava cercando i nomi, gli indirizzi, le informazioni sui pagamenti e sulle fatture “e tutti gli indirizzi IP associati alla pagina YouTube” come parte di una “indagine o inchiesta in corso relativa all’applicazione delle leggi statunitensi sull’immigrazione”. Il mandato di comparizione non ha fornito ulteriori dettagli sulla natura dell’indagine.
Il Belgio smetterà di condividere i dati degli “americani accidentali” (persone che possiedono la cittadinanza statunitense in virtù della loro nascita ma che sono stabilite all’estero) con le autorità fiscali statunitensi dopo che l’Autorità per la protezione dei dati del Paese ha dichiarato illegale il trasferimento di informazioni. In base al Foreign Account Tax Compliance Act (FATCA), una misura contro l’evasione fiscale, le banche straniere devono inviare le informazioni sui conti detenuti dagli americani ai rispettivi governi, che le condividono con l’IRS. Il Congresso ha approvato la legge per catturare gli evasori fiscali americani che nascondono i loro fondi all’estero, ma ha anche preso di mira gli “americani accidentali” che sostengono di essere stati ingiustamente trascinati in una rete di rivelazione per un Paese con il quale hanno pochi legami. Per alcuni, le conseguenze sono state il rifiuto dei servizi bancari e altre seccature burocratiche nei loro Paesi d’origine. L’Autorità belga per la protezione dei dati ha dichiarato di aver riscontrato che i requisiti di condivisione delle informazioni violano il Regolamento generale sulla protezione dei dati (GDPR) dell’UE. L’agenzia ha affrontato la questione dopo che un gruppo di americani accidentali e un doppio cittadino belga-americano hanno presentato un reclamo nel 2020, ha dichiarato il governo in un comunicato. L’articolo 96 del GDPR consente di mantenere in vigore gli accordi internazionali precedenti al provvedimento dell’UE, se conformi alla legge al momento della loro stipula. Tuttavia, sia l’autorità per i dati che la Camera di Giustizia belga hanno affermato che il “trasferimento generalizzato e indifferenziato di dati fiscali” dell’accordo FATCA tra Stati Uniti e Belgio non soddisfa gli standard che richiedono che gli accordi internazionali contengano obiettivi precisi per il trasferimento di tali dati e che trattino solo i dati “strettamente” necessari per gli scopi perseguiti. “L’articolo 96 non può essere inteso come un’autorizzazione a che gli accordi internazionali rimangano contrari al GDPR nel tempo”, ha dichiarato Hielke Hijmans, presidente della Camera del contenzioso, nella dichiarazione di mercoledì. L’esenzione per gli accordi internazionali preesistenti “non esenta gli Stati membri dell’UE dal (ri)negoziare un accordo per renderlo conforme al GDPR”. La Camera del contenzioso ha anche rilevato che il FATCA “non contiene garanzie adeguate per assicurare che ai dati personali esportati sia garantito un livello di protezione simile a quello dei dati all’interno dell’UE”. “Ordinare la cessazione dei flussi di dati verso gli Stati Uniti ai sensi dell’accordo FATCA può sembrare severo, ma una volta constatato che non sono conformi alla legge applicabile, siamo obbligati a interrompere questi flussi di dati”, ha dichiarato Hijmans. La decisione è soggetta a ricorso, ha osservato l’autorità. “Il problema di fondo è che gli Stati membri dell’UE violano le proprie leggi per conformarsi a quelle statunitensi”, ha dichiarato in un comunicato Fabien Lehagre, presidente dell’Associazione degli Americani Accidentali. “È la prima volta che l’accordo FATCA viene dichiarato ufficialmente illegale”, ha aggiunto Lehagre via e-mail. “
In Australia il governo del Territorio del Nord ha violato la privacy di migliaia di pazienti della sanità pubblica inviando cartelle cliniche identificabili a un fornitore di software con uffici in Europa, Sud America e Cina. Un rapporto preliminare sull’incidente, ottenuto dall’ABC grazie alle leggi sulla libertà di informazione, mostra l’entità dei dati identificabili dei pazienti trasferiti tra la NT Health, il Core Clinical Systems Renewal Program (CCSRP) e il fornitore di software globale Intersystems tra il 2018 e il 2019.Il CCSRP – che fa capo al Dipartimento per lo sviluppo aziendale e digitale – è stato istituito nel 2017 per integrare quattro sistemi di cartelle cliniche di NT Health in uno solo, con un costo per i contribuenti di 259 milioni di dollari.Il nuovo sistema di cartelle cliniche, denominato “Acacia”, utilizza un software acquistato da Intersystems. Le cartelle cliniche di 50.616 pazienti sono state inviate dalla NT Health al CCSRP. Poi, come parte dell’accordo, 3.277 cartelle cliniche di pazienti identificabili sono state trasferite dal CCSRP a Intersystems. Questo secondo Intersystems, a cui il CCSRP ha chiesto una verifica dei dati trasferiti prima della segnalazione dell’incidente.Ma gli esperti hanno detto che non è chiaro se tutti i file inviati a Intersystems siano stati trovati.Il rapporto sull’incidente è stato commissionato da NT Health nel 2019 per quantificare l’entità dei dati trasferiti.Il rapporto ha stabilito quattro criteri per valutare il rischio clinico associato a ciascun record inviato tra NT Health, CCSRP e Intersystems.Due record trasferiti dal CCSRP a Intersystems sono stati classificati come “rischio molto elevato”, mentre 476 sono stati considerati “ad alto rischio”. Per essere classificate in queste due categorie di “classificazione del rischio”, il nome completo del paziente doveva essere visibile, con la presenza di informazioni “altamente sensibili” o “sensibili”.Le voci relative ai pazienti includevano relazioni psicologiche e visite a strutture psichiatriche, registrazioni di interruzioni di gravidanza o di nati morti e registrazioni di terapie elettroconvulsive, note anche come terapie con scosse elettriche.Sono stati trasferiti anche i dati relativi alle visite ai centri di cura oncologici, alle donazioni di organi e alle ricevute.Tutti gli altri dati relativi ai pazienti sono stati classificati come “a medio rischio” o “a basso rischio”, e il rapporto afferma che “il trasferimento di dati identificabili è stato un problema sistemico e non è stato effettuato da un singolo organismo.”
English version
- USA: IMMIGRATION OFFICE ACQUIRED DATA FROM BIG TECH
- BELGIUM: STOP TRAFFICING DATA OF ACCIDENTAL AMERICANS WITH U.S. TAX AUTHORITIES
- AUSTRALIA: VIOLATION BY THE NORTHERN TERRITORY STATE GOVERNMENT WITH DATA SENT TO A SOFTWARE WITH LOCATIONS ABROAD
The U.S. Immigration and Customs Enforcement Agency (ICE) has sent “tech giants,” including Google, Twitter and Meta, at least 500 administrative subpoenas requesting sensitive personal information from users, according to documents reviewed by the Guardian. The practice highlights the large amount of information ICE is seeking without first demonstrating the likelihood of a lawsuit Administrative subpoenas are typically not certified by the court, meaning companies are not legally required to comply or respond until a judge forces them to do so. The documents show that in some cases companies have turned over user information, although it is unclear to what extent companies have complied. The document also highlights how wide a net Ice is casting to surveil migrants. “When ICE gets subscriber data from Google or Instagram, it can combine that information with billions of other data on hundreds of millions of U.S. residents that it has access to from other companies,” said Hannah Lucal, data and tech fellow at Just Futures Law, one of the organizations that obtained the documents. “While they may seem benign or like a legal tool, the administrative subpoenas are actually enabling very intrusive Ice surveillance, not only of someone the agency is targeting, but potentially anyone who may communicate with that person on these technology platforms,” Lucal said.The documents, which detail requests between 2018 and 2021, show that most of the requests were related to the agency’s immigration enforcement efforts. A handful of cases involved human smuggling and one was part of a murder investigation.In most cases, ICE asked companies to hand over account information, such as a person’s IP address over time and payment details.In some cases, the agency went much further, the documents show. In one case, ICE asked Google for account details of Migrant Media, a YouTube channel that focused and shared resources on migrant issues. In the subpoena, an ICE official said the agency was seeking the names, addresses, payment and billing information “and all IP addresses associated with the YouTube page” as part of an “ongoing investigation or inquiry related to the enforcement of U.S. immigration laws.” The subpoena provided no further details about the nature of the investigation.
Belgium will stop sharing data of “accidental Americans” (and people who hold U.S. citizenship by virtue of their birth but are based abroad) with U.S. tax authorities after the country’s Data Protection Authority declared the transfer of information illegal. Under the Foreign Account Tax Compliance Act (FATCA), an anti-tax evasion measure, foreign banks must send information about accounts held by Americans to their respective governments, which share it with the IRS. Congress passed the law to catch American tax evaders who hide their funds abroad, but it also targeted “accidental Americans” who claim they were unfairly dragged into a web of disclosure for a country with which they have little connection. For some, the consequences have been denial of banking services and other bureaucratic hassles in their home countries. The Belgian Data Protection Authority said it found that the information-sharing requirements violated the EU’s General Data Protection Regulation (GDPR). The agency addressed the issue after a group of accidental Americans and a dual Belgian-American citizen filed a complaint in 2020, the government said in a statement. Article 96 of the GDPR allows international agreements that predate the EU measure to remain in force if they were in accordance with the law at the time they were made. However, both the data authority and the Belgian Chamber of Justice said the FATCA agreement’s “blanket and undifferentiated transfer of tax data” between the U.S. and Belgium does not meet the standards that require international agreements to contain precise objectives for the transfer of such data and to deal only with data that is “strictly” necessary for the purposes pursued. “Article 96 cannot be understood as authorizing international agreements to remain contrary to the GDPR over time,” Hielke Hijmans, president of the Litigation Chamber, said in Wednesday’s statement. The exemption for pre-existing international agreements “does not exempt EU member states from (re)negotiating an agreement to bring it into compliance with the GDPR.” The Litigation Chamber also noted that FATCA “does not contain adequate safeguards to ensure that exported personal data is afforded a similar level of protection as data within the EU.” “Ordering the cessation of data flows to the U.S. under FATCA may seem harsh, but once we find that they do not comply with applicable law, we are obligated to stop these data flows,” Hijmans said. The decision is subject to appeal, the authority noted. “The underlying problem is that EU member states are violating their own laws to comply with U.S. laws,” Fabien Lehagre, president of the Association of Accidental Americans, said in a statement. “This is the first time the FATCA agreement has been officially declared illegal,” Lehagre added via e-mail. “
The Australian Northern Territory government violated the privacy of thousands of public health patients by sending identifiable medical records to a software vendor with offices in Europe, South America and China. A preliminary report on the incident, obtained by the ABC through Freedom of Information laws, shows the extent of identifiable patient data transferred between NT Health, the Core Clinical Systems Renewal Program (CCSRP) and global software vendor Intersystems between 2018 and 2019. CCSRP-which comes under the Department of Business and Digital Development-was established in 2017 to integrate four NT Health medical records systems into one, at a cost to taxpayers of $259 million.The new medical records system, called “Acacia,” uses software purchased from Intersystems. The medical records of 50,616 patients were sent from NT Health to CCSRP. Then, as part of the agreement, 3,277 identifiable patient records were transferred from CCSRP to Intersystems. This is according to Intersystems, which was asked by CCSRP for verification of the transferred data before the incident was reported.But experts said it is unclear whether all the files sent to Intersystems were found.The incident report was commissioned by NT Health in 2019 to quantify the extent of the transferred data. The report established four criteria to assess the clinical risk associated with each record sent between NT Health, CCSRP, and Intersystems.Two records transferred from CCSRP to Intersystems were classified as “very high risk,” while 476 were considered “high risk.” In order to be classified in these two “risk classification” categories, the full name of the patient had to be visible, with the presence of “highly sensitive” or “sensitive” information.Patient entries included psychological reports and visits to psychiatric facilities, records of pregnancy terminations or stillbirths, and records of electroconvulsive therapy, also known as electric shock therapy. Data on visits to cancer treatment centers, organ donations and receipts were also transferred.All other patient data were classified as “medium risk” or “low risk,” and the report states that “the transfer of identifiable data was a systemic issue and was not carried out by a single agency.”
