N. 198/2023
LE TRE NEWS DI OGGI:
- AUSTRALIA, CENTINAIA DI MILIONI DI CONTROLLI DI IDENTITA’ POTREBBERO ESSERE STATI CONDOTTI ILLEGALMENTE
- COREA DEL SUD, IL TRIBUNALE CONFERMA LA SANZIONE NEI CONFRONTI DI META PER LA VIOLAZIONE DEI DATI DEGLI UTENTI
- CALIFORNIA, SI RAFFORZANO LE LEGGI SULLA PRIVACY
Centinaia di milioni di controlli d’identità nell’ambito del servizio di verifica dell’identità del governo federale potrebbero essere stati condotti illegalmente, con il governo Albanese che si è affrettato a varare una legislazione a sostegno del servizio.I servizi di verifica dell’identità sono utilizzati dai dipartimenti governativi e dalle aziende – come i fornitori di carte di credito e le compagnie elettriche – per combattere le frodi e i furti di identità.La legislazione per consentire il servizio di verifica dell’identità è stata archiviata dal precedente governo Morrison nel 2019, dopo che la commissione parlamentare congiunta per l’intelligence e la sicurezza ne aveva raccomandato la revisione a causa delle preoccupazioni per l’insufficiente tutela della privacy della proposta.Ad ogni modo, il servizio è entrato in funzione e, a quattro anni di distanza, il governo Albanese ha fatto approvare una nuova legislazione alla Camera dei Rappresentanti. Parte della fretta, secondo i testimoni dell’inchiesta del Senato di lunedì scorso, era dovuta al fatto che i servizi di verifica che collegano i sistemi di identificazione dello Stato e del territorio alle aziende che effettuano controlli sull’identità sembravano operare senza un quadro legislativo. Ciò li renderebbe illegali.Il senatore dei Verdi David Shoebridge ha chiesto alla presidente di Digital Rights Watch, Lizzie O’Shea, se la velocità con cui la legislazione è stata fatta passare in parlamento servisse a proteggere il governo dalla pratica illegale del servizio.”Penso che ci sia un vero dubbio sulla legalità del sistema, e che la fretta serva a proteggere il governo dalla responsabilità”, ha detto O’Shea. Solo nel 2022, il Servizio di verifica dei documenti è stato utilizzato più di 140 milioni di volte da 2.700 organizzazioni del settore pubblico e privato. Nell’ultimo anno finanziario sono state effettuate circa 2,6 milioni di transazioni con il Servizio di verifica facciale da parte delle agenzie governative.Gli avvocati senior dello Human Rights Law Centre, Kieran Pender e David Mejia-Canales, hanno dichiarato in un documento presentato all’inchiesta che non esiste una base legislativa federale evidente per entrambi i sistemi.”È straordinario che il governo australiano stia usando, a quanto pare, servizi di verifica dell’identità su scala di massa senza una base legale. Ed è ancora più straordinario che il governo australiano cerchi di approvare in fretta e furia una legislazione così importante, con un’opportunità minima di controllo parlamentare, in queste circostanze”.
Meta Platforms Ireland, precedentemente conosciuta come Facebook, ha perso una battaglia legale per contestare una multa imposta dall’autorità di vigilanza sudcoreana sulla protezione dei dati per aver condiviso le informazioni personali degli utenti senza consenso.Nel novembre 2020, la Commissione per la protezione delle informazioni personali (PIPC) ha imposto una multa di 7,8 miliardi di won (circa 5,78 milioni di dollari) a Meta dopo che la sua indagine ha rivelato che le informazioni personali di oltre 3,3 milioni di utenti sudcoreani di Facebook su 18 milioni erano state condivise con operatori di terze parti a loro insaputa. Questa condivisione non autorizzata è avvenuta tra maggio 2012 e giugno 2018.In risposta alla multa del PIPC, Meta ha presentato un reclamo, sostenendo che la condivisione dei dati era avvenuta con il consenso degli utenti e che l’azienda non li aveva indotti a condividere le proprie informazioni. Il tribunale ha ritenuto che gli utenti di Meta non fossero stati adeguatamente informati dei relativi avvisi legali e che l’azienda avesse tratto ingiustamente profitto da questa pratica.L’indagine del PIPC ha inoltre scoperto che le informazioni personali degli amici di Facebook di un utente venivano condivise con operatori terzi quando l’utente accedeva al servizio di un altro operatore tramite il login di Facebook. Queste informazioni includevano dettagli sulla formazione accademica, sulla famiglia e sullo stato civile degli utenti.La sentenza costituisce un precedente significativo per la privacy dei dati in Corea del Sud e sottolinea l’importanza del consenso informato e del trattamento responsabile delle informazioni personali degli utenti. Evidenzia le conseguenze che le aziende possono subire quando questi standard non vengono rispettati e i dati degli utenti vengono gestiti in modo scorretto o condivisi a loro insaputa.Meta dovrà ora attenersi alla decisione del tribunale e potrebbe dover rivedere le sue pratiche di condivisione dei dati in Corea del Sud e altrove per evitare in futuro sfide legali simili.
I californiani sono più consapevoli della maggior parte dei problemi di privacy legati ai colossi tecnologici con sede nel loro territorio, come Apple, Google, Meta e TikTok. Tuttavia, in agguato nell’ombra c’è la dimenticata industria dell’intermediazione dei dati, che è diventata un business multimiliardario, alimentato principalmente dalla raccolta e dalla vendita dei dati personali.Quando nel 2018 la legislazione californiana è entrata a gamba tesa nella discussione sulla privacy approvando il California Consumer Privacy Act (CCPA), ha creato da subito un’onda che continua a crescere fino a oggi. Il coraggioso passo della California, unito alla continua inazione del Congresso, ha incoraggiato un numero sempre maggiore di Stati a sposare la causa per conto proprio, con diritti di privacy di base estesi a più di 100 milioni di americani attraverso leggi statali complete.Tuttavia, anche con il CCPA e le altre leggi statali sulla privacy, ci sono ancora punti oscuri che lasciano i consumatori poco protetti. Fortunatamente, la California ha fatto un altro grande passo avanti per affrontare questo problema approvando il Delete Act. La California è ora il primo Stato della nazione a consentire ai consumatori di richiedere la cancellazione definitiva delle proprie informazioni da parte degli intermediari di dati. Questa nuova legge, il Senate Bill 362, è fondamentale per mettere fine al losco settore degli intermediari di dati, che fino ad ora ha ampiamente evitato i controlli. I data broker fanno soldi raccogliendo e vendendo dettagli personali estremamente dettagliati sulle persone, spesso a nostra insaputa o senza il nostro consenso.Queste aziende conoscono quantità incredibili di informazioni su di noi, tra cui il nostro comportamento online (hai messo la Nutella nel carrello della spesa?), le nostre preferenze (sei un campeggiatore del fine settimana o uno che va in spiaggia?), il nostro reddito e i nostri indirizzi (passati e presenti) e, grazie al rilevamento diffuso sui dispositivi mobili, persino i nostri movimenti precisi durante la giornata.Queste informazioni vengono poi vendute e rivendute, spesso a enti come le società di social media o gli inserzionisti, ma potenzialmente anche a ex coniugi, forze dell’ordine o altri soggetti che potrebbero avere interesse a seguirvi. I broker di dati raccolgono queste informazioni acquistandole dalle aziende (o acquistando le aziende stesse), scartabellandole da fonti di informazione online o pubbliche, o addirittura deducendole attraverso tecniche di apprendimento automatico. Proprio così. Anche se a un broker di dati manca qualche informazione sul vostro conto, potrebbe semplicemente tirarla a indovinare, a volte con esiti decisamente imprecisi.Poiché i consumatori spesso non hanno contatti diretti con gli intermediari di dati, potrebbero non rendersi conto dell’esistenza di queste entità, né tantomeno di avere dossier dettagliati su di loro che includono innumerevoli dati.
English version
- AUSTRALIA, HUNDREDS OF MILLIONS OF IDENTITY CHECKS MAY HAVE BEEN CONDUCTED ILLEGALLY
- SOUTH KOREA, COURT CONFIRMS SANCTION AGAINST META FOR USER DATA VIOLATION
- CALIFORNIA, PRIVACY LAWS ARE STRENGTHENED
Hundreds of millions of identity checks under the federal government’s ID verification service may have been illegally conducted, with the Albanese government rushing through legislation to underpin the service.Identity verification services are used by government departments and businesses – such as credit card providers and power companies – to combat fraud and identity theft.Legislation to allow the identity verification service was abandoned by the former Morrison government in 2019 after the parliamentary joint committee on intelligence and security recommended it be redrafted over concerns there were insufficient privacy safeguards for the proposal.However, the service began operating and, four years on, the Albanese government has pushed through new legislation in the House of Representatives. It is now under review in the Senate.Part of the rush, according to witnesses at the Senate inquiry on Monday, was that verification services linking up the state and territory ID systems to businesses carrying out ID checks appeared to have been operating without a legislative framework. This would make them illegal.The Greens senator David Shoebridge asked the Digital Rights Watch chair, Lizzie O’Shea, if the speed at which the legislation was being pushed through parliament was to shield the government from unlawful practice of the service.“I think there’s a real question about the legality of the scheme, and the haste is about protecting the government from liability,” O’Shea said.In 2022 alone, the Document Verification Service was used more than 140m times by 2,700 public and private sector organisations. In the last financial year there were about 2.6m transactions of the Facial Verification Service by government agencies.he Human Rights Law Centre senior lawyers Kieran Pender and David Mejia-Canales said in a submission to the inquiry that there was no evident federal legislative basis for either system.“It is extraordinary that the Australian government is, it seems, presently using identity-verification services on a mass scale without a lawful basis. And it is all the more extraordinary that the Australian government would seek to rush through such important legislation, with minimal opportunity for parliamentary scrutiny, in these circumstances.”
Meta Platforms Ireland, formerly known as Facebook, has lost a legal battle to contest a fine imposed by the South Korean data protection watchdog for sharing users’ personal information without consent.In November 2020, the Personal Information Protection Commission (PIPC) imposed a fine of 7.8 billion won (approximately $5.78 million) on Meta after its investigation revealed that the personal information of over 3.3 million South Korean Facebook users out of 18 million had been shared with third-party operators without their knowledge. This unauthorized sharing had taken place between May 2012 and June 2018.In response to the PIPC’s fine, Meta filed a complaint, arguing that the data sharing had been conducted with users’ consent and that the company had not induced them to share their information.However, on Thursday (26 October), the Seoul Administrative Court ruled against Meta. The court held that Meta’s users had not been adequately informed about the related legal notices, and the company had unjustly profited from this practice.The PIPC’s investigation further found that the personal information of a user’s Facebook friends was shared with third-party operators when a user accessed another operator’s service through Facebook login. This information included details about the users’ academic background, family, and marital status.The watchdog also accused Meta of obstructing the investigation by submitting data belatedly and providing false documents.This ruling serves as a significant precedent for data privacy in South Korea, emphasizing the importance of informed consent and the responsible handling of users’ personal information. It highlights the consequences companies may face when such standards are not met and users’ data is mishandled or shared without their knowledge.Meta now faces the task of adhering to the court’s decision and may need to review its data-sharing practices in South Korea and beyond to avoid similar legal challenges in the future.
Californians are more aware than most when it comes to the privacy problems linked to tech giants headquartered in their backyard like Apple, Google, Meta and TikTok. However, lurking in the shadows is the overlooked data broker industry, which has become a multibillion-dollar business, primarily fueled by the collection and sale of your personal data.When the California Legislature cannonballed into the privacy conversation in 2018 by passing the California Consumer Privacy Act, or CCPA, it created a wave that continues to crest to this day. California’s bold leap, coupled with continued inaction by Congress, has encouraged more and more states to take up the cause on their own, with baseline privacy rights extended to more than 100 million Americans through comprehensive state laws.However, even with CCPA and other state privacy laws, there are still blind spots that leave consumers underprotected. Thankfully, California took another huge step toward addressing this problem by passing the Delete Act. California is now the first state in the nation to allow consumers to request universal deletion of their information from data brokers.This new law, Senate Bill 362, is crucial to reign in the shady data broker industry that until now has largely avoided scrutiny. Data brokers make money by collecting and selling extremely granular personal details about individuals, often without our knowledge or consent.These companies know incredible amounts of information about us, including our online behavior (did you put that Nutella in your shopping cart?), our preferences (are you a weekend camper or a beach bum?), our income and addresses (past and present), and — thanks to ubiquitous tracking on mobile devices — even our precise movements throughout the day.This information is then sold and resold, often to entities like social media companies or advertisers, but also potentially to ex-spouses, law enforcement or others who might have an interest in tracking you.Data brokers collect such information by purchasing it from companies (or purchasing the companies themselves), scraping it from online or public information sources, or even inferring it through machine learning techniques. That’s right. Even if a data broker is missing some piece of information about you, they might just guess it, sometimes to wildly inaccurate ends.Since consumers often have no direct contact with data brokers, they might not realize these entities exist, let alone that they have detailed dossiers about them that include countless data points.
