Privacy Daily

PRIVACYDAILY

aggiornato il

N. 132/2023

LE TRE NEWS DI OGGI:

  • USA, AMAZON PAGHERA’ 25 MILIONI DI DOLLARI PER LA VIOLAZIONE DELLA PRIVACY DEI MINORI
  • L’EDPS APRE UN’ISTRUTTORIA SU FRONTEX
  • HONG KONG, AUTORITA’ DELLA PRIVACY MINACCIA SANZIONI PER VIOLAZIONE DEI DATI CREDITIZI

Amazon ha accettato di pagare la Federal Trade Commission (FTC) statunitense dopo essere stata accusata di non aver cancellato le registrazioni di Alexa su richiesta dei genitori. Si è scoperto che ha conservato dati sensibili per anni. Anche Ring, pagherà dopo aver dato ai dipendenti accesso illimitato ai dati dei clienti. Ring pagherà 5,8 milioni di dollari alle autorità, secondo quanto dichiarato in una corte federale del Distretto di Columbia. Secondo la denuncia della FTC relativa ad Alexa, Amazon “ha assicurato in modo evidente e ripetuto ai suoi utenti, compresi i genitori, che potevano cancellare le registrazioni vocali raccolte” dal sistema. Ma l’azienda non lo ha fatto, conservando i dati per anni e utilizzandoli illegalmente per migliorare l’algoritmo di Alexa, si legge nella denuncia. In una dichiarazione, Samuel Levine, direttore del Bureau of Consumer Protection della FTC, ha accusato Amazon di aver “ingannato i genitori, conservato le registrazioni dei bambini a tempo indeterminato e ignorato le richieste di cancellazione dei genitori”. L’azienda ha “sacrificato la privacy per i profitti”, ha aggiunto.Allo stesso modo, la FTC ha affermato che Ring – che Amazon ha acquistato nel 2018 – ha permesso a “migliaia di dipendenti e collaboratori” di guardare le registrazioni degli spazi privati dei clienti. Secondo l’ente, potevano visualizzare e scaricare i dati video sensibili dei clienti per i propri scopi. Amazon ha dichiarato alla BBC che “Ring ha prontamente affrontato i problemi in questione anni fa, ben prima che la FTC iniziasse la sua indagine”. Ma secondo la denuncia, un dipendente ha visualizzato migliaia di registrazioni video appartenenti a utenti donne di telecamere Ring che “sorvegliavano spazi intimi delle loro case, come il bagno o la camera da letto”. Il dipendente è stato fermato solo quando le sue azioni sono state notate da un collega.”Il disprezzo di Ring per la privacy e la sicurezza ha esposto i consumatori a spionaggio e molestie”, ha dichiarato Levine. “L’ordine della FTC chiarisce che anteporre il profitto alla privacy non paga”.

Secondo un’autorità per la protezione dei dati, Frontex, con sede a Varsavia, sta probabilmente violando i diritti di chi scarica i dati delle testimonianze dei migranti con l’agenzia di polizia dell’UE Europol. Tali testimonianze sono raccolte dagli agenti di Frontex che cercano di capire come e in che misura i richiedenti asilo che attraversano un confine dell’UE ricevano aiuto dall’esterno. Sebbene Frontex cancelli i nomi, i dati personali identificabili vengono comunque condivisi con Europol per reprimere il contrabbando e altre attività criminali, ha dichiarato Wojciech Wiewiórowski, supervisore della protezione dei dati dell’UE (GEPD). Lo scambio di dati Frontex-Europol, noto come Pedra o “Trattamento dei dati personali per l’analisi dei rischi”, ha generato in passato polemiche per la possibile incriminazione di persone innocenti. In una sintesi di otto pagine di un rapporto di audit più ampio pubblicato mercoledì (31 maggio), Wiewiórowski ha dichiarato che l’EPDS avrebbe aperto un’indagine su Frontex. Ha rimproverato all’agenzia di “scambiare automaticamente i rapporti di interrogatorio con Europol senza valutare la stretta necessità di tale scambio”. Wiewiórowski afferma che ciò viola diverse norme dell’UE sulla protezione dei dati, nonché il regolamento di Frontex quando si tratta di scambiare dati personali con Europol. Il GEPD ha dato all’agenzia tempo fino alla fine dell’anno per risolvere i problemi. Risultati simili sono stati rivelati l’anno scorso da Balkan Insight, un’agenzia di stampa. L’agenzia aveva dichiarato che Frontex aveva messo in disparte il proprio responsabile della protezione dei dati, che aveva messo in guardia contro l’instabilità della missione Pedra. L’ultima indagine del GEPD sembra confermare questa valutazione. Alcune delle persone intervistate, spesso detenute o private della libertà, potrebbero sentirsi minacciate nel divulgare informazioni che vanno al di là di quanto richiesto da Europol. Il mese scorso, EUobserver ha rivelato che tra queste persone potrebbero esserci anche le ONG, ponendo ulteriori interrogativi sulla misura in cui le agenzie stanno forse contribuendo a criminalizzare il lavoro della società civile nel campo dell’asilo e della migrazione. In relazione a ciò, Wiewiórowski afferma che Frontex non è in grado di elaborare le richieste di chi vuole sapere quali dati personali l’agenzia ha raccolto su di lui.

Il Garante per la privacy di Hong Kong ha minacciato di intraprendere un’azione legale contro una società di gestione dati per non aver protetto le storie creditizie di circa 180.000 persone da accessi non autorizzati. Giovedì l’Ufficio del Commissario per la privacy dei dati personali ha dichiarato di aver ricevuto un reclamo nel dicembre 2021 da parte di un individuo che aveva scoperto che i suoi dati creditizi memorizzati in un database chiamato TE Credit Reference System erano stati consultati da otto società di prestito di denaro senza il suo consenso. Il Commissario Ada Chung Lai-ling ha dichiarato che l’operatore del database, Softmedia Technology Company, non ha adottato misure sufficienti per proteggere le informazioni memorizzate, il che potrebbe aver permesso agli utenti di circa 680 società di prestito di denaro di accedere ai dati di credito di circa 180.000 persone senza il loro consenso. “Sono dell’opinione che Softmedia abbia violato i requisiti dell’Ordinanza sui dati personali (privacy)”, ha dichiarato. “In particolare, Softmedia non ha adottato tutte le misure possibili per proteggere i dati personali del sistema di riferimento creditizio da accessi, elaborazioni o utilizzi non autorizzati o accidentali”. Chung ha detto che è stato inviato un avviso a Softmedia chiedendo di stabilire politiche e misure nei prossimi tre mesi per garantire che le società di prestito di denaro abbiano ricevuto l’autorizzazione dai mutuatari prima di accedere ai loro dati, oltre a rivedere e limitare il numero di accessi al database da parte di ciascun prestatore di denaro. “Qualsiasi violazione dell’avviso di esecuzione sarà considerata un atto criminale, il che significa che potremo prendere in considerazione l’avvio di un’azione penale a seconda della situazione”, ha dichiarato. La pena prevista per la prima condanna è di 50.000 dollari di Hong Kong (6.380 dollari) e due anni di reclusione. Il Post ha contattato Softmedia per un commento. L’azienda sostiene sul suo sito web che il TE Credit Reference System è il più grande database di questo tipo a Hong Kong. Ma Chung ha detto che il database non è uno dei fornitori di servizi nell’ambito del modello delle agenzie di riferimento creditizio multiple, il che significa che non è regolato dalle associazioni del settore o dalle leggi che coprono l’industria finanziaria.

English version

  • USA, AMAZON TO PAY $25 MILLION FOR VIOLATION OF CHILDREN’S PRIVACY
  • EDPS OPENS INQUIRY INTO FRONTEX
  • HONG KONG, PRIVACY AUTHORITY THREATENS PENALTIES FOR CREDIT DATA BREACH

Amazon agreed to pay the US Federal Trade Commission (FTC) after it was accused of failing to delete Alexa recordings at the request of parents. It was found to have kept hold of sensitive data for years. Amazon’s doorbell camera unit Ring will also pay out after giving employees unrestricted access to customers’ data. Ring will pay $5.8m to authorities, according to a filing in federal court in the District of Columbia. According to the FTC complaint regarding Alexa, Amazon “prominently and repeatedly assured its users, including parents, that they could delete voice recordings collected” by the system. But the company did not do this, keeping data for years and using it unlawfully to help improve its Alexa algorithm, the complaint said. In a statement, Samuel Levine, director of the FTC’s Bureau of Consumer Protection, accused Amazon of “misleading parents, keeping children’s recordings indefinitely, and flouting parents’ deletion requests”. The company “sacrificed privacy for profits”, he added. Similarly, the FTC said Ring – which Amazon bought in 2018 – allowed “thousands of employees and contractors” to watch recordings of customers’ private spaces. They were able to view and download customers’ sensitive video data for their own purposes, the body said. Amazon told the BBC in a statement that “Ring promptly addressed the issues at hand on its own years ago, well before the FTC began its inquiry”. But according to the complaint, one employee viewed thousands of video recordings belonging to female users of Ring cameras that “surveilled intimate spaces in their homes such as their bathrooms or bedrooms”. The employee was only stopped once their actions were spotted by a colleague, it said. “Ring’s disregard for privacy and security exposed consumers to spying and harassment,” Mr Levine said. “The FTC’s order makes clear that putting profit over privacy doesn’t pay.”

Warsaw-based Frontex is likely violating rights by data dumping migrant testimonies with the EU’s police agency Europol, according to a data protection authority. Such testimonies are collected by Frontex agents seeking to figure out how and to what extent asylum seekers crossing an EU border receive outside help. Although Frontex redacts names, identifiable personal data is still being shared with Europol to crack down on smuggling and other criminal activities, said Wojciech Wiewiórowski, the EU’s data protection supervisor (EDPS). The Frontex-Europol data exchange, known as Pedra or ‘Processing of Personal Data for Risk Analysis’, has in the past generated controversy for possibly incriminating innocent people. In an eight-page summary of a larger audit report published Wednesday (31 May), Wiewiórowski said the EPDS would now open an investigation into Frontex. It faulted the agency for “automatically exchanging the debriefing reports with Europol without assessing the strict necessity of such exchange.” Wiewiórowski says this breaches several EU data protection rules, as well as Frontex’s own rule book when it comes to exchanging personal data with Europol. The EDPS has given the agency until the end of the year to sort the problems. Similar findings were revealed last year by Balkan Insight, a media outlet. It said Frontex had sidelined its own data protection officer, who had warned of mission creep over Pedra. The latest EDPS investigation appears to back that assessment. Some of those people interviewed, often detained or deprived of liberty, may feel threatened into divulging information that goes beyond what is needed by Europol. Last month, EUobserver revealed that this may include NGOs, posing additional questions to what extent the agencies are possibly helping criminalise the work by civil society in the field of asylum and migration. Linked to that, Wiewiórowski says Frontex is unable to process requests by someone who wants to know what personal data the agency has collected on them

Hong Kong’s privacy watchdog has threatened to take legal action against a data management firm for failing to protect the credit histories of about 180,000 people from unauthorised access. The Office of the Privacy Commissioner for Personal Data on Thursday said it received a complaint in December 2021 from an individual who found his credit data stored in a database called TE Credit Reference System had been accessed by eight money-lending companies without his consent. Commissioner Ada Chung Lai-ling said the database’s operator, Softmedia Technology Company, had failed to take sufficient measures to protect the information it stored, which might have allowed users from about 680 money lending firms to access the credit data of roughly 180,000 people without their consent. “I’m of the opinion that Softmedia has contravened the relevant requirement of the Personal Data (Privacy) Ordinance,” she said. “In particular, Softmedia has failed to take all practicable steps to protect the personal data in the credit reference system against unauthorised or accidental access, processing or use.” Chung said a notice was sent to Softmedia demanding it establish policies and measures in the next three months to ensure money lending companies had received authorisation from borrowers before accessing their data, as well as reviewing and limiting the number of access to the database by each money lender. “Any violation of the enforcement notice will be deemed as a criminal act, which means we can consider initiating criminal prosecution according to the situation,” she said. The penalty upon the first conviction is a HK$50,000 fine (US$6,380) and two-year imprisonment. The Post has reached out to Softmedia for comment. The company claims on its website the TE Credit Reference System is the largest database of its kind in Hong Kong. But Chung said the database was not one of the service providers under the Multiple Credit Reference Agencies Model, meaning it was not regulated by the industry’s associations or laws covering the financial industry.

Related posts:

  1. PRIVACY DAILY 106/2023
  2. PRIVACY DAILY 107/2023
  3. PRIVACYDAILY
  4. PRIVACYDAILY