Privacy Daily

PRIVACYDAILY

aggiornato il

N. 136/2023

LE TRE NEWS DI OGGI:

  • UK, ICO METTE IN GUARDIA CONTRO IL “BRAIN MONITORING
  • BBC, BRITISH AIRWAYS E IL GOVERNO DELLA NUOVA SCOZIA SONO TRA LE VITTIME DI UN ENORME DATA BREACH MESSO A SEGNO DA UNA BANDA RUSSA
  • EU, VERSO UN ACCORDO SUI SEGRETI COMMERCIALI NEL DATA ACT

In futuro le aziende potrebbero utilizzare la tecnologia di monitoraggio cerebrale per sorvegliare o assumere i lavoratori, così afferma il Garante per i dati personali in UK. Ma esiste un rischio reale di discriminazione se la “neurotecnologia” non viene sviluppata e utilizzata in modo appropriato, afferma l’Information Commissioner’s Office. Futuri tecnologici: Neurotechnology è il primo rapporto dell’ICO sui “neurodati”, i dati provenienti dal cervello e dal sistema nervoso. Il monitoraggio del posto di lavoro è uno degli ipotetici usi futuri della neurotecnologia esplorati nel rapporto, che arriva mentre aziende come Neuralink di Elon Musk esplorano nuovi modi per permettere ai computer di connettersi al cervello umano. “Sulla base di tutti gli indicatori che stiamo osservando, stiamo assistendo a una crescita piuttosto rapida, sia negli investimenti che nei brevetti sviluppati in questo settore”, ha dichiarato Stephen Almond dell’ICO a BBC News. Secondo l’ICO, le neurotecnologie sono già utilizzate nel settore sanitario, dove vigono norme molto severe. Gli impianti elettronici nel cervello di Gert-Jan Oskam, rimasto paralizzato in un incidente ciclistico 12 anni fa, gli hanno permesso di camminare di nuovo. L’interesse commerciale per questa tecnologia sta crescendo. Neuralink ha ottenuto l’autorizzazione a sperimentare sull’uomo la sua interfaccia cervello-computer impiantabile e, secondo quanto riferito, ha un valore di 5 miliardi di dollari (4 miliardi di sterline), anche se è ancora lontana da un prodotto commerciale. Anche l’intelligenza artificiale sta aprendo nuove possibilità, con progetti di ricerca ora in grado di decifrare frasi e parole solo dalle scansioni cerebrali. Questo potrebbe aiutare i pazienti con la sindrome locked-in, che sono coscienti ma non possono muoversi o parlare. Ma il rapporto si concentra sulle tecnologie che potrebbero emergere in futuro, che utilizza come esempi ipotetici per esplorare le questioni sollevate dai neurodati. Tra quattro o cinque anni, suggerisce l’ICO, “con l’espansione della tracciabilità dei dipendenti, il luogo di lavoro potrebbe impiegare abitualmente le neurotecnologie per la sicurezza, la produttività e il reclutamento”. Caschi o dispositivi di sicurezza potrebbero misurare l’attenzione e la concentrazione di un dipendente in ambienti ad alto rischio. E i capi potrebbero usarle per valutare la reazione dei singoli allo stress sul posto di lavoro, ha detto Almond.

La BBC, la British Airways e il governo della Nuova Scozia sono tra le vittime del furto di dati perpetrato da una banda russa di cyber-estorsori ai danni di un programma di trasferimento di file, che potrebbe avere un impatto globale di vasta portata. “Avremo un’idea più precisa di quanto sia significativa quando emergeranno maggiori dettagli sul numero e sul tipo di organizzazioni colpite”. Il sindacato del ransomware Cl0p ha annunciato sul suo sito web oscuro martedì scorso che le sue vittime – che, a quanto pare, sono centinaia – avevano tempo fino al 14 giugno per negoziare un riscatto o rischiare di vedere scaricati online i dati sensibili rubati. Il programma sfruttato, MOVEit, è ampiamente utilizzato dalle aziende per condividere in modo sicuro i file. La società madre del produttore statunitense, Progress Software, ha avvisato i clienti della violazione il 31 maggio e ha rilasciato una patch. Ma i ricercatori di cybersicurezza affermano che decine, se non centinaia, di aziende potrebbero aver già subito l’esfiltrazione di dati sensibili in modo silenzioso. “Senza dubbio ci sono organizzazioni che non sanno ancora di essere state colpite”, ha dichiarato Caitlin Condon, senior manager della ricerca sulla sicurezza presso la società di cybersicurezza Rapid7. “Abbiamo visto un’ampia gamma di organizzazioni colpite da questo attacco nei settori della sanità, dei servizi finanziari, della tecnologia, dell’industria manifatturiera, delle assicurazioni, del governo e altri ancora”, ha dichiarato la Condon, aggiungendo che ci si aspetta che un numero maggiore di aziende riveli il furto di dati, in particolare “con l’entrata in vigore dei requisiti normativi di segnalazione”. Alla richiesta di confermare l’identità di alcune vittime segnalate, un portavoce di Cl0p ha risposto a una domanda via e-mail: “Non abbiamo ancora esaminato i file delle aziende, come si può vedere sul nostro sito, abbiamo dato la possibilità alle aziende di decidere la loro privacy prima delle nostre azioni”. Zellis, un fornitore leader di servizi di payroll nel Regno Unito che serve British Airways, la BBC e centinaia di altri, è stato tra gli utenti colpiti. Zellis ha dichiarato lunedì che un “piccolo numero” di clienti è stato colpito da quella che i professionisti della sicurezza informatica definiscono una violazione della catena di approvvigionamento.

L’approccio delle istituzioni europee alla spinosa questione dei segreti commerciali nel nuovo regolamento UE per la condivisione dei dati sta prendendo forma, secondo un documento visionato da EURACTIV. Il Data Act è una proposta legislativa di punta per regolare le modalità di accesso, condivisione e trasferimento dei dati in Europa. Il dossier è attualmente nella fase finale del processo legislativo, con la Commissione europea, il Consiglio e il Parlamento che stanno contrattando per raggiungere un accordo nei cosiddetti triloghi. La presidenza svedese del Consiglio dei ministri dell’UE ha distribuito giovedì (8 giugno) ai rappresentanti degli altri Paesi dell’UE un aggiornamento sui negoziati in corso. Il documento include alcuni punti che sono stati provvisoriamente concordati e le principali questioni in sospeso. Gli Stati membri saranno invitati a condividere il loro punto di vista in occasione di una riunione del Gruppo di lavoro sulle telecomunicazioni, un organo tecnico del Consiglio, il 19 giugno. Il 23 giugno, inoltre, il dossier arriverà sulla scrivania degli ambasciatori dell’UE, in vista del terzo trilogo che si terrà il 27 giugno. La legge sui dati introduce il principio secondo cui gli utenti che contribuiscono a generare dati, ad esempio se possiedono un frigorifero intelligente, devono avere il diritto di accedervi o di trasmetterli a terzi autorizzati. Tuttavia, un punto controverso di questi obblighi di accesso ai dati è stato quello di stabilire in quale misura e in quale forma l’organizzazione che controlla i dati, il titolare dei dati, possa impedire la divulgazione di informazioni commerciali sensibili che potrebbero mettere a rischio i suoi interessi commerciali. “Per quanto riguarda i segreti commerciali, c’è accordo sugli elementi principali ed è stata fatta una fusione delle posizioni delle due istituzioni”, si legge nel documento. Tuttavia, poiché il titolare del segreto commerciale potrebbe non essere la stessa organizzazione che controlla i dati, è stato introdotto il concetto di “titolare del segreto commerciale”. L’idea è che questa organizzazione identifichi i dati e i metadati coperti da segreto commerciale e chieda al destinatario di mettere in atto misure proporzionate necessarie a preservarne la riservatezza, come ad esempio termini contrattuali tipo, accordi riservati o protocolli di accesso rigorosi. Se non si raggiunge un accordo su tali misure di protezione o se queste non vengono attuate correttamente, i titolari dei dati possono decidere di sospendere la condivisione dei dati in questione e informare l’autorità competente. A loro volta, i destinatari dei dati potrebbero presentare un reclamo all’autorità competente o concordare di sottoporre la questione a un organo di risoluzione delle controversie. La posizione del Consiglio si spinge fino a dare al titolare dei dati il potere di rifiutare le richieste di accesso ogni volta che può dimostrare che è altamente probabile che possa subire un grave danno economico. Tuttavia, questo punto è considerato ancora aperto e richiede una discussione politica. In particolare, la presidenza svedese sta chiedendo ai Paesi dell’UE se potrebbero accettare di “limitare il diritto del titolare dei dati di rifiutare la condivisione dei dati in circostanze eccezionali solo ai casi legati alle difficoltà di applicazione nei Paesi terzi”.

English version

  • UK, ICO WARNS AGAINST ‘BRAIN MONITORING
  • BBC, BRITISH AIRWAYS AND THE GOVERNMENT OF NEW SCOTLAND ARE AMONG THE VICTIMS OF A HUGE DATA BREACH MEASURED BY A RUSSIAN BAND
  • EU, TOWARDS AN AGREEMENT ON TRADE SECRETS IN THE DATA ACT

Companies in the future may use brain-monitoring technology to watch or hire workers, the data watchdog says. But there is a real danger of discrimination if “neurotech” is not developed and used properly, the Information Commissioner’s Office says. Tech Futures: Neurotechnology is the first ICO report on “neurodata”, data from the brain and nervous system. Workplace monitoring is one of a number of hypothetical future uses of neurotech explored in the report.It comes as companies such as Elon Musk’s Neuralink explore new ways to let computers connect to human brains.”Based on all the indicators that we’re looking at, we’re seeing quite rapid growth, both in investments and in patents being developed in this area,” the ICO’s Stephen Almond told BBC News. Neurotech is already used in the healthcare sector, where there are strict regulations, the ICO says. Electronic implants in the brain of Gert-Jan Oskam, paralysed in a cycling accident 12 years ago, enabled him to walk again. And commercial interest in the technology is growing. Neuralink has won permission for human trials of its implantable brain-computer interface and is reportedly now worth $5bn (£4bn) though a long way from a commercial product.Artificial Intelligence is also opening up new possibilities, with research projects now able to decipher sentences and words just from brain scans. This might eventually help patients with locked-in syndrome, who are conscious but cannot move or speak. But the report focuses on technologies that might emerge in the future, which it uses as hypothetical examples to explore the issues raised by neurodata. In four to five years, the ICO suggests, “as employee tracking expands, the workplace may routinely deploy neurotechnology for safety, productivity and recruitment”. Helmets or safety equipment might measure the attention and focus of an employee in high risk environments. And bosses might use it to assess how individuals reacted to workplace stress, Mr Almond said.

The BBC, British Airways and Nova Scotia’s government are among the data-theft victims of a Russian cyber-extortion gang’s hack of a file-transfer program which could have widespread global impact.This is potentially one of the most significant breaches of recent years,” Brett Callow, an analyst at the cybersecurity firm Emsisoft, said.”We’ll have a better sense of how significant it is as more details emerge about the number and type of organisations impacted.”The Cl0p ransomware syndicate announced on its dark web site late Tuesday its victims — who it suggests number in the hundreds — had until June 14 to negotiate a ransom or risk having sensitive stolen data dumped online. The exploited program, MOVEit, is widely used by businesses to securely share files. The parent company of its US maker, Progress Software, alerted customers to the breach on May 31 and issued a patch. But cybersecurity researchers say scores if not hundreds of companies may by then have had sensitive data quietly exfiltrated.”There are undoubtedly organisations who don’t even know yet that they’re affected,” Caitlin Condon, senior manager of security research at the cybersecurity firm Rapid7, said. “We’ve seen a wide range of organisations affected by this attack across health care, financial services, technology, manufacturing, insurance, government, and more,” Ms Condon said, adding more businesses can be expected to disclose data theft, particularly “as regulatory reporting requirements come into play”. Asked to confirm the identity of several reported victims, a Cl0p spokesperson responding to an email query said: “We have not yet examined company files as you can see on our site, we have given the opportunity to companies to decide their privacy before our actions.”Zellis, a leading payroll services provider in the UK that serves British Airways, the BBC and hundreds of others, was among impacted users. Zellis said Monday a “small number” of its customers were affected by what cybersecurity professionals call a supply-chain breach.

EU institutions’ approach to the thorny issue of trade secrets in the new EU rulebook for data sharing is shaping up, according to a document seen by EURACTIV. The Data Act is a flagship legislative proposal to regulate how data is accessed, shared, and ported in Europe. The file is currently at the final stage of the legislative process, with the European Commission, Council and Parliament bargaining to nail down an agreement in the so-called trilogues. The Swedish presidency of the EU Council of Ministers circulated an update on the ongoing negotiations to the other EU country representatives on Thursday (8 June). The document includes some points that have been provisionally agreed upon and the main outstanding issues. The member states will be asked to share their view at a meeting of the Telecom Working Party, a technical body of the Council, on 19 June. The file will also land on the desk of the EU ambassadors on 23 June, ahead of the third trilogue that will be held on 27 June. The Data Act introduces the principle that the users who contribute to generating data, for instance, if they own a smart fridge, should have the right to access it or pass it on to authorised third parties. However, a contentious point on these data access obligations has been to what extent and in what form the organisation that controls the data, the data holder, can prevent the disclosure of sensitive commercial information that might jeopardise its business interests. “With regard to trade secrets, there is agreement on the main elements, and a merger of the positions of the two institutions has been made,” reads the document. However, as the trade secret holder might not be the same organisation controlling the data, the concept of ‘trade secret holder’ was introduced. The idea is that this organisation identifies the data and metadata covered by trade secrets and asks the receiver to put in place proportionate measures necessary to preserve their confidentiality, such as model contractual terms, confidential agreements, or strict access protocols. If there is no agreement on such protective measures or they are not properly implemented, the data holders can decide to suspend the sharing of the relevant data and inform the relevant authority. In turn, the data receivers could complain to the relevant authority or agree to bring the matter before a dispute settlement body. The Council’s position goes as far as giving the data holder the power to refuse access requests whenever they can demonstrate that it is highly likely that they might suffer serious economic damage. However, this point is marked as still open and requiring a political discussion. In particular, the Swedish presidency is asking EU countries whether they could accept “limiting the data holder’s right to withhold data sharing in exceptional circumstances only to cases related to the difficulties of enforcement in third countries”.

Related posts:

  1. PRIVACY DAILY 106/2023
  2. PRIVACY DAILY 107/2023
  3. PRIVACYDAILY
  4. PRIVACYDAILY