N. 146/2023
LE TRE NEWS DI OGGI:
- HRW AFFERMA, IN EUROPA C’E’ BISOGNO DI REGOLE PIU’ SEVERE SUL MARKETING
- USA, POLEMICA PER L’IMPERDONABILE STASI DI UN MEMBRO DELLA FTC NELLA RIAPERTURA DEL CASO CAMBRIDGE ANALYTICA
- PERCHE’ LA PROTEZIONE DELLA PRIVACY RIMANE UNA SFIDA IN INDIA
Il 21 giugno 2023 Human Rights Watch si è unita ad altre 26 organizzazioni per sollecitare i legislatori dell’Unione Europea a stabilire regole severe per la pubblicità politica, mantenendo una forte attenzione alla pubblicità a pagamento che però non interferisca con il diritto alla libera espressione, alla protezione dei dati o alla privacy. In particolare, chiedono ai legislatori dell’UE di: adottare una posizione del Parlamento UE che si allinei con le disposizioni del GDPR e del DSA, nonché con le linee guida 8/2020 dell’EDPB concernenti il targeting degli utenti dei social media. Come hanno chiarito le ricerche e le campagne del mondo accademico e della società civile citate dalla lettera, indirizzare alle persone messaggi basati su dati sensibili relativi al loro comportamento tracciato e alle caratteristiche percepite minaccia la privacy e la libertà di espressione. Può anche minare il diritto di formarsi liberamente un’opinione, con gravi ripercussioni negative sull’integrità delle elezioni; queste “tattiche” non dovrebbero trovare spazio nelle democrazie che rispettano i diritti umani. Ora, però, un “non-paper” dei servizi della Commissione europea, trapelato da Contexte e Politico, indica il forte desiderio di alcuni negoziatori di “ammorbidire” le norme sulla protezione dei dati, consentendo anche l’uso di categorie particolarmente sensibili di dati personali, come l’etnia, il credo religioso o le informazioni sul genere o l’orientamento sessuale nel targeting della pubblicità politica. Questa proposta è contraria a quanto auspicato dalla maggioranza dei cittadini. Come sottolineato dal Garante europeo della protezione dei dati, l’uso di categorie altamente sensibili di dati personali porterebbe probabilmente a violazioni della protezione dei dati ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e minerebbe la Carta dei Diritti Fondamentali dell’UE.
Alcuni tra i sostenitori delle politiche “tecnologiche progressiste” sono furiosi per la posizione esitante del commissario della FTC Alvaro Bedoya sull’idea dell’agenzia di riaprire il caso contro Meta per le violazioni della privacy derivanti dallo scandalo Cambridge Analytica. All’inizio di maggio infatti, la Federal Trade Commission ha accusato Meta di aver violato i termini di un accordo del 2020 che prevedeva modifiche alle sue pratiche commerciali e una multa record di 5 miliardi di dollari. I tre commissari della FTC, Bedoya, la presidente Lina Khan e Rebecca Kelly Slaughter, hanno votato per riaprire il caso, chiedendo, tra le altre cose, un divieto generalizzato sulla capacità dell’azienda di trarre profitto dai dati degli utenti di età inferiore ai 18 anni. Bedoya si è schierato con i suoi colleghi commissari democratici – al momento non ci sono repubblicani – in una dichiarazione separata, ma ha detto di avere dubbi procedurali sull’intenzione di limitare l’uso dei dati dei bambini da parte di Meta. Questo ha scatenato le ire dei sostenitori progressisti di Khan, secondo la corrispondenza che Bedoya ha pubblicato venerdì sul sito web della FTC. “Alvaro – La tua dichiarazione di oggi è in netto contrasto con le affermazioni che mi hai fatto sul sostegno a Lina nelle questioni di Facebook prima della tua conferma. Molto deludente”, ha scritto Dan Geldon, ex capo dello staff della senatrice Elizabeth Warren (D-Mass.) e consulente che si occupa di riforma antitrust progressista, in un messaggio a Bedoya il giorno dell’annuncio della FTC. Quando Bedoya non ha risposto, Geldon ha risposto con: “È indicativo che non rispondi nemmeno ai messaggi di testo ora che non hai bisogno di aiuto per essere confermato. Questo dice praticamente tutto” .Nel documento di venerdì Bedoya ha dichiarato: “Non ho mai fatto dichiarazioni su come avrei votato o agito in qualsiasi questione della Commissione”.
Il furto di dati sta assumendo proporzioni minacciose in India, così come la scarsa risposta ad esso, nonostante il fatto che un gruppo di nove membri della Corte Suprema abbia unanimemente dichiarato la privacy (dei dati) un diritto fondamentale, protetto come parte intrinseca del diritto alla vita e alla libertà personale, nella sentenza Puttaswamy del 2017. Nel 2017 il Segretariato della Lok Sabha ha persino diffuso una nota per ricordarlo ai membri. Eppure, a sei anni di distanza, l’India non ha una legge sulla privacy o sulla protezione dei dati.In risposta alla dichiarazione dell’ex CEO di Twitter Jack Dorsey, secondo cui l’India avrebbe minacciato di chiudere Twitter e di fare irruzione tra i dipendenti durante la protesta degli agricoltori nel 2020-21 per non aver tolto gli account critici nei confronti del governo, il 13 giugno 2023 il MoS del Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) Rajeev Chandrasekhar ha twittato che la privacy dei dati “non è un diritto fondamentale”.Due esempi di furto di dati erano stati resi noti un giorno prima, il 12 giugno 2023. Quel giorno, un bot di Telegram ha reso pubblico un gran numero di dati personali di indiani registrati presso CoWIN – il portale ufficiale con cui milioni di indiani si sono registrati per usufruire dei vaccini Covid-19. Tra questi, Aadhaar, dettagli del passaporto e numeri di telefono, persino i dati personali di RS Sharma, amministratore delegato dell’Autorità sanitaria nazionale, che nel gennaio 2022 aveva garantito che il CoWIN era “sicuro e protetto”. La sua assicurazione era arrivata dopo che “Raid Forums” aveva messo in vendita i dati personali (nome, età, sesso, indirizzo ecc.) del CoWIN. Nel 2022 si erano verificate diverse violazioni dei server del prestigioso ospedale AIIMS, con la compromissione di 30-40 milioni di pazienti. Ha dichiarato che l’agenzia nodale per la sicurezza informatica Indian Computer Emergency Response Team (CERT-In) ha esaminato la presunta violazione e “non sembra che l’applicazione CoWIN o il database siano stati violati direttamente”. Ha aggiunto che i dati resi pubblici provengono da “dati rubati in passato”. In risposta a un’interrogazione RTI del 2021, il ministero per la regolamentazione dei dati MeitY ha dichiarato di non sapere (“nessuna informazione”) chi ha sviluppato il CoWIN e chi ha speso i soldi per realizzarlo. È interessante notare che i vaccini Covid-19 non potevano essere acquistati senza registrarsi al CoWIN.
English version
- HRW AFFIRMS, EUROPE NEEDS STRONGER RULES ON MARKETING
- USA, CONTROVERSITY OVER FTC MEMBER’S INEXCUSABLE STANCE IN REOPENING CAMBRIDGE ANALYTICS CASE
- WHY PRIVACY PROTECTION REMAINS A CHALLENGE IN INDIA
Human Rights Watch joined 26 other organizations on June 21, 2023, in urging EU lawmakers both to establish strong rules for political advertising by retaining a clear focus on paid advertising that does not interfere with the right to free expression, data protection or privacy.We, the undersigned 27 civil society organisations, are writing to voice our deep concern regarding the worrying developments related to the Regulation on the Targeting and Transparency of Political Advertising. Specifically, we urge EU co-legislators to: Adopt the position of the European Parliament on Article 12 and accompanying recital 47 which aligns with and strengthens the provisions of General Data Protection Regulation (GDPR) and Digital Services Act (DSA) by also prohibiting the processing of observed or inferred personal data, in line with the European Data Protection Board Guidelines 8/2020 on the targeting of social media users. Ensure the scope of the Regulation remains narrowly focused on political advertising, i.e. excluding direct, unpaid communications between political parties or Civil Society Organisations (CSOs) on the one hand, and their members, former members and recent contacts on the other. So called organic speech by political candidates, parties, CSOs, and individuals should likewise remain out of scope. As academic and civil society research and campaigns have made clear, targeting people with messages based on sensitive data on their tracked behaviour and perceived traits threatens privacy, free expression, and freedom from discrimination. It can also undermine the right to freely form an opinion which can have a serious negative impact on election integrity; such tactics should have no place in human rights respecting democracies. Now, however, a “non-paper” from the European Commission Services, leaked by Contexte and Politico, indicates a strong desire among some negotiators to soften these data protection rules, including allowing the use of especially sensitive categories of personal data such as ethnicity, religious belief or information on gender or sexual orientation in the targeting of political advertising.This proposal goes against what the majority of people want. As underlined by the European Data Protection Supervisor, the use of highly sensitive categories of personal data would likely lead to data protection violations under the General Data Protection Regulation (GDPR) and undermine the EU Charter. It would also go against Article 26(3) of the Digital Services Act – a legally binding horizontal framework, which prohibits the use of sensitive categories of personal data in targeting. However, the document seems to suggest that the use of sensitive categories of personal data in political advertising should be permitted in order to enable new or less-resourced political candidates to increase their reach in a more cost-effective way than they would otherwise be able to.
A number of progressive tech policy advocates are furious with FTC Commissioner Alvaro Bedoya’s hesitant stance on the agency’s move to reopen its case against Meta for privacy violations stemming from the Cambridge Analytica scandal.In early May, the Federal Trade Commission accused Meta of violating the terms of a 2020 settlement that included changes to its business practices and a record $5 billion fine. The FTC’s three commissioners, Bedoya, Chair Lina Khan and Rebecca Kelly Slaughter, voted to reopen the matter in the agency’s in-house administrative court, seeking among other things, a blanket ban on the company’s ability to profit off the data of users under age 18.Bedoya sided with his fellow Democratic commissioners — there are currently no Republicans — in a separate statement, but he said he has procedural concerns about the intention to limit Meta’s use of kids’ data.That prompted vitriol from progressive backers of Khan, according to correspondence Bedoya posted to the FTC’s website on Friday.“Alvaro — Your statement today is insanely at odds with the representations you made to me about backing Lina on Facebook matters prior to your confirmation. Very very disappointing,” Dan Geldon, a former chief of staff to Sen. Elizabeth Warren (D-Mass.) and consultant working on progressive antitrust reform wrote in a text message to Bedoya on the day of the FTC’s announcement.When Bedoya didn’t respond, Geldon followed with: “Very telling that you don’t even respond to text messages now that you don’t need help getting confirmed. That pretty much says it all.”In Friday’s filing, which hasn’t been previously reported, Bedoya said, “I have never made representations regarding how I would vote or act in any Commission matter.”The angry nature of the messages highlights the hyper-partisan environment in which Khan is leading the FTC. The chair is under multiple congressional investigations by House Republicans including Judiciary Chair Jim Jordan (R-Ohio). On Friday, Bloomberg reported that Khan ignored the advice of ethics officials in refusing to recuse herself from a different case against Meta, further fueling partisan concerns.Geldon sent the same messages to Bedoya staffer Max Miller, who responded that as an adjudicator in the case Bedoya is prohibited from discussing it. That ban that extends to FTC staff prosecuting the case.
Data theft is rising to menacing proportions in India and so is the lacklustre response to it, despite the fact that a nine-member bench of the Supreme Court unanimously declared (data) privacy a fundamental right, protected as an intrinsic part of the right to life and personal liberty, in the Puttaswamy judgement of 2017. The Lok Sabha Secretariat even circulated a note in 2017 to remind the members about this.Yet, six years down the line, India doesn’t have a privacy or data protection law.In response to former Twitter CEO Jack Dorsey’s statement that India threatened to shut Twitter and raid employees during the farmers’ protest in 2020-21 for not taking down accounts critical of the government, the MoS for Ministry of Electronics and Information Technology (MeitY) Rajeev Chandrasekhar, tweeted on June 13, 2023 that data privacy “is not a fundamental right”.Two examples of data theft had a come to public attention a day earlier on June 12, 2023.On that day, a Telegram bot made public a large number of Indians’ personal data registered with CoWIN – the official portal with which millions of Indians registered to avail Covid-19 vaccines. These included Aadhaar, passport details and phone numbers, even the personal details of RS Sharma, CEO of the National Health Authority, who had vouched that the CoWIN was “safe and secure” in January 2022. His assurance had come after ‘Raid Forums’ put the personal data (name, age, gender, address etc.) from CoWIN on sale.On the very same day, the CBI arrested a man for stealing ₹1.83 crore from EPF accounts by allegedly altering Aadhaar card details of unsuspecting persons through online claims. There was a similar data breach of EPF accounts in August 2022 when a Ukraine-based cybersecurity researcher and journalist claimed that 288 million personal records, containing name, bank account numbers and nominee information were exposed online before being taken off. The year 2022 had seen multiple hackings of the prestigious AIIMS hospital’s servers too, compromising 30-40 million patients.On the day he tweeted that privacy was not a fundamental right, Chandrasekhar rejected there was any breach of CoWIN data. He said the nodal cyber security agency Indian Computer Emergency Response Team (CERT-In) had reviewed the alleged breach and “it does not appear that CoWIN app or database has been directly breached”. He added, the data made public was from the “data stolen in the past”.In response to an RTI query in 2021, the data regulating ministry MeitY said it didn’t know (“no information”) who developed the CoWIN and who spent the money on it. Interestingly, Covid-19 vaccines couldn’t be availed without registering with CoWIN. It did order investigations into the 2022 data breaches in EPF and AIIMS but hasn’t made them public.
