Privacy Daily

PRIVACYDAILY

aggiornato il

N. 146/2023

LE TRE NEWS DI OGGI:

  • IRLANDA, L’HIGH COURT NON RITIENE INADEGUATA L’ISTRUTTORIA DPC NEL CASO GOOGLE RELATIVO AL REAL TIME BIDDING
  • SCRAPING DEI DATI, 12 PAESI INVITANO I GIGANTI DEI MEDIA A FARE DI PIU’
  • ARABIA SAUDITA, REPORT SULLA PROTEZIONE DEI DATI PERSONALI IN VISTA DELLA PIENA EFFICACIA DELLA NUOVA LEGGE

L’Alta Corte irlandese ha respinto l’accusa alla Data Protection Commission (DPC) di non aver indagato a fondo su un reclamo presentato cinque anni fa in relazione a una presunta violazione massiva dei dati da parte del colosso di Internet Google.Il reclamo sul trattamento dei dati personali da parte di Google era stato presentato dal dottor Johnny Ryan, senior fellow dell’Irish Council for Civil Liberties.In una sentenza scritta emessa lunedì mattina, il giudice Garrett Simons ha respinto il ricorso sostenendo che il DPC aveva il diritto di effettuare una propria indagine sulla presunta violazione dei dati, cosa che la commissione ha scelto di fare, prima di riprendere l’indagine sulla denuncia del dottor Ryan. Il reclamo del dott. Ryan, il cui ruolo presso l’ICCL comprende il rilievo delle criticità in materia di protezione dei dati, riguarda il funzionamento di un sistema, presumibilmente utilizzato da Google, chiamato “Real Time Bidding” o (RTB), che è alla base del targeting dei singoli soggetti interessati per la pubblicità online sulla base dei loro dati personali.Mentre il DPC ha aperto una propria indagine sulla presunta violazione, il dott. Ryan si è detto consapevole del fatto che le questioni da lui identificate non sono state prese in considerazione nell’ambito dell’indagine del DPC stesso.Il DPC, che è l’autorità di controllo dello Stato per quanto riguarda il GDPR (General Data Protection Regulation), ovvero i requisiti dell’UE in materia di privacy e protezione dei dati, e per quanto riguarda i responsabili del trattamento dei dati le cui sedi principali si trovano in Irlanda, si era opposto alla richiesta del dottor Rya. Il DPC ha negato tutte le affermazioni del dottor Ryan nei suoi confronti, compreso il fatto di aver ritardato l’esame delle questioni sollevate in quelle che, a suo dire, erano state presentate dal ricorrente nel 2018.Il DPC, rappresentato da Joe Jeffers SC, ha dichiarato di aver aperto di propria iniziativa un’indagine nel 2019, che a suo dire è in corso.Il DPC ha affermato che completerà la propria indagine prima di riprendere la denuncia del dottor Ryan.La Commissione ha affermato che il suo approccio avrebbe portato a una gestione più rapida ed efficace del reclamo.La Commissione ha inoltre affermato che il procedimento è stato avviato al di fuori del periodo di tempo legale consentito per presentare una revisione giudiziaria e che le argomentazioni sollevate nel procedimento sono premature.

Un gruppo di 12 Paesi ha diffuso una dichiarazione congiunta in cui si mette in guardia dalla crescente raccolta illegale di dati personali da parte di piattaforme di social media e altri siti online, che sono tenuti a proteggere le informazioni dei propri utenti. I 12 Paesi interessati sono Australia, Canada, Regno Unito, Hong Kong e Svizzera, le cui rispettive agenzie di protezione dei dati sono state citate nella dichiarazione. Secondo queste organizzazioni, il data scraping, un metodo di raccolta di dati mediante uno strumento automatico, è sempre più utilizzato per raccogliere grandi quantità di informazioni personali su Internet. Secondo l’Office of the Australian Information Commissioner (OAIC), negli ultimi anni sono aumentate le segnalazioni di raccolta massiccia di dati da applicazioni di social media e altri siti web che ospitano informazioni personali disponibili al pubblico. Ad esempio, ha citato un caso del 2020 che ha coinvolto il sito web statunitense di riconoscimento facciale Clearview AI.C’è stato anche il caso del social network professionale LinkedIn, che due anni fa ha subito una grave perdita di dati che ha interessato 500 milioni di utenti. Anche una start-up di Station F è stata condannata in Francia poco meno di due anni fa per scraping non autorizzato, ma sulla base di un accesso fraudolento a una directory interna di un’importante business school parigina.Gli operatori dei social network o dei siti che ospitano dati personali accessibili al pubblico sono obbligati, in particolare ai sensi del Regolamento generale sulla protezione dei dati, a “proteggere le informazioni personali sulle loro piattaforme contro lo scraping illegale dei dati”, si legge nel comunicato stampa. I 12 Paesi hanno dichiarato che intendono raccogliere riscontri “nelle prossime settimane” dagli operatori dei social media su come rispettano o intendono rispettare le “aspettative e i principi” enunciati nella dichiarazione congiunta, che è stata inviata a YouTube (Alphabet), TikTok (ByteDance), alle piattaforme di proprietà di Meta (Facebook e Threads), Weibo (Sina), X (precedentemente noto come Twitter) e LinkedIn (Microsoft). La dichiarazione definisce le pratiche per proteggere i dati personali dallo scraping e mitigarne l’impatto sulla privacy. Ad esempio, limitare il numero di visite all’ora o al giorno da un singolo account ai profili di altri account o designare un team specifico responsabile dell’individuazione dello scraping sono tutte buone pratiche.Alla luce dei rischi posti dallo scraping, “i controlli devono essere regolarmente testati e aggiornati per garantire che rimangano efficaci e al passo con gli sviluppi tecnologici”, ha aggiunto il gruppo di dodici Paesi. Hanno inoltre invitato i gestori dei siti interessati a raccogliere e analizzare i dati relativi agli incidenti di scraping per individuare le modalità di miglioramento della sicurezza.

Un nuovo documento di KPMG, fornisce alle imprese dell’Arabia Saudita raccomandazioni puntuali su ciò che possono aspettarsi dall’attuazione della nuova legge sulla protezione dei dati personali (PDPL) in Arabia Saudita.  La nuova legge, molto attesa, è stata pubblicata sulla Gazzetta Ufficiale il 24 settembre 2021. A seguito di un recente annuncio, la PDPL sarà formalmente attiva a partire dal 14 settembre 2023, segnando una tappa significativa nell’impegno del Regno per la privacy.La Saudi Data & Artificial Intelligence Authority (SDAIA), l’autorità di regolamentazione che presiede la PDPL, ha concesso alle imprese un periodo di tolleranza di un anno a partire dalla data di entrata in vigore della legge. Questo periodo di tolleranza, che si estende fino al 14 settembre 2024, offre alle organizzazioni una finestra di opportunità essenziale per conformarsi pienamente alle disposizioni della nuova legge.”Stabilire fin dall’inizio un solido programma di implementazione della PDPL e di gestione continua della conformità è una mossa strategica essenziale per garantire il successo e la sostenibilità a lungo termine nell’odierno panorama aziendale basato sui dati”, afferma Ton Diemont, responsabile di Cybersecurity & Data Privacy di KPMG in Arabia Saudita.KPMG fa un paragone con l’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) nell’Unione Europea, una legge che presenta analogie in termini di sintassi, concetti, principi e struttura. Il GDPR è una delle leggi sulla protezione dei dati più complete al mondo e ha influenzato molte leggi sulla protezione dei dati in paesi e giurisdizioni lontane, diventando un esempio per le leggi sulla privacy e sulla protezione dei dati in tutto il mondo.Le autorità dell’UE preposte alla protezione dei dati possono imporre multe fino a 20 milioni di euro o al 4% del fatturato mondiale, a seconda di quale sia il valore più alto, ma le multe sono strutturate ed emesse in base al fatturato internazionale di un’azienda.Il documento afferma che, dopo il lancio del GDPR, sono emerse diverse sfide ricorrenti, tra cui la trasformazione culturale, le difficoltà tecniche, la risposta tempestiva alle richieste degli utenti, la formazione alla conformità a più livelli e la revisione della pianificazione del budget.”A prescindere dalle differenze di atteggiamento tra l’UE e l’Arabia Saudita nei confronti dei dati personali, è molto probabile che i consumatori del Regno diventino più attenti alla privacy”, ha aggiunto Diemont.Sebbene l’attenzione iniziale sia rivolta alle imprese locali che diventano conformi alla PDPL, alla fine sarà richiesto alle organizzazioni situate al di fuori del Regno che trattano i dati personali degli elettori sauditi di conformarsi alla PDPL.”Attualmente, questo obbligo è stato rinviato per un periodo massimo di cinque anni dall’introduzione della legge”, ha osservato Ahmed Shokr, coautore e Data Privacy Lead di KPMG in Arabia Saudita. “Pertanto, le aziende farebbero bene a prepararsi per tempo a questa eventualità per garantire la continuità aziendale”.”È probabile che il PDPL si evolva nel tempo, con ulteriori emendamenti, revisioni e modifiche previste dopo l’introduzione della legge. Di conseguenza, i responsabili del trattamento dei dati e i gestori dei piani devono essere attenti a ulteriori cambiamenti, modifiche e aggiornamenti per garantire la piena conformità alla PDPL”, ha concluso Diemont.

English version

  • IRELAND, HIGH COURT FINDS DPC INVESTIGATION IN GOOGLE REAL TIME BIDDING CASE INADEQUATE
  • DATA SCRAPING, 12 COUNTRIES CALL ON MEDIA GIANTS TO DO MORE
  • SAUDI ARABIA, REPORT ON PERSONAL DATA PROTECTION IN VIEW OF THE NEW LAW TAKING FULL EFFECT

The High Court has dismissed a claim that the Data Protection Commission failed to fully investigate a complaint made to it five years ago about an alleged massive data breach by the internet giant Google.The complaint about Google’s processing of personal data was made by Dr Johnny Ryan, who is a senior fellow of the Irish Council for Civil Liberties.In a written judgment delivered on Monday morning Mr Justice Garrett Simons dismissed the action on the grounds that the DPC was entitled to conduct its own inquiry into the alleged data breach, which the commission has opted to do, before resuming its investigation into Dr Ryan’s complaint. The complaint by Dr Ryan, whose role with the ICCL includes raising concerns about data protection, concerns the operation of a system, allegedly used by Google, called ‘Real Time Bidding’ or (RTB) which underlies the targeting of individual data subjects for online advertising based on their personal data.He claimed that there was a failure to investigate the matter, he claims, breaches the requirements of both the 2018 Data Protection Act and GDPR.While the DPC had opened its own volition inquiry into the alleged breach, Dr Ryan was concerned that issues identified by him were not being considered as part of the DPC’s own probe.The DPC, which is the state’s supervisory authority in respect of GDPR (General Data Protection Regulation), which is the EU’s privacy and data protection requirements and in respect of data controllers whose main establishments are in Ireland, had opposed Dr Ryan’s application.It denied all of Dr Ryan’s claims against it, including that it has delayed in investigating issues raised in what it said were submissions from the plaintiff in 2018.The DPC, represented by Joe Jeffers SC, said that it opened an inquiry on its own volition in 2019, which it says is ongoing.The DPC said it will complete its own inquiry before resuming Dr Ryan’s complaint.The Commission said that its approach would ultimately result in a faster, and more effective handling of the complaint.It also argued that the proceedings have been brought outside of the legal time frame allowed to bring a judicial review, and that arguments raised in the proceedings are premature.

A group of 12 countries has issued a joint statement warning against the massive illegal collection of personal data from social media platforms and other online sites, which are required to protect their users’ information. The 12 countries concerned are Australia, Canada, the United Kingdom, Hong Kong and Switzerland, whose respective data protection agencies were cited in the statement.According to these organisations, data scraping, a method of retrieving data using an automated tool, is increasingly being used to collect large quantities of personal information on the Internet. According to the Office of the Australian Information Commissioner (OAIC), in recent years there has been an increase in reports of mass data recovery from social media applications and other websites hosting publicly available personal information. For example, he cited a case from 2020 involving the US facial recognition website Clearview AI.There was also the case of the professional social network LinkedIn, which suffered a serious data leak two years ago affecting 500 million users. A start-up from Station F was also convicted in France just under two years ago for unauthorised scraping, but on the basis of fraudulent access to an internal directory of a leading Parisian business school.The operators of social networks or sites hosting publicly accessible personal data are obliged, under the General Data Protection Regulation in particular, to “protect personal information on their platforms against illegal data scraping”, the press release states. The 12 countries have indicated that they intend to gather feedback “over the coming weeks” from social media operators on how they comply or plan to comply with the “expectations and principles” set out in the joint statement, which has been sent to YouTube (Alphabet), TikTok (ByteDance), platforms owned by Meta (Facebook and Threads), Weibo (Sina), X (formerly known as Twitter) and LinkedIn (Microsoft). The statement sets out practices for protecting personal data against scraping and mitigating its impact on privacy. For example, limiting the number of visits per hour or per day from a single account to other account profiles, or designating a specific team responsible for detecting scraping are all good practices.In view of the risks posed by scraping, “controls must be regularly tested and updated to ensure that they remain effective and keep pace with technological developments”, added the twelve-country group. They also called on the operators of the sites concerned to collect and analyse data relating to scraping incidents in order to identify ways of improving their security.

A new paper by KPMG, provides timely recommendations to businesses in Saudi Arabia about what they can expect from the implementation of the new Personal Data Protection Law (PDPL) in Saudi Arabia, and help them avoid potential pitfalls, penalties and reputational damage.The much-anticipated new law was published in the Official Gazette on 24 September 2021. Following a recent announcement, PDPL will be formally active from 14 September 2023, marking a significant milestone in the Kingdom’s commitment to privacy.The Saudi Data & Artificial Intelligence Authority (SDAIA), the presiding regulatory authority of PDPL, has granted businesses a one-year grace period starting from the law’s enforcement date. This grace period, extending until 14 September 2024, offers a vital window of opportunity for organizations to fully comply with the provisions of the new law.“Establishing a strong PDPL deployment and continuous compliance management program from the outset is an essential strategic move to ensure long-term success and sustainability in today’s data-driven business landscape,” says Ton Diemont, Head of Cybersecurity & Data Privacy at KPMG in Saudi Arabia.KPMG makes a comparison with the introduction of the General Data Protection Regulation (GDPR) in the European Union, a law bearing similarities across syntax, concepts, principles, and framework. GDPR is one of the world’s most comprehensive data protection laws to date and has influenced many data protection laws in countries and jurisdictions far and wide, making it an exemplar for data privacy and protection laws worldwide.While the EU’s data protection authorities can impose fines of up to €20 million, or 4 percent of worldwide turnover, whichever is higher, fines are structured and issued based on a company’s international revenue.The paper states that, following the launch of the GDPR several persistent challenges emerged, including cultural transformation, technical difficulties, responding to user requests in a timely manner and multi-level compliance training and revised budget planning.“Regardless of attitudinal differences between the EU and Saudi Arabia towards personal data, there is a strong possibility that consumers from the Kingdom will become more privacy-conscious,” added Diemont.While the initial focus will be on local businesses becoming PDPL-compliant, there will eventually be a requirement for organizations located outside the Kingdom that process the personal data of Saudi constituents to comply with the PDPL.“Currently, this requirement has been deferred for a period of up to five years from the law’s introduction,” noted Ahmed Shokr, co-author and Data Privacy Lead at KPMG in Saudi Arabia. “Therefore, companies would be well advised to prepare for this eventuality in good time for business continuity.””The PDPL is likely to evolve over time, with additional amendments, reviews and modifications anticipated following the introduction of the law. Consequently, data controllers and plan managers must be vigilant for further changes, amendments, and updates to ensure full PDPL compliance,” concluded Diemont.

Related posts:

  1. PRIVACY DAILY 108/2023
  2. PRIVACYDAILY
  3. PRIVACYDAILY
  4. PRIVACYDAILY