Privacy Daily

PRIVACYDAILY

aggiornato il

N. 124/2023

LE TRE NEWS DI OGGI:

  • USA FTC AFFERMA CHE EDMONDO (PROVIDER DI SERVIZI EDUCATIVI TECH) HA USATO ILLEGALMENTE I DATI DEI BAMBINI
  • MICROSOFT DOVREBBE SOSPENDRE LA COSTRUZIONE DEI DATA CENTER IN ARABIA SAUDITA
  • GERMANIA, IL BGH (CASSAZIONE TEDESCA) SI PRONUNCIA SUL DIRITTO ALL’OBLIO

La Federal Trade Commission ha ottenuto un ordine contro il fornitore di tecnologie per l’istruzione Edmodo per aver raccolto dati personali di bambini senza il consenso dei genitori e per averli utilizzati a fini pubblicitari, in violazione della Children’s Online Privacy Protection Act Rule (COPPA Rule), e per aver illegittimamente esternalizzato le proprie responsabilità di conformità alla COPPA alle scuole. In base all’ordine proposto, adottato dal Dipartimento di Giustizia (DOJ) per conto della FTC, a Edmodo, Inc. sarà vietato richiedere agli studenti di fornire più dati personali di quelli necessari per partecipare a un’attività didattica online. Si tratta di una prima volta per un ordine della FTC ed è in linea con una dichiarazione politica emessa dalla FTC nel maggio 2022 che metteva in guardia le aziende di tecnologia educativa dal costringere genitori e scuole a fornire dati personali sui bambini per partecipare all’istruzione online. Nel corso dell’indagine della FTC, Edmodo ha sospeso le attività negli Stati Uniti. L’ordine, se approvato dal tribunale, vincolerà l’azienda, anche nel caso in cui riprenda le attività negli Stati Uniti. “Questo ordine chiarisce che i fornitori di tecnologie didattiche non possono esternalizzare le responsabilità di conformità alle scuole o costringere gli studenti a scegliere tra la loro privacy e l’istruzione”, ha dichiarato Samuel Levine, direttore dell’Ufficio per la protezione dei consumatori della FTC. “Altri fornitori di tecnologie didattiche dovrebbero esaminare attentamente le loro pratiche per assicurarsi di non compromettere la privacy degli studenti”. In una denuncia, anch’essa presentata dal DOJ, la FTC afferma che Edmodo ha violato la COPPA Rule non fornendo informazioni sulle pratiche di raccolta dei dati dell’azienda a scuole e insegnanti e non ottenendo il consenso verificabile dei genitori. La COPPA prevede che i servizi online e i siti web rivolti ai minori di 13 anni informino i genitori sulle informazioni personali che raccolgono e ottengano il consenso verificabile dei genitori per la raccolta e l’utilizzo di tali informazioni. Fino a settembre 2022, Edmodo, con sede in California, ha offerto una piattaforma online e un’applicazione mobile con spazi di classe virtuali per ospitare discussioni, condividere materiali e altre risorse online per insegnanti e scuole negli Stati Uniti tramite un servizio gratuito e in abbonamento. L’azienda ha raccolto informazioni personali sugli studenti, tra cui il nome, l’indirizzo e-mail, la data di nascita e il numero di telefono, nonché identificatori persistenti, che ha utilizzato per fornire annunci pubblicitari.

Diciotto gruppi per i diritti umani hanno dichiarato che Microsoft dovrebbe sospendere i suoi piani di investimento in un nuovo centro dati cloud in Arabia Saudita fino a quando non sarà in grado di dimostrare come mitigherà le potenziali violazioni dei diritti umani. C’è un rischio enorme che le autorità saudite possano ottenere l’accesso ai dati memorizzati nel centro dati cloud di Microsoft, ponendo così minacce uniche e dirette ai diritti umani e alla privacy, hanno affermato i gruppi per i diritti umani. Il record abissale del governo saudita in materia di diritti umani, la storia di infiltrazione nelle piattaforme tecnologiche per spiare gli attivisti per i diritti umani, l’impiego di sofisticati software di sorveglianza informatica – tra cui spyware – contro i dissidenti, e le disposizioni vaghe e ampie delle sue leggi contro il crimine informatico e per la protezione dei dati mettono in serio dubbio la capacità di Microsoft di sostenere le proprie responsabilità in materia di diritti umani nel Paese. “Il fatto che il governo saudita violi impunemente i diritti alla privacy rappresenta un grave pericolo per i dati conservati all’interno dei suoi confini”, ha dichiarato Joey Shea, ricercatore sull’Arabia Saudita di Human Rights Watch. “Microsoft deve condurre un’accurata procedura di due diligence sui diritti umani e deve spiegare pubblicamente come mitigherà i potenziali impatti negativi sui diritti umani associati all’hosting del data center in Arabia Saudita”. Nel febbraio 2023 Microsoft ha annunciato l’intenzione di investire in un data center cloud in Arabia Saudita per offrire servizi cloud aziendali, nonostante la mancanza di tutele legali, la lunga lista di abusi dei diritti umani e i numerosi precedenti di spionaggio dei dissidenti attraverso l’accesso illegale ai dati personali. Human Rights Watch ha scritto a Microsoft nel febbraio 2023 evidenziando queste preoccupazioni. Microsoft ha risposto alle domande di Human Rights Watch, sottolineando l’impegno di Microsoft nei confronti dei Trusted Cloud Principles e il suo approccio per la gestione di data center in Paesi o regioni con problemi di diritti umani, ma ha affermato che le sue risposte dovevano rimanere ufficiose. Dall’ascesa al potere del principe ereditario Mohammad bin Salman nel 2017, le autorità saudite hanno scatenato un’ondata di arresti che hanno colpito difensori dei diritti umani, attivisti di spicco per i diritti delle donne, importanti uomini d’affari, alti membri della famiglia reale e funzionari governativi.

Quando le persone interessate hanno il diritto di chiedere a Google di rimuovere dalle sue liste di ricerca articoli discutibili che le riguardano? La Corte Suprema Federale (BGH) si sta occupando di questa questione. Il ricorso è stato presentato da una coppia del settore dei servizi finanziari che si è sentita screditata su Internet. I due vogliono che diversi articoli critici sul loro modello di investimento non compaiano più tra le hit list quando si cerca il loro nome su Google. Finora Google non ha rimosso i link agli articoli, sostenendo di non poter giudicare la veridicità delle accuse. Nel 2018 l’Oberlandesgericht di Colonia aveva stabilito che Google poteva continuare a mostrare la maggior parte dei testi oggetto del contendere. I ricorrenti non avevano dimostrato una violazione evidente nel modo richiesto. La Corte di giustizia europea (CGUE) ha stabilito nel dicembre 2022 che gli operatori dei motori di ricerca non sono obbligati a condurre delle vere e proprie indagini in questi casi. Di conseguenza, gli interessati devono dimostrare da soli che le informazioni sono false. Se ci riescono, Google deve rimuovere i link ai contenuti controversi.

English version

  • USA FTC STATES THAT EDMONDO (TECH EDUCATIONAL SERVICES PROVIDER) ILLEGALLY USED CHILDREN’S DATA
  • MICROSOFT SHOULD STOP CONSTRUCTION OF DATA CENTERS IN SAUDI ARABIA
  • GERMANY, BGH (GERMAN CASH) RULES ON RIGHT TO OBLIGATION

The Federal Trade Commission obtained an order against education technology provider Edmodo for collecting personal data from children without parental consent and using it for advertising purposes, in violation of the Children’s Online Privacy Protection Act Rule (COPPA Rule), and for unlawfully outsourcing its COPPA compliance responsibilities to schools. Under the proposed order, filed by the Justice Department on behalf of the FTC, Edmodo, Inc. will be prohibited from requiring students to provide more personal information than is necessary to participate in an online educational activity. This is a first for an FTC order and is in line with a policy statement issued by the FTC in May 2022 that warned educational technology companies against forcing parents and schools to provide personal data about children to participate in online education. In the course of the FTC investigation, Edmodo suspended operations in the United States. The order, if approved by the court, will bind the company, even if it resumes operations in the US. “This order makes clear that educational technology providers cannot outsource compliance responsibilities to schools or force students to choose between their privacy and education,” said Samuel Levine, director of the FTC’s Bureau of Consumer Protection. “Other educational technology providers should carefully examine their practices to ensure they are not compromising student privacy.” In a complaint, also filed by the DOJ, the FTC alleges that Edmodo violated the COPPA Rule by failing to provide information about the company’s data collection practices to schools and teachers and by failing to obtain verifiable parental consent. The COPPA Rule requires online services and websites targeting children under 13 to inform parents about the personal information they collect and obtain verifiable parental consent for the collection and use of that information. Until about September 2022, California-based Edmodo offered an online platform and mobile application with virtual classroom spaces to host discussions, share materials and other online resources for teachers and schools in the US through a free, subscription-based service. The company collected personal information about students, including name, email address, date of birth and phone number, as well as persistent identifiers, which it used to provide advertisements.

Eighteen human rights groups said Microsoft should suspend its plans to invest in a new cloud data centre in Saudi Arabia until it can demonstrate how it will mitigate potential human rights violations. There is a huge risk that Saudi authorities could gain access to data stored in Microsoft’s cloud data centre, posing unique and direct threats to human rights and privacy, human rights groups said. The Saudi government’s abysmal human rights record, history of infiltrating technology platforms to spy on human rights activists, the use of sophisticated cyber surveillance software – including spyware – against dissidents, and the vague and broad provisions of its cybercrime and data protection laws cast serious doubt on Microsoft’s ability to uphold its human rights responsibilities in the country. “The fact that the Saudi government violates privacy rights with impunity poses a grave danger to data stored within its borders,” said Joey Shea, Saudi Arabia researcher at Human Rights Watch. “Microsoft must conduct thorough human rights due diligence and publicly explain how it will mitigate the potential negative human rights impacts associated with hosting the data centre in Saudi Arabia.” In February 2023, Microsoft announced its intention to invest in a cloud data centre in Saudi Arabia to offer corporate cloud services, despite the lack of legal protections, the long list of human rights abuses, and the numerous history of spying on dissidents through illegal access to personal data. Human Rights Watch wrote to Microsoft in February 2023 highlighting these concerns. Microsoft responded to Human Rights Watch’s questions, emphasising Microsoft’s commitment to the Trusted Cloud Principles and its approach to operating data centres in countries or regions with human rights concerns, but said its answers should remain off the record. Since Crown Prince Mohammad bin Salman came to power in 2017, Saudi authorities have unleashed a wave of arrests targeting human rights defenders, prominent women’s rights activists, prominent businessmen, senior members of the royal family and government officials.

When do data subjects have a right to have Google remove questionable articles about them from its hit lists? The Federal Supreme Court (BGH) is now dealing with this question. The complaint was filed by a couple from the financial services industry who felt they had been discredited on the internet. They want several critical articles about their investment model to no longer appear as hits when people search for their names on Google. Google has so far not removed the links to the articles – on the grounds that it could not judge whether there was any truth in the accusations. The Cologne Higher Regional Court had ruled in 2018 that Google may continue to display most of the offending texts. The plaintiffs had not shown an obvious infringement in the required manner. The European Court of Justice (ECJ) had ruled in December 2022 that search engine operators are not obliged to conduct their own investigations in such cases. Accordingly, those affected must prove themselves that the information is false. If they succeed, Google must remove the links to the offending content.

Related posts:

  1. PRIVACY DAILY 6/2023
  2. PRIVACY DAILY 56/2023
  3. PRIVACY DAILY 92/2023
  4. PRIVACY DAILY 103/2023