PRIVACY DAILY 59/2023

La “maggiore età digitale” per iscriversi ai social network si raggiunge a 15 anni. Questa la proposta di legge approvata quasi all’unanimità (82 voti contro 2) in prima lettura dall’Assemblea Nazionale della Repubblica francese. E così – se l’attuale testo diventerà definitivamente legge -, i social network saranno tenuti a verificare l’età dei loro utenti e il consenso dei genitori per la registrazione dei minori di 15 anni, con sanzioni in caso di inadempienza. La “maggiore età digitale” di 15 anni a cui fa riferimento il testo non è nuova: è stata introdotta in Francia nel 2018 in applicazione del GDPR, che lasciava la possibilità di fissarla tra i 13 e i 16 anni. Ma questa soglia – che riguarda più in generale l’età al di sotto della quale è necessario il consenso dei genitori per il trattamento dei dati personali di un minore – non è stata realmente applicata e non ha avuto alcun impatto in termini di accesso dei minori ai social network. Per rimediare, il testo votato dall’Assemblea Nazionale introduce l’obbligo per i social network di “implementare una soluzione tecnica per verificare l’età degli utenti finali e il consenso dei titolari dell’autorità parentale” per i minori di 15 anni, una “soluzione” che dovrà essere certificata dalle autorità. In caso di inadempienza, all’azienda potrà essere comminata una multa fino all’1% del suo fatturato mondiale. Sui social network, la prima registrazione “avviene in media a circa otto anni e mezzo di età, e sono presenti più della metà dei ragazzi tra i 10 e i 14 anni”, secondo i dati messi a disposizione dalla CNIL e citati dai deputati. Il testo dovrà ora essere esaminato dal Senato.

Al Consiglio dell’Unione Europea è stato trovato un accordo sulla raccolta e sulla condivisione dei dati per gli affitti di alloggi a breve termine. I ministri dei Paesi membri hanno concordato un orientamento generale sulla proposta di Regolamento presentata dalla Commissione Europea il 7 novembre 2022. Ad oggi, infatti, i dati delle piattaforme online che operano nel mercato degli short-term accomodation rental non sono standardizzati a causa della diversità di regole vigenti negli Stati membri. Il Consiglio sostiene, pertanto, la creazione di un quadro comune per la raccolta e la condivisione dei dati a livello europeo, includendo anche disposizioni che tengano maggiormente conto dei sistemi di registrazione già in vigore nei singoli Stati. L’affitto di appartamenti, case o stanze per brevi periodi di tempo è, infatti, diventato una forma comune di alloggio per turisti e viaggiatori. Le piattaforme online hanno incrementato l’uso di questi servizi, che attualmente rappresentano quasi un quarto del totale degli alloggi turistici nell’UE. Alcuni Stati membri hanno implementato diversi sistemi di registrazione che si differenziano per l’ambito di applicazione e per le informazioni che devono essere presentate dagli host o dalle piattaforme online. La proposta di Regolamento si propone, dunque, di produrre vantaggi per tutti gli operatori del segmento short-term accommodation rental: gli host potranno utilizzare una procedura di registrazione semplice, le piattaforme avranno un unico set di regole per le informazioni che devono fornire, i viaggiatori saranno più protetti dalle frodi e i dati trattati saranno più accurati e affidabili. Il tutto nel rispetto della disciplina europea in materia di protezione dei dati personali. L’approccio generale concordato fornisce alla Presidenza del Consiglio UE un mandato per avviare i negoziati con il Parlamento europeo una volta che quest’ultimo avrà definito la propria posizione.

La città cinese di Wuxi ha dichiarato di aver distrutto un miliardo di dati personali raccolti durante la pandemia. Questo centro manifatturiero di 7,5 milioni di abitanti sulla costa orientale della Cina, ha tenuto una cerimonia per smaltire i dati personali relativi al Covid, stando a quanto dichiarato dagli Uffici di pubblica sicurezza della città in un comunicato sui social media. Il miliardo di dati è stato raccolto per scopi che includono i test Covid, la tracciabilità dei contatti e la prevenzione dei casi importati – e si tratta solo del primo lotto di dati da smaltire, si legge sempre nel comunicato. La Cina raccoglie una grande quantità di dati sui suoi cittadini (dal DNA e altri campioni biologici al monitoraggio degli spostamenti attraverso una rete capillare di telecamere di sorveglianza). Ma dopo la pandemia, la sorveglianza dello Stato si è spinta più in profondità nella vita privata dei cittadini cinesi, portando a livelli di raccolta dati senza precedenti. Dopo lo smantellamento delle restrizioni zero-Covid, i residenti si sono preoccupati della sicurezza dell’enorme quantità di dati personali archiviati dalle amministrazioni locali, temendo potenziali data breach. Lo scorso luglio è stato rivelato che un enorme database online, apparentemente contenente le informazioni personali di un miliardo di cittadini cinesi, è stato lasciato non protetto e pubblicamente accessibile per più di un anno, fino a quando un utente anonimo di un forum di hacking si è offerto di vendere i dati e ha portato la questione all’attenzione di tutti. I funzionari di Wuxi hanno affermato di aver eliminato più di 40 applicazioni locali utilizzate per la “prevenzione delle epidemie digitali”. Durante la pandemia, applicazioni Covid come queste hanno dettato la vita sociale ed economica in tutta la Cina, controllando se le persone potevano lasciare le loro case, dove potevano viaggiare, quando le imprese potevano aprire e dove le merci potevano essere trasportate. Ma dopo l’improvvisa uscita del Paese da zero Covid a dicembre, la maggior parte di queste app è scomparsa dalla vita quotidiana. In ogni caso, resta il problema di poter verificare in modo indipendente la distruzione dei dati.

English version

The ‘digital age of majority’ for registering for social networks is reached at the age of 15. So according to the bill approved almost unanimously (82 votes to 2) at first reading by the National Assembly of the French Republic. Thus, social networks will be required to verify the age of their users and parental consent for the registration of children under 15, with penalties for non-compliance. The ‘digital age of majority’ of 15 referred to in the text is not new: it was introduced in France in 2018 in application of the GDPR, which left the option of setting it between 13 and 16. But this threshold – which relates more generally to the age below which parental consent is required to process a minor’s personal data – was not really applied and had no impact in terms of minors’ access to social networks. To remedy this, the text voted by the National Assembly introduces the obligation for social networks to ‘implement a technical solution to verify the age of the end users and the consent of the holders of parental authority’ for minors under the age of 15, a ‘solution’ that will have to be certified by the authorities. In case of non-compliance, the company may be fined up to 1% of its worldwide turnover. On social networks, the first registration ‘takes place on average at around eight and a half years of age, and more than half of the children between 10 and 14 years old are present’, according to data made available by the CNIL and quoted by MEPs. The text will now have to be examined by the Senate.

At the Council of the European Union, an agreement was reached on the collection and sharing of data for short-term housing rentals. The ministers of the member states agreed on a general approach to the proposal for a regulation presented by the European Commission on 7 November 2022. As of today, data from online platforms operating in the short-term accommodation rental market are not standardised due to different rules in the member states. The Council therefore supports the creation of a common framework for collecting and sharing data at European level, including provisions that take greater account of the registration systems already in place in individual states. Renting flats, houses or rooms for short periods of time has, in fact, become a common form of accommodation for tourists and travellers. Online platforms have increased the use of these services, which now account for almost a quarter of all tourist accommodation in the EU. Some Member States have implemented different registration systems that differ in scope and in the information that must be submitted by hosts or online platforms. The proposed Regulation therefore aims to produce advantages for all operators in the short-term accommodation rental segment: hosts will be able to use a simple registration procedure, platforms will have a single set of rules for the information they must provide, travellers will be better protected against fraud, and the data processed will be more accurate and reliable. All this will be done in compliance with European data protection regulations. The general approach agreed upon gives the EU Council Presidency a mandate to start negotiations with the European Parliament once the latter has defined its position.

The Chinese city of Wuxi claimed to have destroyed one billion personal data collected during the pandemic. This manufacturing centre of 7.5 million inhabitants on China’s east coast held a ceremony to dispose of Covid-related personal data, according to the city’s Public Security Bureau in a statement on social media. The one billion pieces of data were collected for purposes including Covid testing, contact tracing and prevention of imported cases – and this is only the first batch of data to be disposed of, the statement said. China collects a great deal of data on its citizens (from DNA and other biological samples to tracking movements through a widespread network of surveillance cameras). But since the pandemic, state surveillance has gone deeper into the private lives of Chinese citizens, leading to unprecedented levels of data collection. After the dismantling of zero-Covid restrictions, residents became concerned about the security of the huge amount of personal data stored by local governments, fearing potential data breaches. Last July, it was revealed that a huge online database, apparently containing the personal information of one billion Chinese citizens, was left unprotected and publicly accessible for more than a year, until an anonymous user of a hacking forum offered to sell the data and brought the issue to everyone’s attention. Wuxi officials claimed to have removed more than 40 local applications used for ‘digital epidemic prevention’. During the pandemic, Covid apps like these dictated social and economic life throughout China, controlling whether people could leave their homes, where they could travel, when businesses could open, and where goods could be transported. But after the country’s sudden exit from zero Covid in December, most of these apps disappeared from everyday life. In any case, the problem of being able to independently verify the destruction of data remains.

I timori di Martin Cooper, l’inventore del telefonino, “per gli effetti sui bambini”

Oggi 94enne, resta entusiasta della sua invenzione, che però ha spalancato anche ai più piccoli la porta a una quantità infinita di contenuti e servizi che non sono adatti a loro e dai quali andrebbero tenuti lontano. Per questo bisogna introdurre sistemi di verifica dell’età.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui.

PRIVACY DAILY 54/2023

Justin Trudeau contro il blocking test di Google. Il primo ministro canadese ha dichiarato che è stato un “terribile errore” da parte di Google bloccare i contenuti giornalistici come reazione nei confronti di una proposta di legge del Governo che obbligherebbe il gigante tecnologico a pagare per essi. Questa settimana Google ha dichiarato di aver testato il blocco dell’accesso alle notizie da parte di alcuni utenti canadesi come potenziale risposta all’Online News Act del governo Trudeau, ormai in via di approvazione. Trudeau, parlando con i giornalisti a Toronto, ha detto che il blocco delle notizie in Canada è un problema che lo “preoccupa”. “Mi sorprende davvero che Google abbia deciso di impedire ai canadesi l’accesso alle notizie piuttosto che pagare effettivamente i giornalisti per il lavoro che svolgono”, ha detto, aggiungendo che “penso che sia un errore terribile e so che i canadesi si aspettano che i giornalisti siano ben pagati per il lavoro che fanno”. L’Online News Act, introdotto l’anno scorso dal governo di Trudeau, ha creato delle regole per le piattaforme per negoziare accordi commerciali e pagare coloro che pubblicano le notizie. Anche Meta ha sollevato preoccupazioni riguardo alla legislazione e ha avvertito che potrebbe essere costretto a bloccare la condivisione di notizie sulla sua piattaforma. La legge è stata approvata dalla Camera dei Comuni canadese a dicembre ed è attualmente all’esame della Camera alta del Parlamento, che raramente blocca la legislazione approvata dalla Camera bassa, in quanto camera non elettiva. Le norme mirano ad aiutare l’industria canadese dell’informazione, che ha chiesto una regolamentazione delle aziende tecnologiche, citando le crescenti perdite finanziarie del settore e lamentando che le Big Tech guadagnano costantemente una maggiore quota di mercato degli introiti pubblicitari online.

Una nuova ricerca negli Stati Uniti mostra che alcune questioni relative alla tecnologia non hanno colore politico. Un nuovo rapporto del Ethics and Public Policy Center e l’Institute for Family Studies Center mostra una diffusa preoccupazione per i bambini online. E una serie di proposte politiche che mirano a ripristinare la capacità dei genitori di guidare i propri figli in quel “selvaggio west” che è il Web, hanno registrato alti livelli di sostegno tra i genitori, a prescindere dall’appartenenza politica. Un recente rapporto di Common Sense Media ha rilevato che l’età media della prima esposizione alla pornografia è ora di 12 anni e che tre quarti degli adolescenti hanno visto porno online entro i 17 anni. Ma i genitori hanno molto di cui preoccuparsi per i ragazzi, oltre all’esposizione precoce alla pornografia. Il cyberbullismo e la condivisione non consensuale di foto di nudo hanno afflitto le scuole superiori. Queste preoccupazioni stanno risuonando tra i politici. La legge attuale e decenni di precedenti della Corte Suprema offrono al Congresso un margine di manovra molto più ampio per proteggere i ragazzi online senza dover affrontare le complessità di questioni più ampie legate al free speech. Uno sforzo bipartisan per adottare misure modeste per proteggere i bambini online potrebbe dare i suoi frutti. La senatrice repubblicana Marsha Blackburn del Tennessee e il senatore democratico del Connecticut Richard Blumenthal hanno spinto i loro colleghi ad approvare il loro Kids Online Safety Act (KOSA), che aggiornerebbe il quadro di riferimento per il modo in cui le aziende tecnologiche servono i minori online.

La “cybercittà utopica” dello Zimbabwe potrebbe diventare una minaccia per la privacy. I gruppi per i diritti mettono, infatti, in discussione le ambizioni di sorveglianza del progetto multimilionario, soprattutto in un Paese in cui le forze di sicurezza sono state accusate di violenze e arresti arbitrari In una fertile distesa di campi e fattorie soprannominata Nuova Harare, lo Zimbabwe sta costruendo una “cybercittà” ad alta tecnologia, lontana dalle strade intasate dal traffico e dalle baraccopoli sovraffollate della vicina capitale del Paese. Il Presidente dello Zimbabwe Emmerson Mnangagwa, desideroso di evidenziare le notizie positive sulla travagliata economia del Paese, l’anno scorso ha lanciato la prima fase del progetto Zim Cyber City, del valore di 500 milioni di dollari, in collaborazione con la società Mulk International di Dubai. Il piano per Zim Cyber City prevede la costruzione di aree residenziali di alto livello, centri commerciali, uffici moderni e hub informatici. Tuttavia, anche se alcuni commentatori dubitano che il progetto si realizzerà, gli attivisti per i diritti digitali sono preoccupati per i piani che prevedono l’installazione di sistemi di sorveglianza al centro del progetto. Mulk International ha dichiarato che installerà “tecnologie di sorveglianza direttamente collegate alle autorità di polizia”, aggiungendo che le strutture garantiranno la sicurezza delle persone che vivono e lavorano lì. I gruppi per i diritti temono che i dati raccolti nella Zim Cyber City possano essere usati impropriamente dalle autorità di un Paese in cui le forze di sicurezza sono state accusate di violenze e arresti arbitrari nei confronti di manifestanti e attivisti dell’opposizione. Il Ministro dell’Informazione, della Pubblicità e dei Servizi di Radiodiffusione dello Zimbabwe, Monica Mutsvangwa, ha affermato che i sistemi di sicurezza della nuova città saranno utilizzati semplicemente per tenere al sicuro i residenti. “La privacy di nessuno sarà compromessa”, ha dichiarato senza fornire ulteriori dettagli sui piani. Per prevenire eventuali abusi gli attivisti hanno affermato che la Zim Cyber City dovrà essere sottoposta a severi controlli.

English version

Justin Trudeau against Google’s blocking test. The Canadian prime minister said it was a ‘terrible mistake’ for Google to block news content as a reaction to a government bill that would force the tech giant to pay for news content. This week, Google said it was testing blocking access to news by some Canadian users as a potential response to the Trudeau government’s Online News Act, which is now in the process of being passed. Trudeau, speaking to reporters in Toronto, said that news blocking in Canada is an issue that ‘worries’ him. “It really surprises me that Google has decided to prevent Canadians from accessing news rather than actually paying journalists for the work they do,” he said, adding that “I think it’s a terrible mistake and I know Canadians expect journalists to be well paid for the work they do.” The Online News Act, introduced last year by the Trudeau government, created rules for platforms to negotiate business deals and pay those who publish news. Meta has also raised concerns about the legislation and warned that it may be forced to block news sharing on its platform. The bill was passed by the Canadian House of Commons in December and is currently being considered by the upper house of Parliament, which rarely blocks legislation passed by the lower house, as it is a non-elective chamber. The regulations are intended to help the Canadian information industry, which has called for regulation of technology companies, citing growing financial losses as Big Tech steadily gain more market share of online advertising revenue.

New research in the US shows that some technology issues have no political colour. A new report by the Ethics and Public Policy Center and the Institute for Family Studies Centre shows widespread concern about children online. And a series of policy proposals aimed at restoring the ability of parents to guide their children in the ‘wild west’ that is the Web have registered high levels of support among parents, regardless of political affiliation. A recent report by Common Sense Media found that the average age of first exposure to pornography is now 12 and that three quarters of teenagers have seen online porn by the age of 17. But parents have a lot for teens to worry about besides early exposure to pornography. Cyberbullying and non-consensual sharing of nude photos have plagued high schools. These concerns are resonating with politicians. Current law and decades of Supreme Court precedent give Congress much more leeway to protect kids online without having to deal with the complexities of broader free speech issues. A bipartisan effort to adopt modest measures to protect children online could pay off. Republican Senator Marsha Blackburn of Tennessee and Democratic Senator Richard Blumenthal of Connecticut pushed their colleagues to pass their Kids Online Safety Act (KOSA), which would update the framework for how technology companies serve children online.

Zimbabwe’s ‘utopian cybercity’ could become a threat to privacy. Indeed, rights groups are questioning the surveillance ambitions of the multi-million dollar project, especially in a country where security forces have been accused of violence and arbitrary arrests In a fertile expanse of fields and farms dubbed New Harare, Zimbabwe is building a high-tech ‘cybercity’ away from the traffic-clogged streets and overcrowded slums of the country’s neighbouring capital. Zimbabwean President Emmerson Mnangagwa, keen to highlight positive news about the country’s troubled economy, last year launched the first phase of the $500 million Zim Cyber City project in partnership with Dubai-based Mulk International. The plan for Zim Cyber City involves the construction of high-end residential areas, shopping malls, modern offices and IT hubs. However, although some commentators doubt that the project will come to fruition, digital rights activists are concerned about plans to install surveillance systems at the heart of the project. Mulk International has stated that it will install ‘surveillance technology directly linked to law enforcement authorities’, adding that the facilities will ensure the safety of the people who live and work there. Rights groups fear that the data collected in Zim Cyber City could be misused by authorities in a country where security forces have been accused of violence and arbitrary arrests of protesters and opposition activists. Zimbabwe’s Minister of Information, Publicity and Broadcasting Services, Monica Mutsvangwa, said security systems in the new city would be used simply to keep residents safe. “No one’s privacy will be compromised,” she said without giving further details of the plans. To prevent any abuses, activists said Zim Cyber City will have to be subjected to strict controls.

PRIVACY DAILY 37/2023

La Francia introdurrà un sistema di certificazione dell’età per bloccare l’accesso dei minori ai siti web pornografici. Lo ha annunciato Jean-Noël Barrot, ministro con delega al digitale, in un’intervista esclusiva a Le Parisien. “Sarà la fine dell’accesso ai siti pornografici per i nostri bambini”, ha dichiarato il ministro: tutti i siti web per adulti “dovranno adeguarsi, altrimenti sarà vietata loro la trasmissione sul territorio nazionale”. I dettagli di questa misura saranno presentati in settimana, secondo il quotidiano parigino, e troveranno attuazione a partire da settembre. La certificazione dell’età deve avvenire attraverso un “attestato digitale”, i cui dettagli tecnici non sono ancora stati definiti, ma che avrà anche l’obiettivo di preservare l’anonimato dell’utente di Internet. Attualmente, i siti pornografici chiedono agli utenti di certificare la loro età inserendo la data di nascita o, più semplicemente, premendo una casella per dire “sono maggiorenne”.

Negli ultimi decenni, il settore dei servizi finanziari di prestito al consumo si è affidato in larga misura a “fonti di dati non autorizzate”. Una soluzione a questo problema potrebbe essere il confidential computing: una tecnologia che consente di elaborare i dati in un ambiente sicuro e isolato, definito trusted execution environment. Il confidential computing impedisce l’accesso non autorizzato e garantisce un elevato livello di esattezza dei dati e integrità degli algoritmi. Questa tecnologia consente, peraltro, di elaborare i dati degli interessati nel formato più riservato possibile Già ci sono diverse ricerche in corso, anche approfondite, in materia, non ultimo il progetto Rally di Mozilla. Il concetto a cui si vuole arrivare è quello di una monetizzazione reciprocamente vantaggiosa dei dati dei motori di ricerca e il tempo ci dirà quali saranno le modalità tecniche più corrette per rafforzare il controllo degli utenti sui propri dati. Il confidential computing potrebbe essere un modo sicuro ed etico di utilizzare i dati personali, traendone il valore e rispettando le norme sulla privacy.

I dati degli utenti molesti delle app di dating potrebbero non essere più “al sicuro”. L’eSafety Commissioner australiano (ente federale che si occupa della sicurezza online) ha infatti dichiarato che le app di incontri potrebbero presto essere obbligate a fornire informazioni su coloro che usano l’app per molestare altri utenti e le ha esortate a semplificare i propri meccanismi di reclamo per cattiva condotta. Una ricerca dell’eSafety Commission basata su un campione 4783 persone e pubblicata in occasione dell’annuale Safer Internet Day, ha mostrato come nel 2022 quasi un terzo degli australiani abbia ricevuto online contenuti inappropriati e indesiderati, come pornografia o materiale violento, che il 30% è stato chiamato con nomi offensivi e che il 25% ha subito trattamenti illeciti delle proprie informazioni personali, ad esempio la condivisione di foto senza consenso. Gli intervistati si sono detti preoccupati per la proliferazione di account falsi o impostori online, anche su app di incontri, siti di gioco e piattaforme di social media e, complessivamente, i tre quarti degli adulti australiani hanno riportato almeno un’esperienza negativa online nell’ultimo anno.

English version

France will introduce an age verification system to block minors’ access to pornographic websites. This was announced by Jean-Noël Barrot, minister in charge of digital, in an exclusive interview with Le Parisien. ‘It will be the end of access to pornographic websites for our children,’ said the minister: all adult websites ‘will have to adapt, otherwise they will be banned from broadcasting on national territory’. The details of this measure will be presented this week, according to the Paris newspaper, and will be implemented from September. Age verification is to take place through a ‘digital certificate’, the technical details of which have yet to be finalised, but which will also aim to preserve the anonymity of the Internet user. Currently, pornographic sites ask users to certify their age by entering their date of birth or, more simply, by pressing a box to say ‘I am of age’.

In recent decades, the consumer financial services sector has relied heavily on ‘unauthorised data sources’. One solution to this problem could be confidential computing: a technology that allows data to be processed in a secure and isolated environment, called a trusted execution environment. Confidential computing prevents unauthorised access and guarantees a high level of data accuracy and algorithm integrity. Moreover, this technology allows the data of those concerned to be processed in the most confidential format possible. Already, there is a lot of ongoing research, even extensive, on this subject, not least Mozilla’s Rally project. The concept one wants to arrive at is that of a mutually beneficial monetisation of search engine data, and time will tell what will be the most correct technical ways to strengthen users’ control over their own data. Confidential computing could be a safe and ethical way of using personal data, extracting value from it and respecting privacy rules.

The data of harassing users of dating apps may no longer be ‘safe’. In fact, Australia’s eSafety Commissioner (a federal body that deals with online safety) has stated that dating apps may soon be required to provide information about users who use the app to harass other users, and urged them to simplify their misconduct complaint mechanisms. Research by the eSafety Commission based on a sample of 4783 people and released on the annual Safer Internet Day, showed that in 2022 almost a third of Australians had received inappropriate and unwanted content online, such as pornography or violent material, that 30 per cent had been called offensive names, and that 25 per cent had experienced unlawful processing of their personal information, such as sharing photos without consent. Respondents were concerned about the proliferation of fake or imposter accounts online, including on dating apps, gaming sites and social media platforms, and overall, three-quarters of Australian adults reported at least one negative online experience in the past year.