PRIVACY DAILY 77/2023

Trump e Putin arrestati? Una serie di immagini generate da un’AI si è presa gioco di questi potenti personaggi. Le immagini altamente dettagliate e sensazionali hanno inondato Twitter e altre piattaforme negli ultimi giorni, accompagnando la notizia che Trump deve affrontare possibili accuse penali e che la Corte penale internazionale ha emesso un mandato di arresto per Putin. Ma nessuna ddi esse è reale. Le immagini – e le decine di varianti che disseminano i social media – sono state, infatti, prodotte utilizzando generatori sempre più sofisticati – e ampiamente accessibili – alimentati dall’intelligenza artificiale. Gli esperti avvertono che le immagini sono foriere di una nuova realtà: una marea di foto e video falsi che inonda i social media dopo i principali eventi di cronaca, confondendo ulteriormente fatti e finzioni in momenti cruciali per la società. Sebbene la capacità di manipolare le foto e creare immagini false non sia nuova, gli strumenti di generazione di immagini AI di Midjourney, DALL-E e altri sono più facili da usare. Possono generare rapidamente immagini realistiche – complete di sfondi dettagliati – con poco più di una semplice richiesta di testo da parte degli utenti. Alcune delle immagini più recenti sono state determinate dal rilascio, questo mese, di una nuova versione del modello di sintesi testo-immagine di Midjourney, in grado, tra l’altro, di produrre immagini convincenti che imitano lo stile delle foto delle agenzie di stampa. La pratica è peraltro osteggiata dalle piattaforme di social media. Twitter ha una politica che vieta “media sintetici, manipolati o fuori contesto” con il potenziale di ingannare o danneggiare. Le annotazioni di Community Notes, il progetto di fact checking di Twitter, sono state allegate ad alcuni tweet per includere il contesto in cui le immagini di Trump sono state generate dall’intelligenza artificiale. Meta ha rifiutato di commentare. Alcune delle immagini inventate di Trump sono state etichettate come “false” o “mancanti di contesto” attraverso il programma di fact-checking di terze parti.

La data retention è una questione di vecchia data in Europa. Da sempre i governi hanno cercato di dare alle forze dell’ordine la possibilità di conservare i dati  che potrebbero essere rilevanti per le indagini. Allo stesse tempo, i tribunali nazionali e dell’UE hanno ripetutamente condannato le pratiche sproporzionate di raccolta dei dati. La capacità delle forze di polizia di ottenere e conservare i dati delle comunicazioni elettroniche ha causato lo stallo del Regolamento ePrivacy, una proposta legislativa che un numero crescente di Paesi ritiene non vedrà mai la fine dell’iter legislativo. In questo contesto, i governi europei stanno discutendo l’istituzione di un gruppo di esperti per discutere la conservazione e l’accesso ai dati delle forze dell’ordine. Secondo alcuni documenti trapelati, la data retention avrà un ruolo fondamentale. “Il tema dei dati deve essere affrontato in modo globale e coerente e non deve limitarsi alle questioni di accesso, ma anche di conservazione e sfruttamento”, si legge nel commento della Francia. L’Estonia la mette giù più diretta, affermando che “la conservazione dei dati è alla base dell’intero argomento. In poche parole: se non ci sono dati conservati, non ha senso parlare di accesso ai dati”. Sia la Lituania che la Polonia hanno ribadito questo punto, chiedendo che il gruppo sia copresieduto dalla Commissione e dalla presidenza di turno del Consiglio dei ministri dell’UE. La Francia aggiunge che dovrebbe esserci un monitoraggio regolare da parte del Comitato permanente per la cooperazione operativa in materia di sicurezza interna (COSI), che assicura la cooperazione sulle questioni di sicurezza interna dell’UE, “in collaborazione con il settore della giustizia”. Inoltre, Varsavia vuole anche dei sottogruppi dedicati alla crittografia e alla localizzazione dei dati. In effetti, Parigi ritiene che entrambe le questioni svolgano un ruolo centrale nella lotta alle organizzazioni criminali e alle reti terroristiche. Oltre alla conservazione dei dati, l’altro aspetto più sottolineato dai Paesi dell’UE è la crittografia end-to-end.

La Cina tenta di domare gli algoritmi. L’autorità di regolamentazione del mercato cinese ha pubblicato un aggiornamento delle norme sulla pubblicità online, compresa la supervisione degli algoritmi di raccomandazione utilizzati da app come Douyin (versione cinese di TikTok) che vengono utilizzati per inviare pubblicità a individui mirati. Le misure modificate di gestione della pubblicità su Internet entreranno in vigore il 1° maggio di quest’anno e avranno un impatto su un mercato altamente competitivo e in evoluzione che vale oltre 70 miliardi di dollari. Se da un lato le norme aggiornate si concentrano ancora sulla limitazione degli annunci online a comparsa, dall’altro gettano le basi per il controllo da parte dello Stato dei potenti algoritmi push. Secondo l’aggiornamento, chiunque utilizzi algoritmi di raccomandazione nella pubblicità online “deve registrare le regole per gli algoritmi e i registri pubblicitari”. Gli algoritmi sono l’elemento chiave del successo delle app di social media. Tuttavia, il potenziale abuso del potere degli algoritmi quando si tratta di bambini e adolescenti è fonte di preoccupazione per le autorità cinesi ed è stato invocato anche dai legislatori statunitensi per limitare l’uso o vietare TikTok. Secondo il rapporto, l’anno scorso il fatturato totale del mercato pubblicitario online cinese è sceso del 6,4% a 508,8 miliardi di yuan (74 miliardi di dollari). Con l’intensificarsi della concorrenza, la pubblicità online in Cina è diventata sempre più invasiva e alcune delle nuove disposizioni contenute nella normativa sono dirette a ridurla. La normativa prevede che gli operatori e gli influencer del live-streaming “si assumano le responsabilità e gli obblighi previsti dalla legge” quando si tratta di pubblicità. Le regole impediscono, inoltre, di inserire annunci pubblicitari nei veicoli, nei dispositivi di navigazione e negli elettrodomestici intelligenti senza il consenso dell’utente. Inoltre, si stabilisce che gli editor di annunci “non devono allegare annunci aggiuntivi o link commerciali quando gli utenti inviano e-mail o messaggi istantanei”.

English version

Trump and Putin arrested? A series of AI-generated images mocked these powerful figures. The highly detailed and sensational images have flooded Twitter and other platforms in recent days, accompanying the news that Trump faces possible criminal charges and that the International Criminal Court has issued an arrest warrant for Putin. But none of them are real. The images – and the dozens of variants that litter social media – have, in fact, been produced using increasingly sophisticated – and widely accessible – generators powered by artificial intelligence. Experts warn that the images are harbingers of a new reality: a flood of fake photos and videos flooding social media after major news events, further confusing fact and fiction at crucial moments in society. Although the ability to manipulate photos and create fake images is not new, AI image generation tools from Midjourney, DALL-E and others are easier to use. They can quickly generate realistic images – complete with detailed backgrounds – with little more than a simple text request from users. Some of the most recent images were brought about by the release this month of a new version of Midjourney’s text-image synthesis model, which can, among other things, produce convincing images that mimic the style of news agency photos. The practice is, however, opposed by social media platforms. Twitter has a policy prohibiting ‘synthetic, manipulated or out-of-context media’ with the potential to mislead or harm. Notes from Community Notes, Twitter’s fact-checking project, were attached to some tweets to include the context in which Trump’s images were generated by artificial intelligence. Meta declined to comment. Some of Trump’s fabricated images have been labelled as ‘fake’ or ‘lacking context’ through the third-party fact-checking programme.

Data retention is a long-standing issue in Europe. Governments have always tried to give law enforcement agencies the possibility to retain data that might be relevant for investigations. At the same time, national and EU courts have repeatedly condemned disproportionate data collection practices. The ability of police forces to obtain and retain electronic communication data has caused the stalling of the ePrivacy Regulation, a legislative proposal that an increasing number of countries believe will never see the end of the legislative process. In this context, European governments are discussing the establishment of an expert group to discuss the retention of and access to law enforcement data. According to leaked documents, data retention will play a key role. “The issue of data must be addressed in a comprehensive and coherent manner and must not be limited to issues of access, but also of retention and exploitation,” reads the commentary from France. Estonia puts it more bluntly, stating that ‘data retention underpins the whole topic. Simply put: if there is no data preserved, there is no point in talking about access to data’. Both Lithuania and Poland reiterated this point, calling for the group to be co-chaired by the Commission and the rotating presidency of the EU Council of Ministers. France adds that there should be regular monitoring by the Standing Committee on Operational Cooperation on Internal Security (COSI), which ensures cooperation on EU internal security matters, ‘in cooperation with the justice sector’. In addition, Warsaw also wants subgroups dedicated to encryption and data localisation. Indeed, Paris considers both issues to play a central role in the fight against criminal organisations and terrorist networks. Besides data retention, the other issue most emphasised by EU countries is end-to-end encryption.

China attempts to tame algorithms. China’s market regulator has published an update to the rules on online advertising, including the supervision of recommendation algorithms used by apps such as Douyin (Chinese version of TikTok) that are used to send advertisements to targeted individuals. The revised Internet advertising management measures will take effect on 1 May this year and will impact a highly competitive and evolving market worth more than USD 70 billion. While the updated rules still focus on limiting online pop-up ads, they also lay the groundwork for state control of powerful push algorithms. According to the update, anyone using recommendation algorithms in online advertising ‘must register rules for algorithms and advertising registries’. Algorithms are key to the success of social media apps. However, the potential abuse of the algorithms’ power when it comes to children and teenagers is a source of concern for Chinese authorities and has also been invoked by US lawmakers to restrict their use or ban TikTok. According to the report, last year the total turnover of the Chinese online advertising market fell by 6.4% to 508.8 billion yuan ($74 billion). As competition has intensified, online advertising in China has become increasingly intrusive and some of the new regulations are aimed at reducing it. The regulations require live-streaming operators and influencers to ‘assume the responsibilities and obligations prescribed by law’ when it comes to advertising. The rules also prevent advertisements from being placed in vehicles, navigation devices and smart appliances without the user’s consent. Furthermore, it is stipulated that ad editors ‘must not attach additional ads or commercial links when users send e-mails or instant messages’.

PRIVACY DAILY 51/2023

All’indomani della discussione della causa Gonzalez vs. Google, un’altra udienza infuocata è iscritta al ruolo della Corte Suprema degli Stati Uniti. Dinanzi ai giudici sono, infatti, comparse le parti della controversia Twitter vs. Taamneh. Soltanto un giorno dopo aver discusso se Google e la sua controllata YouTube debbano essere ritenuti responsabili per il modo in cui il suo algoritmo ha organizzato i contenuti dell’ISIS, la Corte affronta ancora il tema della responsabilità delle piattaforme di social media. Il caso riguarda, di nuovo, la possibilità di citare in giudizio per favoreggiamento di uno specifico atto di terrorismo internazionale una piattaforma digitale. Stavolta, però, l’azione legale è stata promossa dalla famiglia di Nawras Alassaf (uccisa in un attacco dell’ISIS a Istanbul nel 2017). Ad ogni modo, il fulcro della battaglia legale resta la Sezione 230 del Titolo 47, Us. Code. I tribunali statunitensi hanno ripetutamente dichiarato che essa salvaguarda le piattaforme tecnologiche dalla responsabilità concernente i contenuti degli utenti, ma ultimamente è stata più volte messa sotto esame a causa delle crescenti critiche mosse nei confronti delle decisioni delle Big Tech. Sta di fatto che l’eco dell’udienza di martedì si farà sentire. Nella causa Gonzalez vs. Google, i giudici della Corte Suprema si sono mostrati molto preoccupati per le potenziali conseguenze indesiderate di consentire ai siti web di essere citati in giudizio per le raccomandazioni automatiche di contenuti degli utenti. Una delle maggiori preoccupazioni dei giudici sembra essere l’ondata di controversie che potrebbe verificarsi se la Corte si pronunciasse contro Google. “Le cause saranno senza sosta”, ha detto a un certo punto il giudice Brett Kavanaugh, seguito a breve dal giudice Elena Kaga: “State creando un mondo di azioni legali”. Occorrerà, in ogni caso, aspettare giugno per leggere entrambe le sentenze.

I britannici, tradizionalmente gelosi della loro privacy, sono alle prese con l’introduzione dell’identità digitale. A patrocinare la proposta due vecchi rivali: Sir Tony Blair (già Primo Ministro) e Lord William Hague (già Leader dell’Opposizione di Sua Maestà) hanno chiesto che tutti gli abitanti del Regno Unito ottengano carte d’identità digitali come parte di una “rivoluzione tecnologica”. Già quand’era al Governo, Blair aveva tentato di introdurre un sistema d’identità elettroniche, ma non aveva avuto vasto seguito. Adesso, insieme a Lord Hague, ha presentato un report in cui viene sostenuto che le carte d’identità digitali renderebbero più facile e sicuro l’accesso ai servizi. “In un mondo in cui tutto, dalla situazione vaccinale ai biglietti aerei e ai dati bancari, è disponibile sui nostri dispositivi personali, è illogico che lo stesso non valga per i nostri documenti pubblici individuali”, scrivono. Tuttavia, sono state sollevate preoccupazioni in merito alle libertà civili e a ciò che alcuni considerano un’inutile raccolta di dati e un’intrusione da parte dello Stato. Silkie Carlo, direttore del gruppo di campagna Big Brother Watch, ha affermato che il “sistema di identità digitale tentacolare” proposto dalla coppia “sarebbe uno dei più grandi assalti alla privacy mai visti nel Regno Unito”. Prosegue Carlo: “Sir Tony e Lord Hague hanno assolutamente ragione sulla necessità che il Regno Unito assuma la leadership nell’innovazione tecnologica, ma questo significa proteggere i diritti e la privacy delle persone, non riproporre le proposte fallite di un invadente sistema di identità digitale di massa e di uno Stato-base”. Il dibattito è acceso: molti ritengono che il Regno Unito abbia scelto un approccio troppo cauto all’adozione della tecnologia, mentre altri sostengono che questa sia l’unica opzione sensata.

Meta fa appello contro la sentenza che all’inizio di questo mese ha stabilito che può essere citata davanti alla giustizia del Kenya per rispondere delle violazioni. Già nel primo giudizio, la società aveva contestato la giurisdizione del tribunale keniota, in quanto Meta Platforms Inc e Meta Platforms Ireland Ltd non risiedono, non sono domiciliate e non operano nel Paese. Daniel Motaung, attore della causa, aveva invece sostenuto che Meta genera entrate dai kenioti attraverso la pubblicità, elabora informazioni e dati personali, paga la tassa sui servizi digitali al governo ed è quindi vincolata dal Data Protection Act del 2019. “Imporre la Costituzione e le leggi del Kenya a una società straniera costituirebbe una grave violazione della sovranità delle leggi del domicilio del richiedente e un’interferenza illegale con la giurisdizione territoriale esclusiva dei rispettivi Stati”, ha sostenuto Meta nel ricorso presentato dai suoi legali. Nella sentenza impugnata il giudice Gakeri ha rifiutato di respingere l’istanza del signor Motaung sulla base del fatto che egli non aveva notificato gli atti giudiziari a Meta nell’ambito della giurisdizione appropriata e ha, invece, fissato l’udienza di merito per il 14 marzo. Secondo i commentatori locali, la sentenza segnerebbe una svolta significativa nella definizione della responsabilità delle piattaforme tecnologiche multinazionali che operano nel Paese con poca o nessuna presenza fisica, pur avendo milioni di abbonati e incassando milioni di scellini di ricavi.

English version

In the aftermath of the discussion of the Gonzalez vs. Google case, another heated hearing is on the docket of the US Supreme Court. Before the justices appeared the parties to the Twitter vs. Taamneh dispute. Only one day after discussing whether Google and its subsidiary YouTube should be held liable for the way its algorithm organises ISIS content, the Court is still addressing the issue of social media platforms’ liability. The case concerns, again, whether a digital platform can be sued for aiding and abetting a specific act of international terrorism. This time, however, the lawsuit was brought by the family of Nawras Alassaf (killed in an ISIS attack in Istanbul in 2017). Regardless, the focus of the legal battle remains Section 230 of Title 47, Us. Code. US courts have repeatedly stated that it safeguards technology platforms from liability regarding user content, but it has come under scrutiny several times lately due to growing criticism of Big Tech’s decisions. The fact remains that the echo of Tuesday’s hearing will be heard. In Gonzalez v. Google, the Supreme Court justices were very concerned about the potential unintended consequences of allowing websites to be sued for automatically recommending user content. One of the judges’ biggest concerns seems to be the wave of lawsuits that could occur if the Court rules against Google. “The lawsuits will be non-stop,” Judge Brett Kavanaugh said at one point, followed shortly by Judge Elena Kaga: “You are creating a world of lawsuits. It will, in any case, have to wait until June to read both rulings.

The British, traditionally jealous of their privacy, are grappling with the introduction of digital identity. Two old rivals are sponsoring the proposal: Sir Tony Blair (former Prime Minister) and Lord William Hague (former Leader of Her Majesty’s Opposition) have called for all UK residents to obtain digital identity cards as part of a ‘technological revolution’. Already when he was in government, Blair had tried to introduce an electronic identity system, but it had not been widely followed up. Now, together with Lord Hague, he has presented a report arguing that digital identity cards would make it easier and safer to access services. “In a world where everything from vaccination status to airline tickets and bank details are available on our personal devices, it is illogical that the same does not apply to our individual public documents,” they write. However, concerns have been raised about civil liberties and what some see as unnecessary data collection and intrusion by the state. Silkie Carlo, director of the campaign group Big Brother Watch, said the couple’s proposed ‘sprawling digital identity system’ ‘would be one of the greatest assaults on privacy ever seen in the UK’. Carlo continued: ‘Sir Tony and Lord Hague are absolutely right about the need for the UK to take the lead in technological innovation, but that means protecting people’s rights and privacy, not re-proposing the failed proposals of a sprawling mass digital identity system and a nation-state. Many believe that the UK has chosen too cautious an approach to technology adoption, while others argue that this is the only sensible option.

Meta is appealing against the ruling earlier this month that it can be sued before the Kenyan courts to answer for the violations alleged by the plaintiffs. Already in the first case, the company had challenged the Kenyan court’s jurisdiction on the grounds that Meta Platforms Inc and Meta Platforms Ireland Ltd do not reside, are not domiciled and do not operate in the country. Daniel Motaung, plaintiff in the case, had instead argued that Meta generates revenue from Kenyans through advertising, processes personal information and data, pays digital services tax to the government and is therefore bound by the Data Protection Act of 2019. “To impose the Constitution and laws of Kenya on a foreign company would constitute a gross violation of the sovereignty of the laws of the applicant’s domicile and an unlawful interference with the exclusive territorial jurisdiction of the respective states,” Meta argued in the appeal filed by its lawyers. In the appealed judgement, Judge Gakeri refused to dismiss Mr. Motaung’s application on the grounds that he had not served the court documents on Meta within the appropriate jurisdiction, and instead set the hearing on the merits for 14 March. According to local commentators, the ruling would mark a significant breakthrough in defining the liability of multinational technology platforms that operate in the country with little or no physical presence, despite having millions of subscribers and collecting millions of shillings in revenue.

PRIVACY DAILY 50/2023

È il momento delle arringhe dinanzi alla Corte Suprema degli Stati Uniti: si è tenuta l’udienza di discussione orale della causa Gonzalez vs. Google. La Corte è chiamata a stabile se la società possa essere citato in giudizio per la promozione di video inneggianti al terrorismo sulla piattaforma YouTube operata automaticamente dagli algoritmi di raccomandazione. Secondo la parte attrice – la famiglia di Nohemi Gonzalez, uccisa nel 2015 nel corso degli attentati dell’ISIS a Parigi – le raccomandazioni mirate di YouTube avrebbero violato la legislazione antiterrorismo degli Stati Uniti, contribuendo a radicalizzare gli spettatori e a promuovere le attività dell’ISIS. In particolare, la parte attrice cerca di escludere gli algoritmi di raccomandazione dal salvacondotto offerto dalla Sezione 230 del titolo 47, U.S. Code, una norma che finora ha protetto i siti web dalle azioni legali relative ai contenuti generati dagli utenti. In caso di esito positivo, le piattaforme tecnologiche resterebbero esposte a una serie di cause e potrebbero essere costrette a rimodellare il modo in cui gestiscono i loro servizi. I legali della famiglia Gonzalez sostengono che Google debba essere ritenuta responsabile per aver permesso che i video dell’ISIS circolassero su Youtube. Google (insieme ad altre aziende tecnologiche costituitesi) ha affermato che escludere le raccomandazioni mirate dall’immunità prevista dalla Sezione 230 aumenterebbe i rischi legali associati al ranking, al sorting e alla cura dei contenuti online, una caratteristica fondamentale dell’Internet moderno. Google ha, inoltre, sostenuto che in questo scenario i siti web cercherebbero di andare sul sicuro rimuovendo molti più contenuti del necessario, oppure rinunciando del tutto alla moderazione dei contenuti e consentendo l’accesso a materiale ancora più dannoso. Anche l’amministrazione Biden è intervenuta nella controversia. In una memoria depositata a dicembre, ha affermato che la Sezione 230 protegge Google e YouTube da azioni legali “per non aver rimosso contenuti di terzi, compresi quelli che ha raccomandato”, ma questa protezione non andrebbe estesa anche agli algoritmi di raccomandazione di Google. Gli avvocati delle parti hanno parlato, si attende la sentenza per la fine di giugno.

Meta è alle prese con un’azione legale di massa per conto di 45 milioni di utenti di Facebook in Gran Bretagna. Al momento, il Competition Appeal Tribunal ha temporaneamente respinto l’azione, del valore di circa 3 miliardi di sterline, in cui gli attori lamentavano un abuso di posizione dominante della piattaforma per monetizzare i dati personali degli utenti. Il tribunale ha concesso agli avvocati degli attori un termine di sei mesi per “fare un altro tentativo” di stabilire le presunte perdite subite dagli utenti. La causa era stata intentata da Liza Lovdahl Gormsen, la quale ha sostenuto che gli utenti di Facebook non sono stati adeguatamente compensati per il valore dei dati personali che hanno dovuto fornire per utilizzare la piattaforma. Il mese scorso i suoi avvocati hanno chiesto al Competition Appeal Tribunal di pronunciarsi sul caso sulla base del regime vigente in materia di procedure collettive nel Regno Unito. Ma il Tribunale ha stabilito che la metodologia adottata da Lovdahl Gormsen per stabilire le perdite subite dagli utenti di Facebook necessitava di una “rivalutazione di fondo” per poter proseguire la valutazione del caso. Il giudice Marcus Smith ha, così, concesso agli avvocati di Lovdahl Gormsen sei mesi di tempo per “presentare ulteriori prove che illustrino un nuovo e migliore schema che porti a un processo efficace”. Un portavoce di Meta ha dichiarato che l’azienda ha accolto con favore la decisione e ha fatto riferimento alla sua precedente dichiarazione secondo cui la causa è “del tutto priva di fondamento”.

In diversi Paesi del Medio Oriente e del Nord Africa le piattaforme di social media e le app di incontri vengono usati per individuare e reprimere le persone LGBTQ. Lo ha dichiarato lo Human Rights Watch nel suo nuovo rapporto intitolato “All This Terror Because of a Photo: Digital Targeting and Its Offline Consequences for LGBT People in the Middle East and North Africa”. Per anni la comunità LGBTQ della regione si è, infatti, affidata alle piattaforme online per la sicurezza e la privacy, convinta di evitare le discriminazione dovute allo stigma sociale e alle leggi che criminalizzano l’espressione della loro personalità. Il rapporto, però, rivela che in decine di casi le agenzie di sicurezza in Egitto, Giordania, Libano, Iraq e Tunisia hanno estorto, molestato, denunciato pubblicamente e arrestato persone LGBTQ, in base alle loro attività su Facebook e Instagram, nonché sull’app di incontri Grindr. HRW non risparmia, peraltro, critiche alle Big Tech, tacciate di non investire a sufficienza nella moderazione e nella protezione dei contenuti in lingua araba. “Questo tipo di frenesia dei social media ha avuto implicazioni sulla vita delle persone”, ha dichiarato Rasha Younes, ricercatrice senior del Programma per i diritti LGBT di HRW, durante la conferenza stampa. Younes ha aggiunto che molte delle vittime hanno perso il lavoro, hanno subito violenze e hanno cancellato i loro account online, mentre alcune hanno scelto di lasciare il Paese. In tanti affermano di aver sofferto di depressione, ansia e angoscia, mentre alcuni avrebbero tentato il suicidio. Human Rights Watch ha chiesto ai governi di rispettare i diritti delle persone LGBTQ e di porre fine alla loro criminalizzazione, ma ha anche invitato le principali Big Tech a rispondere in modo più proattivo a questo fenomeno.

English version

It’s time for arguments before the US Supreme Court: the oral hearing in the Gonzalez v. Google case was held. The court is asked to determine whether the company can be sued for the promotion of videos glorifying terrorism on the YouTube platform operated automatically by recommendation algorithms. According to the plaintiff – the family of Nohemi Gonzalez, who was killed in the 2015 ISIS attacks in Paris – YouTube’s targeted recommendations allegedly violated US anti-terrorism legislation, helping to radicalise viewers and promote ISIS activities. Specifically, the plaintiff seeks to exclude the recommendation algorithms from the safe harbour offered by Section 230 of the Title 47, U.S. Code, a provision that has so far protected websites from legal action related to user-generated content. If successful, technology platforms would remain exposed to a number of lawsuits and could be forced to reshape the way they run their services. The Gonzalez family’s lawyers argue that Google should be held liable for allowing ISIS videos to circulate on YouTube. Google (along with other technology companies that have filed suit) argued that excluding targeted recommendations from Section 230 immunity would increase the legal risks associated with the ranking, sorting, and curation of online content, a key feature of the modern Internet. Google also argued that in this scenario, websites would try to play it safe by removing far more content than necessary, or by foregoing content moderation altogether and allowing access to even more harmful material. The Biden administration also intervened in the controversy. In a brief filed in December, it stated that Section 230 protects Google and YouTube from lawsuits “for failing to remove third-party content, including content it has recommended”, but this protection should not be extended to Google’s recommendation algorithms. The parties’ lawyers have spoken, and a ruling is expected at the end of June.

Meta is facing a massive lawsuit on behalf of 45 million Facebook users in Great Britain. At the moment, the Competition Appeal Tribunal has temporarily dismissed the action, worth around £3 billion, in which the plaintiffs complained of an abuse of the platform’s dominant position to monetise users’ personal data. The court gave the plaintiffs’ lawyers six months to ‘make another attempt’ to establish the alleged losses suffered by users. The lawsuit had been filed by Liza Lovdahl Gormsen, who argued that Facebook users were not adequately compensated for the value of the personal data they had to provide to use the platform. Last month, her lawyers asked the Competition Appeal Tribunal to rule on the case on the basis of the existing collective proceedings regime in the UK. But the Tribunal ruled that the methodology adopted by Lovdahl Gormsen to establish the losses suffered by Facebook users needed a ‘fundamental reassessment’ in order to be able to pursue the assessment of the case. Judge Marcus Smith thus gave Lovdahl Gormsen’s lawyers six months to “present further evidence to illustrate a new and improved scheme leading to an effective trial”. A Meta spokesperson said that the company welcomed the decision and referred to its earlier statement that the lawsuit was ‘entirely without merit’.

In several countries in the Middle East and North Africa, social media platforms and dating apps are being used to target and repress LGBTQ people. This was stated by Human Rights Watch in its new report entitled ‘All This Terror Because of a Photo: Digital Targeting and Its Offline Consequences for LGBT People in the Middle East and North Africa”. For years, the region’s LGBTQ community has, in fact, relied on online platforms for safety and privacy, convinced that they avoid discrimination due to social stigma and laws that criminalise the expression of their personalities. The report, however, reveals that in dozens of cases, security agencies in Egypt, Jordan, Lebanon, Iraq, and Tunisia have extorted, harassed, publicly denounced, and arrested LGBTQ people based on their activities on Facebook and Instagram, as well as on the dating app Grindr. HRW does not spare Big Tech, however, criticism, accused of not investing enough in moderation and protection of Arabic-language content. “This kind of social media frenzy has had implications on people’s lives,” said Rasha Younes, senior researcher at HRW’s LGBT Rights Programme, during the press conference. Younes added that many of the victims lost their jobs, suffered violence and deleted their online accounts, while some chose to leave the country. Many claimed to have suffered from depression, anxiety and distress, while some reportedly attempted suicide. Human Rights Watch called on governments to respect the rights of LGBTQ people and end their criminalisation, but also urged major Big Tech to respond more proactively to this phenomenon.

PRIVACY DAILY 43/2023

La Corte Suprema degli Stati Uniti potrebbe rivoluzionare il funzionamento delle piattaforme online. Il 21 febbraio, infatti, verrà discussa la causa Gonzalez v. Google, in cui si pronuncerà sugli “algoritmi di raccomandazione”, vale a dire il meccanismo che ordina la maggior parte dei contenuti online e determina la priorità dei post, delle notizie e degli account sulle piattaforme digitali. Il caso di specie ha ad oggetto delle accuse di presunta violazione dell’Anti-Terrorism Act commesse da Google, per via della raccomandazione di contenuti dell’ISIS da parte degli algoritmi di YouTube. Entra, così, in gioco la Sezione 230 del Titolo 47 dell’U.S. Code, cioè il fondamento giuridico su cui, per decenni, tutte le grandi aziende di Internet con contenuti generati dagli utenti hanno costruito le loro policy e le loro attività. In particolare, la Corte Suprema è chiamata a sciogliere la seguente questione: raccomandare un contenuto equivale a mostrarlo? Per rispondere al non facile quesito i giudici dovranno stabilire dove cade la linea di demarcazione tra l’hosting di contenuti e gli algoritmi di raccomandazione, che li ordinano in base alla cronologia, alla posizione geografica o ad altri criteri. In poche parole, vengono messi in discussione gli algoritmi che gestiscono la visualizzazione della maggior parte dei contenuti. Se la Sezione 230 venisse abrogata o ampiamente reinterpretata, le Big Tech potrebbero essere costrette a trasformare non solo il loro approccio alla moderazione dei contenuti, ma tutta l’architettura delle piattaforme. Alcuni esperti sostengono che i danni inflitti dagli algoritmi agli individui e alla società hanno raggiunto un livello inaccettabile e che, sebbene sarebbe preferibile un intervento legislativo, la Corte Suprema potrebbe cogliere questa opportunità per cambiare le regole su Internet, intaccando uno degli elementi di base del c.d. “capitalismo della sorveglianza”.

L’Austria vuole facilitare l’accesso ai dati sanitari dei pazienti. Dopo l’introduzione del Gesundheitsakte (versione austriaca del fascicolo sanitario elettronico) e del passaporto vaccinale sullo smartphone, il Ministro della Salute Johannes Rauch vuole intraprendere questo passo ulteriore con l’obiettivo di migliorare l’assistenza ai pazienti e di favorire un risparmio per l’Amministrazione. Al momento, l’Austria è alle prese con una serie di problemi relativi alle diverse modalità registrazione dei dati dei pazienti da parte di ospedali, medici di base e assicurazioni sociali. Nei piani del Ministro Rauch c’è, pertanto, il superamento di quest’impasse attraverso un miglioramento dell’accesso alle diagnosi e ai farmaci prescritti, seguendo il modello di digitalizzazione già applicato dalla Finlandia. “Ogni austriaco dovrebbe avere una panoramica dei propri dati sanitari premendo un pulsante” ha affermato il Sottosegretario alla Digitalizzazione, Florian Tursky, aggiungendo che occorre eliminare “i doppioni nel sistema sanitario” e “ridurre l’onere amministrativo per i medici”. Questo proposito ha, però, incontrato qualche preoccupazione da parte degli attivisti per la protezione dei dati personali che hanno sottolineato la particolare natura dei dati sanitari e delle conseguenze negative nel caso in cui “finiscano nelle mani sbagliate”. Gli attivisti rivendicano inoltre che i pazienti dovrebbero “poter decidere autonomamente e in qualsiasi momento con chi condividere i propri dati sanitari e per quanto tempo le istituzioni sanitarie interessate potranno accedervi”.

La Munster Technological University (MTU) si prepara a riaprire dopo il pesante attacco hacker subito. Il personale e gli studenti sono stati esortati a essere vigili dopo l’accesso abusivo ai dati contenuti nei suoi sistemi informatici, che sono stati poi copiati e condivisi sul dark web. Intanto, l’MTU sta collaborando con il National Cyber Security Centre per indagare sull’attacco, che si ritiene sia stato condotto da un collettivo di hacker con sede in Russia noto come Blackcat o APLHV. Ancora non è chiaro quali informazioni siano state diffuse, secondo il direttore del National Cyber Security Centre, Richard Browne. “Purtroppo è una conseguenza di ciò che accade in questi casi”, ha dichiarato, aggiungendo che: “gli aggressori hanno fatto quello che dovevano fare. Si tratta di un gruppo estremamente prolifico”. Anche la Data Protection Commission è stata informata della violazione. Agli studenti e al personale è stato peraltro raccomandato di prestare attenzione a potenziali attacchi via e-mail o SMS. Perfino la Student Union (il sindacato studentesco) dell’Università ha condiviso informazioni su come riconoscere una “e-mail di phishing” o, comunque, quando un’e-mail contiene link dannosi.

English version

The US Supreme Court could revolutionise the functioning of online platforms. On 21 February, in fact, the case Gonzalez v. Google will be discussed, in which it will rule on ‘recommendation algorithms’, i.e. the mechanism that orders most online content and determines the priority of posts, news items and accounts on digital platforms. The present case concerns allegations of an alleged violation of the Anti-Terrorism Act committed by Google, due to the recommendation of ISIS content by YouTube’s algorithms. Thus, Section 230 of Title 47 of the U.S. Code comes into play, i.e. the legal foundation on which, for decades, all large Internet companies with user-generated content have built their policies and activities. In particular, the Supreme Court is called upon to resolve the following question: does recommending content amount to showing it? To answer this not easy question, the judges will have to determine where the dividing line between hosting content and recommending algorithms, which sort them according to chronology, geographical location or other criteria, falls. In short, the algorithms that manage the display of most content are called into question. If Section 230 is repealed or widely reinterpreted, Big Tech could be forced to transform not only their approach to content moderation, but the entire architecture of the platforms. Some experts argue that the damage inflicted by algorithms on individuals and society has reached an unacceptable level and that, although legislative intervention would be preferable, the Supreme Court could seize this opportunity to change the rules on the Internet, eroding one of the basic elements of so-called ‘surveillance capitalism’.

Austria wants to facilitate access to patients’ health data. After the introduction of the Gesundheitsakte (Austria’s version of the electronic health record) and the vaccination passport on the smartphone, Health Minister Johannes Rauch wants to take this further step with the aim of improving patient care and saving the administration money. At the moment, Austria is grappling with a number of problems relating to different ways of recording patient data by hospitals, general practitioners and social insurance companies. In Minister Rauch’s plans, therefore, is to overcome this impasse by improving access to diagnoses and prescribed drugs, following the digitisation model already applied by Finland. “Every Austrian should have an overview of their health data at the push of a button,” said the Undersecretary for Digitalisation, Florian Tursky, adding that “duplication in the health system” should be eliminated and “the administrative burden on doctors should be reduced”. This has, however, met with some concern from data protection activists, who have emphasised the special nature of health data and the negative consequences if they ‘fall into the wrong hands’. The activists also claim that patients should ‘be able to decide for themselves at any time with whom they want to share their health data and for how long the health institutions concerned will have access to it’.

Munster Technological University (MTU) is preparing to reopen after the heavy hacking attack it suffered. Staff and students have been urged to be vigilant after data was ‘accessed and copied’ from its computer systems during the attack and shared on the dark web. Meanwhile, MTU is working with the National Cyber Security Centre to investigate the attack, which is believed to have been conducted by a Russian-based hacker collective known as Blackcat or APLHV. It is still unclear what information was leaked, according to National Cyber Security Centre director Richard Browne. “Unfortunately it is a consequence of what happens in these cases,” he said, adding that: “the attackers did what they had to do. This is an extremely prolific group”. The Data Protection Commission was also informed of the breach. Students and staff were also advised to watch out for potential attacks via e-mail or SMS. Even the university’s Student Union has shared information on how to recognise a ‘phishing e-mail’ or, in any case, when an e-mail contains malicious links.

Privacy Daily 20/2023

In che modo la tua città gestisce i tuoi dati digitali? Con un numero sempre maggiore di dati prodotti ogni giorno nelle nostre città, c’è una crescente necessità di un utilizzo socialmente responsabile della conoscenza generata dai dati per migliorare il processo decisionale e l’efficienza dei servizi pubblici. La tua auto parcheggiata può rimanere ferma perché hai già pagato il ticket? Vuoi segnalare una zona trafficata e dei rischi ad essa connessi, la necessità di manutenzione di una strada o del parco più vicino? In molti casi, le amministrazioni locali si servono di una serie di algoritmi che riducono gli oneri amministrativi e che veicolano le richieste/segnalazioni presso i reparti competenti (quindi, in maniera più certa e più rapida). Helsinky e Amsterdam hanno però fatto di più sforzandosi di stabilire uno standard per l’uso trasparente ed etico degli algoritmi delle amministrazioni cittadine con la creazione di un registro degli algoritmi. Grazie a questo sistema, i cittadini potranno essere messi nelle condizioni di accedere a informazioni comprensibili e aggiornate su come gli algoritmi influenzino le loro vite e potranno esercitare il diritto di conoscere effettivamente i sistemi di raccolta dei loro dati. “In questo modo – ha affermato André Sobczak, Segretario generale, Eurocities – le due città cercano di offrire una salvaguardia per le persone i cui dati possono essere utilizzati da algoritmi e un modello convalidato che altre città possono utilizzare immediatamente, senza dover investire ulteriori risorse stesse”. Basandosi sul lavoro di Amsterdam e Helsinki, Eurocities Digital Forum Lab ad esempio ha sviluppato uno schema di dati open source, che stabilisce un metodo comune che qualsiasi città può adottare quando crea un registro di algoritmi. Sebbene l’intelligenza artificiale possa essere un importante fattore abilitante per migliorare i servizi pubblici e sostenere l’elaborazione di politiche pubbliche, la sua applicazione può sollevare preoccupazioni etiche. Ad esempio, algoritmi complessi in sistemi automatizzati addestrati su dati distorti possono trasporre pregiudizi a gruppi di cittadini. I registri degli algoritmi offrono trasparenza in merito allo sviluppo e all’attuazione degli algoritmi e forniscono un’importante salvaguardia per l’uso responsabile dell’IA. Sulla base dell’esempio di Helsinky e Amsterdam anche altre città hanno deciso di andare nella stessa direzione: Barcellona, ​​Bologna, la Regione di Bruxelles Capitale, Eindhoven, Mannheim, Rotterdam e Sofia.

La posizione tedesca sul Data Act dell’UE, l’iniziativa legislativa per regolamentare le modalità di accesso, condivisione e trasmissione dei dati, è stata inviata la scorsa settimana alla presidenza svedese del Consiglio dell’UE, che sta raccogliendo feedback prima di presentare una nuova proposta di compromesso per la fine del mese. Nello specifico, la Germania ha chiesto chiarezza su una serie di argomenti tra cui l’interazione del Data Act con il regolamento generale sulla protezione dei dati dell’UE, le condizioni legali per la condivisione e il trasferimento dei dati e i tempi di passaggio al cloud. Per Berlino, un punto centrale sono le contraddizioni, le incoerenze e sovrapposizioni tra la proposta di Data Act e il Regolamento generale sulla protezione dei dati per cui il governo tedesco chiede di rendere esplicito che tutti i dati personali ottenuti tramite il Data Act debbano essere gestiti in conformità con il GDPR.

La politica della Cina sulle Big Tech diventa più chiara. O almeno così sembra, vista da Singapore. Dopo anni di politiche repressive nei confronti dei giganti tecnologici, le incertezze normative stanno per svanire e la strada per gli investitori diffidenti sembra più semplice. Così si è espresso Jeffrey Jaensubhakij, Chief Investment Officer del fondo sovrano GIC, nel corso di un panel al World Economic Forum di Davos. Il commento di Jaensubhakij arriva a margine delle dichiarazioni del vice premier cinese Liu He, che sembrano aver chiarito il quadro. Negli ultimi cinque anni, infatti, la Cina è passata da essere una fonte di profitto a un Paese quasi invisibile per via degli invadenti interventi del governo e delle restrizioni pandemiche. Ora, però, gli investitori mondiali stanno cercando di cambiare passo. E la Cina sembra essersi impegnata a rilanciare l’economia e ad accoglierli.

English translation

How does your city manage your digital data? With more and more data being produced every day in our cities, there is a growing need for socially responsible use of data-generated knowledge to improve decision-making and the efficiency of public services. Can your parked car stay parked because you have already paid the ticket? Do you want to report a busy area and its associated risks, the maintenance of a road or the nearest park? In many cases, local administrations make use of a series of algorithms that reduce the administrative burden and channel the requests/reports to the relevant departments (thus, more reliably and faster). Helsinki and Amsterdam have, however, gone further by striving to establish a standard for the transparent and ethical use of city government algorithms with the creation of an algorithm register. Thanks to this system, citizens will be able to access comprehensible and up-to-date information on how algorithms affect their lives and will be able to exercise their right to actually know about the systems that collect their data. “In this way,” said André Sobczak, Secretary General, Eurocities, “the two cities seek to offer a safeguard for people whose data can be used by algorithms and a validated model that other cities can use immediately, without having to invest additional resources themselves. Building on the work of Amsterdam and Helsinki, Eurocities Digital Forum Lab, for instance, has developed an open source data schema, which establishes a common method that any city can adopt when creating a registry of algorithms. Although artificial intelligence can be an important enabler for improving public services and supporting public policy-making, its application can raise ethical concerns. For instance, complex algorithms in automated systems trained on biased data may transpose biases to groups of citizens. Algorithm registries offer transparency regarding the development and implementation of algorithms and provide an important safeguard for the responsible use of AI. Based on the example of Helsinky and Amsterdam, other cities have also decided to go in the same direction: Barcelona, Bologna, the Brussels Capital Region, Eindhoven, Mannheim, Rotterdam and Sofia.

Germany’s position on the EU Data Act, the legislative initiative to regulate how data is accessed, shared and transmitted, was sent last week to the Swedish EU Council Presidency, which is gathering feedback before presenting a new compromise proposal by the end of the month. Specifically, Germany has asked for clarity on a number of topics including the Data Act’s interaction with the EU’s General Data Protection Regulation, the legal conditions for data sharing and transfer, and the timing of the move to the cloud. For Berlin, a central point of criticism are the contradictions and overlaps between the proposed Data Act and the General Data Protection Regulation, whereby the German government demands that it be made explicit that all personal data obtained through the Data Act must be handled in accordance with the GDPR.

China’s Big Tech policy is becoming clearer. Or so it seems, as seen from Singapore. After years of repressive policies towards tech giants, regulatory uncertainties are about to fade and the road for wary investors seems easier. So said Jeffrey Jaensubhakij, Chief Investment Officer of the sovereign wealth fund GIC, during a panel at the World Economic Forum in Davos. Jaensubhakij’s comment comes on the sidelines of statements by Chinese Vice Premier Liu He, which seem to have clarified the picture. Over the past five years, China has gone from being a source of profit to an almost invisible country due to intrusive government interventions and pandemic restrictions. Now, however, global investors are looking for a change of pace. And China seems to be committed to reviving the economy and welcoming them.