PRIVACYDAILY

N. 132/2023

LE TRE NEWS DI OGGI:

  • USA, AMAZON PAGHERA’ 25 MILIONI DI DOLLARI PER LA VIOLAZIONE DELLA PRIVACY DEI MINORI
  • L’EDPS APRE UN’ISTRUTTORIA SU FRONTEX
  • HONG KONG, AUTORITA’ DELLA PRIVACY MINACCIA SANZIONI PER VIOLAZIONE DEI DATI CREDITIZI

Amazon ha accettato di pagare la Federal Trade Commission (FTC) statunitense dopo essere stata accusata di non aver cancellato le registrazioni di Alexa su richiesta dei genitori. Si è scoperto che ha conservato dati sensibili per anni. Anche Ring, pagherà dopo aver dato ai dipendenti accesso illimitato ai dati dei clienti. Ring pagherà 5,8 milioni di dollari alle autorità, secondo quanto dichiarato in una corte federale del Distretto di Columbia. Secondo la denuncia della FTC relativa ad Alexa, Amazon “ha assicurato in modo evidente e ripetuto ai suoi utenti, compresi i genitori, che potevano cancellare le registrazioni vocali raccolte” dal sistema. Ma l’azienda non lo ha fatto, conservando i dati per anni e utilizzandoli illegalmente per migliorare l’algoritmo di Alexa, si legge nella denuncia. In una dichiarazione, Samuel Levine, direttore del Bureau of Consumer Protection della FTC, ha accusato Amazon di aver “ingannato i genitori, conservato le registrazioni dei bambini a tempo indeterminato e ignorato le richieste di cancellazione dei genitori”. L’azienda ha “sacrificato la privacy per i profitti”, ha aggiunto.Allo stesso modo, la FTC ha affermato che Ring – che Amazon ha acquistato nel 2018 – ha permesso a “migliaia di dipendenti e collaboratori” di guardare le registrazioni degli spazi privati dei clienti. Secondo l’ente, potevano visualizzare e scaricare i dati video sensibili dei clienti per i propri scopi. Amazon ha dichiarato alla BBC che “Ring ha prontamente affrontato i problemi in questione anni fa, ben prima che la FTC iniziasse la sua indagine”. Ma secondo la denuncia, un dipendente ha visualizzato migliaia di registrazioni video appartenenti a utenti donne di telecamere Ring che “sorvegliavano spazi intimi delle loro case, come il bagno o la camera da letto”. Il dipendente è stato fermato solo quando le sue azioni sono state notate da un collega.”Il disprezzo di Ring per la privacy e la sicurezza ha esposto i consumatori a spionaggio e molestie”, ha dichiarato Levine. “L’ordine della FTC chiarisce che anteporre il profitto alla privacy non paga”.

Secondo un’autorità per la protezione dei dati, Frontex, con sede a Varsavia, sta probabilmente violando i diritti di chi scarica i dati delle testimonianze dei migranti con l’agenzia di polizia dell’UE Europol. Tali testimonianze sono raccolte dagli agenti di Frontex che cercano di capire come e in che misura i richiedenti asilo che attraversano un confine dell’UE ricevano aiuto dall’esterno. Sebbene Frontex cancelli i nomi, i dati personali identificabili vengono comunque condivisi con Europol per reprimere il contrabbando e altre attività criminali, ha dichiarato Wojciech Wiewiórowski, supervisore della protezione dei dati dell’UE (GEPD). Lo scambio di dati Frontex-Europol, noto come Pedra o “Trattamento dei dati personali per l’analisi dei rischi”, ha generato in passato polemiche per la possibile incriminazione di persone innocenti. In una sintesi di otto pagine di un rapporto di audit più ampio pubblicato mercoledì (31 maggio), Wiewiórowski ha dichiarato che l’EPDS avrebbe aperto un’indagine su Frontex. Ha rimproverato all’agenzia di “scambiare automaticamente i rapporti di interrogatorio con Europol senza valutare la stretta necessità di tale scambio”. Wiewiórowski afferma che ciò viola diverse norme dell’UE sulla protezione dei dati, nonché il regolamento di Frontex quando si tratta di scambiare dati personali con Europol. Il GEPD ha dato all’agenzia tempo fino alla fine dell’anno per risolvere i problemi. Risultati simili sono stati rivelati l’anno scorso da Balkan Insight, un’agenzia di stampa. L’agenzia aveva dichiarato che Frontex aveva messo in disparte il proprio responsabile della protezione dei dati, che aveva messo in guardia contro l’instabilità della missione Pedra. L’ultima indagine del GEPD sembra confermare questa valutazione. Alcune delle persone intervistate, spesso detenute o private della libertà, potrebbero sentirsi minacciate nel divulgare informazioni che vanno al di là di quanto richiesto da Europol. Il mese scorso, EUobserver ha rivelato che tra queste persone potrebbero esserci anche le ONG, ponendo ulteriori interrogativi sulla misura in cui le agenzie stanno forse contribuendo a criminalizzare il lavoro della società civile nel campo dell’asilo e della migrazione. In relazione a ciò, Wiewiórowski afferma che Frontex non è in grado di elaborare le richieste di chi vuole sapere quali dati personali l’agenzia ha raccolto su di lui.

Il Garante per la privacy di Hong Kong ha minacciato di intraprendere un’azione legale contro una società di gestione dati per non aver protetto le storie creditizie di circa 180.000 persone da accessi non autorizzati. Giovedì l’Ufficio del Commissario per la privacy dei dati personali ha dichiarato di aver ricevuto un reclamo nel dicembre 2021 da parte di un individuo che aveva scoperto che i suoi dati creditizi memorizzati in un database chiamato TE Credit Reference System erano stati consultati da otto società di prestito di denaro senza il suo consenso. Il Commissario Ada Chung Lai-ling ha dichiarato che l’operatore del database, Softmedia Technology Company, non ha adottato misure sufficienti per proteggere le informazioni memorizzate, il che potrebbe aver permesso agli utenti di circa 680 società di prestito di denaro di accedere ai dati di credito di circa 180.000 persone senza il loro consenso. “Sono dell’opinione che Softmedia abbia violato i requisiti dell’Ordinanza sui dati personali (privacy)”, ha dichiarato. “In particolare, Softmedia non ha adottato tutte le misure possibili per proteggere i dati personali del sistema di riferimento creditizio da accessi, elaborazioni o utilizzi non autorizzati o accidentali”. Chung ha detto che è stato inviato un avviso a Softmedia chiedendo di stabilire politiche e misure nei prossimi tre mesi per garantire che le società di prestito di denaro abbiano ricevuto l’autorizzazione dai mutuatari prima di accedere ai loro dati, oltre a rivedere e limitare il numero di accessi al database da parte di ciascun prestatore di denaro. “Qualsiasi violazione dell’avviso di esecuzione sarà considerata un atto criminale, il che significa che potremo prendere in considerazione l’avvio di un’azione penale a seconda della situazione”, ha dichiarato. La pena prevista per la prima condanna è di 50.000 dollari di Hong Kong (6.380 dollari) e due anni di reclusione. Il Post ha contattato Softmedia per un commento. L’azienda sostiene sul suo sito web che il TE Credit Reference System è il più grande database di questo tipo a Hong Kong. Ma Chung ha detto che il database non è uno dei fornitori di servizi nell’ambito del modello delle agenzie di riferimento creditizio multiple, il che significa che non è regolato dalle associazioni del settore o dalle leggi che coprono l’industria finanziaria.

English version

  • USA, AMAZON TO PAY $25 MILLION FOR VIOLATION OF CHILDREN’S PRIVACY
  • EDPS OPENS INQUIRY INTO FRONTEX
  • HONG KONG, PRIVACY AUTHORITY THREATENS PENALTIES FOR CREDIT DATA BREACH

Amazon agreed to pay the US Federal Trade Commission (FTC) after it was accused of failing to delete Alexa recordings at the request of parents. It was found to have kept hold of sensitive data for years. Amazon’s doorbell camera unit Ring will also pay out after giving employees unrestricted access to customers’ data. Ring will pay $5.8m to authorities, according to a filing in federal court in the District of Columbia. According to the FTC complaint regarding Alexa, Amazon “prominently and repeatedly assured its users, including parents, that they could delete voice recordings collected” by the system. But the company did not do this, keeping data for years and using it unlawfully to help improve its Alexa algorithm, the complaint said. In a statement, Samuel Levine, director of the FTC’s Bureau of Consumer Protection, accused Amazon of “misleading parents, keeping children’s recordings indefinitely, and flouting parents’ deletion requests”. The company “sacrificed privacy for profits”, he added. Similarly, the FTC said Ring – which Amazon bought in 2018 – allowed “thousands of employees and contractors” to watch recordings of customers’ private spaces. They were able to view and download customers’ sensitive video data for their own purposes, the body said. Amazon told the BBC in a statement that “Ring promptly addressed the issues at hand on its own years ago, well before the FTC began its inquiry”. But according to the complaint, one employee viewed thousands of video recordings belonging to female users of Ring cameras that “surveilled intimate spaces in their homes such as their bathrooms or bedrooms”. The employee was only stopped once their actions were spotted by a colleague, it said. “Ring’s disregard for privacy and security exposed consumers to spying and harassment,” Mr Levine said. “The FTC’s order makes clear that putting profit over privacy doesn’t pay.”

Warsaw-based Frontex is likely violating rights by data dumping migrant testimonies with the EU’s police agency Europol, according to a data protection authority. Such testimonies are collected by Frontex agents seeking to figure out how and to what extent asylum seekers crossing an EU border receive outside help. Although Frontex redacts names, identifiable personal data is still being shared with Europol to crack down on smuggling and other criminal activities, said Wojciech Wiewiórowski, the EU’s data protection supervisor (EDPS). The Frontex-Europol data exchange, known as Pedra or ‘Processing of Personal Data for Risk Analysis’, has in the past generated controversy for possibly incriminating innocent people. In an eight-page summary of a larger audit report published Wednesday (31 May), Wiewiórowski said the EPDS would now open an investigation into Frontex. It faulted the agency for “automatically exchanging the debriefing reports with Europol without assessing the strict necessity of such exchange.” Wiewiórowski says this breaches several EU data protection rules, as well as Frontex’s own rule book when it comes to exchanging personal data with Europol. The EDPS has given the agency until the end of the year to sort the problems. Similar findings were revealed last year by Balkan Insight, a media outlet. It said Frontex had sidelined its own data protection officer, who had warned of mission creep over Pedra. The latest EDPS investigation appears to back that assessment. Some of those people interviewed, often detained or deprived of liberty, may feel threatened into divulging information that goes beyond what is needed by Europol. Last month, EUobserver revealed that this may include NGOs, posing additional questions to what extent the agencies are possibly helping criminalise the work by civil society in the field of asylum and migration. Linked to that, Wiewiórowski says Frontex is unable to process requests by someone who wants to know what personal data the agency has collected on them

Hong Kong’s privacy watchdog has threatened to take legal action against a data management firm for failing to protect the credit histories of about 180,000 people from unauthorised access. The Office of the Privacy Commissioner for Personal Data on Thursday said it received a complaint in December 2021 from an individual who found his credit data stored in a database called TE Credit Reference System had been accessed by eight money-lending companies without his consent. Commissioner Ada Chung Lai-ling said the database’s operator, Softmedia Technology Company, had failed to take sufficient measures to protect the information it stored, which might have allowed users from about 680 money lending firms to access the credit data of roughly 180,000 people without their consent. “I’m of the opinion that Softmedia has contravened the relevant requirement of the Personal Data (Privacy) Ordinance,” she said. “In particular, Softmedia has failed to take all practicable steps to protect the personal data in the credit reference system against unauthorised or accidental access, processing or use.” Chung said a notice was sent to Softmedia demanding it establish policies and measures in the next three months to ensure money lending companies had received authorisation from borrowers before accessing their data, as well as reviewing and limiting the number of access to the database by each money lender. “Any violation of the enforcement notice will be deemed as a criminal act, which means we can consider initiating criminal prosecution according to the situation,” she said. The penalty upon the first conviction is a HK$50,000 fine (US$6,380) and two-year imprisonment. The Post has reached out to Softmedia for comment. The company claims on its website the TE Credit Reference System is the largest database of its kind in Hong Kong. But Chung said the database was not one of the service providers under the Multiple Credit Reference Agencies Model, meaning it was not regulated by the industry’s associations or laws covering the financial industry.

PRIVACY DAILY 73/2023

È morto Spiros Simitis, primo giurista ad aver formulato il diritto alla protezione dei dati personali. Si è spento all’età di 88 anni a Königsstein (Taunus) il professore greco, naturalizzato tedesco, padre della prima legge sulla protezione dei dati personali in Europa, adottata dal Land dell’Assia nel 1970. La storia globale della protezione dei dati inizia, infatti, proprio con questa legge, da cui hanno preso le mosse tutte le normative successive. Simitis, allora giovane professore presso l’Università Johann Wolfgang Goethe di Francoforte, ha messo a punto il testo normativo ed è stato, poi, commissario per la protezione dei dati dell’Assia dal 1975 al 1991. “Forse non è riuscito a far rispettare a tutti la protezione dei dati, ma è riuscito a farla conoscere a tutti” commenta la stampa tedesca. Ed in effetti, Spiros Simitis ha iniziato a studiare la protezione dei dati quando i computer erano ancora delle enormi scatole e venivano programmati con il nastro perforato, arrivando fino al cloud computing. Per lui, però, è stato subito chiaro che la protezione dei dati non era soltanto un aspetto della privacy, ma una forma di protezione della democrazia stessa. Nel pensiero di Simitis, il controllo sulle informazioni rappresenta, infatti, un prerequisito fondamentale delle società democratiche. Nato ad Atene, figlio di un avvocato, Spiros Simitis è arrivato in Germania all’età di 17 anni per studiare legge con il fratello Kostas, che in seguito è diventato primo ministro della Grecia. Ha conseguito il dottorato a 22 anni e l’abilitazione a 29. È stato professore prima a Giessen, poi a Francoforte, con cattedre di diritto civile, diritto commerciale, diritto del lavoro e informatica giuridica, nonché visiting professor in prestigiosi Atenei, tra cui Yale, Berkeley e Parigi.

Allo staff del Cremlino coinvolto nella campagna elettorale per le presidenziali del 2024 è stato vietato l’uso degli iPhone. Il giorno dopo la prima visita di Putin in Ucraina, si è diffusa la notizia, riferita dal giornale russo Kommersant, che ai membri dello staff coinvolti nella campagna per la rielezione dello stesso Putin alle presidenziali del 2024 è stato vietato, a partire dal prossimo 1° aprile, l’uso degli iPhone per il timore che i dispositivi possano essere vulnerabili alle agenzie di intelligence occidentali. Secondo la fonte citata dal Kommersant, i funzionari sono stati esortati a sostituire i loro iPhone con telefoni Android o con i loro analoghi di produzione cinese o russa. Finora provvedimenti di questo genere erano stati presi solo «in direzione opposta», ovvero da Occidente ad Oriente e in relazione ad aziende (e prodotti) cinesi, causando in alcuni casi veri e propri terremoti sul mercato degli smartphone, come quando nel 2019 il governo degli Stati Uniti ha messo al bando Huawei per timori analoghi o quando recentemente — riportava giorni fa il Financial Times — ha sospeso l’emissione di licenze per le esportazioni tecnologiche «made in Usa» a Huawei e imposto restrizioni all’esportazione di semiconduttori a diversi gruppi cinesi, per il timore che la società aiuti il governo di Pechino nello spionaggio. Non si dimentichi, inoltre, l’arresto da parte della polizia canadese, su mandato di cattura americano, della direttrice finanziaria di Huawei, Meng Wanzhou, figlia del fondatore dell’azienda, nel dicembre 2018. Sempre in Occidente, tre settimane fa la Commissione Ue ha chiesto a tutti i dipendenti, come già aveva fatto il governo americano, di disinstallare l’app cinese TikTok dai telefoni professionali, consentendone l’uso solo su quelli personali se non contengono documenti di lavoro.

Abuso di posizione dominante all’interno del suo mercato online, potenziali violazioni della privacy dei consumatori connesse alle sue telecamere Ring e all’assistente digitale Alexa. Sono i tre filoni lungo i quali l’Amministrazione Biden intende agire nei confronti del colosso Amazon, che ha all’attivo almeno una dozzina di importanti indagini a suo carico e che potrebbero creare non pochi problemi. Da ultimo, si è anche aggiunta da parte dell’FTC, l’istruttoria sull’acquisto del produttore di aspirapolveri iRobot. Sebbene Amazon sia già stata colpita da diverse controversie legali sotto il profilo antitrust a livello statale – sia a Washington che in California – le prossime cause federali rappresenterebbero le sfide più significative per l’azienda. Lunga è la contrapposizione tra l’FTC e Amazon, citata in giudizio anche con l’accusa di aver trattenuto illegalmente le mance da alcuni autisti addetti alle consegne. L’azienda ha risolto il caso, pagando quasi 60 milioni di dollari per rimborsare gli autisti. Nell’ultimo anno, i funzionari dell’Amministrazione Biden hanno seguito e con molta decisione le fusioni aziendali e le mosse delle aziende tecnologiche. L’anno scorso, ad esempio, la FTC ha fatto causa per bloccare l’acquisto di Activision da parte di Microsoft per 69 miliardi di dollari, e il Dipartimento di Giustizia ha due cause contro Google per le sue attività di ricerca e pubblicità, oltre a preparare un caso antitrust contro Apple. Stando a indiscrezioni, ci sono almeno due indagini della FTC aperte sulla privacy, una sul business delle videocamere e dei sistemi di sicurezza Ring di Amazon e l’altra sull’assistente vocale Alexa per potenziali violazioni del Children’s Online Privacy Protection Act. L’esito di almeno una di queste potrebbe arrivare nei prossimi due mesi. I rappresentanti della FTC e di Amazon hanno, però, rifiutato di commentare le indagini.

English version

Spiros Simitis, the first jurist to formulate the right to personal data protection, has died. The Greek professor, naturalised German, father of the first data protection law in Europe, adopted by the Land of Hesse in 1970, died at the age of 88 in Königsstein (Taunus). In fact, the global history of data protection begins with this very law, from which all subsequent regulations have been based. Simitis, then a young professor at Frankfurt’s Johann Wolfgang Goethe University, developed the regulatory text and was then Hessen’s data protection commissioner from 1975 to 1991. ‘He may not have succeeded in enforcing data protection for everyone, but he managed to make it known to everyone,’ comments the German press. And indeed, Spiros Simitis started studying data protection when computers were still huge boxes and were programmed with punched tape, all the way to cloud computing. For him, however, it was immediately clear that data protection was not just an aspect of privacy, but a form of protection of democracy itself. In Simitis’ thinking, control over information is, in fact, a fundamental prerequisite of democratic societies. Born in Athens, the son of a lawyer, Spiros Simitis came to Germany at the age of 17 to study law with his brother Kostas, who later became prime minister of Greece. He obtained his doctorate at the age of 22 and his habilitation at 29. He was a professor first in Giessen, then in Frankfurt, holding professorships in civil law, commercial law, labour law and legal informatics, as well as a visiting professor at prestigious universities, including Yale, Berkeley and Paris.

Kremlin staff members involved in the 2024 presidential election campaign have been banned from using iPhones. The day after Putin’s first visit to Ukraine, news broke, reported by the Russian newspaper Kommersant, that staff members involved in Putin’s 2024 presidential re-election campaign have been banned from using their iPhones as of 1 April due to fears that the devices could be vulnerable to Western intelligence agencies. According to the source quoted by Kommersant, officials were urged to replace their iPhones with Android phones or their Chinese- or Russian-made analogues. Until now, such measures had only been taken ‘in the opposite direction’, i.e. from West to East and in relation to Chinese companies (and products), in some cases causing real earthquakes on the smartphone market, such as when in 2019 the US government banned Huawei due to similar fears, or when recently – the Financial Times reported days ago – it suspended the issuing of licences for ‘made in the USA’ technology exports to Huawei and imposed restrictions on the export of semiconductors to several Chinese groups, due to fears that the company would aid the Beijing government in spying. Let us also not forget the arrest by Canadian police, on a US arrest warrant, of Huawei’s chief financial officer, Meng Wanzhou, daughter of the company’s founder, in December 2018. Also in the West, three weeks ago the EU Commission asked all employees, as the US government had already done, to uninstall the Chinese app TikTok from professional phones, allowing its use only on personal ones if they do not contain work documents.

Abuse of dominant position within its online marketplace, potential violations of consumer privacy related to its Ring cameras and digital assistant Alexa. These are the three strands along which the Biden administration intends to take action against the giant Amazon, which has at least a dozen major investigations against it to its credit and which could create quite a few problems. Most recently, the FTC has also added the investigation into Amazon’s purchase of vacuum cleaner manufacturer iRobot. Although Amazon has already been hit by several antitrust litigations at the state level – both in Washington and California – the upcoming federal lawsuits would represent the most significant challenges for the company. Long is the dispute between the FTC and Amazon, which is also being sued on charges of illegally withholding tips from some delivery drivers. The company settled the case, paying nearly $60 million to reimburse the drivers. Over the past year, Biden administration officials have been very vocal in following corporate mergers and moves by technology companies. Last year, for example, the FTC sued to block Microsoft’s $69 billion purchase of Activision, and the Justice Department has two lawsuits against Google over its search and advertising activities, as well as preparing an antitrust case against Apple. According to rumours, there are at least two open FTC privacy investigations, one on Amazon’s Ring camera and security systems business and the other on the voice assistant Alexa for potential violations of the Children’s Online Privacy Protection Act. The outcome of at least one of these could come within the next two months. Representatives of the FTC and Amazon have, however, declined to comment on the investigation.

PRIVACY DAILY 71/2023

Amazon è stata citata in giudizio per non aver avvisato i suoi clienti di New York City che erano monitorati dalla tecnologia di riconoscimento facciale. La class action ha preso di mira i minimarket Amazon Go, contestando che la tecnologia fosse stata impiegata senza previo avvertimento. Grazie a una legge del 2021, New York è l’unica grande città americana a richiedere alle aziende di affiggere cartelli che indichino se stanno trattando le informazioni biometriche dei clienti, come le scansioni facciali o le impronte digitali. Amazon ha aperto i negozi Go nel 2018, promettendo che i clienti potevano entrare, prendere i prodotti che volevano dagli scaffali e andarsene senza fare il check-out. L’azienda monitora le azioni dei visitatori e addebita i loro conti quando lasciano il negozio. Così la società ha aperto la sua prima sede a New York e, secondo il suo sito web, ad oggi ha 10 negozi, tutti a Manhattan. Per rendere possibile la formula “Just Walk Out”, i negozi Amazon Go raccolgono e utilizzano costantemente informazioni biometriche dei clienti, tra cui la scansione dei palmi delle mani e applicazioni di computer vision per identificarli, algoritmi di deep learning e sensori che misurano la forma e le dimensioni del corpo di ciascun cliente non solo per identificarlo, ma anche per tracciarne gli spostamenti all’interno dei negozi e determinare ciò che ha acquistato. Tuttavia, stando al contenuto dell’atto di citazione, Amazon ha affisso solo di recente dei cartelli che informano i clienti di New York dell’uso della tecnologia di riconoscimento facciale, più di un anno dopo l’entrata in vigore della legge del 2021.

L’Health Industry è sollecitata a proteggere i dati mentre si diffondono i cyberattacchi. L’ondata di attacchi informatici ai sistemi sanitari sottolinea la necessità di rivalutare costantemente i controlli di sicurezza per ridurre al minimo il rischio che gli hacker ottengano i dati dei pazienti attraverso truffe, phishing e altri metodi di data infiltration. Negli Stati Uniti, l’ufficio federale competente si sta facendo carico di un importante lavoro sulla sicurezza informatica e, proprio per questo, aggiungerà “data and cybersecurity” al nome della sua divisione per la privacy delle informazioni sanitarie. L’80% dei grandi data breach è riconducibile ad attacchi informatici. Il numero di violazioni di dati che coinvolgono dati sanitari non protetti di 500 o più individui è salito a più di 600 all’anno nel 2020 e nel 2021, una tendenza che secondo l’OCR sta continuando. Gli aggressori che tentano di diffondere il ransomware spesso si concentrano sul settore sanitario, proprio perché le organizzazioni sanitarie detengono molti dati sensibili sulle persone, sia che si tratti di informazioni demografiche, che di informazioni mediche sensibili e, naturalmente, di informazioni finanziarie. L’aumento degli hackeraggi riflette in parte la maggiore digitalizzazione dei dati sanitari, un cambiamento gradito per un settore che all’inizio del XXI secolo ancora si basava su registri cartacei e fax. Con l’aumento della digitalizzazione diventa più facile per i sistemi sanitari parlare tra loro e scambiare informazioni. Ma questo può creare anche maggiori opportunità per gli attori malintenzionati di cercare di infiltrarsi in questi sistemi e nelle comunicazioni.

La polizia lussemburghese sarà dotata di bodycam. Stando alla proposta di legge numero 8065, 1.682 agenti di polizia saranno dotati di queste telecamere e a tale scopo sono stati stanziati sei milioni di euro per i prossimi cinque anni. Sul punto ha preso posizione anche la Commissione consultiva per i diritti umani, la quale si è dichiarata favorevole all’iniziativa. A differenza delle telecamere che sorvegliano lo spazio pubblico, le bodycam riprenderanno anche gli spazi privati, ad esempio quando la polizia viene chiamata in un appartamento. In termini di diritti umani e protezione dei dati, la situazione è più complessa. “Non vogliamo una situazione come quella cinese”, ha spiegato Gilbert Pregno, presidente della Commissione. Le telecamere dovrebbero avere un effetto preventivo e preservare le prove quando gli agenti di polizia vengono aggrediti. In particolare, il governo considera le bodycam come un mezzo per proteggere gli agenti di polizia da attacchi da parte del pubblico. “Il lavoro della polizia non è diventato più facile negli ultimi anni”, ha affermato Gilbert Pregno. È importante poter dimostrare, in caso di controversia, che gli agenti hanno seguito le regole, in quanto le bodycam sono una “protezione per la polizia”. Ovviamente ci sono delle condizioni specifiche di utilizzo: la legge limita l’uso delle bodycam al di fuori dello spazio pubblico. Pertanto, un agente di polizia dovrebbe registrare immagini con la sua bodycam solo se qualcuno chiede aiuto o in situazioni di violenza domestica, nonché in caso di flagranza di reato o quando ci sono indizi che un reato sta per essere commesso.

English version

Amazon was sued for failing to warn its New York City customers that they were being monitored by facial recognition technology. The class action targeted Amazon Go convenience stores, alleging that the technology was deployed without prior warning. Thanks to a 2021 law, New York City is the only major US city to require businesses to post signs indicating whether they are processing customers’ biometric information, such as facial scans or fingerprints. Amazon opened Go shops in 2018, promising that customers could walk in, grab the products they wanted from the shelves and leave without checking out. The company monitors visitors’ actions and charges their accounts when they leave the shop. So the company opened its first location in New York and, according to its website, has 10 shops to date, all in Manhattan. To make the ‘Just Walk Out’ formula possible, Amazon Go shops constantly collect and use biometric information from customers, including palm scanning and computer vision applications to identify them, deep learning algorithms, and sensors that measure the shape and size of each customer’s body not only to identify them, but also to track their movements within the shops and determine what they have purchased. However, according to the contents of the lawsuit, Amazon has only recently posted signs informing New York customers of the use of facial recognition technology, more than a year after the 2021 law takes effect.

The health industry is urged to protect data as cyber attacks spread. The wave of cyber attacks on healthcare systems underlines the need to constantly reassess security controls to minimise the risk of hackers obtaining patient data through scams, phishing and other data infiltration methods. In the United States, the relevant federal office is taking on major work on cybersecurity, and is adding ‘data and cybersecurity’ to the name of its health information privacy division. Eighty per cent of large data breaches are attributable to cyber attacks. The number of data breaches involving unprotected health data of 500 or more individuals rose to more than 600 per year in 2020 and 2021, a trend that OCR says is continuing. Attackers attempting to spread ransomware often focus on the healthcare sector, precisely because healthcare organisations hold a lot of sensitive data on individuals, be it demographic information, sensitive medical information and, of course, financial information. The increase in hacks partly reflects the increased digitisation of healthcare data, a welcome change for an industry that still relied on paper records and faxes at the beginning of the 21st century. As digitisation increases, it becomes easier for health systems to talk to each other and exchange information. But this can also create more opportunities for malicious actors to try to infiltrate these systems and communications.

The Luxembourg police will be equipped with bodycams. According to bill number 8065, 1,682 police officers will be equipped with these cameras and six million euros have been allocated for this purpose for the next five years. The Advisory Commission on Human Rights has also taken a stand on the issue, which has declared itself in favour of the initiative. Unlike cameras that monitor public space, bodycams will also film private spaces, for example when the police are called to a flat. In terms of human rights and data protection, the situation is more complex. “We do not want a situation like the one in China,” explained Gilbert Pregno, chairman of the Commission. Cameras should have a preventive effect and preserve evidence when police officers are attacked. In particular, the government sees bodycams as a means to protect police officers from attacks by the public. ‘Police work has not become any easier in recent years,’ said Gilbert Pregno. It is important to be able to prove in the event of a dispute that the officers followed the rules, as bodycams are a ‘police protection’. Of course there are specific conditions of use: the law restricts the use of bodycams outside public space. Therefore, a police officer should only record images with his bodycam if someone calls for help or in situations of domestic violence, as well as in cases of flagrante delicto or when there are indications that a crime is about to be committed.