PRIVACY DAILY 73/2023

È morto Spiros Simitis, primo giurista ad aver formulato il diritto alla protezione dei dati personali. Si è spento all’età di 88 anni a Königsstein (Taunus) il professore greco, naturalizzato tedesco, padre della prima legge sulla protezione dei dati personali in Europa, adottata dal Land dell’Assia nel 1970. La storia globale della protezione dei dati inizia, infatti, proprio con questa legge, da cui hanno preso le mosse tutte le normative successive. Simitis, allora giovane professore presso l’Università Johann Wolfgang Goethe di Francoforte, ha messo a punto il testo normativo ed è stato, poi, commissario per la protezione dei dati dell’Assia dal 1975 al 1991. “Forse non è riuscito a far rispettare a tutti la protezione dei dati, ma è riuscito a farla conoscere a tutti” commenta la stampa tedesca. Ed in effetti, Spiros Simitis ha iniziato a studiare la protezione dei dati quando i computer erano ancora delle enormi scatole e venivano programmati con il nastro perforato, arrivando fino al cloud computing. Per lui, però, è stato subito chiaro che la protezione dei dati non era soltanto un aspetto della privacy, ma una forma di protezione della democrazia stessa. Nel pensiero di Simitis, il controllo sulle informazioni rappresenta, infatti, un prerequisito fondamentale delle società democratiche. Nato ad Atene, figlio di un avvocato, Spiros Simitis è arrivato in Germania all’età di 17 anni per studiare legge con il fratello Kostas, che in seguito è diventato primo ministro della Grecia. Ha conseguito il dottorato a 22 anni e l’abilitazione a 29. È stato professore prima a Giessen, poi a Francoforte, con cattedre di diritto civile, diritto commerciale, diritto del lavoro e informatica giuridica, nonché visiting professor in prestigiosi Atenei, tra cui Yale, Berkeley e Parigi.

Allo staff del Cremlino coinvolto nella campagna elettorale per le presidenziali del 2024 è stato vietato l’uso degli iPhone. Il giorno dopo la prima visita di Putin in Ucraina, si è diffusa la notizia, riferita dal giornale russo Kommersant, che ai membri dello staff coinvolti nella campagna per la rielezione dello stesso Putin alle presidenziali del 2024 è stato vietato, a partire dal prossimo 1° aprile, l’uso degli iPhone per il timore che i dispositivi possano essere vulnerabili alle agenzie di intelligence occidentali. Secondo la fonte citata dal Kommersant, i funzionari sono stati esortati a sostituire i loro iPhone con telefoni Android o con i loro analoghi di produzione cinese o russa. Finora provvedimenti di questo genere erano stati presi solo «in direzione opposta», ovvero da Occidente ad Oriente e in relazione ad aziende (e prodotti) cinesi, causando in alcuni casi veri e propri terremoti sul mercato degli smartphone, come quando nel 2019 il governo degli Stati Uniti ha messo al bando Huawei per timori analoghi o quando recentemente — riportava giorni fa il Financial Times — ha sospeso l’emissione di licenze per le esportazioni tecnologiche «made in Usa» a Huawei e imposto restrizioni all’esportazione di semiconduttori a diversi gruppi cinesi, per il timore che la società aiuti il governo di Pechino nello spionaggio. Non si dimentichi, inoltre, l’arresto da parte della polizia canadese, su mandato di cattura americano, della direttrice finanziaria di Huawei, Meng Wanzhou, figlia del fondatore dell’azienda, nel dicembre 2018. Sempre in Occidente, tre settimane fa la Commissione Ue ha chiesto a tutti i dipendenti, come già aveva fatto il governo americano, di disinstallare l’app cinese TikTok dai telefoni professionali, consentendone l’uso solo su quelli personali se non contengono documenti di lavoro.

Abuso di posizione dominante all’interno del suo mercato online, potenziali violazioni della privacy dei consumatori connesse alle sue telecamere Ring e all’assistente digitale Alexa. Sono i tre filoni lungo i quali l’Amministrazione Biden intende agire nei confronti del colosso Amazon, che ha all’attivo almeno una dozzina di importanti indagini a suo carico e che potrebbero creare non pochi problemi. Da ultimo, si è anche aggiunta da parte dell’FTC, l’istruttoria sull’acquisto del produttore di aspirapolveri iRobot. Sebbene Amazon sia già stata colpita da diverse controversie legali sotto il profilo antitrust a livello statale – sia a Washington che in California – le prossime cause federali rappresenterebbero le sfide più significative per l’azienda. Lunga è la contrapposizione tra l’FTC e Amazon, citata in giudizio anche con l’accusa di aver trattenuto illegalmente le mance da alcuni autisti addetti alle consegne. L’azienda ha risolto il caso, pagando quasi 60 milioni di dollari per rimborsare gli autisti. Nell’ultimo anno, i funzionari dell’Amministrazione Biden hanno seguito e con molta decisione le fusioni aziendali e le mosse delle aziende tecnologiche. L’anno scorso, ad esempio, la FTC ha fatto causa per bloccare l’acquisto di Activision da parte di Microsoft per 69 miliardi di dollari, e il Dipartimento di Giustizia ha due cause contro Google per le sue attività di ricerca e pubblicità, oltre a preparare un caso antitrust contro Apple. Stando a indiscrezioni, ci sono almeno due indagini della FTC aperte sulla privacy, una sul business delle videocamere e dei sistemi di sicurezza Ring di Amazon e l’altra sull’assistente vocale Alexa per potenziali violazioni del Children’s Online Privacy Protection Act. L’esito di almeno una di queste potrebbe arrivare nei prossimi due mesi. I rappresentanti della FTC e di Amazon hanno, però, rifiutato di commentare le indagini.

English version

Spiros Simitis, the first jurist to formulate the right to personal data protection, has died. The Greek professor, naturalised German, father of the first data protection law in Europe, adopted by the Land of Hesse in 1970, died at the age of 88 in Königsstein (Taunus). In fact, the global history of data protection begins with this very law, from which all subsequent regulations have been based. Simitis, then a young professor at Frankfurt’s Johann Wolfgang Goethe University, developed the regulatory text and was then Hessen’s data protection commissioner from 1975 to 1991. ‘He may not have succeeded in enforcing data protection for everyone, but he managed to make it known to everyone,’ comments the German press. And indeed, Spiros Simitis started studying data protection when computers were still huge boxes and were programmed with punched tape, all the way to cloud computing. For him, however, it was immediately clear that data protection was not just an aspect of privacy, but a form of protection of democracy itself. In Simitis’ thinking, control over information is, in fact, a fundamental prerequisite of democratic societies. Born in Athens, the son of a lawyer, Spiros Simitis came to Germany at the age of 17 to study law with his brother Kostas, who later became prime minister of Greece. He obtained his doctorate at the age of 22 and his habilitation at 29. He was a professor first in Giessen, then in Frankfurt, holding professorships in civil law, commercial law, labour law and legal informatics, as well as a visiting professor at prestigious universities, including Yale, Berkeley and Paris.

Kremlin staff members involved in the 2024 presidential election campaign have been banned from using iPhones. The day after Putin’s first visit to Ukraine, news broke, reported by the Russian newspaper Kommersant, that staff members involved in Putin’s 2024 presidential re-election campaign have been banned from using their iPhones as of 1 April due to fears that the devices could be vulnerable to Western intelligence agencies. According to the source quoted by Kommersant, officials were urged to replace their iPhones with Android phones or their Chinese- or Russian-made analogues. Until now, such measures had only been taken ‘in the opposite direction’, i.e. from West to East and in relation to Chinese companies (and products), in some cases causing real earthquakes on the smartphone market, such as when in 2019 the US government banned Huawei due to similar fears, or when recently – the Financial Times reported days ago – it suspended the issuing of licences for ‘made in the USA’ technology exports to Huawei and imposed restrictions on the export of semiconductors to several Chinese groups, due to fears that the company would aid the Beijing government in spying. Let us also not forget the arrest by Canadian police, on a US arrest warrant, of Huawei’s chief financial officer, Meng Wanzhou, daughter of the company’s founder, in December 2018. Also in the West, three weeks ago the EU Commission asked all employees, as the US government had already done, to uninstall the Chinese app TikTok from professional phones, allowing its use only on personal ones if they do not contain work documents.

Abuse of dominant position within its online marketplace, potential violations of consumer privacy related to its Ring cameras and digital assistant Alexa. These are the three strands along which the Biden administration intends to take action against the giant Amazon, which has at least a dozen major investigations against it to its credit and which could create quite a few problems. Most recently, the FTC has also added the investigation into Amazon’s purchase of vacuum cleaner manufacturer iRobot. Although Amazon has already been hit by several antitrust litigations at the state level – both in Washington and California – the upcoming federal lawsuits would represent the most significant challenges for the company. Long is the dispute between the FTC and Amazon, which is also being sued on charges of illegally withholding tips from some delivery drivers. The company settled the case, paying nearly $60 million to reimburse the drivers. Over the past year, Biden administration officials have been very vocal in following corporate mergers and moves by technology companies. Last year, for example, the FTC sued to block Microsoft’s $69 billion purchase of Activision, and the Justice Department has two lawsuits against Google over its search and advertising activities, as well as preparing an antitrust case against Apple. According to rumours, there are at least two open FTC privacy investigations, one on Amazon’s Ring camera and security systems business and the other on the voice assistant Alexa for potential violations of the Children’s Online Privacy Protection Act. The outcome of at least one of these could come within the next two months. Representatives of the FTC and Amazon have, however, declined to comment on the investigation.

PRIVACY DAILY 71/2023

Amazon è stata citata in giudizio per non aver avvisato i suoi clienti di New York City che erano monitorati dalla tecnologia di riconoscimento facciale. La class action ha preso di mira i minimarket Amazon Go, contestando che la tecnologia fosse stata impiegata senza previo avvertimento. Grazie a una legge del 2021, New York è l’unica grande città americana a richiedere alle aziende di affiggere cartelli che indichino se stanno trattando le informazioni biometriche dei clienti, come le scansioni facciali o le impronte digitali. Amazon ha aperto i negozi Go nel 2018, promettendo che i clienti potevano entrare, prendere i prodotti che volevano dagli scaffali e andarsene senza fare il check-out. L’azienda monitora le azioni dei visitatori e addebita i loro conti quando lasciano il negozio. Così la società ha aperto la sua prima sede a New York e, secondo il suo sito web, ad oggi ha 10 negozi, tutti a Manhattan. Per rendere possibile la formula “Just Walk Out”, i negozi Amazon Go raccolgono e utilizzano costantemente informazioni biometriche dei clienti, tra cui la scansione dei palmi delle mani e applicazioni di computer vision per identificarli, algoritmi di deep learning e sensori che misurano la forma e le dimensioni del corpo di ciascun cliente non solo per identificarlo, ma anche per tracciarne gli spostamenti all’interno dei negozi e determinare ciò che ha acquistato. Tuttavia, stando al contenuto dell’atto di citazione, Amazon ha affisso solo di recente dei cartelli che informano i clienti di New York dell’uso della tecnologia di riconoscimento facciale, più di un anno dopo l’entrata in vigore della legge del 2021.

L’Health Industry è sollecitata a proteggere i dati mentre si diffondono i cyberattacchi. L’ondata di attacchi informatici ai sistemi sanitari sottolinea la necessità di rivalutare costantemente i controlli di sicurezza per ridurre al minimo il rischio che gli hacker ottengano i dati dei pazienti attraverso truffe, phishing e altri metodi di data infiltration. Negli Stati Uniti, l’ufficio federale competente si sta facendo carico di un importante lavoro sulla sicurezza informatica e, proprio per questo, aggiungerà “data and cybersecurity” al nome della sua divisione per la privacy delle informazioni sanitarie. L’80% dei grandi data breach è riconducibile ad attacchi informatici. Il numero di violazioni di dati che coinvolgono dati sanitari non protetti di 500 o più individui è salito a più di 600 all’anno nel 2020 e nel 2021, una tendenza che secondo l’OCR sta continuando. Gli aggressori che tentano di diffondere il ransomware spesso si concentrano sul settore sanitario, proprio perché le organizzazioni sanitarie detengono molti dati sensibili sulle persone, sia che si tratti di informazioni demografiche, che di informazioni mediche sensibili e, naturalmente, di informazioni finanziarie. L’aumento degli hackeraggi riflette in parte la maggiore digitalizzazione dei dati sanitari, un cambiamento gradito per un settore che all’inizio del XXI secolo ancora si basava su registri cartacei e fax. Con l’aumento della digitalizzazione diventa più facile per i sistemi sanitari parlare tra loro e scambiare informazioni. Ma questo può creare anche maggiori opportunità per gli attori malintenzionati di cercare di infiltrarsi in questi sistemi e nelle comunicazioni.

La polizia lussemburghese sarà dotata di bodycam. Stando alla proposta di legge numero 8065, 1.682 agenti di polizia saranno dotati di queste telecamere e a tale scopo sono stati stanziati sei milioni di euro per i prossimi cinque anni. Sul punto ha preso posizione anche la Commissione consultiva per i diritti umani, la quale si è dichiarata favorevole all’iniziativa. A differenza delle telecamere che sorvegliano lo spazio pubblico, le bodycam riprenderanno anche gli spazi privati, ad esempio quando la polizia viene chiamata in un appartamento. In termini di diritti umani e protezione dei dati, la situazione è più complessa. “Non vogliamo una situazione come quella cinese”, ha spiegato Gilbert Pregno, presidente della Commissione. Le telecamere dovrebbero avere un effetto preventivo e preservare le prove quando gli agenti di polizia vengono aggrediti. In particolare, il governo considera le bodycam come un mezzo per proteggere gli agenti di polizia da attacchi da parte del pubblico. “Il lavoro della polizia non è diventato più facile negli ultimi anni”, ha affermato Gilbert Pregno. È importante poter dimostrare, in caso di controversia, che gli agenti hanno seguito le regole, in quanto le bodycam sono una “protezione per la polizia”. Ovviamente ci sono delle condizioni specifiche di utilizzo: la legge limita l’uso delle bodycam al di fuori dello spazio pubblico. Pertanto, un agente di polizia dovrebbe registrare immagini con la sua bodycam solo se qualcuno chiede aiuto o in situazioni di violenza domestica, nonché in caso di flagranza di reato o quando ci sono indizi che un reato sta per essere commesso.

English version

Amazon was sued for failing to warn its New York City customers that they were being monitored by facial recognition technology. The class action targeted Amazon Go convenience stores, alleging that the technology was deployed without prior warning. Thanks to a 2021 law, New York City is the only major US city to require businesses to post signs indicating whether they are processing customers’ biometric information, such as facial scans or fingerprints. Amazon opened Go shops in 2018, promising that customers could walk in, grab the products they wanted from the shelves and leave without checking out. The company monitors visitors’ actions and charges their accounts when they leave the shop. So the company opened its first location in New York and, according to its website, has 10 shops to date, all in Manhattan. To make the ‘Just Walk Out’ formula possible, Amazon Go shops constantly collect and use biometric information from customers, including palm scanning and computer vision applications to identify them, deep learning algorithms, and sensors that measure the shape and size of each customer’s body not only to identify them, but also to track their movements within the shops and determine what they have purchased. However, according to the contents of the lawsuit, Amazon has only recently posted signs informing New York customers of the use of facial recognition technology, more than a year after the 2021 law takes effect.

The health industry is urged to protect data as cyber attacks spread. The wave of cyber attacks on healthcare systems underlines the need to constantly reassess security controls to minimise the risk of hackers obtaining patient data through scams, phishing and other data infiltration methods. In the United States, the relevant federal office is taking on major work on cybersecurity, and is adding ‘data and cybersecurity’ to the name of its health information privacy division. Eighty per cent of large data breaches are attributable to cyber attacks. The number of data breaches involving unprotected health data of 500 or more individuals rose to more than 600 per year in 2020 and 2021, a trend that OCR says is continuing. Attackers attempting to spread ransomware often focus on the healthcare sector, precisely because healthcare organisations hold a lot of sensitive data on individuals, be it demographic information, sensitive medical information and, of course, financial information. The increase in hacks partly reflects the increased digitisation of healthcare data, a welcome change for an industry that still relied on paper records and faxes at the beginning of the 21st century. As digitisation increases, it becomes easier for health systems to talk to each other and exchange information. But this can also create more opportunities for malicious actors to try to infiltrate these systems and communications.

The Luxembourg police will be equipped with bodycams. According to bill number 8065, 1,682 police officers will be equipped with these cameras and six million euros have been allocated for this purpose for the next five years. The Advisory Commission on Human Rights has also taken a stand on the issue, which has declared itself in favour of the initiative. Unlike cameras that monitor public space, bodycams will also film private spaces, for example when the police are called to a flat. In terms of human rights and data protection, the situation is more complex. “We do not want a situation like the one in China,” explained Gilbert Pregno, chairman of the Commission. Cameras should have a preventive effect and preserve evidence when police officers are attacked. In particular, the government sees bodycams as a means to protect police officers from attacks by the public. ‘Police work has not become any easier in recent years,’ said Gilbert Pregno. It is important to be able to prove in the event of a dispute that the officers followed the rules, as bodycams are a ‘police protection’. Of course there are specific conditions of use: the law restricts the use of bodycams outside public space. Therefore, a police officer should only record images with his bodycam if someone calls for help or in situations of domestic violence, as well as in cases of flagrante delicto or when there are indications that a crime is about to be committed.