PRIVACY DAILY 36/2023

Apple è stata citata in tribunale con l’accusa di aver mentito ai consumatori sulla privacy per ottenere un vantaggio sui concorrenti. Le azioni legali intraprese presso le corti federali della California e di New York, riguardano la violazione della privacy, l’arricchimento senza causa e la concorrenza sleale. Le accuse fanno riferimento a uno studio condotto dai ricercatori della società di software Mysk, che avrebbe rilevato che le impostazioni sulla privacy di Apple non impedirebbero all’azienda di raccogliere dati. Viene, così, messa in dubbio la posizione dell’amministratore delegato Tim Cook, che aveva dichiarato: “La privacy è un diritto fondamentale e in Apple la integriamo in tutti i prodotti e servizi. Dovete essere voi a controllare i vostri dati, non il miglior offerente”; e anche una recente pubblicità dell’azienda di Cupertino, che recita: “I dati sono vostri e l’iPhone vi aiuta a mantenerli tali”. Alla società viene infatti contestato di aver ingannato gli utenti facendo credere loro che i loro dati siano protetti disattivando la funzione “Consenti alle app di richiedere il tracciamento”, mentre in realtà raccoglie e sfrutta tali dati, tra cui la cronologia di navigazione, le comunicazioni e gli identificatori personali. Tuttavia, rispondendo alle accuse Apple ha affermato che: “Le informazioni identificabili non vengono mai condivise con terze parti e non vengono utilizzate per tracciare gli utenti all’interno di app e siti web. Tutti i dati utilizzati a fini pubblicitari sono dissociati dagli identificatori personali e Apple Advertising opera sulla base di dati de-identificati”. All’orizzonte si profila una dura schermaglia.

La polizia di Toronto inizierà a eliminare i cognomi e il sesso delle persone scomparse dagli annunci a loro riferiti. Questa nuova politica ha lo scopo di contemperare la tutela della privacy con la messa a disposizione delle informazioni necessarie per localizzare gli scomparsi. Dettagli come il nome di battesimo e la descrizione fisica e dell’abbigliamento di una persona scomparsa rimarranno pubblici, così come l’ora e il luogo dell’ultima apparizione. “Pubblicando solo il nome di battesimo, le persone scomparse possono ancora essere trovate, ma il loro nome completo non viene associato per sempre all’evento”, ha dichiarato Nicole Corrado, una delle maggiori sostenitrici di questo cambio di rotta, aggiungendo che “nessuno vuole essere definito dal suo giorno peggiore”. La polizia ha dichiarato che la foto di una persona scomparsa continuerà a essere condivisa pubblicamente nelle newsletter e sui social media, quando disponibile. Le informazioni sul cognome e sul sesso saranno incluse solo caso per caso, e non ci saranno cambiamenti nei meccanismi di diffusione per la visualizzazione pubblica dei dati di una persona scomparsa, ha detto la polizia.

Tra oggi e mercoledì sia Facebook che la società madre Meta dovranno affrontare le aule di tribunale in Kenya. Il primo caso riguarda le condizioni di lavoro dei dipendenti della società Sema, molti dei quali kenioti, che moderano i contenuti presenti su Facebook. Il secondo caso riguarda, invece, i discorsi di odio durante il conflitto del Tigray, durato due anni e recentemente conclusosi. Entrambe le cause si basano sulla medesima questione: Meta Platform Inc., pur essendo una società straniera, è soggetta alle leggi del Paese? Meta ha sostenuto che la Costituzione keniota non può essere applicata a entità aziendali che operano al di fuori del territorio del Kenya. Le controparti affermano, invece, che Meta genera entrate dai kenioti attraverso la pubblicità, elabora informazioni e dati personali, paga la tassa sui servizi digitali al governo ed è quindi vincolata dal Data Protection Act del 2019. Queste udienze arrivano appena una settimana dopo l’intervento del Presidente William Ruto alla Giornata internazionale della privacy 2023, in cui ha espresso con forza una “visione chiara di un’economia trasformata in digitale, di un’identità digitale dei cittadini e di un regime di protezione dei dati che difenda la nostra privacy, crei fiducia a livello globale ed espanda il commercio elettronico in Kenya e nel mondo”.

English version

Apple was sued in court on charges of lying to consumers about privacy to gain an advantage over competitors. The lawsuits, filed in federal courts in California and New York, allege breach of an implied contract, invasion of privacy, unjust enrichment and unfair competition. The accusations refer to a study conducted by researchers from the software company Mysk, which allegedly found that Apple’s privacy settings do not prevent the company from collecting data. Thus, the position of CEO Tim Cook, who had declared: “Privacy is a fundamental right and at Apple we integrate it into all products and services. You should be the one in control of your data, not the highest bidder’ and an advertisement that reads: ‘Your data is yours and iPhone helps you keep it that way’. The company is accused of misleading users into believing that their data is protected by disabling the ‘Allow apps to request tracking’ function, when in fact it collects and exploits data, including browsing history, communications and personal identifiers. However, responding to the allegations Apple stated that: “Identifiable information is never shared with third parties and is not used to track users within apps and websites. All data used for advertising purposes is decoupled from personal identifiers, and Apple Advertising operates on a de-identified data basis’. A tough skirmish is on the horizon.

The Toronto Police Department will begin removing the surnames and gender of missing persons from advertisements referring to them. This new policy is intended to balance the protection of privacy with providing the information needed to locate the missing. Details such as the first name and physical and clothing description of a missing person will remain public, as will the time and place of last appearance. “By publishing only the first name, missing persons can still be found, but their full name is not forever associated with the event,” said Nicole Corrado, a leading proponent of this change, adding that “no one wants to be defined by their worst day.” The police stated that the photo of a missing person will continue to be shared publicly in newsletters and on social media when available. Surname and gender information will only be included on a case-by-case basis, and there will be no change in the dissemination mechanisms for the public display of a missing person’s data, police said.

Between today and Wednesday, both Facebook and its parent company Meta will face courtrooms in Kenya. The first case concerns the working conditions of employees of the company Sema, many of them Kenyans, who moderate content on Facebook. The second case concerns hate speech during the Tigray conflict, which lasted two years and recently ended. Both cases are based on the same question: is Meta Platform Inc., despite being a foreign company, subject to the laws of the country? Meta argued that the Kenyan Constitution cannot be applied to corporate entities operating outside the territory of Kenya. Instead, the counterparts argue that Meta generates revenue from Kenyans through advertising, processes personal information and data, pays digital services tax to the government and is therefore bound by the Data Protection Act of 2019. These hearings come just a week after President William Ruto spoke at the International Privacy Day 2023, in which he forcefully articulated a “clear vision of a digitally transformed economy, a digital identity for citizens and a data protection regime that defends our privacy, builds global trust and expands e-commerce in Kenya and around the world”.

Digitale: caos password, a breve ne potrebbe bastare una sola

ZCZC
AGI0768 3 ECO 0 R01 /

(AGI) – ROMA, 23 GEN – Una password. Una. Per posta, telefonino, account, abbonamenti e servizi di ogni tipo. Per molti, alle prese con improvvisi vuoti di memoria, post-it e appunti sparsi in ogni angolo della scrivania, sarebbe un sogno. E sarebbe anche molto piu’ sicuro. Ecco, a breve potrebbe essere realta’.
Si chiama Passkeys il sistema a cui stanno lavorando Apple, Google e Microsof. Si tratta di buona sostanza di una password che viene digitata come quando vogliamo sbloccare un normale smartphone, ovvero con il riconoscimento biometrico o un pin (o una combinazione delle due).
Tecnicamente si tratta di una password che permette l’accesso ad un server (per il quale si dispone di un account) che a sua volta contiene password create per ogni sito registrato. Quando si accede al servizio il sistema controlla che la password salvata nei server e quella salvata sul dispositivo combacino e permette l’autenticazione.

Tecnicamente complicato, praticamente rapido.

Come usare una carta di credito, processo che richiede varie fasi di autenticazione, che non coinvolgono pero’ alcuna azione dell’utente, e che rende “l’esperienza piu’ o meno la stessa ovunque si vada” ha spiegato Derek Hanson, vicepresidente di Yubico, societa’ che sta lavorando all’architettura del sistema.

I vantaggi dal punto di vista della praticita’ sono evidenti. Dal punto di vista della sicurezza passkey permette: una password per ogni servizio (quindi in caso di violazione dei dati i danni provocati da malintenzionati sono piu’ contenuti) e consente di abbinare la porzione di password presente nel server a quella presente nel device utilizzato (e questo rende decisamente piu’ complicato il lavoro di eventuali hacker).

(AGI)Rib 231641 GEN 23).

RS
2023-01-16 18:18 NNNN

Privacy Daily 10/2023

La Corte d’appello del primo distretto dell’Illinois ha stabilito che gli strumenti di identificazione del volto e delle impronte digitali di Apple non violano il Biometric Information Privacy Act (BIPA) dello stato,riferisce Bloomberg. Nel suo ragionamento, il tribunale dell’Illinois ha rilevato che gli utenti abbiano volontariamente attivato funzionalità opzionali come Touch ID e Face ID, i loro dati siano stati archiviati localmente sui propri dispositivi e la società non abbia in effetti raccolto o archiviato tali dati su server separati. Apple quindi non possedeva né controllava i dati degli utenti, il che avrebbe fatto scattare i limiti previsti dal Biometric Act. Una proposta di azione legale collettiva intentata dall’utente David Barnett del giugno 2021 sosteneva che Apple possedesse e controllasse i dati degli utenti protetti dal BIPA senza averne ottenuto il consenso.

Le pressioni commerciali sui bambini, attraverso l’implacabile marketing diretto, aggirano il controllo dei dei genitori e negli USA cresce sempre più la preoccupazione per il proliferare di app create per ottenere un gran numero di dati personali allo scopo di aumentare le vendite mirate e il tempo di visualizzazione connesso a Internet. Il legislatore della California ha approvato un disegno di legge che, a partire dal 2024, ordina esplicitamente alle aziende di “dare la priorità alla privacy, alla sicurezza e al benessere dei bambini rispetto agli interessi commerciali “. Decine di organizzazioni di cittadini/genitori negli USA si dedicano a quello che uno di loro – Fairplay for Kids – descrive come “un mondo in cui i bambini possono essere bambini, liberi dalle false promesse dei venditori e dalle manipolazioni della Big Tech”. 

Il Central Digital and Data Office (CDDO) e il Center for Data Ethics and Innovation (CDEI) hanno lanciato un Algorithmic Transparency Recording Standard Hub per aiutare le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano e sul perché abbiamo scelto di usarli. Lo scopo dell’hub è promuovere la trasparenza nell’uso degli algoritmi da parte del settore pubblico e realizza gli impegni presi sia nella strategia nazionale sui dati del governo sia nella strategia nazionale sull’IA del Regno Unito

English Translation

The Illinois First District Court of Appeals has ruled that Apple’s face and fingerprint identification tools do not violate the state’s Biometric Information Privacy Act (BIPA), Bloomberg reports. In its reasoning, the Illinois court found that users voluntarily activated optional features such as Touch ID and Face ID, their data was stored locally on their devices, and the company did not in fact collect or store this data on separate servers. Apple therefore neither owned nor controlled the users’ data, which would have triggered the requirements of the Biometric Act. A proposed class action lawsuit filed by user David Barnett in June 2021 alleged that Apple possessed and controlled user data protected by BIPA without obtaining consent.

Commercial pressures on children, through relentless direct marketing, circumvent parental control and there is growing concern in the US about the proliferation of apps created to obtain large amounts of personal data for the purpose of increasing targeted sales and internet-connected screen time. The California legislature passed a bill that, starting in 2024, explicitly orders companies to “prioritise the privacy, safety, and well-being of children over commercial interests”. Dozens of citizen/parent organisations in the US are dedicated to what one of them – Fairplay for Kids – describes as ‘a world where children can be children, free from the false promises of marketers and the manipulations of Big Tech’. 

The Central Digital and Data Office (CDDO) and the Centre for Data Ethics and Innovation (CDEI) have launched an Algorithmic Transparency Recording Standard Hub to help public sector organisations provide clear information about the algorithmic tools they use and why we choose to use them. The aim of the hub is to promote transparency in the use of algorithms by the public sector and delivers on commitments made in both the government’s National Data Strategy and the UK’s National AI Strategy

Le iniziative delle altre Autorità

Sanzione da 8 milioni di euro del Garante francese (CNIL) a Apple

Il 29 dicembre 2022, il Garante privacy francese (CNIL) ha inflitto una sanzione da 8 milioni di euro ad Apple Distribution International per aver utilizzato gli identificatori memorizzati sui devices degli utenti francesi di iPhone (versione iOS 14.6) a fini pubblicitari.

A seguito di una serie di ispezioni, condotte dalla CNIL tra il 2021 e il 2022, è emerso che con la versione 14.6 del sistema operativo dell’iPhone, quando un utente visitava l’App Store, gli identificatori – utilizzati per vari fini, tra cui quello pubblicitario – venivano letti automaticamente senza ottenere il consenso.

Infatti, le impostazioni di targeting pubblicitario disponibili dall’icona “Impostazioni” dell’iPhone erano preselezionati by default e per disattivarle l’utente avrebbe dovuto eseguire diverse azioni (cliccare sull’icona “Impostazioni” dell’iPhone, poi andare nel menu “Privacy” e infine nella sezione “Pubblicità Apple”).

Pertanto la CNIL, riscontrando una violazione dell’art. 82 della Loi Informatique et Libertés ha sanzionato Apple Distribution International per 8 milioni di euro. Nel valutare l’importo l’Autorità transalpina ha tenuto conto del numero di persone coinvolte in Francia e dei profitti che l’azienda ha ottenuto grazie agli introiti pubblicitari indirettamente generati dai dati raccolti, ma anche dell’ambito limitato del trattamento (App Store) e del fatto che l’azienda si è poi adeguata.

È interessante notare che la CNIL si è considerata competente sulla vicenda da cui è scaturita la sanzione senza attivare il meccanico dello one-stop shop previsto dal GDPR. Infatti, l’Autorità ha ritenuto che le operazioni connesse all’uso degli identificatori rientrassero nell’ambito di applicazione della direttiva ePrivacy, recepita appunto nell’art. 82 della Loi Informatique et Libertés.

Inoltre, un altro elemento che ha fatto propendere la CNIL per l’affermazione della sua competenza territoriale è il fatto che gli identificatori siano stati utilizzati ne quadro delle attività di Apple Retail France e Apple France, vale a dire “stabilimenti” del gruppo Apple in Francia. Tuttavia, la sanzione è stata irrogata ad Apple Distribution International (società con sede in Irlanda) in quanto ritenuta responsabile degli annunci personalizzati sull’App Store.