PRIVACY DAILY 92/2023

Microsoft dovrebbe sospendere il suo investimento in un nuovo data center cloud in Arabia Saudita fino a quando non sarà in grado di dimostrare chiaramente come mitigherà il rischio di gravi violazioni dei diritti umani. Lo ha dichiarato Human Rights Watch. Nel febbraio 2023, Microsoft ha annunciato l’intenzione di investire in un data center in Arabia Saudita per offrire servizi cloud aziendali, nonostante il governo abbia compiuto più volte operazioni di infiltrazione nelle piattaforme tecnologiche e nonostante la continua repressione interna. Secondo HRW, le leggi dell’Arabia Saudita minano gravemente il diritto alla privacy, consentono una sorveglianza statale incontrollata e permettono di accedere ai dati per “motivi di sicurezza” troppo ampi e mal definiti, sollevando serie preoccupazioni sulla capacità di Microsoft di rispettare le proprie responsabilità in materia di diritti umani mentre opera nel Paese. “Le autorità saudite hanno violato gravemente il diritto alla privacy dei propri cittadini violando i telefoni, infiltrandosi nelle principali aziende tecnologiche e approvando leggi che concedono ampi poteri di sorveglianza agli enti governativi”, ha dichiarato Arvind Ganesan, direttore per la giustizia economica e i diritti umani di Human Rights Watch. “Microsoft non dovrebbe chiudere gli occhi di fronte agli abusi dell’Arabia Saudita e dovrebbe sospendere gli investimenti fino a quando l’azienda non sarà in grado di spiegare in modo significativo come mitigherà i rischi per i diritti umani”. Human Rights Watch ha scritto a Microsoft già nel febbraio 2023 evidenziando queste preoccupazioni e Microsoft ha risposto sottolineando il proprio impegno nell’implementare i Trusted Cloud Principles e l’approccio adottato per la gestione di data center in Paesi o regioni con problemi di diritti umani, ma ha chiesto che le sue risposte rimanessero ufficiose. I Trusted Cloud Principles (iniziativa dei giganti tecnologici globali) sostengono le leggi che consentono ai governi di richiedere i dati attraverso un processo trasparente che rispetti lo stato di diritto e gli standard dei diritti umani riconosciuti a livello internazionale. Secondo HRW, le leggi e le pratiche dell’Arabia Saudita sono molto al di sotto degli standard internazionali sui diritti umani e degli standard delineati nei Trusted Cloud Principles di Microsoft.

L’Autorità Austriaca per la protezione dei dati (DSB) ha stabilito che i lettori possono dire specificamente “sì” o “no” ai cookie paywall. Lo ha annunciato NOYB. Questo gruppo per i diritti civili sulla privacy digitale ha presentato una serie di reclami contro i cookie paywall di sette siti web di notizie tedeschi e austriaci nel 2021. L’autorità austriaca per la protezione dei dati ha raggiunto una decisione sul reclamo contro il giornale austriaco derStandard.at alla fine di marzo, mentre le decisioni delle autorità tedesche sono ancora in sospeso. SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at e t-online.de sono stati accusati di aver implementato una soluzione “pay or okay”. Questo cookie paywall chiede agli utenti di acconsentire alla condivisione dei dati con le società di tracciamento o di pagare per un abbonamento senza tracciamento. Secondo NOYB, il problema principale è il costo sproporzionato tra le spese di abbonamento e la condivisione dei dati. All’epoca in cui NOYB ha presentato la denuncia, derStandard.at faceva pagare l’abbonamento senza tracciamento “Pur-Abo” 96 euro all’anno. Il gruppo per i diritti civili ritiene che, al contrario, si ricavi dalla pubblicità sarebbero più contenuti. “Se lo permettiamo, insistere sul proprio diritto fondamentale costerà semplicemente da 10 a 100 volte di più, tanto vale abolirlo. È affascinante che il DSB ignori qualsiasi affermazione in tal senso”, ha dichiarato Max Schrems, attivista austriaco per la privacy e fondatore di NOYB. Gli editori, tuttavia, hanno sottolineato che i servizi dei media sono servizi giornalistici e che i paywall migliorano la monetizzazione dei contenuti e quindi finanziano il giornalismo.

New York vorrebbe vietare alle aziende (dagli stadi ai negozi al dettaglio) di utilizzare il riconoscimento facciale o altre tecnologie di sorveglianza per identificare i clienti. Lo rivela Bloomberg. La proposta sarà presentata ufficialmente alla riunione del Consiglio comunale di New York il 27 aprile, dopo essere stata esaminata dalla Commissione per la tecnologia due giorni prima. L’idea nasce a seguito delle polemiche scaturite da una politica della Madison Square Garden Entertainment Corp. che ha vietato ad alcuni avvocati l’accesso alle sue sedi, tra cui il Radio City Music Hall e il Madison Square Garden. Gli avvocati lavoravano per studi coinvolti in controversie attive contro la società. MSG ha applicato questa politica utilizzando il riconoscimento facciale, scatenando un’ondata di proteste da parte dell’opinione pubblica che ha portato a una causa contro MSG e a indagini da parte del procuratore generale di New York. La consigliera comunale Shahana Hanif è la promotrice della proposta che renderebbe “illegale” l’uso di tecnologie di riconoscimento biometrico per l’identificazione dei clienti da parte di luoghi di pubblico esercizio. “La mia esperienza di newyorkese musulmana cresciuta nell’era della sorveglianza dopo l’11 settembre mi ha costretto a prestare attenzione a come l’eccessiva sorveglianza e la tecnologia invasiva possano essere usate per discriminare i newyorkesi di colore”, ha scritto Hanif in una dichiarazione a Bloomberg Law. “I recenti eventi al Madison Square Garden sono un esempio di alto profilo delle inevitabili violazioni della libertà civile che si verificano quando i nostri governi permettono alle aziende private di utilizzare questi strumenti”, ha aggiunto. Le aziende potrebbero essere ritenute responsabili di danni fino a 5.000 dollari per ogni violazione della legge. La proposta di Hanif modificherebbe le disposizioni comunali entrate in vigore nel luglio 2021 che impongono a tutti gli esercizi commerciali che raccolgono dati biometrici di rendere nota questa pratica con una segnaletica “chiara e visibile” in prossimità degli ingressi.

English version

Microsoft should suspend its investment in a new cloud data centre in Saudi Arabia until it can clearly demonstrate how it will mitigate the risk of serious human rights violations. This was stated by Human Rights Watch. In February 2023, Microsoft announced plans to invest in a data centre in Saudi Arabia to offer corporate cloud services, despite the government’s repeated infiltration of technology platforms and despite ongoing internal repression. According to HRW, Saudi Arabia’s laws severely undermine the right to privacy, allow unchecked state surveillance, and allow access to data for overly broad and ill-defined ‘security reasons’, raising serious concerns about Microsoft’s ability to fulfil its human rights responsibilities while operating in the country. “Saudi authorities have grossly violated their citizens’ right to privacy by hacking phones, infiltrating major tech companies, and passing laws that grant broad surveillance powers to government agencies,” said Arvind Ganesan, economic justice and human rights director at Human Rights Watch. “Microsoft should not turn a blind eye to Saudi Arabia’s abuses and should suspend investments until the company can meaningfully explain how it will mitigate human rights risks.” Human Rights Watch wrote to Microsoft as early as February 2023 highlighting these concerns, and Microsoft responded by emphasising its commitment to implementing the Trusted Cloud Principles and its approach to operating data centres in countries or regions with human rights concerns, but asked that its response remain unofficial. The Trusted Cloud Principles (an initiative of global technology giants) support laws that allow governments to request data through a transparent process that respects the rule of law and internationally recognised human rights standards. According to HRW, Saudi Arabia’s laws and practices fall far short of international human rights standards and the standards outlined in Microsoft’s Trusted Cloud Principles.

The Austrian Data Protection Authority (DSB) has ruled that readers can specifically say ‘yes’ or ‘no’ to paywall cookies. This was announced by NOYB. This digital privacy civil rights group filed a series of complaints against the cookie paywalls of seven German and Austrian news websites in 2021. The Austrian data protection authority reached a decision on the complaint against the Austrian newspaper derStandard.at at the end of March, while the decisions of the German authorities are still pending. SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at and t-online.de were accused of implementing a ‘pay or okay’ solution. This paywall cookie asks users to agree to data sharing with tracking companies or to pay for a subscription without tracking. According to NOYB, the main problem is the disproportionate cost between subscription fees and data sharing. At the time NOYB filed its complaint, derStandard.at was charging EUR 96 per year for the ‘Pur-Abo’ non-tracking subscription. The civil rights group believes that, on the contrary, revenues from advertising would be lower. “If we allow it, insisting on one’s fundamental right will simply cost 10 to 100 times more, we might as well abolish it. It is fascinating that the DSB ignores any such claim,’ said Max Schrems, Austrian privacy activist and founder of NOYB. Publishers, however, pointed out that media services are journalistic services and that paywalls improve monetisation of content and thus finance journalism.

New York would like to ban companies (from stadiums to retail shops) from using facial recognition or other surveillance technologies to identify customers. This was revealed by Bloomberg. The proposal will be officially presented at the New York City Council meeting on 27 April, after being considered by the Technology Commission two days earlier. The idea comes in the wake of controversy over a Madison Square Garden Entertainment Corp. policy that banned some lawyers from its venues, including Radio City Music Hall and Madison Square Garden. The lawyers worked for firms involved in active litigation against the company. MSG enforced this policy using facial recognition, triggering a wave of public outcry that led to a lawsuit against MSG and investigations by the New York Attorney General. City Councillor Shahana Hanif is the initiator of the proposal that would make the use of biometric recognition technology for customer identification by places of public business ‘illegal’. “My experience as a Muslim New Yorker growing up in the post-9/11 era of surveillance has forced me to pay attention to how excessive surveillance and invasive technology can be used to discriminate against New Yorkers of colour,” Hanif wrote in a statement to Bloomberg Law. “The recent events at Madison Square Garden are a high-profile example of the inevitable civil liberty violations that occur when our governments allow private companies to use these tools,” he added. Companies could be held liable for damages of up to $5,000 for each violation of the law. Hanif’s proposal would amend municipal regulations that came into effect in July 2021 requiring all businesses that collect biometric data to disclose this practice with ‘clear and visible’ signage near entrances.

PRIVACY DAILY 89/2023

I dipendenti di Tesla hanno condiviso tra loro le immagini delle telecamere di sorveglianza installate sui veicoli. Tesla assicura ai suoi milioni di proprietari di auto elettriche che la loro privacy è al sicuro. Le telecamere che inserisce nei veicoli per assistere la guida, si legge sul suo sito web, sono “progettate da zero per proteggere la vostra privacy”. Ma tra il 2019 e il 2022, gruppi di dipendenti Tesla hanno condiviso privatamente, tramite un sistema di messaggistica interna, video e immagini a volte altamente invasivi registrati dalle telecamere delle auto dei clienti. Lo rivelano alcune dichiarazione di nove ex dipendenti. Alcune delle registrazioni hanno colto i clienti Tesla in situazioni imbarazzanti. Un ex dipendente ha descritto un video di un uomo che si avvicinava a un veicolo completamente nudo. Sono stati condivisi anche incidenti e episodi di rabbia stradale. Tesla afferma nella sua informativa privacy che “le registrazioni delle telecamere rimangono anonime e non sono collegate a voi o al vostro veicolo”. Ma sette ex dipendenti hanno detto che il programma informatico che usavano al lavoro poteva mostrare la posizione delle registrazioni, il che potenzialmente poteva rivelare dove viveva un proprietario di Tesla. Un ex dipendente ha anche detto che alcune registrazioni sembravano essere state effettuate quando le auto erano parcheggiate e spente. Inizialmente, infatti, Tesla riceveva registrazioni video dai suoi veicoli anche quando erano spenti, se i proprietari davano il consenso. Ora però dovrebbe aver cessato questa pratica. Tesla non ha risposto alle domande sul caso.

Le associazioni per i diritti digitali dei consumatori hanno criticato la richiesta delle aziende del settore dei media di mantenere la loro esenzione dalla legge sulla privacy. Peter Lewis, direttore del Centro per la Tecnologia Responsabile dell’Australia Institute, ha dichiarato che è “deludente” che la coalizione per il Right to Know “nata con il lodevole obiettivo di proteggere i giornalisti e gli informatori, venga ora impiegata per perseguire gli interessi commerciali dei Big Media a spese del pubblico che essi pretendono di servire”. La proposta di riforma prevede, infatti, un diritto a fare causa per gravi violazioni della privacy e di ridurre le esenzioni previste per le attività giornalistiche. Ciò richiederebbe alle aziende del settore dei media di mettere al sicuro e distruggere le informazioni private e di informare le persone interessate nell’ambito del sistema di notifica delle violazioni dei dati. La coalizione Right to Know – che comprende giornali e televisioni, sia pubblici che privati – ha respinto la proposta, avvertendo che le modifiche avrebbero danneggiato la libertà di stampa. Il Centre for Responsible Technology ha dichiarato di essere “favorevole” alle riforme proposte , “il primo aggiornamento significativo delle leggi sulla privacy in quattro decenni”.  L’Istituto di tecnologia umana dell’Università di Sydney ha affermato che è “urgente” riformare la legge sulla privacy, data l’ascesa di tecnologie quali l’intelligenza artificiale e il riconoscimento facciale. L’istituto ha affermato che, poiché la lesione del diritto alla privacy può essere giustificata solo in circostanze limitate, “è difficile, se non impossibile, giustificare” un’esenzione generalizzata dalla legge sulla privacy, ad esempio per tutti i giornalisti e i partiti politici. Digital Rights Watch ha chiesto l’abolizione delle esenzioni per le piccole imprese e i partiti politici e si è detta d’accordo con la proposta del Dipartimento di ridurre l’esenzione per il giornalismo

La legge saudita sulla protezione dei dati personali è stata modificata ed entrerà in vigore il 14 settembre 2023. Secondo le fonti, i regolamenti esecutivi che integrano la PDPL saranno emanati prima di questa data. Il Consiglio dei ministri ha approvato una serie di 27 emendamenti alla legge originale, pubblicata in gazzetta ufficiale nel 2021. La legge  aggiornata tiene conto di alcune delle modifiche proposte in un documento di consultazione pubblicato dalla Saudi Data & Artificial Intelligence Authority nel novembre 2022, sebbene non tutte le proposte siano state attuate. Le modifiche introducono diversi concetti che allineeranno maggiormente la PDPL agli standard internazionali, come il GDPR. Le modifiche includono quelle relative ai dati particolari e ai diritti dell’interessato. Secondo le modifiche, il titolare non potrà raccogliere dati personali se non dall’interessato. Tuttavia, sono previste alcune esenzioni. Gli emendamenti includono anche la necessità che il titolare del trattamento adotti un’informativa privacy e la renda disponibile agli interessati e non diffonda i loro dati senza consenso. Sono state apportate modifiche anche per quanto riguarda i data breach e sui trasferimenti di dati al di fuori del Regno dell’Arabia Saudita. Gli emendamenti hanno ridefinito alcuni aspetti, come distruzione, divulgazione e dati particolari. L’articolo 4 della legge è stato modificato per dare all’interessato il diritto di accedere ai propri dati personali ai titolari e di chiedere di ottenerli intellegibili e chiari. L’interessato ha anche il diritto di chiederne la rettifica o l’aggiornamento, nonché di richiedere la distruzione dei dati non più necessari. L’emendamento all’articolo 20 della legge sottolinea la necessità che di notificare all’autorità competente eventuali data breach.

English version

Tesla employees shared images from surveillance cameras installed in the vehicles with each other. Tesla assures its millions of electric car owners that their privacy is safe. The cameras it places in vehicles to assist driving, its website states, are ‘designed from the ground up to protect your privacy’. But between 2019 and 2022, groups of Tesla employees privately shared, via an internal messaging system, sometimes highly invasive videos and images recorded by customer car cameras. This was revealed in statements by nine former employees. Some of the recordings caught Tesla customers in embarrassing situations. One former employee described a video of a man approaching a vehicle completely naked. Accidents and incidents of road rage were also shared. Tesla states in its privacy policy that ‘camera recordings remain anonymous and are not linked to you or your vehicle’. But seven former employees said the computer programme they used at work could show the location of the recordings, which could potentially reveal where a Tesla owner lived. One former employee also said that some recordings appeared to have been made when the cars were parked and switched off. Initially, in fact, Tesla received video recordings from its vehicles even when they were turned off, if the owners gave consent. Now, however, it is supposed to have ceased this practice. Tesla did not respond to questions about the case.

Consumer digital rights groups have rejected media companies’ request to maintain their exemption from the Privacy Act. Peter Lewis, director of the Australia Institute’s Centre for Responsible Technology, said it was ‘disappointing’ that the Right to Know coalition, ‘born with the laudable aim of protecting journalists and whistleblowers, is now being used to pursue the commercial interests of Big Media at the expense of the public they purport to serve’. Indeed, the reform proposal envisages a right to sue for serious breaches of privacy and to reduce exemptions for journalistic activities. This would require media companies to secure and destroy private information and to inform affected persons under the data breach notification system. The Right to Know coalition – which includes newspapers and television stations, both public and private – rejected the proposal, warning that the changes would harm press freedom. The Centre for Responsible Technology said it was ‘supportive’ of the proposed reforms, ‘the first significant update to privacy laws in four decades’. The University of Sydney’s Institute of Human Technology said it was ‘urgent’ to reform privacy law, given the rise of technologies such as artificial intelligence and facial recognition. The institute argued that because injury to the right to privacy can only be justified in limited circumstances, ‘it is difficult, if not impossible, to justify’ a blanket exemption from the Privacy Act, for example for all journalists and political parties. Digital Rights Watch called for the abolition of exemptions for small businesses and political parties and agreed with the Department’s proposal to reduce the exemption for journalism

The Saudi Personal Data Protection Law has been amended and will enter into force on 14 September 2023. According to sources, executive regulations supplementing the PDPL will be issued before this date. The Council of Ministers approved a series of 27 amendments to the original law, which was published in the official gazette in 2021. The updated law takes into account some of the changes proposed in a consultation paper published by the Saudi Data & Artificial Intelligence Authority in November 2022, although not all of the proposals have been implemented. The changes introduce several concepts that will bring the PDPL more in line with international standards, such as the GDPR. The changes include those relating to special data and the rights of the data subject. According to the amendments, the data controller will not be able to collect personal data except from the data subject. However, there are some exemptions. The amendments also include the need for the data controller to adopt a privacy notice and make it available to data subjects and not disclose their data without consent. Amendments were also made with regard to data breaches and data transfers outside the Kingdom of Saudi Arabia. The amendments redefined certain aspects, such as destruction, disclosure and special data. Article 4 of the law was amended to give the data subject the right to access his or her personal data to data controllers and to request to have it intelligible and clear. The data subject also has the right to request rectification or updating, as well as to request the destruction of data no longer needed. The amendment to Section 20 of the Act emphasises the need to notify the competent authority of any data breach.