PRIVACYDAILY

N. 165/2023

LE TRE NEWS DI OGGI:

  • UK, SIGNAL RIBADISCE CHE LASCERA’ IL REGNO UNITO SE L’ONLINE SAFETY BILL NON CAMBIERA’
  • USA, GRUPPI DI CONSUMATORI ACCUSANO MASTERCARD DI VENDERE I DATI
  • AUSTRALIA, POLIZIA FEDERALE UTILIZZA AI PER ANALIZZARE I DATI

Sul palco del TechCrunch Disrupt 2023, Meredith Whittaker, presidente della Signal Foundation, che gestisce l’app di messaggistica senza scopo di lucro Signal, ha ribadito che Signal lascerà il Regno Unito se la legge sulla sicurezza online recentemente approvata dal Paese costringerà Signal a inserire “backdoor” nella sua crittografia end-to-end.”Lasceremmo il Regno Unito o qualsiasi altra giurisdizione se dovessimo scegliere tra il backdooring della nostra crittografia e il tradimento delle persone che contano su di noi per la privacy, oppure andarcene”, ha dichiarato Whittaker. “E questo non è mai stato vero”.Il disegno di legge sulla sicurezza online, approvato a settembre, include una clausola – la 122 – che, a seconda di come viene interpretata, potrebbe consentire all’ente regolatore delle comunicazioni del Regno Unito, Ofcom, di violare la crittografia di app e servizi con il pretesto di assicurarsi che materiale illegale come lo sfruttamento sessuale dei minori e i contenuti di abuso vengano rimossi.In base alla legge, l’Ofcom potrebbe multare le aziende non in regola fino a 18 milioni di sterline (22,28 milioni di dollari) o al 10% del loro fatturato annuo globale, a seconda di quale sia il valore più alto.La Whittaker non ha usato mezzi termini nell’esternare i suoi timori per le implicazioni della legge sulla sicurezza online: “Non ci occupiamo di trovate politiche, quindi non raccoglieremo i nostri prodotti e non ce ne andremo a casa per mostrare ai cattivi del Regno Unito che si stanno comportando male”, ha detto. “Siamo davvero preoccupati per le persone nel Regno Unito che vivrebbero sotto un regime di sorveglianza come quello che sembra essere preso in giro dal Ministero dell’Interno e da altri nel Regno Unito”.Whittaker ha fatto notare che Signal adotta una serie di misure per garantire che i suoi utenti rimangano anonimi, indipendentemente dalle leggi e dai regolamenti del loro paese. Alla domanda su quali dati Signal ha consegnato nei casi in cui ha ricevuto mandati di perquisizione, Whittaker ha risposto che si è limitato al numero di telefono registrato su un account Signal e all’ultima volta che un utente ha avuto accesso al proprio account.

Mastercard conserva registri dettagliati delle abitudini di spesa dei titolari di carte di credito, che poi vende a società terze, spesso all’insaputa dei clienti.È quanto emerge da un rapporto pubblicato giovedì dal Public Interest Research Group (PIRG) degli Stati Uniti, secondo cui Mastercard ha creato una divisione separata dedicata alla vendita dei dati sulle transazioni dei clienti, che è diventata un enorme fonte di guadagno per l’azienda globale di tecnologia dei pagamenti. In una dichiarazione rilasciata a CBS MoneyWatch, Mastercard ha negato di vendere i dati dei clienti. Il problema è che la maggior parte dei consumatori non è consapevole del grado di tracciamento e vendita dei propri dati o del fatto che la vendita di tali dati personali li espone a furti d’identità e truffe, oltre che a pubblicità “inquietantemente invasive”, avverte il gruppo di difesa dei consumatori.”Mastercard è così poco trasparente nella vendita dei suoi dati che è quasi certo che la maggior parte dei titolari di carta non si renda conto di ciò che la società sta facendo con i loro dati”, ha dichiarato a CBS MoneyWatch R.J. Cross, analista politico di U.S. PIRG. Secondo il rapporto PIRG, i dati venduti da Mastercard sono “aggregati e anonimizzati”, il che significa che le terze parti non dispongono delle informazioni individuali dei clienti. Sebbene ciò attenui alcuni dei rischi per i consumatori derivanti dalla monetizzazione dei dati, non impedisce alle aziende di “raggiungere le persone a livello individuale sulla base dei dati” o di essere bombardate con annunci fastidiosi, secondo l’agenzia per i consumatori. In considerazione di ciò, questa settimana i difensori dei consumatori di nove organizzazioni, tra cui l’American Civil Liberties Union e il Center for Digital Democracy, hanno inviato una lettera all’amministratore delegato di Mastercard Michael Miebach chiedendogli di interrompere la vendita dei dati dei clienti. “Siamo chiari: Mastercard non vende i dati personali dei titolari di carta di credito a fini di marketing, localizzazione o pubblicità mirata”, ha dichiarato giovedì Will Tsang, portavoce della società, a CBS MoneyWatch. “Abbiamo risposto alla signora Cross mesi fa, quando ci ha contattato. Tuttavia, i nostri chiarimenti sui fatti e la nostra offerta di incontrarla sono rimasti senza risposta”.

La polizia federale australiana ha dichiarato di utilizzare l’IA per analizzare i dati ottenuti con mandati di vigilanza mentre l’agenzia promette piena trasparenza sull’uso della tecnologia.In un documento di presentazione al documento di discussione del governo federale sull’uso responsabile dell’IA, l’AFP ha dichiarato che il suo uso della tecnologia è stato finora limitato, compreso l’uso dell’IA per tradurre materiale straniero in inglese.Tuttavia, ha osservato che gli strumenti di IA – compresi i modelli linguistici di grandi dimensioni (LLM) – offrono all’AFP l’opportunità di trovare informazioni utili in grandi insiemi di dati raccolti legalmente.”Accelerando il compito di individuare le informazioni, i membri possono prendere decisioni in anticipo ed eseguire le azioni necessarie di conseguenza”, ha dichiarato l’AFP, che ha indicato che l’AI potrebbe anche aiutare ad analizzare i dati transazionali per identificare modelli irregolari come il riciclaggio di denaro e le potenziali frodi.Nel 2021, l’AFP è stata messa sotto accusa dal commissario per la privacy per l’utilizzo da parte dei dipendenti della controversa tecnologia di riconoscimento facciale Clearview AI, che ha costruito il suo set di dati a partire da foto di persone prese dai social media senza il loro permesso. L’AFP ha smesso di usare la tecnologia, ma ha incontrato segretamente Clearview AI dopo aver dichiarato di aver smesso di usarla.Nella sua presentazione, l’AFP ha affermato che sarà trasparente e “intraprenderà proattivamente la due diligence sulle tecnologie prima della loro distribuzione”, tenendo conto di considerazioni etiche e di una solida governance e supervisione.”La polizia è profondamente legata alla società e deve riflettere i valori, le norme e le aspettative della comunità che serve e richiede in modo critico la supervisione e la responsabilità umana”.Un portavoce dell’AFP ha confermato che le informazioni sensibili ottenute dai mandati di cattura saranno inserite in LLM o reti neurali. Ma l’agenzia ha dichiarato di garantire la protezione dei dati, sia che si tratti di uno strumento interno che di un prodotto commerciale, in modo che non confluiscano in set di dati pubblici.I dati raccolti legalmente e utilizzati potrebbero includere dati raccolti in base a un mandato, tra cui dati di intercettazione delle telecomunicazioni e dati di sorveglianza.Il portavoce ha inoltre dichiarato che tutte le traduzioni linguistiche sono controllate da un operatore umano.

English version

  • UK, SIGNAL REITERATES THAT IT WILL LEAVE THE UNITED KINGDOM IF THE ONLINE SAFETY BILL DOES NOT CHANGE
  • USA, CONSUMER GROUPS ACCUSE MASTERCARD OF SELLING DATA
  • AUSTRALIA, FEDERAL POLICE USE AI TO ANALYSE DATA

Onstage at TechCrunch Disrupt 2023, Meredith Whittaker, the president of the Signal Foundation, which maintains the nonprofit Signal messaging app, reaffirmed that Signal would leave the U.K. if the country’s recently passed Online Safety Bill forced Signal to build “backdoors” into its end-to-end encryption.“We would leave the U.K. or any jurisdiction if it came down to the choice between backdooring our encryption and betraying the people who count on us for privacy, or leaving,” Whittaker said. “And that’s never not true.”The Online Safety Bill, which was passed into law in September, includes a clause — clause 122 — that, depending on how it’s interpreted, could allow the U.K.’s communications regulator, Ofcom, to break the encryption of apps and services under the guise of making sure illegal material such as child sexual exploitation and abuse content is removed.Ofcom could fine companies not in compliance up to £18 million ($22.28 million), or 10% of their global annual revenue, under the bill — whichever is greater.Whittaker didn’t mince words in airing her fears about the Online Safety Bill’s implications.“We’re not about political stunts, so we’re not going to just pick up our toys and go home to, like, show the bad U.K. they’re being mean,” she said. “We’re really worried about people in the U.K. who would live under a surveillance regime like the one that seems to be teased by the Home Office and others in the U.K.”Whittaker noted that Signal takes a number of steps to ensure its users remain anonymous regardless of the laws and regulations in their particular country. Asked onstage what data Signal’s handed over in the instances that it’s received search warrants, Whittaker said that it’s been limited to the phone number registered to a Signal account and the last time a user accessed their account.

Mastercard keeps detailed records of the spending habits of its credit card holders, which it then sells to third-party companies — often without customers’ knowledge.That’s according to a report published Thursday by the U.S. Public Interest Research Group (PIRG), which says that Mastercard has built a separate division dedicated to the selling of customer transaction data which has become a huge revenue stream for the global payments technology company. In a statement to CBS MoneyWatch, Mastercard denied selling customers’ data. The problem is that most consumers are not aware of the degree to which their data is being tracked and sold or that the sale of such personal data exposes them to identity theft and scams, in addition to “creepily invasive” advertising, the consumer advocacy group warns.”Mastercard is so opaque about its data sales it’s almost certain most cardholders don’t realize what the company is doing with their data,” R.J. Cross, policy analyst for U.S. PIRG, told CBS MoneyWatch. The data Mastercard sells is “aggregated and anonymized,” meaning third-parties don’t have customers’ individual information, according to the PIRG report. While that mitigates some of the consumer risks that come with data monetization, it does not prevent companies from “reaching people on an individual level based on data” or being bombarded with annoying ads, according to the consumer agency.With that in mind, consumer advocates from nine organizations, including the American Civil Liberties Union and the Center for Digital Democracy, sent a letter to Mastercard CEO Michael Miebach this week asking him to stop selling customers’ data. “Let us be clear – Mastercard does not sell personal cardholder data for marketing, location tracking or targeted advertising,” Will Tsang, a company spokesman, told CBS MoneyWatch on Thursday. “We had responded to Ms. Cross months ago when she originally contacted us. However, our clarification of the facts and an offer to meet with her went unanswered.”

The Australian federal police has said it uses AI to analyse data obtained under telecommunications and surveillance warrants, as the agency promises full transparency over the use of the technology. In a submission to the federal government’s discussion paper on the responsible use of AI, the AFP said its use of the technology had been limited so far, including using AI to translate foreign materials into English.But it noted that AI tools – including large language models (LLMs) – gave the AFP an opportunity to find useful information in large, lawfully collected datasets.“By speeding the discovery task, members can make decisions earlier and execute the necessary actions accordingly,” the AFP said.The AFP indicated it could also potentially help analyse transactional data to identify irregular patterns like money laundering and potential fraud.In 2021, the AFP came under fire from the privacy commissioner over employees using the controversial Clearview AI facial recognition technology, which built its dataset from photos of people taken from social media without their permission. The AFP has ceased using the technology, but secretly met with Clearview AI after it claimed to have stopped using the technology.The AFP said in its submission that it would be transparent and “proactively undertake due diligence into technologies before deployment”, taking into account ethical considerations and robust governance and oversight.“Policing is deeply connected to society and must reflect the values, norms and expectations of the community it serves and critically requires human oversight and accountability.”A spokesperson for the AFP confirmed that sensitive information obtained from warrants would be fed into LLMs or neural networks. But the agency said it ensures the data is protected, whether it is an in-house tool or when using a commercial product, so it would not feed into public datasets.The lawfully collected data used could include data collected under a warrant, including telecommunications interception data and surveillance data.The spokesperson also said all language translations are checked by a human.

PRIVACYDAILY

N. 158/2023

LE TRE NEWS DI OGGI:

  • LA RACCOLTA DI DATI EFFETTUATA DALLE AUTO CONNESSE SOLLEVA SEMPRE PIU’ PERPLESSITA’
  • CANADA, NUOVE REGOLE PER I FUNZIONARI GOVERNATIVI CHE USANO CHATGPT SUL POSTO DI LAVORO
  • NUOVA ZELANDA, LA CITTA’ DI WELLINGTON SI PREPARA AL NUOVO SISTEMA DI MONITORAGGIO DEL TRAFFICO

Auto connesse uguale tanti nuovi servizi a nostra disposizione: ci fanno sentire la musica preferita, danno indicazioni aggiornate su traffico e meteo e ci permettono di controllare a distanza tante cose. Appare tutto molto bello ma Mozilla Foundation lancia l’allarme: questi veicoli raccolgono tantissime informazioni – anche personali – gestione e impiego delle quali appaiono poco trasparenti se non del tutto opache. Uno degli autori dello studio, Misha Rykov, non usa giri di parole: “Cosa ho capito facendo ricerche sulla privacy di 25 fra i maggiori marchi automobilistici globali? È semplice: le automobili moderne sono un incubo per la privacy e sembra che i costruttori abbiano spostato la loro attenzione dalla vendita di automobili alla vendita dei dati”.I DATI RACCOLTI SONO TROPPI – Tesla ha dato il via nel 2011 con il grande touchscreen della Model S, una dotazione che ha concretizzato fisicamente la frase “computer su ruote” anche perché tutte le automobili del marchio sono nate connesse. I ricercatori della Mozilla Foundation hanno preparato un corposo dossier che cerchiamo di riassumere, anticipando che le conclusioni sono preoccupanti. La ricerca, svoltasi negli USA, ha infatti evidenziato come ogni marchio esaminato abbia raccolto più dati personali del necessario, utilizzando per esempio tali informazioni per un motivo diverso dalla guida di un veicolo e dalla gestione del rapporto con il conducente. Le Case investigate sono state Acura, Audi, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dacia, Dodge, Fiat, Ford, GMC, Honda, Hyundai, Kia, Jeep, Lexus, Lincoln, Mercedes-Benz, Nissan, Renault, Subaru, Tesla, Toyota e Volkswagen. In effetti la FIA aveva lanciato l’allarme con la campagna ‘My car My data’ che voleva evidenziare la questione di chi sono i dati generati dalle automobili e dai passeggeri. LE CASE PIGLIATUTTO – Dallo studio della Mozilla Foundation emerge anche le automobili hanno persino più opportunità di raccogliere dati rispetto a quanto accade con i dispositivi smart e i telefoni cellulari. Le fonti sono infatti diversificate, dall’interazione fra guidatore e passeggeri con l’automobile ai servizi connessi fino alle app del costruttore (a tutti gli effetti un gateway per le informazioni contenute nello smartphone) e all’entertainment di terze parti quali Sirius XM (radio satellitare e su Internet statunitense) o Spotify. Si è scoperto che nelle categorie di dati che potrebbero essere raccolti dalle Case entrano, in alcuni casi, attività sessuale e informazioni genetiche. Nella privacy policy di Honda, per esempio, si parla di “Informazioni personali raccolte ai sensi del Codice civile californiano paragrafo 1798.80(e)”, leggendo il quale si evince che esse “includono ma non sono limitate a istruzione, occupazione, storia lavorativa, numero di conto bancario, numero di carta di credito, numero di carta di debito o qualsiasi altra informazione finanziaria, informazione medica o informazioni sull’assicurazione sanitaria”. Questa massa enorme di dati è in aggiunta, s’intende, a quelle riguardo indirizzo, numero di telefono e numero di passaporto, patente di guida o carta d’identità ma nel conto entrano anche, per esempio, le così come alle condizioni fisiche.

Il governo federale ha introdotto nuove linee guida per i dipendenti che intendono utilizzare strumenti di intelligenza artificiale come ChatGPT sul posto di lavoro, per garantire che la tecnologia venga utilizzata in modo responsabile, ha dichiarato il presidente del Treasury Board Anita Anand.Anand ha dichiarato che il governo monitorerà anche il modo in cui l’intelligenza artificiale viene utilizzata per evitare potenziali problemi come pregiudizi o discriminazioni.”Come donna di origine straniera, sono molto consapevole della possibilità che i pregiudizi si insinuino nel processo decisionale”, ha dichiarato a CBC News. “Dirò che lo scopo di queste linee guida è quello di garantire un uso responsabile dell’IA generativa e che monitoreremo per assicurare che i pregiudizi non si insinuino nel caso in cui i dipendenti intraprendano la strada dell’IA generativa”.Anand ha dichiarato che le linee guida, che integrano la direttiva esistente per i dipartimenti governativi sull’intelligenza artificiale, forniscono una guida preliminare ai dipendenti e saranno aggiornate in base alle necessità. Sebbene al momento non siano previste sanzioni per la violazione delle nuove linee guida, Anand ha affermato che esse si basano su leggi esistenti, come il Privacy Act, che potrebbero far scattare una sanzione. “L’obbligo legale continua a gravare su tutti i dipendenti, indipendentemente da queste linee guida”, ha affermato Anand. “Le linee guida si aggiungono agli obblighi esistenti”.Se da un lato le linee guida del Treasury Board sull’IA generativa raccomandano alle istituzioni federali di esplorare i modi per utilizzare questi strumenti, dall’altro mettono in guardia dai rischi, tra cui le minacce alla cybersicurezza, i pregiudizi, le violazioni della privacy e le informazioni imprecise.Le linee guida definiscono l’IA generativa come una tecnologia che “produce contenuti come testo, audio, codice, video e immagini” per attività quali chatbot, e-mail, note di briefing, ricerca o programmazione. Le linee guida raccomandano cautela nell’uso dell’IA per cose come le comunicazioni pubbliche sui social media o l’automazione di “valutazioni, raccomandazioni o decisioni sui clienti”. Se un dipartimento utilizza l’IA generativa per rispondere a un cittadino, rispondere a domande tramite un chatbot, creare un documento o prendere una decisione, deve essere trasparente nell’uso della tecnologia, dicono le linee guida.I dipartimenti dovrebbero “identificare i contenuti prodotti utilizzando l’IA generativa, informare gli utenti che stanno interagendo con uno strumento di IA, documentare le decisioni ed essere in grado di fornire spiegazioni se gli strumenti sono utilizzati per supportare il processo decisionale”, si legge nelle linee guida.

I dati raccolti dai nuovi sensori di rilevamento del traffico includeranno il conteggio di diversi tipi di utenti della strada, percorsi di viaggio e velocità di spostamento, tra cui auto, camion, biciclette, scooter, autobus e pedoni. La rete fornirà un monitoraggio continuo a lungo termine, 24 ore su 24, 7 giorni su 7, per 365 giorni all’anno, e consentirà al Consiglio di effettuare valutazioni più accurate su come le persone si muovono in città, utilizzando le piste ciclabili e monitorando in tempo reale l’impatto delle modifiche apportate alla rete dei trasporti.Questi dati di più elevata qualità sui trasporti serviranno ad elaborare strategie di trasporto e, combinati con altre serie di dati, porteranno direttamente a benefici tangibili per le decisioni chiave del Consiglio. I dati saranno utilizzati dai gruppi del Consiglio, tra cui Trasporti e infrastrutture, Pianificazione della rete ciclabile, Servizi comunitari, team Waterfront, team Behaviour Change e Let’s Get Wellington Moving.I dati di buona qualità possono essere utilizzati per prendere decisioni migliori in materia di eventi, progettazione urbana, sicurezza pubblica e cambiamenti che hanno un impatto sull’ambiente economico e commerciale, e questa tecnologia, prima a livello nazionale, è un passo entusiasmante per la città”, ha dichiarato il sindaco Tory Whanau.Con la crescita della città, l’uso dello spazio e dei trasporti che diventano sempre più vitali per la vivibilità di Wellington, questo tipo di informazioni è preziosissimo per pianificare e progettare il nostro futuro”.”Questi sensori VivaCity raccolgono dati 24 ore su 24 con un alto grado di accuratezza e anonimato, fornendo un quadro molto più dettagliato di come vengono utilizzati i nostri spazi pubblici”.  Attualmente il Consiglio utilizza conteggi manuali e su misura di pedoni e biciclette, contatori elettronici di biciclette e dati commerciali relativi agli spostamenti in scooter per comprendere i modelli di viaggio delle persone. Questi set di dati costituiscono una base per l’analisi delle tendenze a lungo termine, ma la portata delle conoscenze acquisite è limitata a causa della dimensione del campione e della copertura geografica. La mancanza di un monitoraggio continuo limita anche la comprensione dell’impatto di eventi imprevisti come terremoti, tsunami e COVID-19, poiché attualmente il monitoraggio viene effettuato solo durante gli orari previsti.VivaCity è stata scelta per il suo approccio privacy-by-design alla soluzione di monitoraggio. Questo progetto è stato inoltre sottoposto a una valutazione dell’impatto sulla privacy e consultato con l’Ufficio del Commissario per la privacy.I dati non includono alcuna informazione identificativa dei soggetti monitorati, afferma Peter Mildon, cofondatore e direttore operativo di VivaCity.”Sono fermamente convinto che il futuro della Smart City debba essere incentrato sul cittadino. Abbiamo progettato le nostre soluzioni da zero per garantire la privacy di ogni cittadino. Il sistema è stato sviluppato secondo i principi della data protection-by-design e non solo è pienamente conforme, ma supera i requisiti legali della legislazione sulla protezione dei dati.”  Nata in Australia, Wellington sarà la prima grande installazione in Nuova Zelanda e la prima città del Paese ad accedere alla pluripremiata tecnologia di monitoraggio.

English version

  • DATA COLLECTION BY CONNECTED CARS RAISES MORE AND MORE CONCERNS
  • CANADA, NEW RULES FOR GOVERNMENT OFFICIALS USING CHATGPT IN THE WORKPLACE
  • NEW ZEALAND, CITY OF WELLINGTON PREPARES FOR NEW TRAFFIC MONITORING SYSTEM

Connected cars equal so many new services at our disposal: they play our favourite music, give us up-to-date traffic and weather reports and allow us to control so many things remotely. It all sounds very nice, but the Mozilla Foundation raises the alarm: these vehicles collect so much information – including personal information – the management and use of which appears opaque, if not completely opaque. One of the authors of the study, Misha Rykov, doesn’t mince words: ‘What did I realise by researching the privacy of 25 of the biggest global car brands? It’s simple: modern cars are a privacy nightmare, and it seems that manufacturers have shifted their focus from selling cars to selling data’.THE DATA COLLECTED ARE TOO MUCH – Tesla kicked off in 2011 with the large touchscreen in the Model S, an endowment that physically concretised the phrase ‘computers on wheels’ also because all of the brand’s cars were born connected. Researchers from the Mozilla Foundation have prepared an extensive dossier that we try to summarise, anticipating that the conclusions are worrying. The research, which took place in the US, in fact showed that every brand investigated collected more personal data than necessary, using that information for a reason other than driving a vehicle and managing the relationship with the driver. The manufacturers investigated were Acura, Audi, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dacia, Dodge, Fiat, Ford, GMC, Honda, Hyundai, Kia, Jeep, Lexus, Lincoln, Mercedes-Benz, Nissan, Renault, Subaru, Tesla, Toyota and Volkswagen. In fact, the FIA had sounded the alarm with its ‘My car My data’ campaign, which was intended to highlight the issue of whose data are generated by cars and passengers. THE HOUSEHOLDS – The Mozilla Foundation’s study also shows that cars have even more opportunities to collect data than smart devices and mobile phones. The sources are in fact diverse, from driver and passenger interaction with the car to connected services to the manufacturer’s apps (in effect a gateway to the information in the smartphone) and third-party entertainment such as Sirius XM (US satellite and Internet radio) or Spotify. It turns out that the categories of data that could be collected by manufacturers include, in some cases, sexual activity and genetic information. Honda’s privacy policy, for example, mentions ‘Personal Information Collected Pursuant to California Civil Code Section 1798.80(e)’, reading which it says that it ‘includes but is not limited to education, occupation, employment history, bank account number, credit card number, debit card number or any other financial information, medical information or health insurance information’. This huge mass of data is in addition, of course, to address, telephone number and passport number, driver’s licence or identity card, but the account also includes, for example, physical conditions.

The federal government has introduced new guidelines for employees who want to use artificial intelligence tools like ChatGPT on the job to ensure the technology is being used responsibly, says Treasury Board President Anita Anand. Anand said the government also will be monitoring the way AI is being used to guard against potential problems like bias or discrimination.”As a racialized woman myself, I am very conscious about the potential for bias to creep into decision making,” she told CBC News. “I will say that the purpose of these guidelines is to ensure responsible use of generative AI and we will be monitoring to ensure that bias does not creep in if employees do go down the road to use generative AI.”Anand said the guidelines, which complement the existing directive to government departments on artificial intelligence, provide preliminary guidance to employees and will be updated as needed. While there are currently no penalties for violating the new guidelines, Anand said they are based on existing legislation such as the Privacy Act that could trigger a penalty.”The legal obligation continues to remain on all employees regardless of these guidelines,” Anand said. “The guidelines are on top of those existing obligations.”While the Treasury Board’s guidelines for generative AI recommend that federal institutions explore ways to use these tools, it also warns of risks — including cybersecurity threats, bias, violations of privacy and inaccurate information.The guidelines define generative AI as technology that “produces content such as text, audio, code, videos and images” for things like chatbots, e-mails, briefing notes, research or programming. The guidelines recommend caution when using AI for things like public communications on social media or automating “assessments, recommendations or decisions about clients.”If a department uses generative AI to respond to a citizen, answer questions via a chatbot, create a document or make a decision, it should be transparent about using the technology, the guidelines say.Departments should “identify content that has been produced using generative AI, notify users that they are interacting with an AI tool, document decisions and be able to provide explanations if tools are used to support decision-making,” the guidelines say.

Data collected by the new traffic counting sensors will include counts of different types of road users, paths of travel, and travel speeds, including cars, trucks, bicycles, scooters, buses and pedestrians.The network will provide long-term, continuous monitoring 24/7, 365 days of the year and will enable Council to make more accurate assessments of how people are moving through the city, making use of cycleways, and monitor in real time the impact of changes made to the transport network.This higher quality transport data will inform transport strategies and, combined with other data sets, will directly lead to tangible benefits for key Council decisions. The data will used by Council groups including Transport & Infrastructure, Bike network planning, Community Services, Waterfront team, Behaviour Change team, and Let’s Get Wellington Moving will also utilise the data.Quality data can be used to make better decisions for events, urban design, public safety, and changes impacting the economic and retail environment, and this nationwide-first technology is an exciting step for the city, says Mayor Tory Whanau.“As the city grows, use of space and transport become more vital to the liveability of Wellington, this kind of information is invaluable valuable for planning and designing our future.“These VivaCity sensors gather data around the clock with a high degree of accuracy and anonymity, providing a much more detailed picture of how our public spaces are being used.”  Currently Council uses manual and bespoke pedestrian and cycle counts, electronic cycle counters, and commercial e-scooter ride data to understand people’s travel patterns.These datasets established a baseline for long-term trend analysis, but the depth of insights gained are limited due to sample size and geographic coverage. The lack of continuous monitoring also limits understanding of impacts from unforeseen events like earthquakes, tsunamis and COVID-19 as we currently only monitor during scheduled times.VivaCity was selected because of its privacy-by-design approach in their monitoring solution. This project has also been through a Privacy Impact Assessment and consulted on with the Office of the Privacy Commissioner.The data does not include any identifying information about the subjects monitored, says VivaCity Co-Founder and COO Peter Mildon.“I strongly believe that the future of the Smart City has to be citizen-centric. We have designed our solutions from the ground up to guarantee the privacy of every citizen. The system was developed using data protection-by-design principles and is not just fully compliant with but exceeds the legal requirements in data protection legislation.”  Established in Australia, Wellington will be the first major deployment in New Zealand, and the first city in the country to access the award-winning monitoring technology.

PRIVACYDAILY

N. 154/2023

LE TRE NEWS DI OGGI:

  • CINA, VIETATO L’IPHONE NEGLI UFFICI GOVERNATIVI PER TIMORI DI SPIONAGGIO E PREOCCUPAZIONI PER LA PRIVACY
  • USA, PRODUTTORI DI AUTO FANNO TROPPO POCO PER PROTEGGERE I DATI DEI VEICOLI CHE PRODUCONO
  • AUSTRALIA, APPELLO DELLA POLIZIA FEDERALE A DONARE FOTO DELLA PROPRIA INFANZIA PER ADDESTRARE UN’AI CHE COMBATTA GLI ABUSI SUI MINORI

Il governo centrale di Pechino ha deciso di vietare ai funzionari governativi l’uso dell’iPhone e di altri dispositivi non cinesi per motivi di lavoro, impedendo anche di portarli in ufficio. La direttiva, scrive il Wall Street Journal, è l’ultimo passo della campagna di Pechino per ridurre la dipendenza dalla tecnologia straniera e per migliorare la sicurezza informatica interna.Apple produce gran parte dei suoi iPhone in Cina, dove detiene la quota di maggioranza delle vendite di smartphone di fascia alta. Il divieto potrebbe danneggiare il marchio, alimentando voci di un possibile spionaggio o interferenza e riducendo le vendite ai clienti. C’è anche una certa ironia nelle accuse che arrivano dal governo cinese, dal momento che Apple ha sempre puntato molto sulla privacy e sulla sicurezza dei dati di chi usa i suoi dispositivi. Anni fa l’azienda di Cupertino arrivò a rifiutarsi di collaborare con l’FBI per fornire messaggi privati che avrebbero potuto essere usati in un caso di omicidio, ma con la Cina è in qualche modo scesa a patti per rispettare le leggi locali. Ad esempio, i dati iCloud per i cittadini cinesi sono archiviati in data center geograficamente situati all’interno della Repubblica Popolare, rendendone potenzialmente più facile l’intercettazione da parte delle autorità cinesi. Apple afferma comunque che Pechino non possiede le chiavi per decriptare queste informazioni.La lotta tecnologica tra Cina e Stati Uniti prosegue da anni, con Washington che blocca l’esportazione di attrezzature necessarie per mantenere competitiva l’industria dei chip, e Pechino che rallenta le consegne di importanti aziende statunitensi, come Boeing e Micron Technology. Il presidente XI Jinping nel 2020 ha proposto un modello di crescita a “doppia circolazione” per ridurre la dipendenza dai mercati e dalla tecnologia esteri, con l’obiettivo di sviluppare una catena di approvvigionamento nazionale completamente indipendente. Anche se il bando investe altri marchi, il WSJ parla solo di Apple. Ed è sospetto anche il tempismo con cui arriva la notizia: qualche giorno prima dell’evento del 12 settembre, dove sarà presentata la nuova linea di iPhone.

Secondo un nuovo studio, la maggior parte dei principali costruttori ammette di poter vendere le vostre informazioni personali e la metà dichiara di condividerle con il governo o le forze dell’ordine senza un ordine del tribunale. La proliferazione di sensori nelle automobili – dalla telematica alle console di controllo completamente digitalizzate – le ha rese enormi centri di raccolta dati. Ma i conducenti hanno poco o nessun controllo sui dati personali raccolti dai loro veicoli, come hanno affermato mercoledì scorsa i ricercatori della Fondazione Mozilla nella loro ultima indagine “Privacy Not Included”. Anche gli standard di sicurezza sono imprecisi, un problema non da poco se si considerano i precedenti delle case automobilistiche in fatto di rischio di hacking.”Le automobili sembrano essere passate sotto il controllo della privacy e spero davvero di poter contribuire a migliorare la situazione, perché sono davvero spaventose”, ha dichiarato Jen Caltrider, responsabile della ricerca. “Le auto hanno microfoni e le persone hanno conversazioni delicate di ogni tipo al loro interno. Le auto hanno telecamere rivolte verso l’interno e verso l’esterno”.A meno che non optino per un modello usato e pre-digitale, gli acquirenti di auto “non hanno molte opzioni”, ha detto Caltrider.Le auto hanno ottenuto il punteggio peggiore in termini di privacy tra più di una dozzina di categorie di prodotti – tra cui fitness tracker, app per la salute riproduttiva, altoparlanti intelligenti e altri elettrodomestici connessi – che Mozilla ha studiato dal 2017.Nessuno dei 25 marchi automobilistici di cui sono state esaminate le informative sulla privacy – scelti per la loro popolarità in Europa e Nord America – ha soddisfatto gli standard minimi di privacy di Mozilla, che promuove tecnologie open-source e di interesse pubblico e gestisce il browser Firefox. Diciannove case automobilistiche dichiarano di poter vendere i vostri dati personali, come rivelano le loro informative. La metà condividerà i vostri dati con il governo o le forze dell’ordine in risposta a una “richiesta”, invece di richiedere un’ordinanza del tribunale. Solo due – Renault e Dacia, che non sono vendute in Nord America – offrono agli automobilisti la possibilità di cancellare i propri dati. “Sempre più spesso, la maggior parte delle auto sono intercettazioni telefoniche su ruote”, ha dichiarato Albert Fox Cahn, ricercatore di tecnologia e diritti umani presso il Carr Center for Human Rights Policy di Harvard. “I dispositivi elettronici che gli automobilisti pagano sempre di più per installare raccolgono sempre più dati su di loro e sui loro passeggeri”. “C’è qualcosa di particolarmente invasivo nel trasformare la privacy della propria auto in uno spazio di sorveglianza aziendale”, ha aggiunto.

La polizia federale australiana vuole che il pubblico doni le proprie foto d’infanzia a un progetto di intelligenza artificiale per aiutare a salvare i bambini dagli abusi. Il progetto, gestito dall’AFP e dalla Monash University, aiuterà a individuare materiale pedopornografico sul dark web o sui dispositivi sequestrati durante le indagini penali.Il sistema viene addestrato a riconoscere potenziali immagini di bambini. Viene poi combinato con algoritmi addestrati per contenuti sessuali o materiale violento per cercare le immagini. Da qui, ogni corrispondenza può essere esaminata ulteriormente.Per addestrare il sistema, il progetto My Picture Matters ha bisogno di almeno 10.000 immagini di adulti che si ritraggono da bambini (ad esempio ritratti scolastici), ma finora ne sono state donate solo circa 1.000. La dottoressa Nina Lewis, responsabile del progetto e specialista di apprendimento automatico, ha dichiarato che ci sono controlli rigorosi sull’uso delle immagini e che le persone possono rimuovere il consenso in qualsiasi momento.”Il set di dati in sé non è un set di dati della polizia. È di proprietà, conservato e gestito dalla Monash University”, ha dichiarato.Ci sono misure che assicurano che le foto non vengano usate per altri scopi e se la polizia vuole usarle per altri scopi deve chiedere il permesso.La Lewis ha detto di comprendere la riluttanza delle persone, ma spera che la campagna incoraggi coloro che si sentono a proprio agio a condividere le loro immagini.”Gli abusi sessuali sui minori sono qualcosa di cui la gente non vuole sentir parlare. Non vogliono parlarne. E questo è parte del problema. Permette ai predatori di nascondersi e di farla franca”.Lewis ha detto che non c’è nemmeno la possibilità che l’AFP acquisisca il set di dati una volta completato il progetto, ma ha detto che l’AFP potrebbe finire per usare gli algoritmi sviluppati dal progetto in operazioni future.Un portavoce dell’AFP ha dichiarato che My Pictures Matter non è collegato ad alcun progetto di identificazione automatica, come quello della società tecnologica statunitense Clearview AI.”L’uso di questo programma di IA sarà mirato”, ha dichiarato. “Non può effettuare uno scraping diffuso di Internet o del dark web. La tecnologia sviluppata non accede direttamente ai dati, ma analizza ciò che le viene fornito”.

English version

  • CHINA, IPHONE BANNED IN GOVERNMENT OFFICES DUE TO ESPIONAGE AND PRIVACY CONCERNS
  • USA, CAR MANUFACTURERS DO TOO LITTLE TO PROTECT THE DATA OF THE VEHICLES THEY PRODUCE
  • AUSTRALIA, FEDERAL POLICE APPEAL TO DONATE CHILDHOOD PHOTOS TO TRAIN AN AI TO COMBAT CHILD ABUSE

The central government in Beijing has decided to prohibit government officials from using iPhones and other non-Chinese devices for work purposes, even preventing them from being brought into the office. The directive, writes the Wall Street Journal, is the latest step in Beijing’s campaign to reduce dependence on foreign technology and improve domestic cybersecurity.Apple manufactures most of its iPhones in China, where it has a majority share of high-end smartphone sales. The ban could damage the brand, fuelling rumours of possible espionage or interference and reducing sales to customers. There is also a certain irony in the accusations coming from the Chinese government, as Apple has always placed great emphasis on the privacy and data security of those who use its devices. Years ago, the Cupertino-based company went so far as to refuse to cooperate with the FBI in providing private messages that could have been used in a murder case, but with China it has somehow come to terms to respect local laws. For example, iCloud data for Chinese citizens is stored in data centres geographically located within the People’s Republic, potentially making it easier for Chinese authorities to intercept it. Apple claims, however, that Beijing does not possess the keys to decrypt this information.The technology fight between China and the US has been going on for years, with Washington blocking the export of equipment needed to keep the chip industry competitive, and Beijing slowing down deliveries by major US companies such as Boeing and Micron Technology. President XI Jinping in 2020 proposed a ‘dual circulation’ growth model to reduce dependence on foreign markets and technology, with the goal of developing a fully independent domestic supply chain. Although the ban affects other brands, the WSJ only mentions Apple. And the timing of the news is also suspicious: a few days before the event on 12 September, where the new iPhone line will be unveiled.

Most major manufacturers admit they may be selling your personal information, a new study finds, with half also saying they’d share it with the government or law enforcement without a court order. The proliferation of sensors in automobiles – from telematics to fully digitized control consoles – has made them prodigious data-collection hubs.But drivers are given little or no control over the personal data their vehicles collect, researchers for the nonprofit Mozilla Foundation said Wednesday in their latest “Privacy Not Included” survey. Security standards are also vague, a big concern given automakers’ track record of susceptibility to hacking.”Cars seem to have really flown under the privacy radar and I’m really hoping that we can help remedy that because they are truly awful,” said Jen Caltrider, the study’s research lead. “Cars have microphones and people have all kinds of sensitive conversations in them. Cars have cameras that face inward and outward.”Unless they opt for a used, pre-digital model, car buyers “just don’t have a lot of options,” Caltrider said.Cars scored worst for privacy among more than a dozen product categories – including fitness trackers, reproductive-health apps, smart speakers and other connected home appliances – that Mozilla has studied since 2017.Not one of the 25 car brands whose privacy notices were reviewed – chosen for their popularity in Europe and North America – met the minimum privacy standards of Mozilla, which promotes open-source, public interest technologies and maintains the Firefox browser. By contrast, 37% of the mental health apps the non-profit reviewed this year did.Nineteen automakers say they can sell your personal data, their notices reveal. Half will share your information with government or law enforcement in response to a “request” – as opposed to requiring a court order. Only two – Renault and Dacia, which are not sold in North America – offer drivers the option to have their data deleted.”Increasingly, most cars are wiretaps on wheels,” said Albert Fox Cahn, a technology and human rights fellow at Harvard’s Carr Center for Human Rights Policy. “The electronics that drivers pay more and more money to install are collecting more and more data on them and their passengers.””There is something uniquely invasive about transforming the privacy of one’s car into a corporate surveillance space,” he added.A trade group representing the makers of most cars and light trucks sold in the U.S., the Alliance for Automotive Innovation, took issue with that characterization. In a letter sent Tuesday to U.S. House and Senate leadership, it said it shares “the goal of protecting the privacy of consumers.”

The Australian federal police want the public to donate their childhood photos to an artificial intelligence project aimed at helping save children from abuse.The project, run by AFP and Monash University, will help detect child abuse material on the dark web, or on devices that have been seized during criminal investigations.The system is trained to recognise potential images of children. It is then combined with algorithms trained on sexual content or violent material to search for images. From there, any matches can be reviewed further.The My Picture Matters project needs at least 10,000 images from adults of themselves as children – such as school portraits – to train up the system, but so far only about 1,000 have been donated.Dr Nina Lewis, the head of the project and a machine learning specialist, said there are strict controls over the use of the images – and people can remove consent at any time.“The dataset itself is not a police dataset. It is owned, stored and managed by Monash University,” she said.There are measures in place to ensure that photos aren’t used for other purposes, and if police wish to use them for other purposes they must seek permission.Lewis said she understands people’s reluctance, but she is hopeful the campaign will encourage those who do feel comfortable to share their images.“[Child sexual abuse is] something that people don’t want to hear about. They don’t want to talk about it. And that’s part of the problem. It lets predators hide and get away with things.”Lewis said there was also no possibility the AFP could acquire the dataset once the project is completed, but said the AFP could end up using the algorithms developed by the project in future operations.An AFP spokesperson said My Pictures Matter was not related to any automated identification projects, such as that of the US technology company Clearview AI.“The use of this AI program will be targeted,” they said. “It cannot do widespread scraping of the internet or dark web. The technology being developed does not directly access data, it analyses what it is given.”

PRIVACYDAILY

N. 149/2023

LE TRE NEWS DI OGGI:

  • L’AUSTRALIA NON IMPORRA’ L’ADOZIONE DI MECCANISMI DI AGE VERIFICATION AI SITI PER ADULTI
  •  UK. IL MINISTERO DELL’INTERNO VUOLE AMPLIARE L’IMPIEGO DEL RICONOSCIMENTO FACCIALE
  • CINA, IL BOT DI AI DI BAIDU IN CIMA ALLE CLASSIFICHE DELL’APP STORE

Il governo federale non obbligherà i siti web per adulti a introdurre la verifica dell’età a seguito delle riserve sulla privacy e sulla mancanza di sviluppo di questa tecnologia. Mercoledì scorso, il ministro delle Comunicazioni, Michelle Rowland, ha reso nota la tanto attesa tabella di marcia del commissario per la sicurezza elettronica per la verifica dell’età del materiale pornografico online, che è stata presentata al governo dal marzo 2023.Il governo federale ha deciso di non obbligare i siti a introdurre la tecnologia di verifica dell’età, incaricando invece il commissario per l’eSafety, Julie Inman Grant, di collaborare con l’industria per sviluppare un nuovo codice per educare i genitori su come accedere al software di filtraggio e limitare l’accesso dei bambini a questo tipo di materiale o a siti non appropriati. “Dalla roadmap al momento è chiaro che ogni tipo di tecnologia di verifica dell’età o di garanzia dell’età presenta problemi di privacy, sicurezza, efficacia o implementazione”, si legge nella risposta del governo alla roadmap.Il governo ha dichiarato che la tecnologia deve funzionare efficacemente senza essere aggirata, deve poter essere applicata alla pornografia pubblicata al di fuori dell’Australia e non deve mettere a rischio le informazioni personali degli adulti che scelgono di accedere alla pornografia legale.”La nuova tranche di codici sarà sviluppata da eSafety dopo l’implementazione della prima serie di codici di settore nel dicembre di quest’anno.Il governo presenterà anche una revisione legale indipendente dell’Online Safety Act nel 2024 per garantire che sia adatto allo scopo e questa revisione sarà completata in questo mandato di governo. Verrà monitorato anche l’approccio del Regno Unito alla garanzia dell’età, in quanto il Regno Unito è “un partner chiave che ha una mentalità simile”.Nella tabella di marcia, la ricerca di eSafety ha rilevato che del 75% dei giovani tra i 16 e i 18 anni che hanno dichiarato di aver visto pornografia online, quasi un terzo l’ha vista prima dei 13 anni e quasi la metà tra i 13 e i 15 anni.

Il Ministero dell’Interno sta valutando un ampliamento dell’uso del software di riconoscimento facciale, potenzialmente anche all’interno delle forze di polizia e delle agenzie di sicurezza.Il dipartimento ha lanciato un appello chiedendo alle aziende di fornire suggerimenti su come migliorare il modo in cui il riconoscimento facciale viene utilizzato dal governo. La ricerca di mercato afferma che il governo è alla ricerca di funzionalità che “potrebbero essere utilizzate a beneficio dell’Home Office e delle forze di polizia entro i prossimi 18 mesi”. Tutte le 43 forze di polizia di Inghilterra e Galles “sono un esempio di potenziali clienti” per tali tecnologie, insieme ad “altre agenzie di sicurezza”.Anche il dipartimento governativo per l’innovazione, Defence and Security Accelerator (DASA), fa parte del processo, che durerà fino al 12 ottobre 2023.Il riconoscimento facciale dal vivo – in cui le telecamere scansionano un’area e analizzano ogni persona che vi passa – è una delle aree in cui il governo è interessato a espandere la propria capacità; vuole inoltre migliorare l’uso del riconoscimento facciale retrospettivo, che consente alle autorità di utilizzare la tecnologia “dopo un evento per stabilire chi è una persona o se la sua immagine corrisponde ad altri media conservati in un database”.Una terza area è quella del riconoscimento facciale avviato dall’operatore, in cui un “operatore” può decidere di utilizzare il riconoscimento facciale su una determinata immagine per scoprire chi è.L’uso del riconoscimento facciale da parte delle forze di polizia ha sollevato preoccupazioni sulla privacy, soprattutto quando le telecamere sono installate in aree pubbliche. Ci sono anche preoccupazioni sulle modalità di archiviazione dei dati e sulle aziende che forniscono la tecnologia. Un consulente scientifico della polizia ha sottolineato il desiderio delle autorità di “trovare il giusto equilibrio tra la sicurezza pubblica e i diritti individuali alla privacy”. Gli attivisti paragonano la tecnologia a quella utilizzata in Russia e in Cina.

Il bot Ernie di Baidu si è classificato al primo posto per popolarità sull’app store di Apple in Cina, dopo che il colosso tecnologico cinese ha dichiarato giovedì di aver lanciato al pubblico il suo chatbot simile a ChatGPT.Le azioni di Baidu quotate a Hong Kong sono salite di oltre il 3% negli scambi mattutini.La notizia ha segnalato un via libera da parte di Pechino e un’altra dimostrazione di una posizione politica più rilassata nei confronti dell’intelligenza artificiale.Baidu ha rilasciato il bot Ernie il 16 marzo. L’accesso iniziale era limitato ai partner commerciali dell’azienda e alle persone che si erano iscritte a una lista d’attesa, il cui numero è salito a oltre 1,2 milioni prima che Baidu smettesse di rivelarlo.Da mercoledì, la CNBC ha potuto accedere a Ernie bot senza la precedente restrizione di dover inserire un numero di identificazione cinese.Le aziende cinesi si sono affrettate ad annunciare progetti di IA generativa da quando il ChatGPT di OpenAI è diventato popolare in tutto il mondo all’inizio di quest’anno. ChatGPT non è ufficialmente consentito in Cina, dove l’accesso a Google e Facebook è bloccato. Nonostante questo livello di monitoraggio, i leader cinesi hanno fatto commenti di rilievo sulla necessità di sviluppare la tecnologia nazionale, con riferimenti specifici all’intelligenza artificiale.Il 15 agosto è entrato in vigore il “regolamento provvisorio” per la gestione dei servizi di intelligenza artificiale generativa.Le regole dicono che non si applicheranno alle aziende che sviluppano la tecnologia AI finché il prodotto non sarà disponibile al pubblico di massa. Si tratta di un’impostazione più attenuata rispetto a una bozza pubblicata in aprile, secondo la quale le regole si sarebbero applicate anche alla fase di ricerca.L’ultima versione delle norme non prevedeva inoltre un obbligo di licenza generale, limitandosi a dire che era necessaria se prevista da leggi e regolamenti. Non specificava quali.La Cina ha generalmente rafforzato la regolamentazione sulla protezione dei dati personali e sulla sicurezza della rete.La scorsa settimana, nel corso di una telefonata sui profitti, l’amministratore delegato di Baidu, Robin Li, ha definito le nuove norme “più favorevoli all’innovazione che alla regolamentazione” e ha dichiarato che l’azienda è “abbastanza ottimista sul futuro per un ambiente normativo migliore”.In quell’occasione, Li ha dichiarato che l’azienda “sta ancora aspettando il via libera per il lancio su larga scala del bot Ernie da utilizzare nelle applicazioni rivolte ai consumatori”.

English version

  • AUSTRALIA WILL NOT IMPOSE AGE VERIFICATION MECHANISMS ON ADULT SITES
  • UK: HOME OFFICE WANTS TO EXPAND USE OF FACE RECOGNITION
  • CHINA: BAIDU’S AI ERNIE BOT TOPS THE APP STORE

The federal government will not force adult websites to bring in age verification following concerns about privacy and the lack of maturity of the technology.On Wednesday, the communications minister, Michelle Rowland, released the eSafety commissioner’s long-awaited roadmap for age verification for online pornographic material, which has been sitting with the government since March 2023.The federal government has decided against forcing sites to bring in age verification technology, instead tasking the eSafety commissioner, Julie Inman Grant, to work with the industry to develop a new code to educate parents on how to access filtering software and limit children’s access to such material or sites that are not appropriate.“It is clear from the roadmap at present, each type of age verification or age assurance technology comes with its own privacy, security, effectiveness or implementation issues,” the government’s response to the roadmap said.The technology must work effectively without circumvention, must be able to be applied to pornography hosted outside Australia, and not introduce the risk to personal information for adults who choose to access legal pornography, the government stated.“The roadmap makes clear that a decision to mandate age assurance is not yet ready to be taken.”The new tranche of codes will be developed by eSafety following the implementation of the first set of industry codes in December this year.The government will also bring forward an independent statutory review of the Online Safety Act in 2024 to ensure it is fit for purpose and this review will be completed in this term of government. The UK’s approach to age assurance will also be monitored as the UK is “a key likeminded partner”.In the roadmap, eSafety’s research found of the 75% of 16 to 18-year-olds who said they had seen online pornography, nearly one-third had seen it before the age of 13, and nearly half between 13 and 15.

The Home Office is eyeing an expansion of the use of facial recognition software – including potentially within police forces and the security agencies.The department put out a call asking for companies to make suggestions of how they could improve the way in which facial recognition is used by the government.And the market exploration states the government is after benefits that “could be deployed to benefit the Home Office and policing within the next 18 months”.All 43 police forces of England and Wales “are an example of potential customers” for such technologies, alongside “other security agencies”.The government’s innovation department, Defence and Security Accelerator (DASA), is also part of the process, which will run until 12 October 2023.Live facial recognition – where cameras scan an area and analyse every person that passes through – is one of the areas in which the government is interested in expanding its position.They also want to improve their use of retrospective facial recognition, which allows authorities to use the technology “after an event to establish who a person is or whether their image matches other media held on a database”.A third area is operator-initiated facial recognition – which is where an “operator” can decide they need to use facial recognition on a particular image to help find out who they are.The use of facial recognition by police forces has raised concerns about privacy, especially when cameras are deployed in public areas.There are also concerns about how data is stored, and the companies which supply the technology.A scientific adviser to the police has emphasised the authorities’ desire to “strike the right balance between public safety and individual privacy rights”.Campaigners liken the technology to that used in Russia and China.

Baidu’s Ernie bot ranked first in popularity on Apple’s app store in China after the Chinese tech giant said Thursday it was releasing its ChatGPT-like chatbot to the public.Baidu’s Hong Kong-listed shares rose by more than 3% in morning trade.The news signaled a green light from Beijing, and another indication of a more relaxed policy stance on artificial intelligence.Baidu released Ernie bot on March 16. Initial access was limited to the company’s business partners and people who had first joined a waitlist — whose numbers swelled to more than 1.2 million before Baidu stopped disclosing them.As of Wednesday, CNBC was able to access Ernie bot without the prior restriction of having to enter a Chinese ID number.Chinese companies have rushed to announce generative AI projects since OpenAI’s ChatGPT surged in popularity worldwide earlier this year. ChatGPT isn’t officially allowed in China, where access to Google and Facebook is blocked.Despite that level of control, China’s top leaders have made high-profile comments about the need to develop domestic technology, with specific mention of artificial intelligence.On Aug. 15, China’s “interim regulation” for the management of generative AI services took effect.The rules said they would not apply to companies developing the AI tech as long as the product was not available to the mass public. That’s more relaxed than a draft released in April that said forthcoming rules would apply even at the research stage.The latest version of the rules also did not include a blanket license requirement, only saying that one was needed if stipulated by law and regulations. It did not specify which ones.China has generally increased regulation on personal data protection and network security.During an earnings call last week, Baidu CEO Robin Li called the new rules “more pro-innovation than regulation” and said the company was “quite optimistic about the future for a better regulatory environment.”At the time, Li said the company was “still waiting for the green light for large-scale rollout of Ernie bot for use in consumer facing apps.”

PRIVACYDAILY

N. 144/2023

LE TRE NEWS DI OGGI:

  • USA, LA METROPOLITANA DI NEW YORK VUOLE INTRODURRE SISTEMI DI SORVEGLIANZA BASATI SULLA AI
  • AUSTRALIA, META SANZIONATA PER 20 MILIONI DI DOLLARI PER IL PROGETTO ONDAVO
  • NIGERIA, AUTORITA’ GARANTE STA CONDUCENDO ISTRUTTORIE IN DIVERSI SETTORI

La metropolitana di New York è l’ultima a implementare una sorveglianza basata sull’intelligenza artificiale, dopo l’aumento dell’uso di software simili negli aeroporti e nelle stazioni di polizia di tutto il Paese. La Metropolitan Transit Authority, l’agenzia che gestisce i trasporti pubblici della città, ha  introdotto una tecnologia di terze parti per aiutare a reprimere gli evasori, secondo quanto riportato dalla NBC.La nuova politica arriva settimane dopo che la Transportation Security Administration (TSA) ha annunciato un aumento dell’uso del software di riconoscimento facciale in oltre 400 aeroporti. La polizia della contea di Westchester, un sobborgo alle porte di New York, ha inoltre recentemente rivelato di aver utilizzato l’intelligenza artificiale per scansionare le targhe dei veicoli ed esaminarne i modelli di guida. Il software dell’MTA è stato implementato per rintracciare gli evasori ed è in uso in sette stazioni della metropolitana, secondo un rapporto pubblicato dall’MTA a maggio. L’MTA prevede di utilizzare il software in “circa altre due dozzine di stazioni, a cui ne seguiranno altre” entro la fine dell’anno. “L’MTA utilizza questo strumento per quantificare l’entità dell’evasione tariffaria senza identificare gli evasori”, ha dichiarato a USA TODAY Joana Flores, portavoce dell’MTA. Il software di intelligenza artificiale viene utilizzato per contare il numero di ingressi non pagati nelle stazioni della metropolitana, secondo il rapporto dell’agenzia pubblicato a maggio. Da qui, “è possibile calcolare un tasso di evasione confrontando il numero di ingressi non pagati con il numero di ingressi a pagamento”, si legge nel rapporto. I dati saranno utilizzati per effettuare un “controllo incrociato” con le stime dell’evasione tariffaria a livello di sistema. Il software – creato dalla società spagnola AWAIIT – utilizza telecamere di sorveglianza per scansionare i viaggiatori e inviare le immagini dei potenziali evasori agli agenti delle stazioni vicine, come mostrato in un video promozionale. “L’MTA avrà così, per la prima volta, una maggiore capacità di individuare i picchi di evasione per stazione, per giorno della settimana e per ora del giorno”, si legge nel rapporto dell’MTA. “Con la tecnologia che fornisce conteggi affidabili prima e dopo l’evasione, sarà sempre più possibile testare nuovi approcci alla ricerca di ciò che funziona davvero”.

Ricordate Onavo? L’azienda israeliana di mobile market intelligence che Meta (alias Facebook) acquistò nel 2013 e utilizzò per creare un’app gratuita di VPN/gestione dei dati che, a detta degli utenti, avrebbe aiutato a proteggere la loro privacy, ma che pareva facesse l’opposto condividendo i dati di utilizzo con Facebook per scopi di business intelligence di quest’ultimo? L’escamotage pare abbia aiutato il gigante tecnologico a capire quali app rivali fossero popolari, consolidando la sua strategia di acquisizione e permettendogli di incrementare la sua presenza sul social.Meta non ha dovuto affrontare azioni  legali per aver usato un’applicazione VPN gratuita che dichiarava di mantenere i dati delle persone “al sicuro” mentre ne tracciava l’attività digitale a fini commerciali. Ma l’autorità australiana di vigilanza sui consumatori è riuscita a ottenere il pagamento di una sanzione complessiva di 20 milioni di dollari australiani da due società di proprietà di Meta coinvolte nella vicenda: Facebook Israel e Onavo Inc. La Commissione per la concorrenza e i consumatori (ACCC) ha citato in giudizio Meta per l’uso di Onavo nel dicembre 2020. Oggi ha comunicato che un tribunale federale ha ordinato alle due società controllate di pagare 10 milioni di dollari australiani ciascuna per aver tenuto una condotta che poteva indurre in errore, in violazione della legge australiana sui consumatori.Le filiali, che erano gli sviluppatori e i fornitori dell’applicazione Onavo Protect VPN, sono state ritenute responsabili di descrizioni ingannevoli dell’applicazione visualizzate negli elenchi di Google e Apple App Store.L’ente di vigilanza ha inoltre rilevato che l’app VPN “Onavo Protect” è stata installata più di 270.000 volte da utenti australiani tra febbraio 2016 e ottobre 2017. “Nelle inserzioni degli App Store di Google e Apple, Onavo Protect è stato promosso come un prodotto che avrebbe mantenuto i dati degli utenti protetti e sicuri, ad esempio con un linguaggio come ‘Usa una VPN gratuita, veloce e sicura per proteggere le informazioni personali’ e ‘Aiuta a mantenere te e i tuoi dati al sicuro'”, ha scritto in un comunicato stampa. “In realtà, Onavo e Facebook Israel hanno condiviso i dati sulle attività personali degli utenti raccolti dall’app in forma anonima e aggregata con la società madre Meta (all’epoca nota come Facebook Inc) a fini commerciali”.”Abbiamo intrapreso questa causa sapendo che molti consumatori sono preoccupati per il modo in cui i loro dati vengono acquisiti, memorizzati e utilizzati dalle piattaforme digitali. Riteniamo che i consumatori australiani debbano poter scegliere con cognizione di causa cosa fare dei loro dati, sulla base di informazioni chiare e non fuorvianti”, ha aggiunto in un comunicato la presidente dell’ACCC, Gina Cass-Gottlieb.

Le palesi violazioni dei dati dei cittadini da parte di organizzazioni commerciali hanno attirato l’ira della Commissione nigeriana per la protezione dei dati (NDPC), che ha dichiarato di indagare attualmente su circa nove organizzazioni nei settori dell’istruzione, delle assicurazioni, delle telecomunicazioni e delle banche. Il commissario nazionale della NDPC, il dottor Vincent Olatunji, lo ha rivelato durante un’intervista con i giornalisti a Lagos. Olatunji, che ha detto che alcune organizzazioni sono state sanzionate in passato e costrette a pagare i danni, ha affermato che l’NDPC indagherà sugli abusi dei dati senza lasciare nulla di intentato.Ha dichiarato che il monitoraggio è iniziato con la speranza di informare il pubblico sulle attività di violazione dei dati.Secondo il Commissario, per garantire un monitoraggio adeguato, le banche, gli operatori di telecomunicazioni e le altre organizzazioni che controllano i dati dei nigeriani devono registrarsi presso la Commissione entro dicembre per il controllo della conformità alla protezione dei dati.Il Commissario ha affermato che ciò è in linea con le disposizioni della legge nigeriana sulla protezione dei dati, che impone a tutti i responsabili e gli incaricati del trattamento dei dati di registrarsi entro sei mesi dall’entrata in vigore della legge.Ha dichiarato che la Commissione è pienamente indipendente, sottolineando che deve comunque rispondere al governo federale. Olatunji ha affermato che: “Per quanto riguarda l’indipendenza, se si considera la sezione sette della nostra legge, la commissione deve essere indipendente”. “Da quando abbiamo iniziato, la commissione non ha avuto alcun percorso da seguire con nessuno. Abbiamo multato tre grandi banche, che pagheranno le loro multe. Attualmente stiamo indagando su circa nove grandi organizzazioni, una società di assicurazioni, una scuola e una società di consulenza. Non lavoriamo in base all’affiliazione politica”. Secondo Olatunji, dopo l’annuncio del regolamento, la Commissione ha scritto alla Banca Centrale della Nigeria, che ha anche applicato il regolamento. Olatunji ha osservato che, sebbene la CBN abbia il diritto di voler proteggere il sistema finanziario dai rischi legati ai dati, sta attualmente discutendo con la Commissione i prossimi passi da compiere. E ha aggiunto: “Stiamo lavorando insieme per affrontare le sfide di questo regolamento. Stiamo ottenendo risultati. Il settore finanziario ha una banca dati enorme”.Secondo l’esperto, il compito di proteggere i dati dei nigeriani è enorme, ma la nuova legge nigeriana sulla protezione dei dati 2023 è all’altezza del compito.

English version

  • USA, NEW YORK SUBWAY WANTS TO INTRODUCE AI-BASED SURVEILLANCE SYSTEMS
  • AUSTRALIA, META FINED $20 MILLION FOR ONDAVO PROJECT
  • NIGERIA, GUARANTOR AUTORITY IS CONDUCTING INSTRUCTIONS IN DIFFERENT AREAS

New York City’s subway system is the latest to implement artificial intelligence-powered surveillance, following an increase of similar software use in airports and police stations across the country. The Metropolitan Transit Authority, the agency that operates the city’s public transportation, quietly rolled out a third-party technology to help crackdown on fare evaders, NBC reported.The new policy comes weeks after the Transportation Security Administration (TSA) announced an expansion of facial recognition software use at over 400 airports. Police in Westchester County, a suburb outside of NYC, also recently revealed that they used AI to scan vehicle license plates and examine the driving patterns of vehicles.The MTA software was deployed to track fare evaders and is in use at seven subway stations, according to a report published by MTA in May. MTA plans to implement the software in “approximately two dozen more stations, with more to follow” by the end of the year. “The MTA uses this tool to quantify the amount of fare evasion without identifying fare evaders,” Joana Flores, a spokesperson for MTA, told USA TODAY.The AI software is used to count the number of unpaid entries into subway stations, according to the agency’s May report. From there, “an evasion rate can then be calculated by comparing the number of unpaid entries to the number of paid entries,” the report states.The data will be used to “cross-check” with system-wide estimates of fare evasion. The software– created by AWAIIT, a Spanish company– uses surveillance cameras to scan travelers and send pictures of potential fare evaders to nearby station agents, as shown in a promotional video. “The MTA thus will develop – for the first time – a much increased ability to pinpoint evasion spikes by station, by day of week, and by time of day,” the MTA report said. “With the technology providing reliable before and after evasion counts, it will be increasingly possible to test new approaches in search of what really works.

Remember Onavo? The Israeli mobile market intelligence company that Meta (aka Facebook) bought back in 2013 and used to power a free VPN/data management app which claimed to users it would help protect their privacy but did the opposite by sharing usage data with Facebook for the latter’s own business intelligence purposes? The wheeze helped the tech giant figure out which rival apps were popular — feeding its acquisition strategy and enabling it to sew up its grip on the social web. (See, for e.g., Facebook’s 2014 purchase of WhatsApp.)Meta hasn’t faced much legal blowback for using the misleading cover of a freebie VPN app that claimed it would keep people’s data “safe” to spy on users’ digital activity for its own commercial ends. But Australia’s consumer watchdog has now managed to extract an AUS$20 million (~$13.5M) total penalty payment from two Meta-owned companies involved in the saga: Facebook Israel and Onavo Inc.The Competition and Consumer Commission (ACCC) sued Meta over its use of Onavo back in December 2020. Today it said a federal court has ordered the two subsidiaries to each pay AUS$10M for engaging in conduct liable to mislead in breach of the Australian Consumer Law. The subsidiaries, which were the developers and suppliers of the Onavo Protect VPN app, were found to be responsible for misleading descriptions of the app displayed in Google and Apple App Store listings.The watchdog also found that the “Onavo Protect” VPN app was installed more than 270,000 times by Australian users between February 2016 and October 2017. Facebook shuttered the service in May 2019.“In Google and Apple App Store listings, Onavo Protect was promoted as a product that would keep users’ data protected and safe, for example with language such as ‘Use a free, fast and secure VPN to protect personal information‘ and ‘Helps Keep You and Your Data Safe‘,” it wrote in a press release. “In fact, Onavo and Facebook Israel shared the personal activity data from users collected by the app in anonymised and aggregated form with parent company Meta (then known as Facebook Inc) for commercial benefit.”“We took this case knowing that many consumers are concerned about how their data is captured, stored and used by digital platforms. We believe Australian consumers should be able to make an informed choice about what happens to their data based on clear information that is not misleading,” ACCC chair, Gina Cass-Gottlieb, added in a statement.

The flagrant breaches of citizens’ data by business organisations have drawn the ire of the Nigeria Data Protection Commission (NDPC), which said it is currently investigating about nine organisations in the education, insurance, telecoms and banking sectors.The National Commissioner of NDPC, Dr. Vincent Olatunji, revealed this, during an interaction with newsmen in Lagos. Olatunji, who said some organisations have been sanctioned in the past and made to pay for damages, said NDPC would investigate data abuses without leaving any stone unturned.He said monitoring has commenced deeply with the hope of informing the public of activities around data breaches.According to him, to ensure adequate monitoring in this regard, banks, telecoms operators and other organisations that control Nigerians’ data must register with the Commission between now and December for data protection compliance monitoring.The Commissioner said this is in line with the provisions of the Nigeria Data Protection Act, which mandates all data controllers and processors to get registered within six months of the enactment of the law.He said the Commission was fully independent, stressing that it is still answerable to the FG. Olatunji said: “About independence when you consider section seven of our act, the commission must be independent.“Since we started, the commission has not had any course to run to anyone. We have fined three major banks, and they will pay their fines. We are currently investigating about nine major organisations, an insurance firm, a school, and a consulting firm. We don’t work based on political affiliation.” He noted that the NDPC was currently working with the Central Bank of Nigeria on its social media know-you-customer (KYC) protocols.According to him, after the regulation was announced, the commission wrote to the apex bank, which also applied. Olatunji noted that while the CBN was within its right to want to protect the financial system from data risks, it was currently discussing with the commission on next steps. He added: “We are working together to address the challenges of this regulation. We are getting results. The financial sector has a huge database.”According to him, the task of securing the data of Nigerians was huge, but the new Nigeria Data Protection Act 2023 was up to the task.

PRIVACYDAILY

N. 143/2023

LE TRE NEWS DI OGGI:

  • AUSTRALIA, DIPARTIMENTO AFFARI INTERNI DIFFONDE DATI PARTECIPANTI AL SONDAGGIO SULLE PMI
  • SPAGNA AUTORITA’ GARANTE ADOTTA SANZIONI CONTRO UN’IMPRESA DI ORGANIZZAZIONE DI FESTE PER BAMBINI
  • UGANDA, MENO DEL 50% DELLE ORGANIZZAZIONI HA UNA PRIVACY POLICY

Il dipartimento degli Affari interni ha reso note le informazioni personali di oltre 50 partecipanti che hanno risposto a un sondaggio sulla sicurezza informatica, secondo quanto rivelato da Guardian Australia.I nomi, le ragioni sociali, i numeri di telefono e le e-mail dei partecipanti al sondaggio sono stati pubblicati sul sito web del Parlamento in risposta a un avviso di udienza sul bilancio preventivo di maggio.Il rapporto di ricerca dell’azienda 89 Degrees East è stato sviluppato nell’ambito del programma pilota della sorveglianza informatica lanciato sulla scia degli attacchi informatici di Optus e Medibank dello scorso anno ed è stato incluso in un pacchetto di risposte  per rispondere a una domanda del ministro ombra per la sicurezza informatica e gli affari interni, James Paterson. Il programma, che ha ricevuto 23,4 milioni di dollari nel bilancio di maggio, mira a formare le piccole imprese e la forza lavoro affinché siano “cyber intelligenti” e consapevoli delle possibili minacce informatiche. Il rapporto Understanding Small Business and Cyber Security, che conteneva le informazioni personali, ha intervistato più di 2.000 proprietari di aziende e dipendenti, scoprendo che il 44% ha subito un attacco informatico, e il 29% ha dichiarato di aver subito un attacco informatico che ha colpito le proprie informazioni personali. Le informazioni sono state rimosse dal sito web del Parlamento questa settimana. Paterson ha detto che il dipartimento dovrebbe essere un esempio di buone pratiche di sicurezza informatica e di protezione della privacy. “È ironico che questa violazione di informazioni di identificazione personale sia avvenuta in risposta a un’interrogazione sul miglioramento della sicurezza informatica per le piccole imprese e da parte di un dipartimento il cui ministro ha pubblicamente attaccato Optus quando una banda criminale ha rubato dati simili”, ha dichiarato. “Per quanto Optus, Medibank e altre recenti violazioni di dati siano state negative, una perdita di dati di questa portata da parte di un dipartimento o di un’agenzia governativa potrebbe essere ancora peggiore, data la sensibilità del materiale coinvolto”.

L’Agenzia spagnola per la protezione dei dati (AEPD) ha comminato una multa di 10.000 euro a un’azienda che organizza feste per bambini per aver pubblicato immagini di minori su Instagram Stories, secondo quanto riportato da Confilegal.Come si legge, la denunciante è la madre di una bambina che, la scorsa estate, ha partecipato a una festa di compleanno nei locali dell’azienda e ha notato che erano state pubblicate delle Instagram Stories in cui compariva il volto della figlia.La madre ha contattato il servizio di messaggistica del social network per chiedere la rimozione del post o la copertura dei volti dei bambini.Secondo Confilegal, l’AEPD ha chiesto spiegazioni all’azienda, che ha risposto che la pubblicazione è scaduta dopo 24 ore e che non ha risposto alla madre perché ha fatto la richiesta attraverso una “richiesta di amicizia” e non attraverso il canale previsto a questo scopo.”La società ha riconosciuto l’errore e ha dichiarato di aver intensificato le misure per evitare che si verifichino situazioni simili, richiedendo ora il consenso dei genitori e creando un protocollo per evitare incidenti”, si legge sul sito. La sanzione è definitiva e può essere impugnata presso l’Audiencia Nacional.

Secondo un nuovo rapporto, meno della metà degli enti locali dispone di politiche, strategie e strutture per la protezione dei dati, segnalando la possibilità di violazioni della privacy. Il rapporto di Ernst & Young (EY), pubblicato a Kampala il 18 luglio a seguito di un’indagine condotta tra ottobre 2022 e dicembre 2022 su diverse entità, tra cui istituzioni finanziarie, fornitori di servizi di pagamento, compagnie assicurative, sanità, agenzie e dipartimenti governativi, aziende manifatturiere, ONG e società di telecomunicazioni, mostra che solo il 47% delle entità ha messo in atto politiche, strategie e strutture per la protezione dei dati.Il rapporto mostra anche che il 30% degli enti effettua verifiche private, mentre il 23% non le effettua mai.Tuttavia, la maggior parte delle entità, il 74%, ha riconosciuto di avere responsabili della protezione dei dati, mentre il 26% non ne ha. È interessante notare che l’80% dei responsabili della protezione dei dati è stato assegnato ad altri compiti all’interno dell’organizzazione.Solo l’11% degli intervistati disponeva di un comitato direttivo sulla privacy e la maggior parte delle entità non aveva analisti, coordinatori e responsabili della privacy dei dati. La protezione e la perdita dei dati sono state effettuate utilizzando dispositivi mobili.L’indagine, intitolata “Uganda Data Protection and Privacy Survey 2022” e condotta in linea con il Regolamento sulla protezione dei dati e sulla privacy del 2021, fa luce anche sulle sfide che gli enti devono affrontare per adeguarsi alla normativa sulla protezione dei dati in Uganda.Queste sfide comprendono aree come la prevenzione delle violazioni dei dati, i trasferimenti transfrontalieri di dati  sottolineando l’importanza che le organizzazioni adottino solide strategie di protezione dei dati.Il rapporto raccomanda ai titolari delle imprese di comprendere che i dati in loro possesso hanno il potenziale per aumentare la fiducia dei clienti.Il rapporto rileva che le entità devono rivedere e migliorare continuamente il loro programma di protezione dei dati per stare al passo con le minacce emergenti.Devono inoltre monitorare l’ambiente tecnologico per individuare nuove istanze che potrebbero non essere classificate o protette in modo appropriato.Il rapporto aggiunge anche che è necessario migliorare la consapevolezza e la comprensione delle normative sulla protezione dei dati tra i singoli, le organizzazioni del settore privato e le MDA governative in Uganda. Ciò include il miglioramento della conoscenza dei requisiti di conformità e dei diritti degli interessati.

English version

  •  AUSTRALIA, DEPARTMENT OF HOME AFFAIRS DISCLOSURES SME SURVEY PARTICIPANT DATA
  • SPAIN GUARANTOR AUTHORITY ADOPTS SANCTIONS AGAINST A CHILDREN’S PARTY ORGANISATION COMPANY
  • UGANDA, LESS THAN 50% OF ORGANISATIONS HAVE A PRIVACY POLICY

The home affairs department exposed the personal information of more than 50 small business survey participants who were sought for their views on cybersecurity, Guardian Australia can reveal.The names, business names, phone numbers and emails of the participants in the survey were published on the parliament website in response to a question on notice from May’s Budget estimates hearing.The research report from firm 89 Degrees East was developed as part of the cyber wardens pilot program launched in the wake of last year’s Optus and Medibank cyber attacks, and was included in a bundle of responses about the program to answer a question from the shadow cyber security and home affairs minister, James Paterson.The program, which went on to receive $23.4m in the May budget, is aimed at training small businesses and the workforce to be “cyber smart” and aware of possible cyber threats.The Understanding Small Business and Cyber Security report which contained the personal information surveyed over 2,000 business owners and employees, and found 44% had experienced a cyber attack, with 29% saying they had experienced a cyber attack affecting their own personal information.Those who participated in the survey and indicated they wanted to hear more about the cyber wardens program were included in the information. The information was removed from the parliament website this week.Paterson said the department should be an exemplar of good cyber security practice and privacy protection.“It’s deeply ironic this breach of personally identifiable information occurred in an answer to a question about improving cyber security for small businesses and from a department whose minister publicly attacked Optus when they had similar data stolen by a criminal gang,” he said. “As bad Optus, Medibank and other recent data breaches have been, a loss of data on that scale by a government department or agency could be even worse given the sensitivity of the material involved.”

The Spanish Data Protection Agency (AEPD) has imposed a fine of 10,000 euros on a company that organises children’s parties for publishing images of minors on Instagram Stories, according to Confilegal.As they say, the complainant was the mother of a girl who, last summer, attended a birthday party at the company’s premises and noticed that Instagram Stories were published in which her daughter’s face appeared.The mother contacted the social network’s messaging service to request the removal of the post or that the children’s faces be covered.According to Confilegal, the AEPD requested explanations from the company, which responded that the publication expired after 24 hours and that it did not reply to the mother because she made the request through a “friend request” and not through the channel provided for this purpose.”They acknowledged the error and stated that they had intensified measures to prevent similar situations from occurring, now requiring parental consent and creating a protocol to avoid incidents,” the website states. The sanction is final and can be appealed before the Audiencia Nacional.

Less than half of local entities have data protection policies, strategies, and frameworks, a new report shows, signaling possible chances of data privacy breaches.The Ernst & Young (EY) report released in Kampala on July 18 following a survey of various entities including financial institutions, payment service providers, insurance companies, SACCOs, healthcare, government agencies and departments, manufacturing companies, NGOs, and telecommunication companies among others between October 2022 and December 2022, shows that only 47% of entities had put in place data protection policies, strategies, and frameworks.The report also shows that 30% of the entities carry out private audits while 23% never carry out these audits.However, the majority of the entities accounting for 74% acknowledged having data protection officers while 26% did not have any. Interestingly, 80% of the data protection officers were assigned to other tasks within the organization.Only 11% of the respondents had a privacy steering committee and most of the entities did not have data privacy analysts, coordinators, and data privacy managers. Data protection and loss were carried out using mobile devices.Titled ‘Uganda Data Protection and Privacy Survey 2022’ carried out in line with the Data Protection and Privacy Regulations, 2021, also sheds light on the challenges faced by entities in complying with data protection laws in Uganda.These challenges encompass areas such as data breach prevention, cross-border data transfers, and industry-specific concerns while stressing the importance of organizations adopting robust data protection strategies.The report recommends that business owners understand that data held by their entities have the potential to enhance customer trust.The report notes that the entities need to review and improve their data protection program continuously to keep up with emerging threats.They also need to monitor the technology environment for new instances that may not be appropriately classified or protected.The report also adds that there is a need to improve awareness and understanding of data protection regulations among individuals, private sector organizations, and government MDAs in Uganda. This includes enhancing knowledge about compliance requirements and the rights of data subjects.

PRIVACYDAILY

N. 126/2023

LE TRE NEWS DI OGGI:

  • USA: UFFICIO IMMIGRAZIONE ACQUISIVA DATI DALLE BIG TECH
  • BELGIO: STOP AL TRAFFICO DEI DATI DEGLI AMERICANI ACCIDENTALI CON LE AUTORITA’ FISCALI USA
  • AUSTRALIA: GRAVE VIOLAZIONE DA PARTE DEL GOVERNO DELLO STATO DEL NORTHERN TERRITORY CON DATI INVIATI AD UN SOFTWARE CON SEDI ALL’ESTERO

L’Agenzia statunitense per l’immigrazione e l’applicazione delle leggi doganali (Ice) ha inviato ai “giganti della tecnologia”, tra cui Google, Twitter e Meta, almeno 500 citazioni amministrative per richiedere informazioni personali sensibili degli utenti, come risulta dai documenti esaminati dal Guardian. La pratica evidenzia la grande quantità di informazioni che l’Ice sta cercando di ottenere senza prima dimostrare la probabilità di una causa. Le citazioni amministrative non sono in genere certificate dal tribunale, il che significa che le aziende non sono legalmente tenute a rispettare o a rispondere fino a quando un giudice non le costringa a farlo. I documenti mostrano che in alcuni casi le aziende hanno consegnato le informazioni sugli utenti, anche se non è chiaro fino a che punto le aziende si siano conformate. Il documento evidenzia inoltre quanto sia ampia la rete che l’Ice sta gettando per sorvegliare i migranti. “Quando l’Ice ottiene i dati degli abbonati da Google o da Instagram, può combinare queste informazioni con miliardi di altri dati su centinaia di milioni di residenti negli Stati Uniti a cui ha accesso da altre aziende”, ha dichiarato Hannah Lucal, data and tech fellow di Just Futures Law, una delle organizzazioni che ha ottenuto i documenti. “Sebbene possano sembrare benevoli o come uno strumento legale, le citazioni amministrative stanno in realtà consentendo una sorveglianza Ice molto invasiva, non solo di qualcuno che l’agenzia sta prendendo di mira, ma potenzialmente anche di chiunque possa comunicare con quella persona su queste piattaforme tecnologiche”, ha detto Lucal. I documenti, che descrivono in dettaglio le richieste tra il 2018 e il 2021, mostrano che la maggior parte delle richieste erano legate agli sforzi dell’agenzia per l’applicazione delle leggi sull’immigrazione. Una manciata di casi riguardava il contrabbando di esseri umani e uno faceva parte di un’indagine per omicidio. Nella maggior parte dei casi, l’Ice ha chiesto alle aziende di consegnare informazioni sugli account, come l’indirizzo IP di una persona nel tempo e i dettagli dei pagamenti. In alcuni casi, l’agenzia si è spinta molto oltre, come risulta dai documenti. In un caso, l’Ice ha chiesto a Google i dettagli dell’account di Migrant Media, un canale YouTube che si concentrava e condivideva risorse sui problemi dei migranti. Nel mandato di comparizione, un funzionario dell’Ice ha dichiarato che l’agenzia stava cercando i nomi, gli indirizzi, le informazioni sui pagamenti e sulle fatture “e tutti gli indirizzi IP associati alla pagina YouTube” come parte di una “indagine o inchiesta in corso relativa all’applicazione delle leggi statunitensi sull’immigrazione”. Il mandato di comparizione non ha fornito ulteriori dettagli sulla natura dell’indagine.

Il Belgio smetterà di condividere i dati degli “americani accidentali” (persone che possiedono la cittadinanza statunitense in virtù della loro nascita ma che sono stabilite all’estero) con le autorità fiscali statunitensi dopo che l’Autorità per la protezione dei dati del Paese ha dichiarato illegale il trasferimento di informazioni. In base al Foreign Account Tax Compliance Act (FATCA), una misura contro l’evasione fiscale, le banche straniere devono inviare le informazioni sui conti detenuti dagli americani ai rispettivi governi, che le condividono con l’IRS. Il Congresso ha approvato la legge per catturare gli evasori fiscali americani che nascondono i loro fondi all’estero, ma ha anche preso di mira gli “americani accidentali” che sostengono di essere stati ingiustamente trascinati in una rete di rivelazione per un Paese con il quale hanno pochi legami. Per alcuni, le conseguenze sono state il rifiuto dei servizi bancari e altre seccature burocratiche nei loro Paesi d’origine. L’Autorità belga per la protezione dei dati ha dichiarato di aver riscontrato che i requisiti di condivisione delle informazioni violano il Regolamento generale sulla protezione dei dati (GDPR) dell’UE. L’agenzia ha affrontato la questione dopo che un gruppo di americani accidentali e un doppio cittadino belga-americano hanno presentato un reclamo nel 2020, ha dichiarato il governo in un comunicato. L’articolo 96 del GDPR consente di mantenere in vigore gli accordi internazionali precedenti al provvedimento dell’UE, se conformi alla legge al momento della loro stipula. Tuttavia, sia l’autorità per i dati che la Camera di Giustizia belga hanno affermato che il “trasferimento generalizzato e indifferenziato di dati fiscali” dell’accordo FATCA tra Stati Uniti e Belgio non soddisfa gli standard che richiedono che gli accordi internazionali contengano obiettivi precisi per il trasferimento di tali dati e che trattino solo i dati “strettamente” necessari per gli scopi perseguiti. “L’articolo 96 non può essere inteso come un’autorizzazione a che gli accordi internazionali rimangano contrari al GDPR nel tempo”, ha dichiarato Hielke Hijmans, presidente della Camera del contenzioso, nella dichiarazione di mercoledì. L’esenzione per gli accordi internazionali preesistenti “non esenta gli Stati membri dell’UE dal (ri)negoziare un accordo per renderlo conforme al GDPR”. La Camera del contenzioso ha anche rilevato che il FATCA “non contiene garanzie adeguate per assicurare che ai dati personali esportati sia garantito un livello di protezione simile a quello dei dati all’interno dell’UE”. “Ordinare la cessazione dei flussi di dati verso gli Stati Uniti ai sensi dell’accordo FATCA può sembrare severo, ma una volta constatato che non sono conformi alla legge applicabile, siamo obbligati a interrompere questi flussi di dati”, ha dichiarato Hijmans. La decisione è soggetta a ricorso, ha osservato l’autorità. “Il problema di fondo è che gli Stati membri dell’UE violano le proprie leggi per conformarsi a quelle statunitensi”, ha dichiarato in un comunicato Fabien Lehagre, presidente dell’Associazione degli Americani Accidentali. “È la prima volta che l’accordo FATCA viene dichiarato ufficialmente illegale”, ha aggiunto Lehagre via e-mail. “

In Australia il governo del Territorio del Nord ha violato la privacy di migliaia di pazienti della sanità pubblica inviando cartelle cliniche identificabili a un fornitore di software con uffici in Europa, Sud America e Cina. Un rapporto preliminare sull’incidente, ottenuto dall’ABC grazie alle leggi sulla libertà di informazione, mostra l’entità dei dati identificabili dei pazienti trasferiti tra la NT Health, il Core Clinical Systems Renewal Program (CCSRP) e il fornitore di software globale Intersystems tra il 2018 e il 2019.Il CCSRP – che fa capo al Dipartimento per lo sviluppo aziendale e digitale – è stato istituito nel 2017 per integrare quattro sistemi di cartelle cliniche di NT Health in uno solo, con un costo per i contribuenti di 259 milioni di dollari.Il nuovo sistema di cartelle cliniche, denominato “Acacia”, utilizza un software acquistato da Intersystems. Le cartelle cliniche di 50.616 pazienti sono state inviate dalla NT Health al CCSRP. Poi, come parte dell’accordo, 3.277 cartelle cliniche di pazienti identificabili sono state trasferite dal CCSRP a Intersystems. Questo secondo Intersystems, a cui il CCSRP ha chiesto una verifica dei dati trasferiti prima della segnalazione dell’incidente.Ma gli esperti hanno detto che non è chiaro se tutti i file inviati a Intersystems siano stati trovati.Il rapporto sull’incidente è stato commissionato da NT Health nel 2019 per quantificare l’entità dei dati trasferiti.Il rapporto ha stabilito quattro criteri per valutare il rischio clinico associato a ciascun record inviato tra NT Health, CCSRP e Intersystems.Due record trasferiti dal CCSRP a Intersystems sono stati classificati come “rischio molto elevato”, mentre 476 sono stati considerati “ad alto rischio”. Per essere classificate in queste due categorie di “classificazione del rischio”, il nome completo del paziente doveva essere visibile, con la presenza di informazioni “altamente sensibili” o “sensibili”.Le voci relative ai pazienti includevano relazioni psicologiche e visite a strutture psichiatriche, registrazioni di interruzioni di gravidanza o di nati morti e registrazioni di terapie elettroconvulsive, note anche come terapie con scosse elettriche.Sono stati trasferiti anche i dati relativi alle visite ai centri di cura oncologici, alle donazioni di organi e alle ricevute.Tutti gli altri dati relativi ai pazienti sono stati classificati come “a medio rischio” o “a basso rischio”, e il rapporto afferma che “il trasferimento di dati identificabili è stato un problema sistemico e non è stato effettuato da un singolo organismo.”

English version

  • USA: IMMIGRATION OFFICE ACQUIRED DATA FROM BIG TECH
  • BELGIUM: STOP TRAFFICING DATA OF ACCIDENTAL AMERICANS WITH U.S. TAX AUTHORITIES
  • AUSTRALIA: VIOLATION BY THE NORTHERN TERRITORY STATE GOVERNMENT WITH DATA SENT TO A SOFTWARE WITH LOCATIONS ABROAD

The U.S. Immigration and Customs Enforcement Agency (ICE) has sent “tech giants,” including Google, Twitter and Meta, at least 500 administrative subpoenas requesting sensitive personal information from users, according to documents reviewed by the Guardian. The practice highlights the large amount of information ICE is seeking without first demonstrating the likelihood of a lawsuit Administrative subpoenas are typically not certified by the court, meaning companies are not legally required to comply or respond until a judge forces them to do so. The documents show that in some cases companies have turned over user information, although it is unclear to what extent companies have complied. The document also highlights how wide a net Ice is casting to surveil migrants. “When ICE gets subscriber data from Google or Instagram, it can combine that information with billions of other data on hundreds of millions of U.S. residents that it has access to from other companies,” said Hannah Lucal, data and tech fellow at Just Futures Law, one of the organizations that obtained the documents. “While they may seem benign or like a legal tool, the administrative subpoenas are actually enabling very intrusive Ice surveillance, not only of someone the agency is targeting, but potentially anyone who may communicate with that person on these technology platforms,” Lucal said.The documents, which detail requests between 2018 and 2021, show that most of the requests were related to the agency’s immigration enforcement efforts. A handful of cases involved human smuggling and one was part of a murder investigation.In most cases, ICE asked companies to hand over account information, such as a person’s IP address over time and payment details.In some cases, the agency went much further, the documents show. In one case, ICE asked Google for account details of Migrant Media, a YouTube channel that focused and shared resources on migrant issues. In the subpoena, an ICE official said the agency was seeking the names, addresses, payment and billing information “and all IP addresses associated with the YouTube page” as part of an “ongoing investigation or inquiry related to the enforcement of U.S. immigration laws.” The subpoena provided no further details about the nature of the investigation.


Belgium will stop sharing data of “accidental Americans” (and people who hold U.S. citizenship by virtue of their birth but are based abroad) with U.S. tax authorities after the country’s Data Protection Authority declared the transfer of information illegal. Under the Foreign Account Tax Compliance Act (FATCA), an anti-tax evasion measure, foreign banks must send information about accounts held by Americans to their respective governments, which share it with the IRS. Congress passed the law to catch American tax evaders who hide their funds abroad, but it also targeted “accidental Americans” who claim they were unfairly dragged into a web of disclosure for a country with which they have little connection. For some, the consequences have been denial of banking services and other bureaucratic hassles in their home countries. The Belgian Data Protection Authority said it found that the information-sharing requirements violated the EU’s General Data Protection Regulation (GDPR). The agency addressed the issue after a group of accidental Americans and a dual Belgian-American citizen filed a complaint in 2020, the government said in a statement. Article 96 of the GDPR allows international agreements that predate the EU measure to remain in force if they were in accordance with the law at the time they were made. However, both the data authority and the Belgian Chamber of Justice said the FATCA agreement’s “blanket and undifferentiated transfer of tax data” between the U.S. and Belgium does not meet the standards that require international agreements to contain precise objectives for the transfer of such data and to deal only with data that is “strictly” necessary for the purposes pursued. “Article 96 cannot be understood as authorizing international agreements to remain contrary to the GDPR over time,” Hielke Hijmans, president of the Litigation Chamber, said in Wednesday’s statement. The exemption for pre-existing international agreements “does not exempt EU member states from (re)negotiating an agreement to bring it into compliance with the GDPR.” The Litigation Chamber also noted that FATCA “does not contain adequate safeguards to ensure that exported personal data is afforded a similar level of protection as data within the EU.” “Ordering the cessation of data flows to the U.S. under FATCA may seem harsh, but once we find that they do not comply with applicable law, we are obligated to stop these data flows,” Hijmans said. The decision is subject to appeal, the authority noted. “The underlying problem is that EU member states are violating their own laws to comply with U.S. laws,” Fabien Lehagre, president of the Association of Accidental Americans, said in a statement. “This is the first time the FATCA agreement has been officially declared illegal,” Lehagre added via e-mail. “

The Australian Northern Territory government violated the privacy of thousands of public health patients by sending identifiable medical records to a software vendor with offices in Europe, South America and China. A preliminary report on the incident, obtained by the ABC through Freedom of Information laws, shows the extent of identifiable patient data transferred between NT Health, the Core Clinical Systems Renewal Program (CCSRP) and global software vendor Intersystems between 2018 and 2019. CCSRP-which comes under the Department of Business and Digital Development-was established in 2017 to integrate four NT Health medical records systems into one, at a cost to taxpayers of $259 million.The new medical records system, called “Acacia,” uses software purchased from Intersystems. The medical records of 50,616 patients were sent from NT Health to CCSRP. Then, as part of the agreement, 3,277 identifiable patient records were transferred from CCSRP to Intersystems. This is according to Intersystems, which was asked by CCSRP for verification of the transferred data before the incident was reported.But experts said it is unclear whether all the files sent to Intersystems were found.The incident report was commissioned by NT Health in 2019 to quantify the extent of the transferred data. The report established four criteria to assess the clinical risk associated with each record sent between NT Health, CCSRP, and Intersystems.Two records transferred from CCSRP to Intersystems were classified as “very high risk,” while 476 were considered “high risk.” In order to be classified in these two “risk classification” categories, the full name of the patient had to be visible, with the presence of “highly sensitive” or “sensitive” information.Patient entries included psychological reports and visits to psychiatric facilities, records of pregnancy terminations or stillbirths, and records of electroconvulsive therapy, also known as electric shock therapy. Data on visits to cancer treatment centers, organ donations and receipts were also transferred.All other patient data were classified as “medium risk” or “low risk,” and the report states that “the transfer of identifiable data was a systemic issue and was not carried out by a single agency.”

PRIVACY DAILY 115/2023

Toyota Motor Corp ha dichiarato venerdì che i dati dei veicoli di 2,15 milioni di utenti in Giappone, ovvero quasi l’intera base di clienti che si sono iscritti alle sue principali piattaforme di servizi cloud dal 2012, sono stati disponibili in maniera pubblica per un decennio a causa di un errore umano.
L’incidente, che ha riguardato anche i clienti del suo marchio di lusso Lexus, arriva mentre la più grande casa automobilistica del mondo per vendite si orienta verso la connettività dei veicoli e la gestione dei dati basata su cloud, considerati cruciali per offrire la guida autonoma e altre funzioni supportate dall’intelligenza artificiale. Il problema, iniziato nel novembre 2013 e durato fino a metà aprile, è derivato da un errore umano, che ha portato a impostare un sistema cloud come pubblico anziché privato, così ha detto un portavoce di Toyota. L’azienda ha dichiarato inoltre che non sono stati segnalati casi di uso improprio di tali informazioni: “Mancavano meccanismi di rilevamento attivo e attività per rilevare la presenza o l’assenza di elementi che diventavano pubblici”, ha concluso il portavoce in risposta al motivo per cui ci è voluto del tempo per capire che c’era stato un errore. Toyota ha dichiarato che introdurrà un sistema di verifica delle impostazioni del cloud, istituirà un sistema di monitoraggio continuo delle impostazioni e istruirà a fondo i dipendenti sulle regole di gestione dei dati.

C’ è un progetto di legge che intende introdurre regole di trasparenza per le campagne politiche in vista delle elezioni del Parlamento europeo del 2024, ma i tempi diventano ogni giorno più incerti perché le istituzioni europee faticano a fare progressi . L’ultimo ostacolo riguarda l’uso di dati sensibili per la pubblicità politica online. In un documento informale visionato da EURACTIV, la Commissione ha delineato diversi scenari potenziali, tra cui alcune misure che potrebbero abbassare le protezioni al di sotto della soglia prevista dal Digital Services Act. La mancanza di progressi sta portando a una crescente frustrazione, soprattutto da parte del Parlamento europeo. In seno al Consiglio dell’UE, la presidenza svedese insiste che l’obiettivo è quello di finalizzare un accordo entro la fine del mese di giugno. Tra le questioni che rimangono in sospeso vi sono la creazione di archivi centralizzati di annunci, il divieto di sponsorizzazione di annunci da parte di Paesi terzi, l’applicazione delle norme e le misure relative alla fornitura transfrontaliera di annunci politici. Un funzionario del Parlamento europeo ha dichiarato che sono stati compiuti pochi progressi sulle disposizioni chiave del regolamento, sia a livello tecnico che politico, e che si è persino discusso di aggiungere un ulteriore trilogo al calendario. “Non credo che questo risolverebbe il problema”, ha detto il funzionario, “perché il problema non è la quantità di triloghi, il problema è la mancanza di progressi a livello tecnico, soprattutto nel risolvere le questioni che sono problematiche”.

I risultati riservati dei test antidroga e alcolici dei paramedici australiani diplomati sono risultati disponibili a tutti i membri del personale dell’Ambulance Victoria, in seguito a un’importante violazione che è stata segnalata all’organo di controllo della privacy dello Stato.L’amministratore delegato dell’Ambulance Victoria, Jane Miller, ha confermato venerdì pomeriggio che la violazione “inaccettabile” ha riguardato 600 risultati di test relativi a “poche centinaia” di persone e ha offerto le sue scuse senza riserve a coloro che ne sono stati colpiti, affermando che l’organizzazione stava contattando le persone che erano state colpite dalla violazione, tra le quali circa 30 risultati positivi ai test. Secondo un’e-mail inviata giovedì scorso ai membri del Victorian Ambulance Union, e riportata per la prima volta dal Guardian, i fogli di calcolo riservati relativi ai test pre-assunzione dei paramedici laureati nel 2017 e nel 2018 erano disponibili sull’intranet del personale fino a quando il sindacato non ha avvertito Ambulance Victoria del problema. Nell’e-mail inviata ai membri, il sindacato ha affermato che le informazioni private includevano i nomi completi dei paramedici laureati, la data in cui erano stati sottoposti al test, se il risultato era positivo o negativo e, in caso di positività, la sostanza rilevata. Il sindacato ha dichiarato di aver scritto ad Ambulance Victoria invitandola a contattare tutti i dipendenti interessati, compresi quelli passati, in merito alla violazione, a condurre una verifica per determinare chi avesse avuto accesso ai file e a sospendere immediatamente tutti gli screening per l’assunzione di alcol e droghe fino a quando non avesse avuto la certezza che il problema fosse stato risolto.

English version

Toyota Motor Corp said Friday that the vehicle data of 2.15 million users in Japan, or nearly the entire customer base that has subscribed to its main cloud service platforms since 2012, had been publicly available for a decade due to human error. The incident, which also affected customers of its Lexus luxury brand, comes as the world’s largest automaker by sales moves toward vehicle connectivity and cloud-based data management, considered crucial to delivering autonomous driving and other AI-supported features. The problem, which began in November 2013 and lasted until mid-April, stemmed from a human error that led to a cloud system being set up as public instead of private, so said a Toyota spokesman. The company also said there were no reported instances of misuse of such information. “There was a lack of active detection mechanisms and activities to detect the presence or absence of items that became public,” the spokesperson concluded in response to why it took time to realize there had been an error. Toyota said it will introduce a cloud settings verification system, institute continuous monitoring of settings, and thoroughly educate employees on data management rules.

There is a draft law that aims to introduce transparency rules for political campaigns ahead of the 2024 European Parliament elections, but the timetable is becoming more uncertain by the day as the European institutions struggle to make progress, so EU officials involved in the negotiations who spoke to EURACTIV anonymously reported. The latest hurdle concerns the use of sensitive data for online political advertising. In a non-paper viewed by EURACTIV, the Commission outlined several potential scenarios, including a number of measures that could lower protections below the threshold in the Digital Services Act. The lack of progress is leading to growing frustration, especially from the European Parliament. In the EU Council, the Swedish presidency insists that the goal is to finalize an agreement by the end of June. Among the issues that remain outstanding are the creation of centralized ad repositories, a ban on ad sponsorship from third countries, enforcement, and measures related to the cross-border provision of political ads. A European Parliament official later told EURACTIV that little progress has been made on key provisions of the regulation, both at the technical and political level, and that there have even been discussions about adding an additional trialogue to the timetable. “I don’t think that would solve the problem,” the official said, “because the problem is not the amount of trialogues, the problem is the lack of progress at the technical level, especially in solving the issues that are problematic.”

Confidential drug and alcohol test results of certified paramedics were found to be available to all Ambulance Victoria staff members following a major breach that was reported to the state’s privacy watchdog. Ambulance Victoria CEO Jane Miller confirmed Friday afternoon that the “unacceptable” breach affected 600 test results related to “a few hundred” people and offered an unreserved apology to those affected, saying the organization was contacting those affected by the breach, including about 30 positive test results. According to an email sent last Thursday to members of the Victorian Ambulance Union, and first reported by the Guardian, confidential spreadsheets related to pre-employment testing of paramedics who graduated in 2017 and 2018 were available on the staff intranet until the union alerted Ambulance Victoria to the problem. In the email sent to members, the union said the private information included the full names of the graduate paramedics, the date they were tested, whether the result was positive or negative, and, if positive, the substance detected. The union said it had written to Ambulance Victoria urging it to contact all affected employees, including past employees, about the breach, conduct an audit to determine who had accessed the files, and immediately suspend all alcohol and drug screenings until it was satisfied that the problem had been resolved.

PRIVACY DAILY 89/2023

I dipendenti di Tesla hanno condiviso tra loro le immagini delle telecamere di sorveglianza installate sui veicoli. Tesla assicura ai suoi milioni di proprietari di auto elettriche che la loro privacy è al sicuro. Le telecamere che inserisce nei veicoli per assistere la guida, si legge sul suo sito web, sono “progettate da zero per proteggere la vostra privacy”. Ma tra il 2019 e il 2022, gruppi di dipendenti Tesla hanno condiviso privatamente, tramite un sistema di messaggistica interna, video e immagini a volte altamente invasivi registrati dalle telecamere delle auto dei clienti. Lo rivelano alcune dichiarazione di nove ex dipendenti. Alcune delle registrazioni hanno colto i clienti Tesla in situazioni imbarazzanti. Un ex dipendente ha descritto un video di un uomo che si avvicinava a un veicolo completamente nudo. Sono stati condivisi anche incidenti e episodi di rabbia stradale. Tesla afferma nella sua informativa privacy che “le registrazioni delle telecamere rimangono anonime e non sono collegate a voi o al vostro veicolo”. Ma sette ex dipendenti hanno detto che il programma informatico che usavano al lavoro poteva mostrare la posizione delle registrazioni, il che potenzialmente poteva rivelare dove viveva un proprietario di Tesla. Un ex dipendente ha anche detto che alcune registrazioni sembravano essere state effettuate quando le auto erano parcheggiate e spente. Inizialmente, infatti, Tesla riceveva registrazioni video dai suoi veicoli anche quando erano spenti, se i proprietari davano il consenso. Ora però dovrebbe aver cessato questa pratica. Tesla non ha risposto alle domande sul caso.

Le associazioni per i diritti digitali dei consumatori hanno criticato la richiesta delle aziende del settore dei media di mantenere la loro esenzione dalla legge sulla privacy. Peter Lewis, direttore del Centro per la Tecnologia Responsabile dell’Australia Institute, ha dichiarato che è “deludente” che la coalizione per il Right to Know “nata con il lodevole obiettivo di proteggere i giornalisti e gli informatori, venga ora impiegata per perseguire gli interessi commerciali dei Big Media a spese del pubblico che essi pretendono di servire”. La proposta di riforma prevede, infatti, un diritto a fare causa per gravi violazioni della privacy e di ridurre le esenzioni previste per le attività giornalistiche. Ciò richiederebbe alle aziende del settore dei media di mettere al sicuro e distruggere le informazioni private e di informare le persone interessate nell’ambito del sistema di notifica delle violazioni dei dati. La coalizione Right to Know – che comprende giornali e televisioni, sia pubblici che privati – ha respinto la proposta, avvertendo che le modifiche avrebbero danneggiato la libertà di stampa. Il Centre for Responsible Technology ha dichiarato di essere “favorevole” alle riforme proposte , “il primo aggiornamento significativo delle leggi sulla privacy in quattro decenni”.  L’Istituto di tecnologia umana dell’Università di Sydney ha affermato che è “urgente” riformare la legge sulla privacy, data l’ascesa di tecnologie quali l’intelligenza artificiale e il riconoscimento facciale. L’istituto ha affermato che, poiché la lesione del diritto alla privacy può essere giustificata solo in circostanze limitate, “è difficile, se non impossibile, giustificare” un’esenzione generalizzata dalla legge sulla privacy, ad esempio per tutti i giornalisti e i partiti politici. Digital Rights Watch ha chiesto l’abolizione delle esenzioni per le piccole imprese e i partiti politici e si è detta d’accordo con la proposta del Dipartimento di ridurre l’esenzione per il giornalismo

La legge saudita sulla protezione dei dati personali è stata modificata ed entrerà in vigore il 14 settembre 2023. Secondo le fonti, i regolamenti esecutivi che integrano la PDPL saranno emanati prima di questa data. Il Consiglio dei ministri ha approvato una serie di 27 emendamenti alla legge originale, pubblicata in gazzetta ufficiale nel 2021. La legge  aggiornata tiene conto di alcune delle modifiche proposte in un documento di consultazione pubblicato dalla Saudi Data & Artificial Intelligence Authority nel novembre 2022, sebbene non tutte le proposte siano state attuate. Le modifiche introducono diversi concetti che allineeranno maggiormente la PDPL agli standard internazionali, come il GDPR. Le modifiche includono quelle relative ai dati particolari e ai diritti dell’interessato. Secondo le modifiche, il titolare non potrà raccogliere dati personali se non dall’interessato. Tuttavia, sono previste alcune esenzioni. Gli emendamenti includono anche la necessità che il titolare del trattamento adotti un’informativa privacy e la renda disponibile agli interessati e non diffonda i loro dati senza consenso. Sono state apportate modifiche anche per quanto riguarda i data breach e sui trasferimenti di dati al di fuori del Regno dell’Arabia Saudita. Gli emendamenti hanno ridefinito alcuni aspetti, come distruzione, divulgazione e dati particolari. L’articolo 4 della legge è stato modificato per dare all’interessato il diritto di accedere ai propri dati personali ai titolari e di chiedere di ottenerli intellegibili e chiari. L’interessato ha anche il diritto di chiederne la rettifica o l’aggiornamento, nonché di richiedere la distruzione dei dati non più necessari. L’emendamento all’articolo 20 della legge sottolinea la necessità che di notificare all’autorità competente eventuali data breach.

English version

Tesla employees shared images from surveillance cameras installed in the vehicles with each other. Tesla assures its millions of electric car owners that their privacy is safe. The cameras it places in vehicles to assist driving, its website states, are ‘designed from the ground up to protect your privacy’. But between 2019 and 2022, groups of Tesla employees privately shared, via an internal messaging system, sometimes highly invasive videos and images recorded by customer car cameras. This was revealed in statements by nine former employees. Some of the recordings caught Tesla customers in embarrassing situations. One former employee described a video of a man approaching a vehicle completely naked. Accidents and incidents of road rage were also shared. Tesla states in its privacy policy that ‘camera recordings remain anonymous and are not linked to you or your vehicle’. But seven former employees said the computer programme they used at work could show the location of the recordings, which could potentially reveal where a Tesla owner lived. One former employee also said that some recordings appeared to have been made when the cars were parked and switched off. Initially, in fact, Tesla received video recordings from its vehicles even when they were turned off, if the owners gave consent. Now, however, it is supposed to have ceased this practice. Tesla did not respond to questions about the case.

Consumer digital rights groups have rejected media companies’ request to maintain their exemption from the Privacy Act. Peter Lewis, director of the Australia Institute’s Centre for Responsible Technology, said it was ‘disappointing’ that the Right to Know coalition, ‘born with the laudable aim of protecting journalists and whistleblowers, is now being used to pursue the commercial interests of Big Media at the expense of the public they purport to serve’. Indeed, the reform proposal envisages a right to sue for serious breaches of privacy and to reduce exemptions for journalistic activities. This would require media companies to secure and destroy private information and to inform affected persons under the data breach notification system. The Right to Know coalition – which includes newspapers and television stations, both public and private – rejected the proposal, warning that the changes would harm press freedom. The Centre for Responsible Technology said it was ‘supportive’ of the proposed reforms, ‘the first significant update to privacy laws in four decades’. The University of Sydney’s Institute of Human Technology said it was ‘urgent’ to reform privacy law, given the rise of technologies such as artificial intelligence and facial recognition. The institute argued that because injury to the right to privacy can only be justified in limited circumstances, ‘it is difficult, if not impossible, to justify’ a blanket exemption from the Privacy Act, for example for all journalists and political parties. Digital Rights Watch called for the abolition of exemptions for small businesses and political parties and agreed with the Department’s proposal to reduce the exemption for journalism

The Saudi Personal Data Protection Law has been amended and will enter into force on 14 September 2023. According to sources, executive regulations supplementing the PDPL will be issued before this date. The Council of Ministers approved a series of 27 amendments to the original law, which was published in the official gazette in 2021. The updated law takes into account some of the changes proposed in a consultation paper published by the Saudi Data & Artificial Intelligence Authority in November 2022, although not all of the proposals have been implemented. The changes introduce several concepts that will bring the PDPL more in line with international standards, such as the GDPR. The changes include those relating to special data and the rights of the data subject. According to the amendments, the data controller will not be able to collect personal data except from the data subject. However, there are some exemptions. The amendments also include the need for the data controller to adopt a privacy notice and make it available to data subjects and not disclose their data without consent. Amendments were also made with regard to data breaches and data transfers outside the Kingdom of Saudi Arabia. The amendments redefined certain aspects, such as destruction, disclosure and special data. Article 4 of the law was amended to give the data subject the right to access his or her personal data to data controllers and to request to have it intelligible and clear. The data subject also has the right to request rectification or updating, as well as to request the destruction of data no longer needed. The amendment to Section 20 of the Act emphasises the need to notify the competent authority of any data breach.

PRIVACY DAILY 88/2023

Le istituzioni dell’Unione Europea si tengono alla larga dalle spunte blu di Twitter. Secondo i servizi stampa delle istituzioni, la Commissione europea e il Parlamento europeo non intendono pagare Twitter per far verificare le centinaia di account ufficiali dell’UE, tra cui quelli della Presidente della Commissione Ursula von der Leyen e della Presidente del Parlamento Roberta Metsola, nell’ambito del programma “Twitter Blue”. Invertendo una precedente politica che mirava a limitare la disinformazione, Twitter ha dichiarato che questo mese rimuoverà i controlli blu tradizionali che certificavano l’autenticità degli account di funzionari governativi, giornalisti e personaggi pubblici, a meno che non paghino. Nel frattempo, anche tutti gli utenti potrebbero presto abbonarsi per ottenere la tanto agognata spunta blu. Annunciato nel novembre 2022 dopo l’acquisto della piattaforma da parte di Elon Musk, il piano ha suscitato il timore che possa provocare un’ondata di account falsi e un aumento dei messaggi falsi. La Data Protection Commission irlandese ha anche avvertito che il programma di verifica a pagamento potrebbe potenzialmente violare il GDPR. Sia la Commissione che il Parlamento hanno dichiarato di “monitorare costantemente l’eventuale uso improprio o impersonificazione” degli account delle loro istituzioni sui social network. Un portavoce della Commissione ha aggiunto che è stata prestata particolare attenzione a “diversi account di alto valore della Commissione (in particolare dei Commissari)” e che avrebbero segnalato potenziali impersonificazioni alle piattaforme.  Dopo aver inviato a febbraio un elenco di oltre 350 account di funzionari e organizzazioni delle istituzioni europee, Twitter ha assegnato un segno di spunta grigio alla maggior parte dei 175 account ufficiali della Commissione, ha dichiarato un portavoce della Commissione. Anche alla maggior parte dei 60 account dei servizi stampa del Parlamento è stata assegnata la spunta grigia, prevista per gli account governativi. Negli Stati Uniti, la Casa Bianca ha dichiarato in precedenza che non avrebbe optato per il nuovo programma di spunta blu.

In Australia la legge sulla privacy incontra ancora opposizioni. Le aziende del settore dei media hanno criticato la proposta di riforma della legge australiana sulla privacy, avvertendo che le modifiche non sono di interesse pubblico e danneggerebbero la libertà di stampa. La coalizione Right to Know avverte che la proposta presentata a febbraio, avrebbe “un impatto devastante sulla libertà di stampa e sul giornalismo in Australia senza alcuna necessità o beneficio chiaramente definiti”. La coalizione comprende il Guardian, News Corp, Nine, AAP, Free TV Australia, il sindacato dei media e le emittenti pubbliche ABC e SBS. La proposta chiede che gli australiani ottengano un maggiore controllo sulle loro informazioni personali, compresa la possibilità di scegliere di non ricevere annunci pubblicitari mirati, di cancellare i propri dati e di fare causa per gravi violazioni della privacy. La coalizione del Right to Know sostiene inoltre che ciò “comporterà un onere significativo per i tribunali e l’industria” e “andrà principalmente a beneficio di individui ricchi e di alto profilo”. La stessa ha aggiunto anche che l’impatto sarebbe maggiore sulle organizzazioni mediatiche più piccole, che dovrebbero ridurre le notizie per adeguarsi. “In alcune proposte c’è il serio pericolo che il giornalismo sia esposto a sfide legali costose e lunghe”. Il Dipartimento di Giustizia ha proposto che le aziende del settore dei media siano tenute a rispettare l’obbligo di proteggere e distruggere le informazioni private e siano obbligate a notificare le persone interessate nell’ambito del sistema di notifica delle violazioni dei dati. Il Dipartimento ha inoltre proposto che l’Office of the Australian Information Commissioner crei “criteri per adeguati standard di privacy dei media e un modello” che le aziende del settore possano adottare. Inoltre, l’OAIC dovrebbe ottenere maggiori poteri per condurre indagini e adottare sanzioni.

La polizia del Galles meridionale aveva sospeso l’uso della tecnologia di riconoscimento facciale per timori di discriminazione, ma ha dichiarato che ora la utilizzerà di nuovo. Nel 2020, infatti, la Corte d’Appello aveva sancito una violazione del diritto alla privacy da parte della Polizia del Galles del Sud, nonché delle leggi sulla protezione dei dati e sull’uguaglianza attraverso l’uso di questa tecnologia. Ora, però, la Polizia ha dichiarato che è stato stabilito un codice di condotta per definire gli obblighi della forza. Vi sarebbero “discrepanze minime” per razza e sesso quando la tecnologia viene utilizzata in determinati contesti. Addirittura, la tecnologia potrebbe distinguere tra gemelli identici. Tutto ciò secondo un rapporto commissionato dalla Polizia del Galles del Sud e dalla Polizia Metropolitana. Ma i gruppi per i diritti umani hanno avvertito che la tecnologia non dovrebbe trovare posto in una democrazia. Madeleine Stone, responsabile legale e politico di Big Brother Watch, ha dichiarato: “Questa tecnologia orwelliana può essere utilizzata in Cina e in Russia, ma non trova posto nelle forze di polizia britanniche”, aggiungendo che “alla luce delle ripetute scoperte di razzismo e sessismo istituzionale all’interno della polizia, le forze dell’ordine non dovrebbero assolutamente utilizzare questa tecnologia discriminatoria”. Lindsey Chiswick, direttore dell’intelligence della Met, ha però dichiarato: “Sappiamo che, nell’impostazione in cui l’abbiamo utilizzata, le prestazioni sono identiche per razza e sesso e la possibilità di un falso riscontro è solo una su 6.000 persone che passano davanti alla telecamera. Tutte le corrispondenze vengono esaminate manualmente da un agente. Se l’agente ritiene che si tratti di una corrispondenza, seguirà una conversazione per verificare”.

English version

The European Union institutions are staying away from Twitter’s blue checks. According to the institutions’ press services, the European Commission and the European Parliament do not intend to pay Twitter to have hundreds of official EU accounts, including those of Commission President Ursula von der Leyen and Parliament Speaker Roberta Metsola, verified under the “Twitter Blue” program. Reversing a previous policy aimed at curbing disinformation, Twitter said this month it will remove traditional blue checks that certified the authenticity of accounts of government officials, journalists and public figures unless they pay. Meanwhile, all users could also soon subscribe to get the coveted blue checkmark. Announced in November 2022 after Elon Musk’s purchase of the platform, the plan has raised fears that it could result in a wave of fake accounts and an increase in fake messages. The Irish Data Protection Commission also warned that the paid verification program could potentially violate the GDPR. Both the Commission and Parliament said they are “constantly monitoring the possible misuse or impersonation” of their institutions’ social media accounts. A Commission spokesperson added that special attention was being paid to “several high-value Commission accounts (particularly of Commissioners)” and that they would report potential impersonations to the platforms. After sending a list of more than 350 accounts of officials and organizations in the European institutions in February, Twitter assigned a gray check mark to most of the Commission’s 175 official accounts, a Commission spokesman said. Most of the 60 accounts of the Parliament’s press services were also assigned a gray checkmark, which is expected for government accounts. In the United States, the White House has previously stated that it would not opt into the new blue tick program.

In Australia, the privacy law still faces opposition. Media companies have criticized the proposed reform of Australia’s privacy law, warning that the changes are not in the public interest and would harm press freedom. The Right to Know coalition warns that the proposal submitted in February, would “have a devastating impact on press freedom and journalism in Australia without any clearly defined need or benefit.” The coalition includes the Guardian, News Corp, Nine, AAP, Free TV Australia, the media union, and public broadcasters ABC and SBS. The proposal calls for Australians to gain greater control over their personal information, including the ability to opt out of targeted advertisements, delete their data and sue for serious privacy violations. The Right to Know coalition also argues that this “will place a significant burden on the courts and industry” and “will primarily benefit wealthy and high-profile individuals.” She also added that the impact would be greatest on smaller media organizations, which would have to cut back on news to comply. “There is a serious danger in some proposals that journalism will be exposed to costly and time-consuming legal challenges.” The Justice Department has proposed that media companies be required to comply with the obligation to protect and destroy private information and be required to notify affected individuals under the data breach notification system. The Department also proposed that the Office of the Australian Information Commissioner create “criteria for appropriate media privacy standards and a template” for media companies to adopt. In addition, the OAIC should be given more powers to conduct investigations and adopt sanctions.

South Wales Police had suspended the use of facial recognition technology over concerns of discrimination, but said it would now use it again. In 2020, in fact, the Court of Appeal had ruled a violation of privacy rights by the South Wales Police, as well as data protection and equality laws through the use of this technology. Now, however, the Police said a code of conduct had been established to define the force’s obligations. There would be “minimal discrepancies” by race and gender when the technology is used in certain contexts. Even, the technology could distinguish between identical twins. All this according to a report commissioned by the South Wales Police and the Metropolitan Police. But human rights groups have warned that technology should have no place in a democracy. Madeleine Stone, legal and policy director of Big Brother Watch, said, “This Orwellian technology may be used in China and Russia, but it has no place in British police forces,” adding that “in light of the repeated findings of institutional racism and sexism within the police, law enforcement agencies should definitely not use this discriminatory technology.” Lindsey Chiswick, director of intelligence at the Met, however, said, “We know that in the setting in which we have used it, the performances are identical by race and gender, and the chance of a false match is only one in 6,000 people who pass in front of the camera. All matches are manually reviewed by an agent. If the agent believes it is a match, a conversation will follow to verify.”