GIORNATA INTERNAZIONALE DEI BAMBINI SCOMPARSI

📌Cosedagarante| “La privacy non è, non può essere e non deve essere di ostacolo alla ricerca dei bambini scomparsi. Si tratta come sempre di bilanciare diritti solo apparentemente e virtualmente contrapposti ed è un bilanciamento possibile”.

L’ho detto questa mattina nel portare il mio saluto al convegno organizzato da TELEFONO AZZURRO in occasione della Giornata internazionale dei bambini scomparsi

PRIVACYDAILY

N. 117/2023

LE TRE NEWS DI OGGI:

  • UK: ALLARME SULLA PRIVACY DEI DATI DEL SERVIZIO SANITARIO NAZIONALE DOPO CHE UN MEDICO “STALKER” CONDIVIDE LE CARTELLE CLINICHE DI UNA DONNA
  • HRW VINCE DUE WEBBY AWARDS: UNO E’ PER LE INCHIESTE SULLA PRIVACY DEI MINORI ON LINE DURANTE IL COVID
  • USA: IL RICONOSCIMENTO FACCIALE IN AEROPORTO E’ EFFICACE?

La riservatezza delle cartelle cliniche del Servizio sanitario nazionale britannico è stata messa in dubbio dopo che un medico ospedaliero “stalker” ha avuto accesso e condiviso informazioni altamente sensibili su una donna che aveva iniziato a frequentare il suo ex fidanzato, pur non essendo coinvolto nelle sue cure. La vittima è rimasta in preda alla paura, allo shock e all’orrore quando ha appreso che il medico aveva utilizzato il sistema di cartelle cliniche dell’ospedale per consultare le cartelle cliniche del suo medico di famiglia per leggere – e condividere – dettagli intimi. “Mi sono sentita violata quando ho appreso che questa donna, che non conoscevo, era riuscita ad accedere in diverse occasioni a dettagli della mia vita che avevo condiviso con il mio medico di famiglia e solo con la mia famiglia e gli amici più intimi. “, ha raccontatocosì la donna. Il caso ha messo in guardia sul fatto che qualsiasi medico in Inghilterra potrebbe abusare del proprio accesso privilegiato alle cartelle cliniche private per motivi personali piuttosto che clinici. Sam Smith, del gruppo per la privacy dei dati sanitari MedConfidential, ha dichiarato: “Questo è un caso assolutamente spaventoso. Il fatto che il medico abbia fatto questo è un problema individuale. Ma è un problema sistemico il fatto che lo abbiano potuto fare e che le falle nel funzionamento dei sistemi di gestione dei dati del Servizio sanitario nazionale abbiano fatto sì che qualsiasi medico potesse fare una cosa del genere a qualsiasi paziente. “La donna era inizialmente perplessa su come il medico fosse venuto in possesso di informazioni molto personali su di lei, sua sorella e i suoi figli, che il medico aveva poi trasmesso al suo ex fidanzato nelle prime fasi della sua nuova relazione. “Il medico ha detto di averle avute da amici, da persone del suo coro o da genitori della scuola dei miei figli e  io e mia sorella ci siamo chieste se qualcuno dei nostri amici più stretti ci avesse tradito, perché sapevamo che solo poche persone erano a conoscenza di questi dettagli. Il mistero è stato risolto quando, su sua richiesta, l’Addenbrooke’s ha fornito alla donna un controllo dettagliato di tutto il personale che aveva avuto accesso alle sue cartelle cliniche. È emerso che il medico ha avuto accesso alle sue cartelle cliniche sette volte nei mesi di agosto e settembre dello scorso anno. In tre occasioni, il medico incriminato  Ã¨ entrato per la prima volta in Epic, il sistema di cartelle cliniche dell’ospedale Addenbrooke.

A Human Rights Watch è stato assegnato il Premio Webby alla campagna interattiva sui prodotti per l’apprendimento online che potrebbero aver sorvegliato i bambini e raccolto dati personali durante la chiusura delle scuole per il Covid-19. “È un grande privilegio poter raccontare queste storie e siamo onorati di essere stati premiati. “#StudentsNotProducts ha vinto invece il People’s Voice Award nella categoria Siti web e siti mobili.Innovazione responsabile. Human Rights Watch ha creato una campagna interattiva online e un video che svela le violazioni dei diritti dei bambini in tutto il mondo da parte dei governi che hanno autorizzato i prodotti di apprendimento online durante la pandemia da Covid-19 senza proteggere adeguatamente la privacy dei bambini. “I bambini meritano di essere al sicuro a scuola, di persona e online”, ha dichiarato Amanda Alampi, direttore delle campagne e dell’impegno pubblico di Human Rights Watch. “Ispirata dalla nostra ricerca innovativa, la campagna di Human Rights Watch #StudentsNotProducts ha fornito a genitori, insegnanti e bambini gli strumenti per proteggerli dai prodotti di apprendimento online raccomandati dal governo che ledono i diritti dei bambini”.Con due premi per ogni categoria, la 27a edizione dei Webby Awards ha ricevuto quasi 14.000 candidature da oltre 70 Paesi del mondo e un numero record di candidature sociali. Human Rights Watch ha gareggiato contro alcune delle migliori e più grandi organizzazioni giornalistiche del mondo, tra cui Reuters e CBS News. I vincitori saranno premiati nel corso di una cerimonia che si terrà a New York il 15 maggio. I premi sono assegnati dall’Accademia internazionale delle arti e delle scienze digitali, una rete di oltre 2.000 membri. Ifé Fatunase, Laura Prieto Uribe, produttrice video e redattrice di Human Rights Watch, e Ziva Luddy Juneja, responsabile delle campagne digitali di Human Rights Watch, parteciperanno alla cerimonia e avranno l’opportunità di pronunciare uno dei famosi discorsi di accettazione dei Webby, composto da cinque parole, a nome dell’organizzazione.

Un passeggero si avvicina a un punto di controllo di sicurezza aeroportuale, inserisce una carta d’identità in una fessura e guarda in una telecamera posta sopra un piccolo schermo. Sullo schermo appare la scritta “Foto completata” e la persona passa il controllo, senza dover consegnare i propri documenti all’agente della TSA seduto dietro lo schermo. Tutto questo fa parte di un progetto pilota dell’Amministrazione per la sicurezza dei trasporti per valutare l’uso della tecnologia di riconoscimento facciale in diversi aeroporti del Paese. “Quello che stiamo cercando di fare con questa tecnologia è aiutare gli agenti a determinare effettivamente chi siete, chi dite di essere”, ha detto Jason Lim, responsabile delle capacità di gestione dell’identità, durante una dimostrazione della tecnologia ai giornalisti all’aeroporto internazionale Thurgood Marshall di Baltimora-Washington. L’iniziativa arriva in un momento in cui l’uso di varie forme di tecnologia per migliorare la sicurezza e snellire le procedure è in continuo aumento. La TSA afferma che il progetto pilota è volontario e accurato, ma i critici hanno sollevato preoccupazioni in merito a questioni di parzialità della tecnologia di riconoscimento facciale e a possibili ripercussioni per i passeggeri che vogliono rinunciare. La tecnologia è attualmente presente in 16 aeroporti. Oltre a Baltimora, viene utilizzata al Reagan National vicino a Washington, D.C., negli aeroporti di Atlanta, Boston, Dallas, Denver, Detroit, Las Vegas, Los Angeles, Miami, Orlando, Phoenix, Salt Lake City, San Jose e Gulfport-Biloxi e Jackson in Mississippi. Tuttavia, non è presente in tutti i checkpoint TSA, quindi non tutti i viaggiatori che attraversano questi aeroporti devono necessariamente sperimentarlo. La tecnologia controlla che le persone presenti in aeroporto corrispondano al documento d’identità che presentano e che l’identificazione sia effettivamente reale. Un funzionario della TSA è sempre presente e approva lo screening. Un piccolo cartello avverte i viaggiatori che la loro foto sarà scattata nell’ambito del progetto pilota e che, se lo desiderano, possono rinunciare. Include anche un codice QR per ottenere ulteriori informazioni. Da quando è stato reso noto, il progetto pilota è stato messo sotto osservazione da alcuni funzionari eletti e dai sostenitori della privacy. In una lettera inviata a febbraio alla TSA, cinque senatori – quattro democratici e un indipendente che fa parte del caucus democratico – hanno chiesto all’agenzia di fermare il programma, affermando che: “L’aumento della sorveglianza biometrica degli americani da parte del governo rappresenta un rischio per le libertà civili e i diritti alla privacy”.

English version

The confidentiality of NHS medical records was called into question after a “stalker” hospital doctor accessed and shared highly sensitive information about a woman who had begun dating her ex-boyfriend, despite not being involved in his care. The victim was left in fear, shock, and horror when she learned that the doctor had used the hospital’s medical record system to consult her family doctor’s medical records to read-and share-intimate details. “I felt violated when I learned that this woman, whom I did not know, had been able to access on several occasions details of my life that I had shared with my family doctor and only with my family and close friends. ” the woman recounted. The case warned that any doctor in England could abuse his or her privileged access to private medical records for personal rather than clinical reasons. Sam Smith, of the health data privacy group MedConfidential, said, “This is an absolutely appalling case. The fact that the doctor did this is an individual problem. But it’s a systemic problem that they were able to do this and that the flaws in the operation of the NHS data management systems meant that any doctor could do this to any patient. “The woman was initially puzzled as to how the doctor had come into possession of very personal information about her, her sister and her children, which the doctor had then passed on to her ex-boyfriend in the early stages of her new relationship. “The doctor said he had gotten them from friends, people in his choir, or parents at my children’s school, and my sister and I wondered if any of our close friends had betrayed us, because we knew that only a few people knew these details. The mystery was solved when, at her request, Addenbrooke’s provided the woman with a detailed check of all the staff who had accessed her medical records. It turned out that the doctor had accessed her medical records seven times in August and September last year. On three occasions, the indicted doctor first accessed Epic, Addenbrooke’s Hospital’s medical records system.

Human Rights Watch was awarded the Webby Prize for its interactive campaign on online learning products that may have surveilled children and collected personal data during school closures for Covid-19. “It’s a great privilege to be able to tell these stories and we are honored to be honored,” he said. “Instead, #StudentsNotProducts won the People’s Voice Award in the Websites and Mobile Sites category.Responsible Innovation. Human Rights Watch created an interactive online campaign and video revealing violations of children’s rights around the world by governments that authorized online learning products during the Covid-19 pandemic without adequately protecting children’s privacy. “Children deserve to be safe in school, in person and online,” said Amanda Alampi, director of campaigns and public engagement at Human Rights Watch. “Inspired by our groundbreaking research, Human Rights Watch’s #StudentsNotProducts campaign provided parents, teachers, and children with the tools to protect them from government-recommended online learning products that infringe on children’s rights. “With two awards in each category, the 27th annual Webby Awards received nearly 14,000 nominations from more than 70 countries around the world and a record number of social nominations. Human Rights Watch competed against some of the world’s best and largest news organizations, including Reuters and CBS News. The winners will be honored at a ceremony in New York on May 15. The awards are presented by the International Academy of Digital Arts and Sciences, a network of more than 2,000 members. Ifé Fatunase, Laura Prieto Uribe, video producer and editor at Human Rights Watch, and Ziva Luddy Juneja, digital campaigns manager at Human Rights Watch, will attend the ceremony and have the opportunity to deliver one of the Webbies’ famous five-word acceptance speeches on behalf of the organization.

A passenger approaches an airport security checkpoint, inserts an ID card into a slot, and looks into a camera located above a small screen. “Photo completed” appears on the screen, and the person passes the checkpoint, without having to hand over his or her documents to the TSA agent sitting behind the screen. This is all part of a Transportation Security Administration pilot project to evaluate the use of facial recognition technology at several airports around the country. “What we’re trying to do with this technology is help agents actually determine who you are, who you say you are,” said Jason Lim, head of identity management capabilities, during a demonstration of the technology to reporters at Thurgood Marshall International Airport in Baltimore-Washington. The initiative comes at a time when the use of various forms of technology to improve security and streamline procedures is steadily increasing. TSA says the pilot project is voluntary and accurate, but critics have raised concerns about issues of bias in facial recognition technology and possible repercussions for passengers who want to opt out. The technology is currently in place at 16 airports. In addition to Baltimore, it is used at Reagan National near Washington, D.C., at airports in Atlanta, Boston, Dallas, Denver, Detroit, Las Vegas, Los Angeles, Miami, Orlando, Phoenix, Salt Lake City, San Jose, and Gulfport-Biloxi and Jackson in Mississippi. However, it is not present at all TSA checkpoints, so not all travelers going through these airports necessarily need to experience it. The technology checks that people at the airport match the ID they present and that the identification is actually real. A TSA official is always present and approves the screening. A small sign warns travelers that their photo will be taken as part of the pilot project and that they can opt out if they wish. It also includes a QR code to get more information. Since it became known, the pilot project has come under scrutiny from some elected officials and privacy advocates. In a letter sent to the TSA in February, five senators-four Democrats and one independent who is part of the Democratic caucus-asked the agency to stop the program, stating: “Increased government biometric surveillance of Americans poses a risk to civil liberties and privacy rights.”

PRIVACY DAILY 113/2023

Il ministro giapponese per la trasformazione e la riforma digitale, Taro Kono, si è scusato dopo che un’applicazione governativa ha violato la privacy dei cittadini. L’applicazione si chiama “Certificate Issuing Server” e, come spiegato dal governo municipale della città di Kodaira, consente ai residenti di stampare documenti come i certificati che attestano il pagamento delle tasse. Fujitsu Japan ha sviluppato e gestisce il servizio, che prepara i file PDF in risposta alle richieste degli utenti e li invia alle stampanti dei negozi. Il servizio non è universale: le amministrazioni locali scelgono di utilizzarlo. I negozi ospitano stampanti multifunzione per produrre i documenti. Poiché i minimarket sono assolutamente onnipresenti in tutto il Giappone, il servizio è un modo molto comodo per accedere ai documenti governativi. O lo sarebbe, se l’app non stampasse i documenti sbagliati. In una conferenza stampa tenutasi ieri, il ministro ha riconosciuto che il servizio ha stampato in molte occasioni documenti appartenenti a persone diverse da quelle che lo avevano richiesto – ha parlato di 13 errori in un solo comune. Ha quindi sospeso il servizio e ha chiesto a Fujitsu di correggerlo e di smettere di violare la privacy.  Secondo quanto riferito, Fujitsu si è anche scusata per l’incidente. Il pasticcio è imbarazzante per Fujitsu, ma anche un grosso problema per il ministro, che ricopre il ruolo dal 2022 e ha dimostrato zelo riformista. Il Giappone rimane tristemente dipendente dai processi basati sulla carta e i fax sono ancora molto diffusi. Il ministro e i suoi predecessori hanno promesso di portare il Giappone più avanti nell’era digitale, ma hanno poco da mostrare per i loro sforzi. Durante la conferenza stampa, il ministro ha ammesso che l’incidente ha ridotto la fiducia del pubblico nei servizi digitali. Dato che il suo compito è quello di aumentare la fiducia del pubblico per incoraggiare l’adozione di un maggior numero di servizi digitali, questo errore è molto sgradito. Almeno il ministro ha avuto altre buone notizie da condividere durante la conferenza stampa di martedì: il completamento di una specifica per la condivisione di documenti in cloud a tutti i livelli di governo e il lancio di un hackathon per sviluppare nuove funzioni per i portali governativi.

Il progetto di legge CSAM è stato oggetto di controversie da quando lo scorso anno è stato proposto dalla Commissione europea. Questo conferisce alle autorità giudiziarie il potere di emettere ordini di rilevamento rivolti ai fornitori di servizi di comunicazione che considerano a rischio significativo di essere utilizzati per diffondere contenuti illegali. Dopo aver ricevuto un ordine di rilevamento, servizi come Gmail o WhatsApp sarebbero costretti a implementare strumenti che scansionano automaticamente e-mail o testi privati per individuare i contenuti sospetti. Questo strumento è stato accusato di colpire in modo sproporzionato la privacy delle persone, poiché potenzialmente ogni persona che utilizza il servizio potrebbe essere interessata. A queste preoccupazioni ha fatto eco il Garante europeo della protezione dei dati con uno studio commissionato dal Parlamento europeo. Il servizio giuridico del Consiglio dell’UE, estremamente influente nel processo legislativo dell’Unione, si aggiunge ora alla storia travagliata della proposta, secondo alcuni estratti del suo parere legale visionati da EURACTIV. Nel testo della Commissione, gli ordini di rilevamento possono essere emessi da un organo giudiziario nazionale o da un organo amministrativo indipendente per individuare materiale noto, nuovo materiale e grooming, la pratica dei predatori che cercano di adescare i bambini. Sebbene l’intento dichiarato sia quello di rendere la proposta tecnologicamente neutrale, il parere legale osserva che “il contenuto di tutte le comunicazioni deve essere accessibile e scansionato, e deve essere effettuato utilizzando gli strumenti automatici disponibili”. Tuttavia, il parere osserva che la scansione di tutte le comunicazioni “con l’ausilio di un’operazione automatizzata” interferisce “con il diritto alla protezione dei dati, indipendentemente dal loro successivo utilizzo”. Il parere legale aggiunge che l’applicazione degli ordini non può “superare i 24 mesi per la diffusione di CSAM noti o nuovi e i 12 mesi per l’adescamento di minori”.

Il poliziotto eroe che sabato ha ucciso il tiratore neo-nazista al centro commerciale Allen Premium Outlet, a nord di Dallas (Texas) è un membro del dipartimento di polizia di Allen che non è stato identificato. Si trovava al centro commerciale per una chiamata non correlata alla sparatoria quando ha sentito gli spari di Mauricio Martinez Garcia. Si è lanciato coraggiosamente contro Garcia rappresentando al meglio le forze dell’ordine ed apprezzerebbe che fosse mantenuta la sua privacy per poter elaborare serenamente quanto di doloroso è accaduto come ha sottolineato il suo avvocato Zach Horn. L’audio della disperata chiamata al 911 dell’agente rivela come egli abbia implorato i suoi colleghi di unirsi a lui sulla scena, dicendo via radio: “Ho bisogno di tutti “. A quel punto Garcia, 33 anni, aveva già sparato a 12 persone ed era armato con circa 60 munizioni. L’assassino, che sfoggiava tatuaggi da suprematista bianco e aveva fatto dichiarazioni razziste online, ha ucciso otto persone e ne ha ferite molte altre, tre in modo grave. Circa due minuti dopo aver chiamato i rinforzi, il poliziotto ha detto: “L’ho messo a terra”. Pochi minuti dopo, si sente un’altra voce alla radio che dice: “Abbiamo delle vittime. Ho bisogno di un’ambulanza”. Un altro primo soccorritore sulla scena è stato un ex agente di polizia, Steven Spainhouer, che ha dichiarato alla NBC Dallas-Forth Worth di essersi recato al centro commerciale dopo che suo figlio, che lavora presso la sede di H&M, lo aveva chiamato per dirgli dell’attacco. Spainhouer ha raccontato di aver praticato la rianimazione cardiopolmonare a un uomo in fin di vita e di aver confortato un ragazzo ricoperto dal sangue della madre. In aprile, il folle assassino ha fatto ricerche nei momenti di maggiore affluenza al centro commerciale e a metà aprile ha postato sui social media le foto di un negozio vicino al luogo in cui ha iniziato il suo attacco. L’attività online di Garcia tradiva anche un’attrazione per la supremazia bianca e le sparatorie di massa, che descriveva come uno sport.

English version

Japan’s minister for digital transformation and digital reform, Taro Kono, has apologized after a government app breached citizens’ privacy. The app is called the “Certificate Issuing Server” and, as explained by the municipal government of Kodaira City, allows residents to print documents such as certificates that prove they’ve paid taxes. Fujitsu Japan developed and operates the service, which preps PDF files in response to user requests and then despatches them to printers in convenience stores. The service is not universal: local governments opt in to deploy it. Convenience stores host multifunction printers to produce the documents. As convenience stores are utterly ubiquitous across Japan, the service is a very … erm … convenient way to access government documents. Or it would be, if the app weren’t printing the wrong documents. At a press conference yesterday the minister acknowledged that the service has printed documents belonging to people other than those who requested the service on many occasions – he mentioned 13 errors in one municipality alone. He’s therefore suspended the service and told Fujitsu to fix the service and stop breaching privacy.  Fujitsu has reportedly also apologized for the incident. The foul-up is embarrassing to Fujitsu, but also a big problem for the minister, who has served in the role since 2022 and demonstrated reformist zeal. Japan remains infamously reliant on paper-based processes, and fax machines remain plentiful. The minister and his predecessors have promised to bring Japan further into the digital age, but have little to show for their efforts. At his press conference, the minister conceded the incident has reduced the public’s confidence in digital services. Given his job is to increase public confidence to encourage adoption of more digital services, this foul-up is most unwelcome. At least the minister had other good news to share at his Tuesday press conference: the completion of a spec for cloudy document sharing across all tiers of government, and the launch of a hackathon to develop new functions for government portals.

The draft CSAM law has been controversial since it was proposed by the European Commission last year. It gives judicial authorities the power to issue detection orders aimed at providers of communication services that they consider to be at significant risk of being used to spread illegal content. After receiving a detection order, services such as Gmail or WhatsApp would be forced to implement tools that automatically scan private emails or texts for suspicious content. This tool has been accused of disproportionately affecting people’s privacy, as potentially every person using the service could be affected. These concerns were echoed by the European Data Protection Supervisor in a study commissioned by the European Parliament. The EU Council’s legal service, highly influential in the EU legislative process, is now adding to the troubled history of the proposal, according to excerpts of its legal opinion viewed by EURACTIV. In the Commission’s text, detection orders can be issued by a national judicial body or an independent administrative body to detect known material, new material, and grooming, the practice of predators seeking to lure children. Although the stated intent is to make the proposal technologically neutral, the legal opinion notes that “the content of all communications must be accessible and scanned, and must be done using available automated tools.” However, the opinion notes that scanning all communications “using an automated operation” interferes “with the right to data protection, regardless of their subsequent use.” The legal opinion adds that enforcement of the orders cannot “exceed 24 months for dissemination of known or new CSAMs and 12 months for solicitation of minors.”

The hero cop who killed the neo-Nazi shooter at the Allen Premium Outlet mall in north Dallas on Saturday is a member of the Allen Police Department who has not been identified. He was at the mall on an unrelated call to the shooting when he heard Mauricio Martinez Garcia’s gunshots. He bravely threw himself at Garcia representing law enforcement as best he could and would appreciate his privacy being maintained so he could peacefully process what was painful as his attorney Zach Horn pointed out. Audio of the officer’s desperate 911 call reveals how he pleaded with his colleagues to join him at the scene, saying over the radio, “I need everyone.” By then Garcia, 33, had shot 12 people and was armed with about 60 rounds of ammunition. The shooter, who sported white supremacist tattoos and had made racist statements online, killed eight people and wounded several others, three seriously. About two minutes after calling for backup, the policeman said, “I put him down.” A few minutes later, another voice can be heard on the radio saying, “We have victims. I need an ambulance.” Another first responder on the scene was a former police officer, Steven Spainhouer, who told NBC Dallas-Forth Worth that he went to the mall after his son, who works at H&M headquarters, called him to tell him about the attack. Spainhouer recounted giving CPR to a dying man and comforting a boy covered in his mother’s blood. In April, the crazed killer did searches at busy times at the mall and in mid-April posted photos on social media of a store near where he began his attack. Garcia’s online activity also betrayed a fascination with white supremacy and mass shootings, which he described as a sport.

PRIVACY DAILY 108/2023

Le autorità di regolamentazione statunitensi affermano che Facebook ha ingannato i genitori e non ha protetto la privacy dei bambini che utilizzano la sua applicazione Messenger Kids, tra l’altro dichiarando erroneamente l’accesso ai dati privati degli utenti fornito agli sviluppatori di app. Di conseguenza, mercoledì la Federal Trade Commision ha proposto modifiche radicali a un ordine sulla privacy del 2020 con Facebook – ora Meta – che proibirebbe alla società di trarre profitto dai dati raccolti sugli utenti minori di 18 anni. Questo includerebbe i dati raccolti attraverso i suoi prodotti di realtà virtuale. La FTC ha dichiarato che l’azienda non ha rispettato pienamente l’ordine del 2020. Meta sarà inoltre soggetta ad altre limitazioni, anche per quanto riguarda l’uso della tecnologia di riconoscimento facciale, e dovrà fornire ulteriori protezioni della privacy ai suoi utenti. “Facebook ha ripetutamente violato le sue promesse in materia di privacy”, ha dichiarato Samuel Levine, direttore del Bureau of Consumer Protection della FTC. “L’imprudenza dell’azienda ha messo a rischio i giovani utenti e Facebook deve rispondere delle sue mancanze”. Meta ha definito l’annuncio una “trovata politica”: “Nonostante tre anni di impegno continuo con la FTC in merito al nostro accordo, non ci hanno fornito alcuna opportunità di discutere questa nuova teoria, del tutto inedita. Chiariamo cosa sta cercando di fare la FTC: usurpare l’autorità del Congresso di stabilire standard per l’intero settore e invece escludere un’azienda americana, consentendo alle aziende cinesi, come TikTok, di operare senza vincoli sul territorio americano”, ha dichiarato Meta. L’azienda di Menlo Park, California, ha aggiunto che “combatterà vigorosamente” l’azione della FTC e si aspetta di vincere. Facebook ha lanciato Messenger Kids nel 2017, presentandolo come un modo per i bambini di chattare con i membri della famiglia e gli amici approvati dai genitori. L’applicazione non fornisce ai bambini account Facebook o Messenger separati, ma  funziona come un’estensione dell’account di un genitore e i genitori ottengono controlli come la possibilità di decidere con chi i figli possono chattare. All’epoca, Facebook aveva dichiarato che Messenger Kids non avrebbe mostrato annunci pubblicitari o raccolto dati per il marketing, anche se avrebbe raccolto alcuni dati necessari per il funzionamento del servizio.

La CGUE ha confermato che gli utenti hanno diritto a un risarcimento nel momento in cui i loro dati personali sono stati trattati illegalmente. Come per qualsiasi richiesta di risarcimento danni, la CGUE richiede l’esistenza di una violazione, di un danno e di un nesso di causalità. Anche se la CGUE osserva che non è possibile rivendicare un diritto senza un danno effettivo. Max Schrems ha dichiarato:  “Accogliamo con favore i chiarimenti della CGUE. Un’intera industria ha cercato di reinterpretare il GDPR per evitare di dover pagare i danni agli utenti di cui ha violato i diritti”. La comunità giuridica tedesca ha cercato di limitare ulteriormente l’applicazione del GDPR. Soprattutto in Germania, molti membri della comunità legale hanno cercato di implementare una “soglia” per le richieste di risarcimento del GDPR, che esisteva nella legge tedesca già prima dell’introduzione del GDPR. Il GDPR non prevede infatti tale soglia, tuttavia molti tribunali nazionali hanno respinto le richieste di risarcimento basate sul concetto di “soglia” per i danni emotivi. Anche la Corte Suprema austriaca ha cercato di conformarsi i al punto di vista tedesco. Questo punto di vista è stato per ora respinto. Max Schrems: “Abbiamo già visto molti casi di GDPR respinti senza una buona ragione. Se ci fosse stata una soglia, sarebbe stato molto difficile definirla. Per quanti minuti bisognava arrabbiarsi o piangere? La legge non prevede una soglia del genere, così come non esiste una soglia per qualsiasi altra richiesta di risarcimento. Si può intentare una causa anche per 5 centesimi, la realtà è che nessuno lo fa”. La CGUE ha anche sottolineato che le procedure nazionali per il GDPR non devono essere più complicate di altri ricorsi giudiziari nazionali. Ciò è particolarmente importante in quanto molti Stati membri calcolano i danni sulla base di una persona media, non del singolo ricorrente. Ciò evita ai ricorrenti di sottoporsi a interrogatori incrociati su quanto una pubblicazione illecita o un osso rotto li abbia effettivamente danneggiati. Max Schrems: “Abbiamo buone leggi e pratiche per gestire i danni immateriali in altri campi del diritto. I tribunali nazionali non possono ora sviluppare un sistema più complicato per le richieste di risarcimento del GDPR”.

Martedì 2 maggio, la presidenza svedese del Consiglio dei ministri dell’UE ha condiviso con gli altri rappresentanti nazionali un aggiornamento, successivamente visionato da EURACTIV, sul Data Act, una normativa di riferimento che regola le modalità di accesso, trasferimento e condivisione dei dati. Il dossier si trova nell’ultima fase del processo legislativo dell’UE, i cosiddetti triloghi, che riuniscono Consiglio, Parlamento e Commissione dell’UE per definire un accordo politico. Dal primo trilogo del 29 marzo, il lavoro a livello tecnico è attualmente in corso. A questo livello, il capitolo relativo alla possibilità per le autorità pubbliche di accedere ai dati in possesso di privati è stato in gran parte concordato. Rimangono tuttavia alcuni punti in sospeso che richiederanno una discussione politica nel prossimo trilogo del 23 maggio. La presidenza svedese ha quindi chiesto agli Stati membri di essere flessibili nel negoziare le questioni aperte relative al Business-to-Government (B2G). L’ostacolo principale è rappresentato dal tipo di dati che gli enti pubblici possono richiedere. Il Parlamento europeo ha limitato la portata delle disposizioni ai dati industriali, mentre il Consiglio dell’UE ha mantenuto i dati personali nel campo di applicazione. “Per consentire il mantenimento dei dati personali nell’ambito di applicazione, possono essere previste ulteriori garanzie e limitazioni per gli enti pubblici e/o le istituzioni dell’UE per l’accesso e l’ulteriore condivisione dei dati”, si legge nella nota. Un’altra questione è se le piccole e micro imprese debbano essere esentate da questi obblighi B2G, dato che il Consiglio ha eliminato questa esenzione dalla proposta originale. In questo caso, la presidenza osserva che potrebbe essere necessaria una certa flessibilità. Inoltre, gli eurodeputati hanno eliminato la possibilità per le autorità pubbliche di richiedere dati privati per mitigare o recuperare un’emergenza pubblica, limitandola a risposte immediate a situazioni come pandemie o terremoti. Allo stesso tempo, la legge sui dati prevede invece che un’autorità pubblica possa richiedere dati privati per svolgere un compito di interesse pubblico a determinate condizioni. Per la presidenza, gli aspetti di mitigazione e recupero potrebbero rientrare in questa misura. Un ultimo aspetto riguarda le istituzioni e gli organi dell’UE che potranno godere di questo potere. Il Consiglio dell’UE ha limitato l’ambito di applicazione alla Commissione europea, alla Banca centrale europea e agli organismi dell’Unione, mentre gli eurodeputati vogliono mantenere tutte le istituzioni e le agenzie dell’UE. “La questione può essere considerata insieme al tipo di dati che rientrano nell’ambito di applicazione”, si legge infine nel documento.

English version

U.S. regulators say Facebook misled parents and failed to protect the privacy of children using its Messenger Kids app by, among other things, misrepresenting access to private user data provided to app developers. As a result, the Federal Trade Commission on Wednesday proposed sweeping changes to a 2020 privacy order with Facebook-now called Meta-that would prohibit Facebook from profiting from data collected on users under the age of 18. This would include data collected through its virtual reality products. The FTC said the company has not fully complied with the 2020 order. Meta will also be subject to other restrictions, including on the use of facial recognition technology, and will have to provide additional privacy protections for its users. “Facebook has repeatedly broken its privacy promises,” said Samuel Levine, director of the FTC’s Bureau of Consumer Protection. “The company’s recklessness has put young users at risk, and Facebook must be held accountable for its failures.” Meta called the announcement a “political stunt”: “Despite three years of continued engagement with the FTC on our settlement, they have not provided us with any opportunity to discuss this new, wholly novel theory. Let’s clarify what the FTC is trying to do: usurp Congress’s authority to set standards for the entire industry and instead exclude an American company, allowing Chinese companies, like TikTok, to operate unfettered on U.S. soil,” Meta said. The Menlo Park, California-based company added that it will “vigorously fight” the FTC action and expects to win. Facebook launched Messenger Kids in 2017, presenting it as a way for children to chat with family members and friends approved by their parents. The app does not provide children with separate Facebook or Messenger accounts, but works as an extension of a parent’s account, and parents get controls such as the ability to decide who their children can chat with. At the time, Facebook stated that Messenger Kids would not show advertisements or collect data for marketing, although it would collect some data necessary for the service to function.

The CJEU confirmed that users are entitled to compensation when their personal data have been processed illegally. As with any claim for damages, the CJEU requires the existence of a breach, damage, and a causal link. Although the CJEU notes that it is not possible to claim a right without actual damage. Max Schrems said, “We welcome the CJEU’s clarification. An entire industry tried to reinterpret GDPR to avoid having to pay damages to users whose rights it violated.” The German legal community has sought to further restrict the application of the GDPR. Especially in Germany, many members of the legal community have tried to implement a “threshold” for GDPR claims, which existed in German law even before the GDPR was introduced. The GDPR does not in fact provide for such a threshold, yet many national courts have rejected claims based on the concept of a “threshold” for emotional damages. Even the Austrian Supreme Court has tried to conform i to the German viewpoint. This view has been rejected for now. Max Schrems: “We have already seen many GDPR cases dismissed without good reason. If there had been a threshold, it would have been very difficult to define it. For how many minutes did one have to get angry or cry? There is no such threshold in the law, just as there is no threshold for any other claim. One can file a lawsuit even for 5 cents, the reality is that no one does.” The CJEU also emphasized that national procedures for GDPR should not be more complicated than other national judicial remedies. This is particularly important because many member states calculate damages on the basis of an average person, not the individual claimant. This saves claimants from being cross-examined about how much an illegal publication or a broken bone actually harmed them. Max Schrems: “We have good laws and practices for dealing with intangible harm in other areas of law. National courts cannot now develop a more complicated system for GDPR claims.”

On Tuesday 2 May , the Swedish presidency of the EU Council of Ministers shared an update, later seen by EURACTIV, with the other national representatives about the Data Act, a landmark legislation regulating how data is accessed, ported and shared. The file is at the last phase of the EU legislative process, so-called trilogues, as they gather the EU Council, Parliament and Commission to nail down a political agreement. Since the first trilogue on 29 March, the work on the technical level has been underway. At this level, the chapter concerning the possibility for public authorities to access privately held data has been mostly agreed upon. Still, a few points remain open and will require a political discussion at the next trilogue on 23 May. Thus, the Swedish presidency returned to the member states to request whether they would be flexible in negotiating these open questions related to Business-to-Government (B2G). The major hurdle is which type of data public bodies can request. The European Parliament limited the scope of the provisions to industrial data, whilst the EU Council maintained personal data in the scope. “Additional safeguards and further limitations for public sector bodies and/or EU institutions to access and further share data may be envisaged to allow keeping personal data in scope,” reads the note. Another question is whether small and micro enterprises should be exempted from these B2G obligations, as the Council has removed this exemption from the original proposal. Here the presidency notes that some flexibility might be needed. In addition, MEPs have removed the capacity for public authorities to request private data to mitigate or recover from a public emergency, limiting it to immediate responses to things like pandemics or earthquakes. At the same time, the Data Act provides that a public authority might also ask for privately-controlled data to carry out a task in the public interest under certain conditions. For the presidency, the mitigation and recovery aspects could be covered under this measure. A final aspect concerns which EU institutions and bodies will be able to enjoy this power. The EU Council limited the scope to the European Commission, the European Central Bank and Union bodies, whilst the MEPs want to keep all EU institutions and agencies.“This issue may be considered together with the type of data in scope,” the document reads.

PRIVACY DAILY 44/2023

Secondo Human Rights Watch sono stati fatti passi significativi nell’assicurare la privacy per milioni di bambini che apprendono online. Diversi governi e aziende hanno preso provvedimenti (o almeno li hanno annunciati) per proteggere gli studenti nelle loro classi online. Queste misure arrivano dopo la scoperta di numerose violazioni in tutto il mondo, avvenute per via dell’impiego durante la pandemia di prodotti di apprendimento online non sicuri, che sono destinati a rimanere anche quando la questione pandemica sarà definitivamente superata. Sarebbe, quindi, auspicabile un maggior dinamismo delle istituzioni dei vari Paesi, nonostante qualcosa si stia già muovendo. Il ministero dell’Istruzione francese ha rimosso il tracciamento degli annunci pubblicitari dai siti web costruiti per aiutare i bambini dagli otto agli undici anni a imparare l’inglese e il tedesco. Il ministero dell’Istruzione indonesiano ha rimosso il tracciamento degli annunci dal sito web progettato per fornire servizi di apprendimento ai bambini durante la chiusura delle scuole. I governi degli stati australiani di New South Wales e Victoria, insieme all’Ecuador e alla comunità autonoma spagnola della Catalogna, hanno informato Human Rights Watch di aver avviato indagini sulle loro piattaforme di apprendimento. In India un deputato ha chiesto al governo di proteggere i bambini nell’istruzione online, dopo che diverse denunce avevano evidenziato che una delle app di apprendimento aveva esposto a violazioni i dati di quasi 600mila bambini. Alcune aziende del settore hanno deciso di riprogettare i loro prodotti per evitare abusi in futuro. Altre hanno addirittura ritirato i loro prodotti dal mercato. Questi cambiamenti stanno dimostrando che è possibile fornire istruzione online ai bambini senza costringerli a rinunciare alla loro privacy. Si tratta di sviluppi positivi, ma non si può fare affidamento solo sulla buona volontà dei singoli attori per migliorare. Tanti dispositivi e tante app continuano a sorvegliare i bambini online, dal momento che le società produttrici si giustificano adducendo la mancanza di leggi che li obblighino a fare altrimenti.

Secondo indiscrezioni, l’European Data Protection Board (EDPB) emetterà una decisione vincolante sui trasferimenti di dati verso gli Stati Uniti entro il 14 aprile. Il nuovo accordo transatlantico sui dati è in fase di definizione e dovrebbe arrivare entro l’estate, ma c’è chi teme che, nelle more della sua adozione, l’EDPB potrebbe decidere di interrompere i flussi di dati. Al riguardo, Meta ha già dichiarato che potrebbero esserci problemi per i suoi servizi in Europa qualora la base giuridica per il trasferimento dei dati venisse dichiarata definitivamente illecita. Ciò vorrebbe dire che Facebook e Instagram potrebbero dover interrompere l’invio dei dati degli utenti europei agli Stati Uniti nei prossimi mesi per problemi legati alla privacy. La questione è ancora aperta. Il caso su cui è stato chiamato ad esprimersi l’EDPB nasce (ancora una volta) da un reclamo presentato dall’attivista austriaco Max Schrems. Nel luglio 2022 la Data Protection Commission irlandese aveva già proposto – per la prima volta – di vietare a Meta l’utilizzo delle “clausole contrattuali standard” come base giuridica per inviare i dati degli utenti negli Stati Uniti. La decisione è stata presa a valle della notissima sentenza della Corte di Giustizia dell’UE che aveva annullato il Privacy Shield. Alla fine di gennaio, l’Autorità garante irlandese ha attivato il meccanismo di risoluzione delle controversie – noto come articolo 65 – dopo non essere riuscita a risolvere le obiezioni sollevate da altre autorità europee di protezione dei dati in merito alla sua decisione. Secondo quanto riportato da alcune testate giornalistiche, un portavoce dell’EDPB ha dichiarato che la procedura ufficiale per la preparazione di una decisione vincolante ha preso formalmente il via oggi e avrà la sua deadline tra due mesi.

Una recente ricerca ha svelato preoccupanti dettagli sul traffico di dati relativi alla salute mentale. Secondo questo studio, condotto dalla Sanford School of Public Policy della Duke University, i dati relativi alla salute mentale sono venduti da broker di dati poco conosciuti, a volte per poche centinaia di dollari e con pochi sforzi per nascondere informazioni personali come nomi e indirizzi. Infatti, queste aziende (i cui nomi non sono rivelati nella ricerca) venderebbero informazioni in grado di identificare i soggetti in base ai loro problemi, tra cui depressione, ansia e disturbo bipolare, peraltro classificandole sulla base di dati come l’età, l’appartenenza etnica, il credit score e la posizione geografica. “Sembra che il settore non disponga di buone pratiche per la gestione dei dati sulla salute mentale degli individui, in particolare per quanto riguarda la privacy e il controllo degli acquirenti”, si legge nello studio. I prezzi delle cartelle cliniche variano molto, ma alcune aziende le offrono a basso costo: fino a 275 dollari per informazioni su 5mila persone. Questo fenomeno, già di per sé in crescita, è diventato ancora più significativo con l’avvento della pandemia da Covid-19. I broker di dati, che si occupano dell’acquisto, del riconfezionamento e della vendita di informazioni identificative, sono diventati un’industria fiorente, benché ancora oscura. Le aziende del settore sono raramente nomi noti e spesso dicono poco pubblicamente sulle loro pratiche commerciali. Justin Sherman, senior fellow presso la Sanford School of Public Policy della Duke – che gestisce il progetto di intermediazione dei dati e ha supervisionato la ricerca – ha affermato che le entità che memorizzano dati sanitari, tra cui la maggior parte delle app telefoniche, non sono regolamentate, lasciando ai broker di dati una serie di opzioni per acquistare legalmente tali dati. Al riguardo, forti preoccupazioni sono state espresse anche dal World Privacy Forum, che ha evidenziato come, nel caos normativo relativo a dati e informazioni sanitarie negli Stati Uniti, il settore dell’intermediazione dei dati sia fuori controllo.

English version

According to Human Rights Watch, significant steps have been taken to ensure privacy for millions of children learning online. Several governments and companies have taken steps (or at least announced them) to protect students in their online classrooms. These measures come in the wake of the discovery of numerous breaches worldwide due to the use of unsafe online learning products during the pandemic, which are bound to remain even when the pandemic issue is finally over. Greater dynamism on the part of institutions in the various countries would therefore be desirable, although something is already moving. The French Ministry of Education has removed ad tracking from websites built to help children aged eight to eleven learn English and German. The Indonesian Ministry of Education removed ad tracking from websites designed to provide learning services to children during school closures. The governments of the Australian states of New South Wales and Victoria, along with Ecuador and the Spanish autonomous community of Catalonia, informed Human Rights Watch that they had launched investigations into their learning platforms. In India, an MP called on the government to protect children in online education, after several complaints showed that one of the learning apps had exposed the data of nearly 600,000 children to breaches. Some companies in the industry have decided to redesign their products to avoid abuse in the future. Others have even withdrawn their products from the market. These changes are proving that it is possible to provide online education to children without forcing them to give up their privacy. These are positive developments, but one cannot rely only on the goodwill of individual actors to improve. So many devices and apps continue to monitor children online, as the manufacturers justify themselves by citing the lack of laws forcing them to do otherwise.

According to rumours, the European Data Protection Board (EDPB) will issue a binding decision on data transfers to the US by 14 April. The new transatlantic data agreement is being finalised and is expected to arrive by the summer, but there are those who fear that, pending its adoption, the EDPB might decide to stop data flows. In this regard, Meta has already stated that there could be problems for its services in Europe if the legal basis for data transfer is definitively declared unlawful. This would mean that Facebook and Instagram might have to stop sending European users’ data to the US in the coming months due to privacy concerns. The issue is still open. The case on which the EDPB has been called upon to rule stems (once again) from a complaint filed by Austrian activist Max Schrems. In July 2022, the Irish Data Protection Commission had already proposed – for the first time – to ban Meta from using ‘standard contractual clauses’ as a legal basis for sending user data to the United States. The decision came in the wake of the highly notorious EU Court of Justice ruling that had annulled the Privacy Shield. In late January, the Irish Data Protection Authority activated the dispute resolution mechanism – known as Article 65 – after failing to resolve objections raised by other European data protection authorities to its decision. According to media reports, an EDPB spokesperson said the official procedure for preparing a binding decision formally started today and will have its deadline in two months.

Recent research has revealed worrying details about the trafficking of mental health data. According to this study, conducted by Duke University’s Sanford School of Public Policy, mental health data are sold by little-known data brokers, sometimes for a few hundred dollars and with little effort to hide personal information such as names and addresses. In fact, these companies (whose names are not disclosed in the research) would sell information that identifies individuals based on their problems, including depression, anxiety, and bipolar disorder, while classifying them based on data such as age, ethnicity, credit score, and geographic location. “It appears that the industry lacks good practices for managing individuals’ mental health data, particularly with regard to privacy and buyer control”, the study states. Prices of medical records vary widely, but some companies offer them cheaply: up to $275 for information on 5,000 individuals. This phenomenon, already on the rise, has become even more significant with the advent of the Covid-19 pandemic. Data brokers, who are in the business of buying, repackaging and selling identifying information, have become a thriving, albeit still obscure, industry. Companies in the industry are rarely household names and often say little publicly about their business practices. Justin Sherman, senior fellow at Duke’s Sanford School of Public Policy – which runs the data brokering project and oversaw the research – said that entities that store health data, including most phone apps, are unregulated, leaving data brokers with a range of options to legally purchase that data. In this regard, strong concerns were also expressed by the World Privacy Forum, which pointed out that amid the regulatory chaos surrounding health data and information in the US, the data brokerage industry is out of control.

Scorza: “Stop al business online sulla pelle dei minori”

Non è possibile tollerare oltre la circostanza che utenti-bambini, nella dimensione digitale, siano trattati troppo spesso come vitellini da mungere, dai quali trarre profitto, attraverso lo sfruttamento commerciale dei loro dati personali. Il vento è cambiato. Ecco come affrontare il problema.

Se ti interessa, continua a leggere qui, il mio pezzo su Agenda Digitale.

PRIVACY DAILY 39/2023

Gli USA verso una stretta sulla tutela della privacy dei minori online. Nel discorso sullo Stato dell’Unione il Presidente Joe Biden si è espresso senza mezzi termini. “È ora di approvare una legislazione bipartisan per impedire alle Big Tech di raccogliere dati personali dei nostri bambini e adolescenti online”, ha detto Biden, aggiungendo che: “bisogna vietare la pubblicità mirata sui bambini e imporre limiti più severi rispetto ai dati personali che le aziende raccolgono su tutti noi”. Il discorso ha, tra l’altro, messo in evidenza la presa che le aziende tecnologiche hanno sui giovani americani e ha lanciato l’allarme sulle modalità con cui i social media influenzano la loro salute mentale. Le reazioni sono state di segno opposto. Da una parte, i sostenitori del Children and Teens’ Online Protection Act hanno colto l’occasione per tornare a chiedere l’aggiornamento della legislazione vigente in materia di protezione dei dati dei minori online – risalente al 1998 –, in particolare l’innalzamento dell’età per disporre dei propri dati da 13 a 16 anni e la creazione di una divisione Youth Privacy and Marketing presso la Federal Trade Commission. Dall’altra, l’industria tecnologica ha espresso le sue preoccupazioni per una regolamentazione rigida, la quale potrebbe danneggiare concorrenza e innovazione. In particolare, l’Interactive Advertising Bureau, di cui fanno parte anche Amazon, Google e Meta, ha criticato fortemente il divieto generalizzato di pubblicità rivolta ai bambini, pur dichiarando di essere favorevole alle norme sulla privacy.

Mentre il mondo è concentrato sulle atrocità della guerra tra Russia e Ucraina, le violazioni dei diritti umani del Cremlino in patria ricevono molta meno attenzione. Tra di esse, spicca la nuova legge firmata da Vladimir Putin che estende ampiamente la raccolta obbligatoria di dati sul DNA. La portata della nuova legge è difficile da comprendere: le autorità preleveranno il DNA di tutti coloro che sono sospettati di qualsiasi reato. Il governo prevede di raccogliere il DNA di almeno 1,8 milioni di persone all’anno. Saranno inclusi gli illeciti amministrativi, come le violazioni del codice della strada o il mancato pagamento di una sanzione minore, nonché la partecipazione ad assemblee (o proteste) “non autorizzate”. Si tratta di un cambiamento netto rispetto al passato. Prima, infatti, le autorità prelevavano il DNA solo da persone condannate per reati sessuali o altri crimini gravi – anche se spesso gli agenti di polizia costringevano gli attivisti detenuti a fornire campioni di DNA –. In sostanza, la nuova legge potenzia il già massiccio sistema di sorveglianza della Russia e assesta un altro duro colpo al diritto alla privacy. Le autorità pubbliche avranno il potere illimitato di accedere alle informazioni contenute nel database e di utilizzarle senza alcun controllo indipendente.

Il lavoratore può essere aggiunto ad un gruppo di Whatsapp senza previo consenso? Investita della questione, l’Autorità garante della privacy spagnola (AEPD) ha dato una risposta a primo acchito un po’ sibillina, scatenando una serie di interrogativi. L’AEPD ha infatti archiviato un caso in cui una lavoratrice era stata aggiunta a due gruppi WhatsApp dall’azienda di consegna pacchi, sua datrice di lavoro, al fine di organizzare le attività, mediante l’indicazione dei percorsi da fare o l’indicazione dell’ubicazione dei furgoni lasciati in sosta. Nella decisione l’Autorità ha ravvisato l’esistenza di una valida base giuridica del trattamento nel contratto di lavoro. Ma non ha specificato se la lavoratrice lamentasse di essere stata aggiunta a questi gruppi con il numero del suo dispositivo personale o con un numero di telefono aziendale. Si è sollevato così un coro di opinioni contrastanti, in cui è emersa una certa sorpresa per un presunto “cambio di rotta” rispetto a quanto stabilito in precedenti provvedimenti. L’AEPD è così dovuta tornare sulla questione e ha chiarito, in primo luogo, che la risoluzione di un caso specifico non implica necessariamente l’affermazione di un criterio generale valido per tutte le situazioni che possono presentarsi nella pratica quotidiana. Ha chiarito, inoltre, che la creazione da parte del datore di lavoro di un gruppo WhatsApp con il resto dei colleghi dell’azienda può comportare un trattamento sproporzionato dei dati e che in ogni caso è meglio fornire un numero di telefono aziendale o chiedere un consenso specifico ai dipendenti.

English version

US moves towards a crackdown on online child privacy. In his State of the Union address, President Joe Biden spoke in no uncertain terms. “It’s time to pass bipartisan legislation to stop Big Tech from collecting personal data about our children and teens online,” Biden said, adding that: “we must ban advertising targeted at children and impose stricter limits on the personal data companies collect on all of us.” The speech, among other things, highlighted the hold that technology companies have over young Americans and sounded the alarm about how social media affects their mental health. Reactions were mixed. On the one hand, supporters of the Children and Teens’ Online Protection Act took the opportunity to call again for the updating of existing legislation on online child data protection – dating back to 1998 -, in particular the raising of the age to dispose of one’s data from 13 to 16 and the creation of a Youth Privacy and Marketing Division at the FTC. On the other hand, the technology industry has expressed its concerns about strict regulation, which could harm competition and innovation. In particular, the Interactive Advertising Bureau, of which Amazon, Google and Meta are also members, strongly criticised the blanket ban on advertising aimed at children, while stating that it is in favour of privacy regulations.

While the world is focused on the atrocities of the war between Russia and Ukraine, the Kremlin’s human rights violations at home receive far less attention. Prominent among them is the new law signed by Vladimir Putin that broadly extends the mandatory collection of DNA data. The scope of the new law is difficult to comprehend: the authorities will collect DNA from everyone suspected of any crime. The government plans to collect DNA from at least 1.8 million people per year. Administrative offences, such as traffic violations, non-payment of a minor fine and participation in ‘unauthorised’ assemblies (or protests) will be included. This is a marked change from the past. Previously, the authorities only took DNA from people convicted of sexual offences or other serious crimes – although police officers often forced imprisoned activists to provide DNA samples -. In essence, the new law strengthens Russia’s already massive surveillance system and deals another blow to the right to privacy. Public authorities will have unlimited power to access and use the information in the database without any independent control.

Can a worker be added to a Whatsapp group without prior consent? When asked about this question, the Spanish Privacy Authority (AEPD) gave a somewhat sibylline answer at first glance, raising a number of questions. In fact, the AEPD dismissed a case in which a female employee had been added to two WhatsApp groups by the parcel delivery company, her employer, in order to organise activities, by indicating routes to be taken or the location of parked vans. In the decision, the Authority found the existence of a valid legal basis for the processing in the employment contract. But it did not specify whether the employee complained that she had been added to these groups with her personal device number or with a company telephone number. Thus, a chorus of conflicting opinions arose, in which there was some surprise at an alleged ‘change of course’ from what had been established in previous rulings. Thus, the AEPD had to return to the issue and clarified, firstly, that the resolution of a specific case does not necessarily imply the affirmation of a general criterion valid for all situations that may arise in everyday practice. It also clarified that the creation by the employer of a WhatsApp group with the rest of the company’s colleagues may lead to disproportionate data processing and that in any case it is better to provide a company telephone number or ask for specific consent from employees.