PRIVACYDAILY

N. 137/2023

LE TRE NEWS DI OGGI:

  • NORVEGIA, VERSO IL DIVIETO DI TRACCIAMENTO ON LINE DEGLI UTENTI A SCOPO PUBBLICITARIO PER META
  • SCOZIA, L’UTILIZZO DEL CLOUD PER I DATI BIOMETRICI SOLLEVA POLEMICHE
  • THAILANDIA, UOMO ARRESTATO A PHUKET PER LA VENDITA DEI DATI PERSONALI

Ai giganti dei social media Facebook e Instagram sarà presto vietato in Norvegia di tracciare gli utenti online per indirizzarli alla pubblicità. L’Autorità norvegese per la protezione dei dati ha ordinato all’azienda tecnologica statunitense Meta, società madre di Facebook e Instagram, di smettere di mostrare agli utenti norvegesi annunci personalizzati basati sulla loro attività online e sulla loro posizione stimata. Il divieto scatterà a partire da agosto, secondo un ordine ottenuto in esclusiva da POLITICO e inviato a Meta il 14 luglio.Le pratiche pubblicitarie di Meta su Facebook e Instagram comportano attualmente “il trattamento di dati personali molto privati e sensibili attraverso operazioni di monitoraggio e profilazione altamente opache e intrusive”, ha scritto l’agenzia norvegese Datatilsynet. Il divieto della cosiddetta pubblicità comportamentale durerà tre mesi, a partire dal 4 agosto. Facebook e Instagram potranno mostrare alle persone annunci pubblicitari personalizzati, ma solo sulla base delle informazioni fornite dagli utenti nella sezione “About” dei loro profili. Meta dovrà affrontare multe giornaliere di 1 milione di corone norvegesi (89.500 euro) se non rispetterà l’ordine.Il divieto temporaneo potrebbe essere revocato se Meta troverà un modo per trattare legalmente i dati personali e dare agli utenti il diritto di rinunciare alla pubblicità mirata basata sul tracciamento, si legge nell’ordinanza.  La restrizione arriva dopo che la Corte di Giustizia dell’Unione Europea, il 4 luglio, ha stabilito che Meta stava raccogliendo illegalmente i dati delle persone per indirizzare loro pubblicità senza il loro esplicito consenso e sulla base del “legittimo interesse” dell’azienda. Meta è anche attualmente sotto esame da parte del suo principale regolatore della privacy, la Commissione irlandese per la protezione dei dati, per le sue pratiche pubblicitarie. A gennaio l’autorità con sede a Dublino ha multato la società di social media per un totale di 390 milioni di euro per aver violato la privacy dei cittadini europei. Ha ordinato a Meta di trovare una nuova base giuridica per il suo modello di business. L’azienda tecnologica ha presentato ricorso contro la decisione.La Commissione irlandese per la protezione dei dati prevede di prendere una decisione sulla base giuridica di Meta per le sue operazioni di pubblicità mirata “entro e non oltre la metà di agosto”, ha dichiarato il vice commissario e portavoce dell’agenzia Graham Doyle. L’autorità di regolamentazione irlandese supervisiona Meta ai sensi del Regolamento generale sulla protezione dei dati (GDPR) per l’intera Europa, poiché l’azienda tecnologica ha la sua sede regionale lì. Altri Paesi europei, come la Norvegia, possono emettere decisioni nazionali con un limite di tempo di tre mesi in un “caso di urgenza” ai sensi del GDPR.”Il persistente stato di non conformità a seguito delle decisioni [irlandesi] richiede un’azione immediata per proteggere i diritti e le libertà degli interessati europei”, ha scritto l’agenzia norvegese nel suo ordine. L’autorità di regolamentazione norvegese è la prima autorità europea per la privacy a limitare severamente l’attività di Meta basata sui dati in seguito alla sentenza della Corte Suprema dell’UE. L’agenzia ha dichiarato che intende richiedere una decisione vincolante urgente all’European Data Protection Board (EDPB) – la rete di autorità di regolamentazione della privacy della regione – per decidere le misure finali.

All’inizio di aprile 2023, Computer Weekly ha rivelato che il servizio Digital Evidence Sharing Capability (DESC) del governo scozzese – appaltato al fornitore di body-worn video Axon per la consegna e ospitato su Microsoft Azure – era in fase di sperimentazione, nonostante l’organo di controllo della polizia avesse sollevato preoccupazioni sul fatto che l’uso di Azure “non sarebbe stato legale”.Secondo una valutazione d’impatto sulla protezione dei dati (DPIA) dell’Autorità di polizia scozzese (SPA) – che rileva che il sistema elaborerà informazioni genetiche e biometriche – il sistema presenta diversi rischi per i diritti degli interessati.Tra questi, il potenziale accesso del governo degli Stati Uniti attraverso il Cloud Act, che di fatto dà al governo degli Stati Uniti l’accesso a qualsiasi dato, memorizzato ovunque, dalle aziende statunitensi nel cloud; l’uso da parte di Microsoft di clausole contrattuali generiche, anziché specifiche; e l’incapacità di Axon di rispettare le clausole contrattuali sulla salvaguardia della sovranità dei dati. Sulla scia del servizio di Computer Weekly, il 22 aprile 2023 il commissario scozzese per la biometria Brian Plastow ha notificato alla Police Scotland (il principale responsabile del trattamento dei dati per il sistema) una nota informativa formale, chiedendo alla forza di polizia di dimostrare che l’uso del sistema è conforme alla Parte terza del Data Protection Act 2018 (DPA 18), che contiene le norme sulla protezione dei dati specifiche per le forze dell’ordine del Regno Unito.Sebbene la risposta di Police Scotland a Plastow non sia stata divulgata pubblicamente, questi ha confermato in una corrispondenza con Computer Weekly che la forza ha “caricato volumi significativi di immagini su DESC durante questo progetto pilota”, che includeva in particolare fotogrammi e immagini CCTV.Ha inoltre confermato con i servizi di polizia forense dell’autorità scozzese che non sono stati caricati profili di DNA o impronte digitali, in attesa di chiarimenti da parte del commissario per l’informazione del Regno Unito, che ha stabilito se ciò non sia in contrasto con la legge britannica sulla protezione dei dati.

Gli agenti del Digital Crimes Investigation Bureau (CCIB) hanno arrestato ieri un uomo a Phuket per aver venduto dati personali raccolti da siti di scommesse online.Il sospetto, “Mr Phadungkiat”, 28 anni, è stato arrestato intorno alle 12.30 del 14 luglio nel distretto di Muang, ha dichiarato il CCIB.Phadungkiat aveva un mandato d’arresto emesso dal tribunale provinciale di Phuket per reati previsti dalla legge sul crimine informatico del 2007, dalla legge sul gioco d’azzardo del 1935 e dalla legge sulla protezione dei dati personali del 2019 (PDPA), ha dichiarato la CCIB nel suo rapporto.Gli agenti della CCIB avevano arrestato un sospetto a Trang, il che ha portato all’arresto di ieri, ha dichiarato il commissario della CCIB, il tenente generale Worawat Watnakornbancha. Gli agenti hanno appreso che Phadungkiat, laureato in informatica presso la Facoltà di Ingegneria, era un amministratore di sistema di un sito di scommesse online.Hanno sequestrato telefoni cellulari, computer, libri copti e dispositivi di archiviazione dati.I dati personali, provenienti da oltre 2 milioni di account online, venivano venduti su un gruppo privato di Facebook, che conta circa 100.000 membri, ha dichiarato la CCIB.Il database dei clienti dei siti di scommesse online comprendeva informazioni come nome e cognome e numeri di telefono degli utenti. I loro numeri di conto bancario e le informazioni sul conto Line.I dati sono stati venduti a vari prezzi, da B500 (MONETA LOCALE) per i dettagli di 100.000 nomi a B3.500 per l’elenco completo di oltre 2 milioni di nomi, ha dichiarato il tenente generale Worawat.Gli acquirenti erano in grado di utilizzare questi dati personali per campagne di promozione di siti di scommesse online per truffe online, utilizzando le informazioni ottenute per contattare i bersagli per telefono, SMS o via linea, ha aggiunto il tenente generale Worawat.Phadungkiat aveva sviluppato un sistema “pronto all’uso”, completo di un sito web funzionale, un’interfaccia dati e un database pronto per essere scaricato, ha dichiarato.Ha iniziato vendendo per 8.000 sterline i dati di quasi 2 milioni di account Facebook, utilizzati per il marketing e la pubblicità di un sito di scommesse online da lui gestito. Phadungkiat ha dichiarato di aver venduto i dati, in varie quantità, “circa sei volte”.Il mese successivo ha lasciato i siti di scommesse online per concentrarsi sulla vendita di dati personali.Phadungkiat ha venduto dati personali per circa un anno. In quel periodo aveva tra i “15 e i 20 clienti”, che gli permettevano di guadagnare una media di 50.000 dollari al mese, afferma il tenente generale Worawat.Phadungkiat è stato accusato dei reati elencati nel mandato di arresto. Gli agenti stanno proseguendo le indagini, ha dichiarato il tenente generale Worawat.Nel suo rapporto, la CCIB invita il pubblico a diffidare delle informazioni che comunica online, avvertendo che queste potrebbero essere usate contro di lui.

English version

  • NORWAY, TOWARDS A BAN ON ONLINE TRACKING OF USERS FOR PUBLICITY PURPOSES FOR META
  • SCOTLAND, USE OF CLOUD FOR BIOMETRIC DATA RAISES POLEMICY
  • THAILAND, MAN ARRESTED IN PHUKET FOR SELLING PERSONAL DATA

Social media giants Facebook and Instagram will soon be temporarily banned in Norway from tracking users online to target them with advertising.The Norwegian Data Protection Authority ordered U.S. technology firm Meta, the parent company of Facebook and Instagram, to stop showing users in Norway personalized ads based on their online activity and estimated locations. The ban kicks in from August, according to an order obtained exclusively by POLITICO and sent to Meta on July 14.Meta’s advertising practice on Facebook and Instagram currently involves the “processing of very private and sensitive personal data through highly opaque and intrusive monitoring and profiling operations,” wrote Norway’s Datatilsynet agency.The ban on so-called behavioral advertising will last three months, starting from August 4. Facebook and Instagram will be able to show people customized ads but only based on information given by users in the “about” section of their profiles.Meta will face daily fines of 1 million Norwegian Krone (€89,500) if it doesn’t comply with the order.The temporary ban could be lifted if Meta finds a way to legally process personal data and give users the rights to opt out of targeted advertising based on tracking, the order said.  The restriction comes after the Court of Justice of the European Union on July 4 ruled that Meta was unlawfully collecting people’s data to target them with ads without their explicit consent and based on the firm’s “legitimate interest.”Meta is also currently under scrutiny from its lead privacy regulator, the Irish Data Protection Commission, over its advertising practices. The Dublin-based authority fined the social media company in January a total of €390 million for infringing Europeans’ privacy. It ordered Meta to find a new legal basis for its business model. The tech company has appealed the decision.The Irish Data Protection Commission plans on making a decision on Meta’s legal basis for its targeted advertising operations “by no later than mid-August,” said the agency’s Deputy Commissioner and Spokesperson Graham Doyle.The Irish regulator oversees Meta under the General Data Protection Regulation (GDPR) for the whole of Europe because the tech company has its regional headquarters there. Other European countries such as Norway are able to issue national decisions for a time limit of three months in a “case of urgency” under the GDPR.”The persistent state of non-compliance following the [Irish] decisions demand[s] immediate action to protect the rights and freedoms of European data subjects,” wrote the Norwegian data agency in its order.The Norwegian regulator is the first European privacy authority to severely restrict Meta’s data-driven business following the EU’s top court ruling. It said it also plans to request an urgent binding decision from the European Data Protection Board (EDPB) — the region’s network of privacy regulators — to decide on final measures.

Police Scotland has “uploaded significant volumes of images” to its cloud-based digital evidence-sharing system despite major ongoing data protection concerns, finds formal information notice from the Scottish biometrics commissioner.At the start of April 2023, Computer Weekly revealed the Scottish government’s Digital Evidence Sharing Capability (DESC) service – contracted to body-worn video provider Axon for delivery and hosted on Microsoft Azure – was being piloted despite the police watchdog raising concerns about how the use of Azure “would not be legal”.According to a Data Protection Impact Assessment (DPIA) by the Scottish Police Authority (SPA) – which notes the system will be processing genetic and biometric information – the system presents several risks to data subjects’ rights.This includes the potential for US government access via the Cloud Act, which effectively gives the US government access to any data, stored anywhere, by US corporations in the cloud; Microsoft’s use of generic, rather than specific, contracts; and Axon’s inability to comply with contractual clauses around data sovereignty.In the wake of Computer Weekly’s coverage, Scottish biometrics commissioner Brian Plastow served Police Scotland (the lead data controller for the system) with a formal information notice on 22 April 2023, requiring the force to demonstrate that its use of the system is compliant with Part Three of the Data Protection Act 2018 (DPA 18), which contains the UK’s law enforcement-specific data protection rules.Plastow specifically asked whether biometric data transfers have taken place, what types have been transferred, in what volumes, and which country the data is being hosted in.While Police Scotland’s response to Plastow has not been publicly disclosed, he confirmed in correspondence with Computer Weekly that the force “uploaded significant image volumes to DESC during this pilot”, which specifically included stills and CCTV images.He also confirmed with the Scottish Police Authority Forensic Services that no DNA profiles or fingerprints have been uploaded, pending clarification from the UK Information Commissioner on whether he is satisfied that doing so would not conflict with UK data protection law.

Officers from the Digital Crimes Investigation Bureau (CCIB) arrested a man in Phuket yesterday for selling personal data gleaned from online betting sites.The suspect, “Mr Phadungkiat”, 28, was arrested at around 12.30pm on 14 July in Muang district, the CCIB said.Phadungkiat had an arrest warrant from Phuket Provincial Court for offences under the Computer Crime Act 2007, the Gambling Act 1935 and the Personal Data Protection Act 2019 (PDPA), the CCIB said in its report.CCIB officers had arrested a suspect in Trang, which led to yesterday’s arrest, said CCIB commissioner Lieutenant-General Worawat Watnakornbancha.Officers learned that Phadungkiat, a computer science graduate from the Faculty of Engineering, was a system administrator for an online betting site, he added.They seized mobile phones, computers, Coptic books and data storage devices.The personal data, from more than 2 million online accounts, was being sold on a private Facebook group, which has around 100,000 members, the CCIB said.The database of online betting site customers included information such as users’ first and last names and telephone numbers. Their bank account numbers and Line account information.The data was sold at various prices, from B500 for the details of 100,000 names to B3,500 for the complete list of more than 2 million names, said Lieutenant-General Worawat.The buyers were able to use this personal data for campaigns to promote online betting sites for online scams by using the information obtained to contact targets by telephone, SMS or via Line, Lieutenant-General Worawat added.Phadungkiat had developed a ‘ready-to-use’ system, complete with a functional website, a data interface, and a database ready for download, he said.He began by selling the data from nearly 2 million Facebook accounts for B8,000, used for marketing and advertising an online betting site he managed. Phadungkiat said he sold the data, in various quantities, “about six times”.The following month, he left the online betting sites to concentrate on selling personal data. Phadungkiat sold personal data for about a year. At that time he had between “15 and 20 customers”, enabling him to earn an average of B50,000 a month, says Lieutenant-General Worawat.Phadungkiat has been charged with the offences listed in the arrest warrant. Officers are continuing their investigation, Lieutenant-General Worawat said.In its report, the CCIB calls on the public to be wary of the information they communicate online, warning that this information could be used against them.

PRIVACYDAILY

N. 155/2023

LE TRE NEWS DI OGGI:

  • VERSO UN SISTEMA EUROPEO DI PORTAFOGLI DIGITALI INTEROPERABILI, MA C’E’ ANCORA MOLTO DA FARE
  • UK, CONTROLLI SULL’ETA’ DA PARTE DEI SITI PORNIO SOLLEVANO PROBLEMI DI PRIVACY
  • BMSF RAILWAY VINCE UN NUOVO PROCESSO: ANNULLATA SENTENZA DA 228 MILIONI DI DOLLARI IN UN CASO CONCERNENTE IL RICONOSCIMENTO BIOMETRICO

Le istituzioni dell’UE hanno risolto i punti critici della proposta legislativa per un quadro europeo dell’identità digitale in una sessione di negoziati tenutasi IL 28 giugno, ma saranno necessarie ulteriori discussioni politiche per ultimare il dossier. Il disegno di legge mira a fornire il quadro giuridico per un sistema europeo di portafogli digitali nazionali interoperabili, in cui i cittadini possano conservare tutti i tipi di documenti personali, come patenti di guida e certificati di nascita. I negoziati interistituzionali di mercoledì – noti anche come “triloghi” – tra il Consiglio dell’UE, il Parlamento e la Commissione hanno registrato progressi significativi nella risoluzione di alcuni dei punti più controversi del dossier. Tuttavia, intere sezioni del testo restano ancora da discutere.”Abbiamo raggiunto un accordo politico sugli elementi chiave della proposta”, ha dichiarato Romana Jerković, capo negoziatore del Parlamento europeo. “C’è ancora del lavoro da fare, ma siamo molto vicini a raggiungere un accordo finale sull’intero pacchetto”. I portafogli dovranno seguire il sistema di certificazione europeo dedicato alla cybersecurity. Non è stato deciso se dovranno rispettare anche la certificazione relativa al Regolamento generale sulla protezione dei dati (GDPR) dell’UE.Gli Stati membri dell’UE sono riusciti a conservare volontariamente la certificazione per la protezione dei dati. Da parte sua, il Parlamento europeo, che chiedeva una misura obbligatoria, ha ottenuto una revisione da parte della Commissione dell’efficacia di questa disposizione. I Paesi dell’UE dovranno stabilire sanzioni amministrative che potranno essere comminate dai tribunali nazionali competenti o da altri organi, a seconda dell’ordinamento giuridico.Per i fornitori di servizi finanziari, la multa massima dovrebbe essere di almeno mezzo milione di euro o dell’1% del fatturato totale annuo a livello mondiale. La bozza iniziale faceva riferimento alla Legge europea sui prodotti digitali, che introduce obblighi per le grandi aziende tecnologiche e richiede che l’accesso alle funzionalità hardware e software sia garantito agli emittenti di portafogli.Nel preambolo del testo sarà aggiunto un riferimento al fatto che l’accesso deve essere fornito a condizioni eque, ragionevoli e non discriminatorie.

Il governo inglese sostiene che on line i bambini saranno più protetti grazie alle modifiche apportate alle leggi sulla sicurezza in Internet, nonostante ci siano preoccupazioni per la privacy. La legge sulla sicurezza online richiederà la verifica dell’età sui servizi che pubblicano o consentono contenuti pornografici.Ma i movimenti per i diritti digitali sostengono che vi sia una mancanza di trasparenza sugli strumenti e sulle modalità di raccolta dei dati delle persone.Il ministro per le Tecnologie, Paul Scully, ha ammesso che “nessuna legislazione sarà mai perfetta”, ma ha affermato che sarà “flessibile”.Gli emendamenti proposti prevedono che le piattaforme user-to-user, come i siti di social media, che consentono contenuti pornografici dovranno utilizzare tecnologie di controllo dell’età che siano “altamente efficaci” nell’identificare se un utente è un bambino o meno – ad esempio, stimando l’età di una persona da un selfie.Altri metodi includono il controllo dei documenti d’identità ufficiali, degli estratti conto bancari o delle tecnologie di riconoscimento vocale, che dovrebbero notificare che la persona che desidera accedere al loro servizio, che è anonimizzato, ha più di 18 anni.La tecnologia di verifica dell’età viene “introdotta in modo piuttosto draconiano”, ha dichiarato la dottoressa Monica Horten, responsabile delle politiche per la libertà di espressione presso Open Rights Group. Secondo la dottoressa Monica Horten, responsabile delle politiche per la libertà di espressione di Open Rights Group, è necessario considerare meglio i rischi che comporta obbligare i siti web a verificare l’età dei propri utenti.”Alcuni di questi sistemi utilizzano tecniche di scansione facciale per identificare l’età delle persone. L’elaborazione della raccolta di grandi gruppi di dati biometrici dei bambini da parte di aziende private, senza alcuna struttura di governance, è qualcosa di cui tutti i genitori dovrebbero preoccuparsi.”Non sappiamo come funzionano questi sistemi. I nostri dati vengono memorizzati? Chi vi ha accesso? Se sì, li stanno elaborando?”, ha affermato la dottoressa Horten.Il disegno di legge darà all’ente regolatore delle comunicazioni Ofcom il potere di multare le aziende tecnologiche, di bloccare l’accesso ai siti e di introdurre responsabilità penali per i dirigenti delle aziende che non collaborano.Iain Corby, dell’Age Verification Providers Association, ha dichiarato di aver accolto con favore i requisiti del disegno di legge, ma “con cinque milioni di siti web per adulti, il governo deve ancora conferire all’ente regolatore migliori poteri per farli rispettare su larga scala prima che il disegno di legge venga finalizzato”.

Lo scorso venerdì un giudice statunitense ha ordinato un nuovo processo per danni contro la BNSF Railway nell’ambito di una class action sulla privacy, con una sentenza che ha annullato un risarcimento di 228 milioni di dollari ai camionisti che avevano accusato il colosso ferroviario di aver raccolto illegalmente le loro impronte digitali. La sentenza del giudice distrettuale Matthew Kennelly dell’Illinois ha confermato il verdetto di colpevolezza della giuria, secondo cui BNSF aveva violato l’Illinois Biometric Information Privacy Act, che impone restrizioni alla raccolta e all’uso di informazioni personali come scansioni della retina e impronte digitali.Ma Kennelly ha detto che i danni derivanti dalla legge sulle informazioni biometriche sono discrezionali, e quindi “BNSF ha il diritto di avere una giuria che determini l’importo appropriato dei danni”.Il processo è stato il primo a svolgersi in base alla legge sulla privacy biometrica dell’Illinois, che è tra le più severe a livello nazionale per quanto riguarda la protezione delle informazioni personali sensibili.La Berkshire Hathaway di Warren Buffett possiede la BNSF, che gestisce una delle più grandi reti ferroviarie per il trasporto merci del Paese.Un portavoce della BNSF e un avvocato della società non hanno risposto immediatamente alle richieste di commento presentate venerdì.Un camionista ha citato in giudizio BNSF già dal 2019, sostenendo che la società con sede a Fort Worth, in Texas, ha illegalmente richiesto ai conducenti di eseguire la scansione delle impronte digitali presso le strutture dello Stato.La giuria di Chicago lo scorso anno ha concluso che BNSF ha violato “incautamente o intenzionalmente” la legge sulla privacy biometrica dell’Illinois per 45.600 volte. La legge prevede 5.000 dollari per ogni violazione.Gli avvocati della BNSF hanno affermato in una memoria post-processuale che la legge biometrica dell’Illinois contiene la parola “può” e che “c’è la possibilità di non concedere danni o di concedere danni per un importo inferiore al massimo previsto dalla legge”. La legge statale pone una miriade di ostacoli alla conformità per le aziende e molte di esse hanno dovuto affrontare controversie. Nel 2020, Facebook ha dichiarato che avrebbe pagato 650 milioni di dollari per risolvere le accuse di class action secondo cui avrebbe violato la legge dell’Illinois in una funzione in grado di riconoscere le persone nelle fotografie condivise sul sito.

English version

  • TOWARDS A EUROPEAN SYSTEM OF INTEROPERABLE DIGITAL WALLETS, BUT THERE IS STILL MUCH TO BE DONE
  • UK, AGE CHECKS BY PORN WEBSITES RAISE PRIVACY ISSUES
  • BMSF RAILWAY WINS A NEW TRIAL: $228 MILLION JUDGMENT CLEARED IN CASE CONCERNING BIOMETRIC RECOGNITION

EU institutions closed critical points on the legislative proposal for a European digital identity framework at a negotiating session on Wednesday evening (June 28), but further political discussions will be needed to finalize the dossier. The bill aims to provide the legal framework for an EU-wide system of interoperable national digital wallets, where citizens can store all kinds of personal documents such as driving licenses and birth certificates. Wednesday’s inter-institutional negotiations – also known as “trilogues” – between the Council of the EU, the Parliament and the Commission marked significant progress in resolving some of the most contentious points of the dossier. However, entire sections of the text remain to be discussed. “We have reached political agreement on the key elements of the proposal,” said Romana Jerković, the European Parliament’s chief negotiator. “There is still work to be done, but we are very close to reaching a final agreement on the whole package.”. Portfolios will have to follow the European certification system dedicated to cybersecurity. Whether they will also have to comply with certification relating to the EU’s General Data Protection Regulation (GDPR) has not been decided. EU member states have managed to voluntarily maintain data protection certification. For its part, the European Parliament, which had been calling for a mandatory measure, has obtained a review by the Commission of the effectiveness of this provision.EU countries will have to set administrative fines that can be imposed by the competent national courts or other bodies, depending on the legal system. For trust service providers, the maximum fine should be at least half a million euros or 1% of total worldwide annual sales.The initial draft referred to the European Digital Markets Act, which introduces obligations for large technology companies and requires that access to hardware and software functionalities be guaranteed for wallet issuers. A reference to the fact that access must be provided on fair, reasonable and non-discriminatory terms will be added to the preamble of the text.

Children will be better protected online under amended internet safety laws, the government insists, despite concerns around privacy.The Online Safety Bill will require age verification on services that publish or allow pornographic content.But digital rights groups say there is a lack of transparency around the tools and how they collect people’s data.Tech minister Paul Scully admitted “no bit of legislation is ever going to be perfect” but said it was “flexible”.The proposed amendments will mean user-to-user platforms, such as social media sites, that allow pornographic content will have to use age-checking technologies that are “highly effective” in identifying whether a user is a child or not – for example, estimating someone’s age from a selfie.Other methods include checking official ID, bank statements or voice recognition tech – which would then notify that the person wishing to access their service, who is anonymised, is over 18 years old.Digital rights campaigners are not convinced that people’s privacy will be protected. Age assurance tech is being “introduced in quite a draconian way”, said Dr Monica Horten, policy manager for freedom of expression at Open Rights Group. She said there needed to be more consideration of the risks that come with forcing websites to verify the age of their users.”Some of these systems use facial scanning techniques to identify people’s age. The processing of the collection of large pools of children’s biometric data by private companies, with no governance structures in place, is something that all parents should be very worried about.”We don’t know how these systems work. Is our data being stored? Who has access to it? If so, are they processing it?” she said.The bill will give the communications regulator Ofcom powers to fine tech companies, block access to sites and also see the introduction of criminal liabilities for executives of companies who fail to co-operate.Iain Corby from the Age Verification Providers Association said he welcomed the bill’s requirements but “with five million adult websites, the government still needs to give the regulator better powers to enforce at scale before the bill is finalised”.

A U.S. judge on Friday ordered a new trial on damages against BNSF Railway in a privacy class action, in a ruling that wiped out an award of $228 million to truck drivers who accused the freight railway giant of unlawfully collecting their fingerprints. The ruling from U.S. District Judge Matthew Kennelly in Illinois upheld a jury’s liability verdict that BNSF had violated the Illinois Biometric Information Privacy Act, which imposes restrictions on the collection and use of personal information such as retinal scans and fingerprints. But Kennelly said damages under the biometric law were discretionary, and so “BNSF is entitled to have a jury determine the appropriate amount of damages.” The trial was the first to be held under the Illinois biometric privacy law, which is among the most stringent nationwide in protecting sensitive personal information. Warren Buffett’s Berkshire Hathaway owns BNSF, which operates one of the country’s largest freight rail networks. A spokesperson for BNSF and a lawyer for the company did not immediately respond to requests on Friday seeking comment. Attorneys for the plaintiff did not immediately respond to similar messages. A truck driver sued BNSF in 2019, alleging the Fort Worth, Texas-based company unlawfully required drivers to scan fingerprints at facilities in the state. The jury in Chicago last year concluded BNSF “recklessly or intentionally” violated the Illinois biometric privacy law 45,600 times. The law allows $5,000 per violation. Lawyers for BNSF said in a post-trial brief that the Illinois biometric law contains the word “may” and that “there is the option not to award damages, or to award damages in any amount less than the statutory maximum.”. The state law poses myriad compliance hurdles for companies, and many have faced litigation. In 2020, Facebook said it would pay $650 million to resolve class action allegations that it violated the Illinois law in a feature that could recognize people in photographs shared to the site.

PRIVACY DAILY 101/2023

Il Dipartimento della Protezione Sociale irlandese ha ammesso che il trattamento dei dati biometrici è stato “una componente essenziale” nella messa a punto della carta dei servizi pubblici (CPS) negli ultimi 12 anni. Il Dipartimento ha dichiarato che questo trattamento è “effettuato dal Dipartimento sull’infrastruttura informatica sicura del Dipartimento”. Ha aggiunto che “i dati biometrici non vengono memorizzati sulla PSC, né condivisi con altri enti pubblici”. La biometria si riferisce a dati che possono identificare una persona attraverso le sue caratteristiche fisiologiche, come una foto o un’impronta digitale. Ogni carta dei servizi pubblici contiene una fotografia dell’individuo in questione. La rivelazione del dipartimento arriva a seguito di un’interrogazione parlamentare della deputata socialdemocratica Catherine Murphy in merito a una recente gara d’appalto indetta dal dipartimento per l’utilizzo della tecnologia di riconoscimento facciale.

Di fronte alle preoccupazioni delle piccole imprese della Florida che si affidano alla pubblicità digitale, una commissione legislativa ha ridimensionato una proposta di legge sulla tecnologia che cerca di dare ai consumatori un maggiore controllo sulla loro online footprint, restringendo il campo di applicazione a società come Amazon, Google, Apple e Facebook. Il provvedimento, SB 262, e il suo compagno, HB 1547, passano ora all’esame della Camera e del Senato per il voto finale. Entrambe le misure cercano di dare ai consumatori il diritto di non condividere i loro dati, che spesso vengono raccolti e venduti dalle aziende agli inserzionisti per indirizzare annunci mirati ai consumatori online. Ma solo il disegno di legge del Senato è stato modificato per restringere maggiormente il campo di applicazione, in modo da colpire i giganti tecnologici della nazione.

Nuove misure per garantire la protezione dei dati personali entreranno presto in vigore, nell’ambito di una riforma globale del Codice Penale, ha dichiarato il Ministro della Giustizia del Marocco Abdellatif Ouahbi. Rispondendo a un’interrogazione parlamentare, il ministro della Giustizia Abdellatif Ouahbi ha dichiarato che il suo ministero sta lavorando per accelerare il processo di introduzione della bozza del Codice penale, che include disposizioni dedicate alla protezione dei dati personali nello spazio digitale, e questo in conformità con gli accordi internazionali che il Regno ha concluso per proteggere questo bene giuridico dai danni derivanti dalla criminalità informatica.

English version

The Irish Department of Social Protection has admitted that the processing of biometric data has been “an essential component” of the framework underpinning the public services card (PSC) for the past 12 years. The department said that this processing is “carried out by the department on the department’s secure IT infrastructure”. It said that the “biometric data is not stored on the PSC, nor is it shared with any other public body”. Biometrics relate to data which can identify a person by their physiological characteristics, such as a photo or a fingerprint. Every public services card contains a photograph of the individual in question.

Faced with concerns from Florida’s small businesses that rely on digital advertising, a legislative committee scaled back a technology bill that attempts to give consumers more control over their online footprint by narrowing it to target companies such as Amazon, Google, Apple and Facebook.
The measure, SB 262 and its companion, HB 1547, head next to the House and Senate floors for final votes. Both measures attempt to give consumers the right to opt out of sharing their data, which is often collected and sold by companies to advertisers to sell targeted ads to consumers online. But only the Senate bill has been modified to more tightly narrow the scope to target the nation’s tech giants.
The bills require that companies get permission to collect and sell personal data and impose new disclosure requirements so that customers can know when and if their personal data is collected. The measure also prevents companies from selling someone’s personal data to a data broker without their consent.

New measures to ensure the protection of personal data will soon come into force, as part of a comprehensive reform of the Criminal Code, Justice Minister Abdellatif Ouahbi said. In response to a parliamentary question, Morocco’s Justice Minister Abdellatif Ouahbi said his ministry is working to speed up the process of introducing the draft Criminal Code, which includes provisions dedicated to the protection of personal data in the digital space, in line with the international agreements the Kingdom has concluded to protect this category from any damage resulting from cybercrime.

Le iniziative delle altre Autorità

Consultazione pubblica sui dati biometrici in Nuova Zelanda

Il Privacy Commissioner neozelandese sta valutando l’adozione un codice di condotta per regolamentare la biometria.

L’uso di tecnologie biometriche, come il riconoscimento facciale o delle impronte digitali, è una questione di interesse per le autorità garanti della privacy di tutto il mondo e la Nuova Zelanda non intende essere da meno.

Così, il Privacy Commissioner ha pubblicato un position paper intitolato “Privacy regulation of biometrics in Aotearoa New Zealand”. Questo documento è stato posto in consultazione pubblica –nell’ambito di una revisione della normativa esistente – per verificare se fosse necessario intraprendere ulteriori azioni per proteggere la privacy.

All’esito della consultazione agli uffici del Privacy Commissioner sono pervenuti all’incirca 100 contributi. Grazie a questi e all’analisi di ulteriori elementi di riflessioni provenienti dalla Nuova Zelanda e dall’estero, l’Autorità ha accumulato abbastanza materiale per valutare la possibile adozione del codice di condotta per la biometria nel 2023.

“Siamo molto soddisfatti del modo in cui i cittadini hanno partecipato alla nostra consultazione iniziale. Questo dimostra che c’è un alto livello di interesse”, ha dichiarato il Commissioner Michael Webster.

Molti tra coloro che hanno preso parte alla consultazione hanno concordato con le considerazioni del Privacy Commissioner in merito alla biometria. In particolare, vi sono diversi interrogativi rispetto al rischio di conseguenze discriminatorie. Ad esempio, forti preoccupazioni sono state espresse specialmente per quanto riguarda i Māori, che potrebbero subire un potenziale impatto discriminatorio dell’impiego delle tecnologie biometriche.

Le informazioni biometriche sono particolarmente sensibili, in quanto uniche per l’individuo e difficilmente modificabili, per cui necessitano di un alto livello di protezione. Proprio in virtù di questo presupposto, si sta affermando un orientamento rivolto ad un ulteriore intervento regolatorio per garantire una maggiore certezza del diritto. Al netto, quindi, delle opinioni contrastanti in materia, quello che è emerso è stata la necessità di fare qualcosa di più rispetto all’attuale quadro normativo.

“L’uso della biometria sta crescendo e si sta diversificando. Vogliamo garantire che i neozelandesi e le imprese neozelandesi possano sfruttare i vantaggi di questa tecnologia, ma anche essere protetti da potenziali danni”, ha detto sempre Michael Webster, annunciando che il successivo passaggio sarà una serie di impegni mirati con le agenzie e i soggetti interessati a questo settore, per capire cosa potrebbe contenere un codice. Infatti, il Privacy Commissioner intende ampliare il più possibile il dibattito, in vista dell’eventuale adozione del codice.  

Qui il testo integrale del position paper predisposto dai colleghi neozelandesi.