PRIVACY DAILY 63/2023

Dopo la burrasca di questi giorni, TikTok tenta di recuperare la fiducia degli Occidentali: arriva il “Progetto Trifoglio”. Questo progetto prevede che una società di sicurezza separata “controlli i flussi di dati” e che TikTok renda più difficile l’identificazione dei singoli utenti nei dati. Così si vogliono fugare i timori di una possibile condivisione dei dati degli utenti con la Cina. Inoltre, i “gateway di sicurezza” aggiungeranno un ulteriore livello di controllo sull’accesso dei dipendenti alle informazioni degli utenti europei e sui trasferimenti di dati al di fuori dell’Europa. Peraltro, i dirigenti di TikTok che hanno presentato il Progetto Trifoglio hanno ripetutamente affermato che si stanno spingendo più in là di altri grandi social network per proteggere la privacy degli utenti. Nell’ambito dell’attuale sforzo di archiviare localmente i dati degli utenti europei, la società ha anche rivelato i piani per la costruzione di due nuovi data center: a Dublino – oltre a quello già annunciato – e nella regione di Hamar in Norvegia. Ciò allo scopo di convincere i legislatori europei che TikTok è sicuro. Ma la realtà è che il futuro di TikTok rimarrà in bilico fintanto che non si quieteranno le acque negli Stati Uniti. E, al momento, l’ipotesi sembra remota. Esattamente un giorno prima dell’annuncio del Progetto Trifoglio, il Presidente Joe Biden ha dato il suo sostegno a una proposta di legge di un gruppo di senatori – promossa dal democratico Warner e dal repubblicano Thune – volta a vietare la tecnologia di proprietà straniera. Ma la Cina si oppone fermamente a questa azione. “Quanto può essere insicura di sé la massima superpotenza mondiale come gli Stati Uniti per temere in questo modo l’app preferita dai giovani?”. Ha dichiarato la portavoce del ministero degli Esteri cinese Mao Ning. L’impressione è che l’app sia finita al centro di una dinamica di confronto geopolitico tra USA e Cina.

Twitter dell’era Musk non conosce pace. La Federal Trade Commission (FTC) degli Stati Uniti intende approfondire le indagini sulle pratiche di Twitter in materia privacy e dati degli utenti e sta cercando di sentire come testimone Elon Musk in persona. Stando a quanto riportato, l’indagine della FTC vuole capire se Twitter – anche alla luce del gran numero di tagli al personale – continui ad avere adeguate risorse in termini organizzativi, di bugdet e di personale, per proteggere la privacy dei suoi utenti. L’inchiesta della Trade Commission prende forma la scorsa estate sulle scia di alcune affermazioni di un ex dirigente di Twitter in merito a problemi di sicurezza dei dati degli utenti e alle clamorose dimissioni di altri tre alti dirigenti responsabili del settore privacy e sicurezza. La FTC peraltro aveva raggiunto un accordo con Twitter nel 2011, ampliato nel 2022, in base al quale Twitter si è impegnata a condurre regolari controlli di sicurezza e a tenere informata l’Autorità sulla gestione dei dati particolari. Nei confronti però della FTC non sono mancate critiche da parte di una sottocommissione del House Judiciary Committee, a guida repubblicana, che l’ha accusata di condurre una “campagna aggressiva per infastidire Twitter”con oltre 350 richieste di informazioni solo da quando Musk ha rilevato l’azienda in ottobre. La sottocommissione ha anche criticato la FTC per aver chiesto a Twitter l’accesso ai file interni dell’azienda che aveva fornito poi a un gruppo di giornalisti. Un portavoce della FTC ha dichiarato però che la Trade Commissione formuli abitualmente tali richieste di informazioni alle aziende sottoposte ai suoi controlli. Ma quella della FTC però non è l’unica indagine che pende sul social network: anche altre Autorità statunitensi ed europee hanno avviato da tempo inchieste che riguardano ulteriori profili ritenuti meritevoli di approfondimento.

I data breach non risparmiano neanche il latte materno. L’Autorità garante privacy dell’Ontario sta indagando su una violazione dei dati presso la Rogers Hixon Ontario Human Milk Bank, che fornisce latte materno a bambini fragili dal punto di vista medico in tutta la provincia. Questa banca del latte fa parte del Sinai Health (un sistema ospedaliero di Toronto), il quale ha comunicato la violazione il 10 febbraio. Così gli Uffici dell’Autoritò hanno aperto un fascicolo, anche se la violazione sembra essere avvenuta prima di quella data. Il Sinai Health ha infatti dichiarato che il suo fornitore, Timeless Medical Systems, ha informato la banca del latte il 21 dicembre 2022 che stava avendo “problemi di servizio”. A quel punto, la banca del latte ha smesso di caricare i documenti sui suoi server e ha chiesto aggiornamenti regolari sulla situazione. Il 12 gennaio il fornitore ha comunicato al Sinai Health che i problemi di servizio erano legati a un “evento di cybersecurity”. “Subito dopo la notifica dell’evento di cybersecurity, abbiamo lavorato per garantire che i nostri dati fossero restituiti e ripristinati in modo sicuro. I donatori della banca del latte interessati sono stati identificati, contattati e assistiti durante tutto il processo”, ha dichiarato Jennifer Specht, portavoce del Sinai Health, aggiungendo che “Stiamo prendendo la questione molto seriamente e siamo profondamente dispiaciuti dell’impatto che questo evento di cybersecurity ha avuto sui nostri donatori di latte”. Secondo una lettera della banca del latte alle famiglie, infine, una “terza parte non autorizzata” ha avuto accesso ai dati prelevandoli dall’archivio cloud del fornitore, che comprendeva informazioni sulla salute personale dei donatori e di “alcuni richiedenti” nonché nomi, indirizzi, numeri di telefono, indirizzi e-mail, stile di vita familiare e dati anamnestici. Il fornitore ha successivamente comunicato di aver recuperato i dati.

English version

After the storm of recent days, TikTok is attempting to regain the trust of Westerners: ‘Project Clover’ is coming. This project provides for a separate security company to ‘control data flows’ and for TikTok to make it more difficult to identify individual users in the data. Thus, fears of possible sharing of user data with China are to be dispelled. In addition, ‘security gateways’ will add an extra layer of control over employee access to European user information and data transfers outside Europe. Moreover, TikTok executives who presented the Clover Project have repeatedly stated that they are going further than other large social networks to protect user privacy. As part of the ongoing effort to store European users’ data locally, the company also revealed plans to build two new data centres: in Dublin – in addition to the one already announced – and in the Hamar region of Norway. This is in order to convince European regulators that TikTok is safe. But the reality is that TikTok’s future will remain in the balance until the waters in the United States clear. And, at the moment, the hypothesis seems remote. Exactly one day before Project Clover was announced, President Joe Biden gave his support to a bill by a group of senators – sponsored by Democrat Warner and Republican Thune – to ban foreign-owned technology. But China strongly opposes this action. “How self-insecure can the world’s top superpower like the United States be to fear the young people’s favourite app in this way?” Said Chinese Foreign Ministry spokeswoman Mao Ning. The impression is that the app has ended up at the centre of a dynamic geopolitical confrontation between the US and China.

Musk-era Twitter knows no peace. The US Federal Trade Commission (FTC) intends to further investigate Twitter’s privacy and user data practices and is seeking to hear Elon Musk himself as a witness. According to reports, the FTC investigation wants to understand whether Twitter – even in light of the large number of staff cuts – continues to have adequate resources in terms of organisation, bugdet and personnel to protect the privacy of its users. The Trade Commission’s investigation took shape last summer in the wake of allegations by a former Twitter executive about user data security problems and the sensational resignations of three other senior executives responsible for privacy and security. The FTC had, moreover, reached an agreement with Twitter in 2011, extended to 2022, under which Twitter undertook to conduct regular security audits and to keep the Authority informed about its handling of special data. However, the FTC was not without criticism from a subcommittee of the Republican-led House Judiciary Committee, which accused it of conducting an “aggressive campaign to harass Twitter” with over 350 requests for information since Musk took over the company in October alone. The subcommittee also criticised the FTC for asking Twitter for access to the company’s internal files, which it then provided to a group of journalists. An FTC spokesman said, however, that the Trade Commission routinely makes such requests for information from companies under its scrutiny. But that of the FTC is not the only investigation hanging over the social network: other US and European authorities are also raising doubts.

Data breaches do not spare even breast milk. The Ontario Privacy Authority is investigating a data breach at the Rogers Hixon Ontario Human Milk Bank, which provides breast milk to medically fragile babies across the province. This milk bank is part of Sinai Health (a Toronto hospital system), which reported the breach on 10 February. So the authorities opened a file, even though the violation appears to have occurred before that date. In fact, Sinai Health stated that its supplier, Timeless Medical Systems, informed the milk bank on 21 December 2022 that it was having ‘service problems’. At that point, the milk bank stopped uploading documents to its servers and asked for regular updates on the situation. On 12 January, the supplier notified Sinai Health that the service problems were related to a ‘cybersecurity event’. “Immediately after notification of the cybersecurity event, we worked to ensure that our data was returned and restored securely. Affected milk bank donors were identified, contacted and assisted throughout the process,” said Jennifer Specht, spokesperson for Sinai Health, adding that “We are taking this matter very seriously and are deeply sorry for the impact this cybersecurity event has had on our milk donors.” According to a letter from the milk bank to the families, an ‘unauthorised third party’ accessed the data by taking it from the supplier’s cloud archive, which included personal health information of donors and ‘some applicants’ as well as names, addresses, phone numbers, email addresses, family lifestyle and medical history data. The provider later reported that it had recovered the data.

PRIVACY DAILY 53/2023

Signal andrà via dal Regno Unito se il suo sistema di crittografia verrà compromesso dall’Online Safety Bill. Lo ha dichiarato alla BBC Meredith Whittaker, presidente di Signal, specificando che non intende in alcun modo indebolire la privacy garantita dai suoi sistemi. L’Online Safety Bill, presentato da Boris Johnson, è attualmente all’esame del Parlamento. Il governo britannico ha dichiarato che non intende introdurre “un divieto di crittografia end-to-end”. Secondo i critici, però, con la nuova legge le aziende potrebbero essere obbligate a scansionare i messaggi sulle app criptate alla ricerca di materiale pedopornografico o di contenuti terroristici. Questo ha preoccupato le aziende che si occupano di comunicazioni private e sicure, che temono di perdere clienti. In precedenza, anche WhatsApp aveva dichiarato alla BBC che si sarebbe rifiutata di ridurre la sicurezza per qualsiasi governo. Tuttavia, il governo e le principali associazioni per la tutela dell’infanzia sostengono da tempo che la crittografia ostacola gli sforzi per combattere l’abuso di minori online, che secondo loro è un problema crescente. “È importante che le aziende tecnologiche si impegnino al massimo per garantire che le loro piattaforme non diventino un terreno fertile per i pedofili”, ha dichiarato il Ministero dell’Interno in un comunicato, aggiungendo che: “non si tratta di scegliere tra privacy e sicurezza dei minori: possiamo e dobbiamo avere entrambe”. Ma la Whittaker ha commentato che è un “pensiero magico” credere che si possa avere la privacy “ma solo per i buoni”, chiosando: “la crittografia o protegge tutti o non funziona per tutti”.

I legislatori californiani stanno tentando di regolamentare l’uso dell’intelligenza artificiale. Ciò, in virtù della sua crescente importanza nella vita di tutti i giorni, dagli adolescenti che usano i chatbot per fare i compiti ai datori di lavoro che filtrano i profili dei candidati. I sostenitori di una maggiore regolazione dell’intelligenza artificiale nel Golden State possono contare su un forte slancio, data l’accresciuta attenzione dell’opinione pubblica nei confronti di ChatGPT e di altre nuove tecnologie, e lo sforzo segue la scia dell’appello del Presidente Joe Biden per un maggiore controllo del settore. “La California di solito si muove più velocemente del governo federale, ma a parte il California Privacy Rights Act, per quanto riguarda l’IA è stata piuttosto lenta”, ha dichiarato Vinhcent Le, avvocato del Greenlining Institute che si occupa di technology equity, aggiungendo però che “sembra che quest’anno ci sia più interesse. Sembra un anno importante per i sistemi decisionali automatizzati e per la loro regolamentazione”. Mentre le agenzie federali emanano linee guida in mezzo alle poche leggi esistenti sull’IA, la California è pronta ad accelerare il passo. Quest’anno sono state depositate almeno tre proposte di legge che mirano a fornire maggiori garanzie sull’intelligenza artificiale e a colmare eventuali lacune normative. Tutte e tre affrontano il tema dell’uso dell’IA nell’amministrazione statale. Le precedenti proposte di legge incaricavano le agenzie di definire linee guida e principi sull’automazione, ma la recente AI Bill of Rights della Casa Bianca contiene già un quadro di riferimento per tali parametri, fornendo una road map per il dibattito.

Aperta un’istruttoria su Tik Tok in Canada. Il Privacy Commissioner federale ha annunciato di aver avviato un’indagine, di concerto con le autorità garanti per la protezione dei dati degli Stati dell’Alberta, del Quebec e della British Columbia, allo scopo di esaminare come la piattaforma di video-streaming raccoglie i dati personali degli utenti canadesi. Nel comunicato, le autorità dichiarano di voler verificare se le pratiche dell’organizzazione sono conformi alla legislazione canadese in materia di privacy e, in particolare, se viene ottenuto un consenso valido e significativo per la raccolta, l’uso e la divulgazione di informazioni personali. L’indagine determinerà anche se l’azienda sta rispettando i suoi obblighi di trasparenza, in particolare quando raccoglie informazioni personali dai suoi utenti. “Una parte importante degli utenti di TikTok è costituita da giovani”, hanno dichiarato i commissari, “data l’importanza di proteggere la privacy dei bambini, l’indagine congiunta si concentrerà sui trattamenti di dati relativi agli utenti più giovani, compreso il fatto che l’azienda abbia ottenuto da questi utenti un consenso valido per la raccolta, l’uso e la divulgazione delle loro informazioni personali”. Non è la prima volta che autorità statali del Canada collaborano per svolgere un’indagine congiunta. L’anno scorso è stato pubblicato un rapporto di gruppo sull’uso da parte di Tim Hortons della sua applicazione mobile per la localizzazione degli utenti, in cui è stato rilevato che l’applicazione violava le leggi federali e statali sulla privacy. Nel 2021, un’indagine congiunta ha rilevato che il fornitore di riconoscimento facciale Clearview AI ha violato le leggi federali e provinciali sulla privacy, prelevando immagini da Internet senza autorizzazione e utilizzandole nel suo prodotto commerciale.

English version

Signal will leave the UK if its encryption system is compromised by the Online Safety Bill. Meredith Whittaker, Signal’s president, told the BBC this, specifying that it has no intention of weakening the privacy guaranteed by its systems in any way. The Online Safety Bill, introduced by Boris Johnson, is currently before Parliament. The British government has stated that it does not intend to introduce ‘a ban on end-to-end encryption’. According to critics, however, under the new law companies could be forced to scan messages on encrypted apps for child pornography or terrorist content. This has worried private and secure communications companies, which fear losing customers. Earlier, even WhatsApp had told the BBC that it would refuse to reduce security for any government. However, the government and leading child protection groups have long argued that encryption hinders efforts to combat online child abuse, which they say is a growing problem. “It is important that technology companies make every effort to ensure that their platforms do not become a breeding ground for paedophiles,” the Home Office said in a statement, adding that: “this is not a choice between privacy and child safety: we can and must have both”. But Whittaker commented that it is ‘magical thinking’ to believe that we can have privacy ‘but only for the good guys’, saying: ‘encryption either protects everyone or it doesn’t work for everyone’.

Californian lawmakers are attempting to regulate the use of artificial intelligence. This, due to its growing importance in everyday life, from teenagers using chatbots to help them with their homework to employers filtering the profiles of job seekers. Advocates for greater regulation of artificial intelligence in the Golden State can count on strong momentum given the increased public attention to ChatGPTs and other new technologies, and the effort follows on the heels of President Joe Biden’s call for greater oversight of the industry. “California usually moves faster than the federal government, but other than the California Privacy Rights Act, as far as AI is concerned it has been pretty slow,” said Vinhcent Le, an attorney at the Greenlining Institute who focuses on technology equity, adding, however, that “there seems to be more interest this year. It looks like an important year for automated decision-making systems and their regulation’. While federal agencies issue guidelines amidst the few existing AI laws, California is poised to pick up the pace. At least three bills have been filed this year that aim to provide more assurances on artificial intelligence and close any regulatory loopholes. All three address the use of AI in government administration. Previous bills mandated agencies to set guidelines and principles on automation, but the recent White House AI Bill of Rights already contains a framework for such parameters, providing a road map for debate.

Investigation opened on Tik Tok in Canada. The federal Privacy Commissioner announced that he has opened an investigation, in consultation with the data protection authorities of the states of Alberta, Quebec and British Columbia, to examine how the video-streaming platform collects personal data of Canadian users. In the statement, the authorities say they will investigate whether the organisation’s practices comply with Canadian privacy legislation and, in particular, whether valid and meaningful consent is obtained for the collection, use and disclosure of personal information. The investigation will also determine whether the company is complying with its transparency obligations, particularly when collecting personal information from its users. “A significant portion of TikTok’s users are young people,” the commissioners said, “given the importance of protecting children’s privacy, the joint investigation will focus on the data processing of younger users, including whether the company has obtained valid consent from these users for the collection, use and disclosure of their personal information.” This is not the first time that state authorities in Canada have collaborated to conduct a joint investigation. Last year, a group report was published on Tim Hortons’ use of its mobile application to locate users, which found that the application violated federal and state privacy laws. In 2021, a joint investigation found that facial recognition provider Clearview AI violated federal and provincial privacy laws by taking images from the Internet without authorisation and using them in its commercial product.

PRIVACY DAILY 38/2023

I ragazzi sono preoccupati dall’impatto dei social media sulla loro privacy e sulla loro salute mentale. Amnesty International ha condotto un sondaggio a livello globale, raccogliendo le risposte di bambini e giovani di età compresa tra i 13 e i 24 anni, provenienti da 45 Paesi diversi, per approfondire i loro atteggiamenti nei confronti dei social media. Al di là delle valutazioni positive per la possibilità di scambiare idee, manifestare la propria creatività o impegnarsi attivamente nel sociale, sono emerse due grandi preoccupazioni: l’impatto che i contenuti dannosi e il design “addictive” delle piattaforme (il 74% degli intervistati dichiara di controllare i propri account sui social media più di quanto vorrebbe) hanno sulla salute mentale dei giovani e la loro sensazione di impotenza di fronte al costante invito delle aziende globali alla condivisione di dati personali e consumo di contenuti. Tre quarti degli intervistati hanno trovato i termini di servizio dei social media difficili da capire, criticando il linguaggio spesso “tecnico” e l’approccio “prendere o lasciare” che i social media applicano, costringendoli a scegliere tra la minaccia percepita di esclusione sociale o l’iscrizione al prezzo della loro privacy. Alla domanda sulla loro visione di un social media ideale, gli intervistati hanno condiviso idee chiare su come i social media debbano cambiare per rispettare i loro diritti, da una maggiore protezione della privacy a modifiche alle raccomandazioni algoritmiche.

Tre recenti violazioni avvenute negli Stati Uniti dimostrano che i rischi per la sicurezza dei dati possono provenire da più fonti per gli operatori sanitari. Dipendenti, strumenti forniti da terze parti e criminali informatici sono tutti fattori di rischio. Nel primo data breach un dipendente del DCH Health System di Tuscaloosa (Alabama) aveva visualizzato le cartelle cliniche elettroniche di un paziente senza un apparente motivo lavorativo. Il DCH Health System ha quindi notificato a oltre 2.500 persone che lo stesso dipendente, immediatamente sospeso, avrebbe potuto accedere e visualizzare informazioni quali nome, indirizzo, data di nascita, numeri di previdenza sociale, data dell’incontro, diagnosi, segni vitali, farmaci, risultati di test e note cliniche/di assistenza. La seconda violazione ha riguardato la UCLA Health (California), che ha notificato a circa 94.000 persone che gli strumenti di analisi utilizzati sul sito web e sull’applicazione mobile potrebbero aver “catturato e trasmesso” informazioni dal modulo di richiesta di appuntamento compilato online ai fornitori di servizi terzi. Infine, l’UCHealth di Aurora (Colorado) ha segnalato una violazione dei dati che ha interessato quasi 49.000 persone, dovuta a un attacco informatico subito da un suo fornitore di servizi che potrebbe aver coinvolto alcuni dati di pazienti, fornitori e dipendenti.

In Canada, quando si effettua un acquisto, è possibile farsi inviare lo scontrino via email. Ma è una pratica sicura? Un’inchiesta svolta dalla CBC News ha rivelato che diversi noti rivenditori hanno condiviso le informazioni dei loro clienti con Meta. Ciò si aggiunge al recente rapporto presentato dal Federal Privacy Commissioner Philippe Dufresne sulla società Home Depot, in cui è stato rilevato che l’azienda trasmetteva sistematicamente i dettagli degli scontrini elettronici a Meta senza chiedere il consenso dei propri clienti. Il rapporto dell’Autorità garante era nato dal reclamo presentato da un uomo che, mentre cancellava il suo account Facebook, aveva scoperto che la piattafroma aveva un elenco di acquisti effettuati da lui in negozio presso Home Depot. L’indagine si è poi estesa a macchia d’olio. Un gruppo di giornalisti della CBC ha scaricato i propri dati personali da Facebook – informazioni catalogate come “attività off-Facebok” – e ha trovato elencati gli acquisti al dettaglio effettuati presso diverse catene. Ciò va, ovviamente, contro la legge canadese, la quale richiede che le aziende “devono generalmente ottenere il consenso di un individuo quando raccolgono, utilizzano o divulgano le sue informazioni personali”. Ma i rischi per i trasgressori non sono poi così tanti, dal momento che il Federal Privacy Commissioner non ha l’autorità di imporre sanzioni pecuniarie, ma solo di formulare raccomandazioni. Cionondimeno, il rapporto di Dufresne ha sollevato la preoccupazione che in alcuni negozi i dettagli degli acquisti possano rivelarsi “altamente sensibili… quando rivelano, ad esempio, informazioni sulla salute o sulla sessualità di un individuo”. Così la catena di grandi magazzini Hudson’s Bay ha dichiarato di aver “sospeso tutti i trasferimenti di dati a Meta”, alla luce delle conclusioni dell’Autorità garante su Home Depot.

English version

Kids are concerned about the impact of social media on their privacy and mental health. Amnesty International conducted a global survey, collecting responses from 550 children and young people between the ages of 13 and 24, from 45 different countries, to explore their attitudes towards social media. Beyond the praise for the opportunity to exchange ideas, manifest their creativity or actively engage in social engagement, two major concerns emerged: the impact that harmful content and the ‘addictive’ design of platforms (74% of respondents said they check their social media accounts more than they would like to) have on young people’s mental health, and their feeling of powerlessness in the face of global companies’ constant invitation to share personal data and consume content. Three quarters of respondents found social media terms of service difficult to understand, criticising the often ‘technical’ language and the ‘take it or leave it’ approach that social media enforces, forcing them to choose between the perceived threat of social exclusion or signing up at the price of their privacy. When asked about their vision of an ideal social media, respondents shared clear ideas on how social media should change to respect their rights, from increased privacy protection to changes in algorithmic recommendations.

Three recent breaches in the United States show that data security risks can come from multiple sources for healthcare providers. Employees, third-party tools and cybercriminals are all risk factors. In the first data breach, an employee of the DCH Health System in Tuscaloosa, Alabama, had viewed the electronic medical records of a patient for no apparent business reason. The DCH Health System then notified more than 2,500 people that the same employee, who was immediately suspended, could access and view information such as name, address, date of birth, social security numbers, date of encounter, diagnosis, vital signs, medications, test results, and clinical/care notes. The second breach involved UCLA Health (California), which notified approximately 94,000 people that analytics tools used on the website and mobile app may have ‘captured and transmitted’ information from the completed online appointment request form to third-party service providers. Finally, UCHealth in Aurora (Colorado) reported a data breach affecting nearly 49,000 people due to a cyber attack suffered by one of its service providers that may have involved some patient, provider and employee data.

In Canada, when making a purchase, it is possible to have the receipt sent by email instead of paper. But is this a safe practice? An investigation by CBC News revealed that a number of well-known retailers shared their customers’ information with Meta. This is in addition to the recent report by Federal Privacy Commissioner Philippe Dufresne on the company Home Depot, in which it was found that the company systematically transmitted electronic receipt details to Meta without asking for their customers’ consent. The Supervisory Authority’s report had stemmed from a complaint lodged by a man who, while deleting his Facebook account, had discovered that Meta had a list of purchases he had made in shop at Home Depot. The investigation then spread like wildfire. A group of CBC journalists downloaded his personal data from Facebook – information categorised as ‘off-Facebok activity’ – and found listed retail purchases made at several chains. This is, of course, against Canadian law, which requires that companies ‘must generally obtain an individual’s consent when collecting, using or disclosing his or her personal information’. But the risks for violators are not so great, since the Federal Privacy Commissioner has no authority to impose fines, only to make recommendations. Nonetheless, Dufresne’s report raised concerns that in some shops, shopping details may prove to be ‘highly sensitive… when they reveal, for example, information about an individual’s health or sexuality’. Thus, department store chain Hudson’s Bay stated that it had ‘suspended all data transfers to Meta’ in light of the Supervisory Authority’s findings on Home Depot.