PRIVACYDAILY

N. 138/2023

LE TRE NEWS DI OGGI:

USA, GIUDICE DEL FALLIMENTO DI FTX RESPINGE LA SFIDA DEI MEDIA E DICHIARA CHE I NOMI DEI CLIENTI POSSONO RIMANERE SEGRETI
CANADA, CRESCONO LE PREOCCUPAZIONI PER L’APP TEMU
USA, LA FALLA NELLA SICUREZZA DI SHELL RECHARGE HA MESSO A RISCHIO I DATI DEI CONDUCENTI DI VEICOLI ELETTRICI

Un giudice fallimentare del Delaware ha stabilito venerdì scorso che i nomi dei singoli clienti della borsa di criptovalute FTX Trading, ormai fallita, possono essere protetti in modo permanente dalla divulgazione pubblica. Al termine di un’udienza durata due giorni, il giudice John Dorsey ha respinto le argomentazioni degli avvocati di diversi media e del curatore fallimentare degli Stati Uniti, che funge da cane da guardia del governo nei casi di riorganizzazione del capitolo 11, che contestavano la richiesta di FTX di mantenere segreti i nomi dei clienti e dei creditori. Dorsey ha stabilito che le identità dei clienti costituiscono un segreto commerciale. Ha inoltre affermato che i clienti di FTX devono essere protetti dai malintenzionati che potrebbero prenderli di mira setacciando Internet e il “dark web” alla ricerca delle loro informazioni personali. “Sono i clienti la questione più importante”, ha dichiarato. “Voglio assicurarmi che siano protetti e che non siano vittime di alcun tipo di truffa”. Katie Townsend, avvocato dei media, ha sostenuto che la stampa e il pubblico hanno un “interesse legittimo e impellente” a conoscere i nomi di coloro che sono stati colpiti dal crollo di FTX. “Quel crollo ha provocato onde d’urto non solo nel settore delle criptovalute, ma nell’intero settore finanziario”, ha dichiarato Townsend. “E a questo punto non sappiamo nemmeno dove le onde d’urto, sia a livello individuale che istituzionale, abbiano colpito più duramente, e quali istituzioni possano avere la maggiore, o nessuna, esposizione come risultato”. Ma gli avvocati di FTX e del suo comitato ufficiale di creditori non garantiti sostengono che l’elenco dei clienti è sia un bene prezioso che un’informazione commerciale riservata. Sostengono che la segretezza è necessaria per proteggere i clienti di FTX da furti e potenziali truffe e per garantire che i potenziali concorrenti non “rubino” i clienti di FTX. FTX ritiene che il suo elenco di clienti potrebbe rivelarsi prezioso nell’ambito di una vendita di beni o di una riorganizzazione. “I debitori sono in grado di ricavare valore da questi elenchi di clienti”, ha dichiarato l’avvocato di FTX Brian Glueckstein. FTX è stata dichiarata in bancarotta a novembre, quando la borsa globale ha finito i soldi dopo l’equivalente di una corsa agli sportelli. Il fondatore Sam Bankman-Fried si è dichiarato non colpevole delle accuse di aver imbrogliato gli investitori e di aver saccheggiato i depositi dei clienti per fare acquisti immobiliari lussuosi, contributi alla campagna elettorale dei politici e operazioni rischiose presso Alameda Research, la sua società di trading di hedge fund di criptovalute. Tre ex dirigenti di FTX si sono dichiarati colpevoli di frode e stanno collaborando con gli investigatori.

Un’applicazione per lo shopping, che non esisteva quattro mesi fa, potrebbe cambiare dell’e-commerce, ma secondo gli esperti sta sollevando anche preoccupazioni sui rischi per la privacy dei dati dei canadesi. Negli ultimi due mesi Temu ha suscitato reazioni contrastanti da parte dei clienti in Canada e negli Stati Uniti. Il servizio di shopping è diventato di recente una delle applicazioni gratuite più scaricate del Nord America sia sull’App Store che su Google Play, grazie anche alla sua reputazione di offrire forti sconti su un vasto assortimento di prodotti, insieme all’opportunità di incentivare il credito attraverso incoraggianti offerte di iscrizione. Tuttavia, un esperto di sicurezza informatica avverte che Temu, come tutte le app di e-commerce che non rientrano nelle leggi canadesi sulla protezione dei dati, potrebbe rappresentare un rischio che un maggior numero di acquirenti dovrebbe valutare. “Nell’ultimo anno o giù di lì sono aumentate le preoccupazioni per lo spionaggio da parte di Stati stranieri”, ha dichiarato al telefono a CTVNews.ca Fred Nerenberg, consulente senior di sicurezza informatica presso una società canadese di sicurezza. “Ma quando si tratta dei dati delle persone, si perdono le proprie informazioni personali, le proprie abitudini di navigazione e i propri interessi a favore di un’azienda che può avere o meno legami con governi stranieri e i cui dati sarebbero soggetti alla proprietà di tali Stati”, ha spiegato. “Credo che quello che decidono di fare con questi dati sia un po’ in sospeso. È sotto un’altra giurisdizione”. Nerenberg ha detto che “un bel po’ di informazioni sulla vostra clientela” possono essere dedotte basandosi solo sulle abitudini di navigazione. Applicazioni come Temu, ha detto, possono raccogliere metadati che rivelano per quanto tempo i clienti hanno guardato determinati prodotti e quante volte hanno rivisitato determinate pagine. Questo può essere utilizzato per costruire profili di dati che consentono alle aziende di indirizzare con precisione le persone con annunci che presentano prodotti che saranno più inclini ad acquistare. Secondo Nerenberg, la minaccia potrebbe riguardare tutti i servizi di e-commerce con distribuzione internazionale. Secondo Forbes, una volta Target ha scoperto che una sua cliente adolescente era incinta prima del padre, sulla base dei suoi dati di navigazione online. “Queste aziende potrebbero teoricamente creare gli stessi profili. Quindi non è diverso da quello che fanno le aziende qui, ma come vengono usate queste informazioni dagli Stati esteri?”. Temu è un’emanazione di Pinduoduo, un gigante cinese dell’e-commerce. Come riportato dalla CNN, si è scoperto che Pinduoduo è in grado di aggirare il software di sicurezza mobile degli utenti per monitorare le attività su altre app, compreso il controllo delle notifiche e la lettura dei messaggi privati. Secondo un’indagine della CNN che ha coinvolto ricercatori di cybersicurezza in Asia, Europa e Stati Uniti, il malware dell’app Pinduoduo ha sfruttato le vulnerabilità di sicurezza dei sistemi operativi Android per ottenere l’accesso a dati normalmente non accessibili dalle app.

Il gigante petrolifero Shell ha dichiarato che sta indagando dopo che un ricercatore di sicurezza ha trovato un database interno esposto che diffondeva le informazioni personali degli automobilisti che utilizzano le stazioni di ricarica dei veicoli elettrici della società. Il ricercatore di sicurezza Anurag Sen ha trovato online un database che conteneva quasi un terabyte di dati di registrazione relativi a Shell Recharge, la rete mondiale di centinaia di migliaia di stazioni di ricarica per veicoli elettrici dell’azienda, acquisita in parte da Greenlots nel 2019. Greenlots forniva servizi e tecnologie di ricarica per veicoli elettrici (EV) a clienti che gestiscono flotte di veicoli. Il database interno, ospitato sul cloud di Amazon, conteneva milioni di registri, ha dichiarato Sen, compresi i dettagli sui clienti che utilizzavano la rete di ricarica EV. Il database non aveva password, consentendo a chiunque su Internet di accedere ai dati dal proprio browser web. I dati, visti da TechCrunch, contenevano nomi, indirizzi e-mail e numeri di telefono dei clienti delle flotte che utilizzano la rete di ricarica EV. Il database includeva i nomi degli operatori di flotte, che identificavano le organizzazioni – come i dipartimenti di polizia – con veicoli che si ricaricano sulla rete. Alcuni dei dati includevano i numeri di identificazione dei veicoli, o VIN. Sen ha detto che il database conteneva anche l’ubicazione delle stazioni di ricarica EV di Shell, compresi i punti di ricarica residenziali privati. Uno dei dati esposti, visto da TechCrunch, conteneva un indirizzo residenziale appartenente all’amministratore delegato di Greenlots, Andreas Lips. Non è chiaro cosa abbia portato a rendere pubblico il database, né per quanto tempo i dati siano stati resi pubblici, anche se alcune informazioni risalgono al 2023. Sen ha dichiarato di aver contattato Shell dopo aver scoperto il database esposto. TechCrunch ha allertato Shell dopo che Sen ha detto di non aver ricevuto risposta dall’azienda. Poco dopo aver contattato TechCrunch, il database è diventato inaccessibile. Anna Arata, portavoce della Shell, ha dichiarato a TechCrunch: “Shell ha preso provvedimenti per contenere e identificare l’esposizione dei dati di Shell Recharge Solutions. Stiamo indagando sull’incidente, continuiamo a monitorare i nostri sistemi informatici e adotteremo di conseguenza tutte le azioni future necessarie”. In precedenza, Sen ha trovato dati esposti appartenenti ad Amazon, Hotai Motor, PeopleGrove e JusTalk. All’inizio di quest’anno, Sen ha scoperto un database contenente email militari sensibili appartenenti al Comando delle operazioni speciali degli Stati Uniti.

English version

U.S., JUDGE IN FTX BANKRUPTCY REJECTS MEDIA CHALLENGE AND DECLARES THAT CUSTOMER NAMES CAN REMAIN SECRET
CANADA, CONCERNS GROW ABOUT TEMU APP
U.S., SHELL RECHARGE SECURITY FLAKE HAS ENDANGERED ELECTRIC VEHICLE DRIVERS’ DATA

A Delaware bankruptcy judge ruled last Friday that the names of individual customers of the now-bankrupt FTX Trading cryptocurrency exchange can be permanently protected from public disclosure. At the end of a two-day hearing, Judge John Dorsey rejected arguments by attorneys for several media outlets and the U.S. bankruptcy trustee, who serves as the government’s watchdog in Chapter 11 reorganization cases, challenging FTX’s request to keep the names of customers and creditors secret. Dorsey ruled that customer identities constituted a trade secret. He also said that FTX’s customers must be protected from malicious attackers who might target them by scouring the Internet and the “dark web” for their personal information. “The customers are the most important issue,” he said. “I want to make sure they are protected and that they are not victims of any kind of scam.” Katie Townsend, media advocate, argued that the press and public have a “legitimate and compelling interest” in knowing the names of those affected by the FTX collapse. “That collapse caused shockwaves not only in the cryptocurrency sector, but in the entire financial sector,” Townsend said. “And at this point we don’t even know where the shockwaves, both individually and institutionally, hit the hardest, and which institutions may have the most, or no, exposure as a result.” But lawyers for FTX and its official committee of unsecured creditors argue that the client list is both a valuable asset and confidential business information. They argue that secrecy is necessary to protect FTX’s customers from theft and potential fraud and to ensure that potential competitors do not “steal” FTX’s customers. FTX believes that its customer list could prove valuable as part of an asset sale or reorganization. “Debtors are able to extract value from these customer lists,” said FTX attorney Brian Glueckstein. FTX was declared bankrupt in November when the global stock market ran out of money after the equivalent of a bank run. Founder Sam Bankman-Fried pleaded not guilty to charges of cheating investors and looting customer deposits to make lavish real estate purchases, campaign contributions to politicians and risky trades at Alameda Research, his cryptocurrency hedge fund trading firm. Three former FTX executives have pleaded guilty to fraud and are cooperating with investigators.

A shopping app that didn’t exist four months ago might be changing the game of e-commerce, however, experts say it’s also raising concerns about data privacy risks for Canadians. Garnering conflicting reactions from customers throughout Canada and the U.S., Temu has been making waves on social media platforms over the last two months. The one-stop-shopping service recently became one of North America’s most downloaded free apps on both the App Store and Google Play, thanks in part to its reputation of offering steep discounts on a vast assortment of products, along with opportunities for credit incentives through encouraging sign-up offers.However, one cybersecurity expert warns that Temu, like any e-commerce app that doesn’t fall under Canadian data protection laws, could present a risk that more shoppers should evaluate. “Within the last year or so there has been increasing concern about spying from foreign states,” Fred Nerenberg, a senior cybersecurity consultant at a Canadian security firm, told CTVNews.ca over the phone. “But when it comes to people’s data, you are forfeiting your personal information and your browsing habits and your interests to a company that may or may not have ties to foreign governments where that data would be subject to ownership by those foreign states,” he explained.collection these e-commerce services cast. “I think what they choose to do with it is sort of up in the air. It’s under a different jurisdiction.” Nerenberg said “quite a bit of information about your clientele” can be inferred based solely on browsing habits. Apps like Temu, he said, can collect metadata that reveals how long customers have looked at certain products and how many times they revisited certain pages. This can be used to build data profiles that allow companies to precisely target people with ads that feature products they will be more inclined to purchase. Nerenberg says the threat could apply to all e-commerce services with international distribution. According to Forbes, Target once figured out one of its teenaged customers was pregnant before her father did, based on her online browsing data. “These companies could theoretically build those same profiles. So it’s no different than the companies here, but how is that information being used by foreign states?” Temu is an off-shoot of Pinduoduo, a Chinese e-commerce giant. As reported by CNN, Pinduoduo was found to be capable of bypassing users’ mobile security software to monitor activities on other apps—including checking notifications and reading private messages. According to a CNN investigation involving cybersecurity researchers in Asia, Europe and the U.S., malware on the Pinduoduo app exploited security vulnerabilities in Android operating systems in order to gain access to data not normally accessible by apps.

Oil giant Shell said it is investigating after a security researcher found an exposed internal database spilling the personal information of drivers who use the company’s electric vehicle charging stations. Security researcher Anurag Sen found a database online that contained close to a terabyte of logging data relating to Shell Recharge, the company’s worldwide network of hundreds of thousands of electric vehicle charging stations, which it acquired in part from Greenlots in 2019. Greenlots provided electric vehicle (EV) charging services and technology for customers operating vehicle fleets. The internal database, hosted on Amazon’s cloud, contained millions of logs, said Sen, including details about customers who used the EV charging network. The database had no password, allowing anyone on the internet to access its data from their web browser. The data, seen by TechCrunch, contained names, email addresses, and phone numbers of fleet customers who use the EV charging network. The database included the names of fleet operators, which identified organizations — such as police departments — with vehicles that recharge on the network. Some of the data included vehicle identification numbers, or VINs. Sen said the database also contained the locations of Shell’s EV charging stations, including private residential charging points. One of the exposed records seen by TechCrunch contained a residential address belonging to Greenlots CEO Andreas Lips. It’s not clear what resulted in the database becoming publicly exposed, or how long the data was public — though some of the information is as recent as 2023. Sen said he contacted Shell after discovering the exposed database. TechCrunch alerted Shell after Sen said he did not hear back from the company. A short time after TechCrunch contacted Shell, the database became inaccessible. Shell spokesperson Anna Arata told TechCrunch in a statement: “Shell has taken steps to contain and identify an exposure of Shell Recharge Solutions data. We are investigating the incident, continue to monitor our IT systems, and will take any necessary future actions accordingly.” Sen has previously found exposed data belonging to Amazon, Hotai Motor, PeopleGrove and JusTalk. Earlier this year, Sen discovered a database containing sensitive U.S. military emails belonging to U.S. Special Operations Command.

PRIVACY DAILY 91/2023

Il Parlamento Europeo potrebbe adottare una risoluzione non vincolante per esortare la Commissione Europea a non approvare il Data Privacy Framework per i flussi di dati transatlantici. Lo ha rivelato Euractiv, secondo cui la risoluzione dovrebbe ricevere un ampio sostegno nella Commissione Libertà civili. L’atto dovrebbe, poi, essere confermato durante il voto in plenaria e non si escludono emendamenti dell’ultimo minuto. Il voto in plenaria è previsto per la settimana che inizia l’8 maggio. Nella settimana successiva, una delegazione di eurodeputati della stessa Commissione si recherà negli Stati Uniti per incontrare alcuni membri dell’amministrazione federale, le agenzie governative e gli organismi preposti all’applicazione del nuovo quadro normativo sulla privacy. Gli eurodeputati si spingono oltre la posizione assunta dall’EDPB, chiedendo alla Commissione di non adottare la decisione di adeguatezza fino a quando non sarà del tutto fugata una serie di dubbi sul rispetto dei diritti fondamentali. La risoluzione rileva inoltre che, in base all’ordine esecutivo, la comunità di intelligence degli Stati Uniti ha tempo fino a ottobre per aggiornare le proprie politiche, il che significa che la Commissione non avrà il tempo di valutarne il funzionamento pratico. Inoltre, i legislatori dell’UE sono pronti a chiedere alla Commissione di assumersi la responsabilità qualora la decisione sull’adeguatezza venisse nuovamente annullata in tribunale, sottolineando che gli interessi politici o commerciali non dovrebbero dettare le decisioni sull’adeguatezza. Altre preoccupazioni riguardavano la tenuta futura del Data Privacy Framework, i suoi principi di base e il suo meccanismo di ricorso. Sebbene la risoluzione non sia vincolante, il Parlamento europeo potrebbe impugnare la decisione se ritiene che la Commissione abbia oltrepassato i suoi poteri.

La tecnologia di lettura automatica delle targhe (ALPR) è stata adottata dalla Polizia dell’Ontario sudoccidentale il mese scorso. Nella contea di Essex, circa 50 veicoli di prima linea della polizia sono ora dotati di telecamere montate sulla parte superiore del mezzo. Le targhe scadute e le patenti di guida scadute sono le infrazioni più comuni che vengono scoperte e comportano rispettivamente sanzioni da 110 dollari e 325 dollari per gli automobilisti. Tuttavia, le telecamere aiutano la polizia a risolvere anche problemi più seri, come la ricerca di veicoli rubati, di sospetti ricercati e di bambini scomparsi quando viene emesso un allarme Amber. “Si tratta solo di un altro paio di occhi per noi, in modo da poter tenere gli occhi sulla strada”, ha detto un rappresentante delle forze dell’ordine. Quando passa un veicolo che potrebbe essere collegato a una violazione del codice della strada o a un reato, il computer portatile dell’agente emette un segnale acustico. Le telecamere riprendono il veicolo e la targa, ma non fotografano il conducente per motivi di privacy. Tuttavia, ci sono diversi problemi di protezione dati. Nel 2017 il Commissario per l’informazione e la privacy dell’Ontario ha pubblicato un rapporto che illustra come la polizia dovrebbe utilizzare questa tecnologia. Secondo il rapporto, gli agenti non dovrebbero utilizzare i dati per tracciare la posizione e gli spostamenti dei cittadini rispettosi della legge. La polizia di LaSalle afferma che qualsiasi targa catturata con la sua telecamera per la quale non viene riscontrata una violazione viene eliminata dal sistema entro 24 ore. In caso contrario, viene conservata per cinque anni a fini giudiziari e probatori. Il governo dell’Ontario ha dichiarato di voler spendere 40 milioni di dollari per diffondere la tecnologia ALPR.

In Germania le case farmaceutiche si lamentano della rigidità delle norme in materia di privacy e di brevetti. E qualche politico cavalca l’onda, invocando una “cultura dell’accoglienza” per le Big Pharma e paventando eventuali rischi per la difesa. In particolare, è il Partito liberaldemocratico (FDP), parte anche della Coalizione semaforo che controlla il governo federale, ad unirsi alle critiche sollevate dal capo di Bayer Pharma, Stefan Oelrich. In un’intervista al Tagesspiel di qualche giorno fa, Oelerich ha dichiarato che la Germania sta imboccando una strada pericolosa in termini di politica di ricerca: “In questo Paese è più difficile che in altri Paesi tecnologici ottenere dati sui pazienti per la ricerca”. Anche l’FDP esprime preoccupazione per la rigidità delle norme in materia protezione dei dati, le lungaggini dei percorsi dei brevetti dalle università all’industria, oltre a controverse regole sugli sconti. Il principale timore del Partito riguarda soprattutto il fatto che la Germania stia perdendo la sua reputazione di luogo di ricerca. Il segretario generale dell’FDP di Berlino e membro del Bundestag Lars Lindemann ha commentato: “Come sede di un’industria farmaceutica e biotecnologica basata sulla ricerca, la Germania è in competizione internazionale. Siamo quindi in competizione per le migliori aziende. E queste creano posti di lavoro, know-how e stabilità economica, a beneficio del nostro Paese. Per mantenere questa situazione, la Germania deve migliorare la sua cultura di accoglienza per le aziende farmaceutiche e biotecnologiche”. Soprattutto quando il margine di manovra finanziario si restringe, il settore pubblico deve concentrarsi sulla sburocratizzazione, ha affermato Lindemann.

English version

The European Parliament could adopt a non-binding resolution urging the European Commission not to approve the Data Privacy Framework for transatlantic data flows. This was revealed by Euractiv, according to which the resolution should receive broad support in the Civil Liberties Committee. The act should then be confirmed during the plenary vote and last-minute amendments are not excluded. The plenary vote is scheduled for the week beginning 8 May. In the following week, a delegation of MEPs from the same Commission will travel to the US to meet with members of the federal administration, government agencies and enforcement bodies of the new privacy framework. The MEPs go further than the position taken by the EDPB, asking the Commission not to adopt the adequacy decision until a number of doubts on the respect of fundamental rights have been fully resolved. The resolution also notes that, according to the executive order, the US intelligence community has until October to update its policies, which means the Commission will not have time to assess how they work in practice. Moreover, EU lawmakers are ready to ask the Commission to take responsibility if the adequacy decision is overturned again in court, stressing that political or commercial interests should not dictate adequacy decisions. Other concerns related to the future resilience of the Data Privacy Framework, its underlying principles and its appeal mechanism. Although the resolution is non-binding, the European Parliament could challenge the decision if it considers that the Commission has exceeded its powers.

Automatic Number Plate Reading (ALPR) technology was adopted by the Southwestern Ontario Police last month. In Essex County, about 50 frontline police vehicles are now equipped with cameras mounted on top of the vehicle. Expired number plates and expired driver’s licences are the most common offences that are discovered and result in penalties of $110 and $325 for motorists, respectively. However, the cameras also help police solve more serious problems, such as searching for stolen vehicles, wanted suspects and missing children when an Amber alert is issued. “It’s just another set of eyes for us, so we can keep our eyes on the road,” said a law enforcement representative. When a vehicle passes that could be linked to a traffic violation or crime, the officer’s laptop computer beeps. The cameras capture the vehicle and the number plate, but do not photograph the driver for privacy reasons. However, there are several data protection issues. In 2017, the Ontario Information and Privacy Commissioner released a report outlining how police should use this technology. According to the report, officers should not use the data to track the location and movements of law-abiding citizens. The LaSalle police say that any licence plate captured with its camera for which a violation is not found is deleted from the system within 24 hours. Otherwise, it is retained for five years for judicial and evidentiary purposes. The Ontario government has declared its intention to spend $40 million to disseminate ALPR technology.

In Germany, pharmaceutical companies are complaining about the rigidity of privacy and patent laws. And some politicians are riding the wave, calling for a ‘culture of acceptance’ for Big Pharma and fearing possible risks for the defence. In particular, it is the Liberal Democratic Party (FDP), which is also part of the Traffic Light Coalition that controls the federal government, that joins the criticism raised by the head of Bayer Pharma, Stefan Oelrich. In an interview with the Tagesspiel a few days ago, Oelerich stated that Germany is going down a dangerous path in terms of research policy: ‘In this country it is more difficult than in other technological countries to obtain patient data for research’. The FDP is also concerned about rigid data protection regulations, lengthy patent routes from universities to industry, and controversial rebate rules. The party’s main fear is that Germany is losing its reputation as a research location. FDP Berlin secretary general and Bundestag member Lars Lindemann commented: ‘As the home of a research-based pharmaceutical and biotechnology industry, Germany is in international competition. We are therefore competing for the best companies. And these create jobs, know-how and economic stability, to the benefit of our country. To maintain this situation, Germany must improve its culture of welcoming pharmaceutical and biotechnology companies. Especially when the financial room for manoeuvre narrows, the public sector must focus on unbureaucratisation, Lindemann said.

PRIVACY DAILY 63/2023

Dopo la burrasca di questi giorni, TikTok tenta di recuperare la fiducia degli Occidentali: arriva il “Progetto Trifoglio”. Questo progetto prevede che una società di sicurezza separata “controlli i flussi di dati” e che TikTok renda più difficile l’identificazione dei singoli utenti nei dati. Così si vogliono fugare i timori di una possibile condivisione dei dati degli utenti con la Cina. Inoltre, i “gateway di sicurezza” aggiungeranno un ulteriore livello di controllo sull’accesso dei dipendenti alle informazioni degli utenti europei e sui trasferimenti di dati al di fuori dell’Europa. Peraltro, i dirigenti di TikTok che hanno presentato il Progetto Trifoglio hanno ripetutamente affermato che si stanno spingendo più in là di altri grandi social network per proteggere la privacy degli utenti. Nell’ambito dell’attuale sforzo di archiviare localmente i dati degli utenti europei, la società ha anche rivelato i piani per la costruzione di due nuovi data center: a Dublino – oltre a quello già annunciato – e nella regione di Hamar in Norvegia. Ciò allo scopo di convincere i legislatori europei che TikTok è sicuro. Ma la realtà è che il futuro di TikTok rimarrà in bilico fintanto che non si quieteranno le acque negli Stati Uniti. E, al momento, l’ipotesi sembra remota. Esattamente un giorno prima dell’annuncio del Progetto Trifoglio, il Presidente Joe Biden ha dato il suo sostegno a una proposta di legge di un gruppo di senatori – promossa dal democratico Warner e dal repubblicano Thune – volta a vietare la tecnologia di proprietà straniera. Ma la Cina si oppone fermamente a questa azione. “Quanto può essere insicura di sé la massima superpotenza mondiale come gli Stati Uniti per temere in questo modo l’app preferita dai giovani?”. Ha dichiarato la portavoce del ministero degli Esteri cinese Mao Ning. L’impressione è che l’app sia finita al centro di una dinamica di confronto geopolitico tra USA e Cina.

Twitter dell’era Musk non conosce pace. La Federal Trade Commission (FTC) degli Stati Uniti intende approfondire le indagini sulle pratiche di Twitter in materia privacy e dati degli utenti e sta cercando di sentire come testimone Elon Musk in persona. Stando a quanto riportato, l’indagine della FTC vuole capire se Twitter – anche alla luce del gran numero di tagli al personale – continui ad avere adeguate risorse in termini organizzativi, di bugdet e di personale, per proteggere la privacy dei suoi utenti. L’inchiesta della Trade Commission prende forma la scorsa estate sulle scia di alcune affermazioni di un ex dirigente di Twitter in merito a problemi di sicurezza dei dati degli utenti e alle clamorose dimissioni di altri tre alti dirigenti responsabili del settore privacy e sicurezza. La FTC peraltro aveva raggiunto un accordo con Twitter nel 2011, ampliato nel 2022, in base al quale Twitter si è impegnata a condurre regolari controlli di sicurezza e a tenere informata l’Autorità sulla gestione dei dati particolari. Nei confronti però della FTC non sono mancate critiche da parte di una sottocommissione del House Judiciary Committee, a guida repubblicana, che l’ha accusata di condurre una “campagna aggressiva per infastidire Twitter”con oltre 350 richieste di informazioni solo da quando Musk ha rilevato l’azienda in ottobre. La sottocommissione ha anche criticato la FTC per aver chiesto a Twitter l’accesso ai file interni dell’azienda che aveva fornito poi a un gruppo di giornalisti. Un portavoce della FTC ha dichiarato però che la Trade Commissione formuli abitualmente tali richieste di informazioni alle aziende sottoposte ai suoi controlli. Ma quella della FTC però non è l’unica indagine che pende sul social network: anche altre Autorità statunitensi ed europee hanno avviato da tempo inchieste che riguardano ulteriori profili ritenuti meritevoli di approfondimento.

I data breach non risparmiano neanche il latte materno. L’Autorità garante privacy dell’Ontario sta indagando su una violazione dei dati presso la Rogers Hixon Ontario Human Milk Bank, che fornisce latte materno a bambini fragili dal punto di vista medico in tutta la provincia. Questa banca del latte fa parte del Sinai Health (un sistema ospedaliero di Toronto), il quale ha comunicato la violazione il 10 febbraio. Così gli Uffici dell’Autoritò hanno aperto un fascicolo, anche se la violazione sembra essere avvenuta prima di quella data. Il Sinai Health ha infatti dichiarato che il suo fornitore, Timeless Medical Systems, ha informato la banca del latte il 21 dicembre 2022 che stava avendo “problemi di servizio”. A quel punto, la banca del latte ha smesso di caricare i documenti sui suoi server e ha chiesto aggiornamenti regolari sulla situazione. Il 12 gennaio il fornitore ha comunicato al Sinai Health che i problemi di servizio erano legati a un “evento di cybersecurity”. “Subito dopo la notifica dell’evento di cybersecurity, abbiamo lavorato per garantire che i nostri dati fossero restituiti e ripristinati in modo sicuro. I donatori della banca del latte interessati sono stati identificati, contattati e assistiti durante tutto il processo”, ha dichiarato Jennifer Specht, portavoce del Sinai Health, aggiungendo che “Stiamo prendendo la questione molto seriamente e siamo profondamente dispiaciuti dell’impatto che questo evento di cybersecurity ha avuto sui nostri donatori di latte”. Secondo una lettera della banca del latte alle famiglie, infine, una “terza parte non autorizzata” ha avuto accesso ai dati prelevandoli dall’archivio cloud del fornitore, che comprendeva informazioni sulla salute personale dei donatori e di “alcuni richiedenti” nonché nomi, indirizzi, numeri di telefono, indirizzi e-mail, stile di vita familiare e dati anamnestici. Il fornitore ha successivamente comunicato di aver recuperato i dati.

English version

After the storm of recent days, TikTok is attempting to regain the trust of Westerners: ‘Project Clover’ is coming. This project provides for a separate security company to ‘control data flows’ and for TikTok to make it more difficult to identify individual users in the data. Thus, fears of possible sharing of user data with China are to be dispelled. In addition, ‘security gateways’ will add an extra layer of control over employee access to European user information and data transfers outside Europe. Moreover, TikTok executives who presented the Clover Project have repeatedly stated that they are going further than other large social networks to protect user privacy. As part of the ongoing effort to store European users’ data locally, the company also revealed plans to build two new data centres: in Dublin – in addition to the one already announced – and in the Hamar region of Norway. This is in order to convince European regulators that TikTok is safe. But the reality is that TikTok’s future will remain in the balance until the waters in the United States clear. And, at the moment, the hypothesis seems remote. Exactly one day before Project Clover was announced, President Joe Biden gave his support to a bill by a group of senators – sponsored by Democrat Warner and Republican Thune – to ban foreign-owned technology. But China strongly opposes this action. “How self-insecure can the world’s top superpower like the United States be to fear the young people’s favourite app in this way?” Said Chinese Foreign Ministry spokeswoman Mao Ning. The impression is that the app has ended up at the centre of a dynamic geopolitical confrontation between the US and China.

Musk-era Twitter knows no peace. The US Federal Trade Commission (FTC) intends to further investigate Twitter’s privacy and user data practices and is seeking to hear Elon Musk himself as a witness. According to reports, the FTC investigation wants to understand whether Twitter – even in light of the large number of staff cuts – continues to have adequate resources in terms of organisation, bugdet and personnel to protect the privacy of its users. The Trade Commission’s investigation took shape last summer in the wake of allegations by a former Twitter executive about user data security problems and the sensational resignations of three other senior executives responsible for privacy and security. The FTC had, moreover, reached an agreement with Twitter in 2011, extended to 2022, under which Twitter undertook to conduct regular security audits and to keep the Authority informed about its handling of special data. However, the FTC was not without criticism from a subcommittee of the Republican-led House Judiciary Committee, which accused it of conducting an “aggressive campaign to harass Twitter” with over 350 requests for information since Musk took over the company in October alone. The subcommittee also criticised the FTC for asking Twitter for access to the company’s internal files, which it then provided to a group of journalists. An FTC spokesman said, however, that the Trade Commission routinely makes such requests for information from companies under its scrutiny. But that of the FTC is not the only investigation hanging over the social network: other US and European authorities are also raising doubts.

Data breaches do not spare even breast milk. The Ontario Privacy Authority is investigating a data breach at the Rogers Hixon Ontario Human Milk Bank, which provides breast milk to medically fragile babies across the province. This milk bank is part of Sinai Health (a Toronto hospital system), which reported the breach on 10 February. So the authorities opened a file, even though the violation appears to have occurred before that date. In fact, Sinai Health stated that its supplier, Timeless Medical Systems, informed the milk bank on 21 December 2022 that it was having ‘service problems’. At that point, the milk bank stopped uploading documents to its servers and asked for regular updates on the situation. On 12 January, the supplier notified Sinai Health that the service problems were related to a ‘cybersecurity event’. “Immediately after notification of the cybersecurity event, we worked to ensure that our data was returned and restored securely. Affected milk bank donors were identified, contacted and assisted throughout the process,” said Jennifer Specht, spokesperson for Sinai Health, adding that “We are taking this matter very seriously and are deeply sorry for the impact this cybersecurity event has had on our milk donors.” According to a letter from the milk bank to the families, an ‘unauthorised third party’ accessed the data by taking it from the supplier’s cloud archive, which included personal health information of donors and ‘some applicants’ as well as names, addresses, phone numbers, email addresses, family lifestyle and medical history data. The provider later reported that it had recovered the data.

PRIVACY DAILY 53/2023

Signal andrà via dal Regno Unito se il suo sistema di crittografia verrà compromesso dall’Online Safety Bill. Lo ha dichiarato alla BBC Meredith Whittaker, presidente di Signal, specificando che non intende in alcun modo indebolire la privacy garantita dai suoi sistemi. L’Online Safety Bill, presentato da Boris Johnson, è attualmente all’esame del Parlamento. Il governo britannico ha dichiarato che non intende introdurre “un divieto di crittografia end-to-end”. Secondo i critici, però, con la nuova legge le aziende potrebbero essere obbligate a scansionare i messaggi sulle app criptate alla ricerca di materiale pedopornografico o di contenuti terroristici. Questo ha preoccupato le aziende che si occupano di comunicazioni private e sicure, che temono di perdere clienti. In precedenza, anche WhatsApp aveva dichiarato alla BBC che si sarebbe rifiutata di ridurre la sicurezza per qualsiasi governo. Tuttavia, il governo e le principali associazioni per la tutela dell’infanzia sostengono da tempo che la crittografia ostacola gli sforzi per combattere l’abuso di minori online, che secondo loro è un problema crescente. “È importante che le aziende tecnologiche si impegnino al massimo per garantire che le loro piattaforme non diventino un terreno fertile per i pedofili”, ha dichiarato il Ministero dell’Interno in un comunicato, aggiungendo che: “non si tratta di scegliere tra privacy e sicurezza dei minori: possiamo e dobbiamo avere entrambe”. Ma la Whittaker ha commentato che è un “pensiero magico” credere che si possa avere la privacy “ma solo per i buoni”, chiosando: “la crittografia o protegge tutti o non funziona per tutti”.

I legislatori californiani stanno tentando di regolamentare l’uso dell’intelligenza artificiale. Ciò, in virtù della sua crescente importanza nella vita di tutti i giorni, dagli adolescenti che usano i chatbot per fare i compiti ai datori di lavoro che filtrano i profili dei candidati. I sostenitori di una maggiore regolazione dell’intelligenza artificiale nel Golden State possono contare su un forte slancio, data l’accresciuta attenzione dell’opinione pubblica nei confronti di ChatGPT e di altre nuove tecnologie, e lo sforzo segue la scia dell’appello del Presidente Joe Biden per un maggiore controllo del settore. “La California di solito si muove più velocemente del governo federale, ma a parte il California Privacy Rights Act, per quanto riguarda l’IA è stata piuttosto lenta”, ha dichiarato Vinhcent Le, avvocato del Greenlining Institute che si occupa di technology equity, aggiungendo però che “sembra che quest’anno ci sia più interesse. Sembra un anno importante per i sistemi decisionali automatizzati e per la loro regolamentazione”. Mentre le agenzie federali emanano linee guida in mezzo alle poche leggi esistenti sull’IA, la California è pronta ad accelerare il passo. Quest’anno sono state depositate almeno tre proposte di legge che mirano a fornire maggiori garanzie sull’intelligenza artificiale e a colmare eventuali lacune normative. Tutte e tre affrontano il tema dell’uso dell’IA nell’amministrazione statale. Le precedenti proposte di legge incaricavano le agenzie di definire linee guida e principi sull’automazione, ma la recente AI Bill of Rights della Casa Bianca contiene già un quadro di riferimento per tali parametri, fornendo una road map per il dibattito.

Aperta un’istruttoria su Tik Tok in Canada. Il Privacy Commissioner federale ha annunciato di aver avviato un’indagine, di concerto con le autorità garanti per la protezione dei dati degli Stati dell’Alberta, del Quebec e della British Columbia, allo scopo di esaminare come la piattaforma di video-streaming raccoglie i dati personali degli utenti canadesi. Nel comunicato, le autorità dichiarano di voler verificare se le pratiche dell’organizzazione sono conformi alla legislazione canadese in materia di privacy e, in particolare, se viene ottenuto un consenso valido e significativo per la raccolta, l’uso e la divulgazione di informazioni personali. L’indagine determinerà anche se l’azienda sta rispettando i suoi obblighi di trasparenza, in particolare quando raccoglie informazioni personali dai suoi utenti. “Una parte importante degli utenti di TikTok è costituita da giovani”, hanno dichiarato i commissari, “data l’importanza di proteggere la privacy dei bambini, l’indagine congiunta si concentrerà sui trattamenti di dati relativi agli utenti più giovani, compreso il fatto che l’azienda abbia ottenuto da questi utenti un consenso valido per la raccolta, l’uso e la divulgazione delle loro informazioni personali”. Non è la prima volta che autorità statali del Canada collaborano per svolgere un’indagine congiunta. L’anno scorso è stato pubblicato un rapporto di gruppo sull’uso da parte di Tim Hortons della sua applicazione mobile per la localizzazione degli utenti, in cui è stato rilevato che l’applicazione violava le leggi federali e statali sulla privacy. Nel 2021, un’indagine congiunta ha rilevato che il fornitore di riconoscimento facciale Clearview AI ha violato le leggi federali e provinciali sulla privacy, prelevando immagini da Internet senza autorizzazione e utilizzandole nel suo prodotto commerciale.

English version

Signal will leave the UK if its encryption system is compromised by the Online Safety Bill. Meredith Whittaker, Signal’s president, told the BBC this, specifying that it has no intention of weakening the privacy guaranteed by its systems in any way. The Online Safety Bill, introduced by Boris Johnson, is currently before Parliament. The British government has stated that it does not intend to introduce ‘a ban on end-to-end encryption’. According to critics, however, under the new law companies could be forced to scan messages on encrypted apps for child pornography or terrorist content. This has worried private and secure communications companies, which fear losing customers. Earlier, even WhatsApp had told the BBC that it would refuse to reduce security for any government. However, the government and leading child protection groups have long argued that encryption hinders efforts to combat online child abuse, which they say is a growing problem. “It is important that technology companies make every effort to ensure that their platforms do not become a breeding ground for paedophiles,” the Home Office said in a statement, adding that: “this is not a choice between privacy and child safety: we can and must have both”. But Whittaker commented that it is ‘magical thinking’ to believe that we can have privacy ‘but only for the good guys’, saying: ‘encryption either protects everyone or it doesn’t work for everyone’.

Californian lawmakers are attempting to regulate the use of artificial intelligence. This, due to its growing importance in everyday life, from teenagers using chatbots to help them with their homework to employers filtering the profiles of job seekers. Advocates for greater regulation of artificial intelligence in the Golden State can count on strong momentum given the increased public attention to ChatGPTs and other new technologies, and the effort follows on the heels of President Joe Biden’s call for greater oversight of the industry. “California usually moves faster than the federal government, but other than the California Privacy Rights Act, as far as AI is concerned it has been pretty slow,” said Vinhcent Le, an attorney at the Greenlining Institute who focuses on technology equity, adding, however, that “there seems to be more interest this year. It looks like an important year for automated decision-making systems and their regulation’. While federal agencies issue guidelines amidst the few existing AI laws, California is poised to pick up the pace. At least three bills have been filed this year that aim to provide more assurances on artificial intelligence and close any regulatory loopholes. All three address the use of AI in government administration. Previous bills mandated agencies to set guidelines and principles on automation, but the recent White House AI Bill of Rights already contains a framework for such parameters, providing a road map for debate.

Investigation opened on Tik Tok in Canada. The federal Privacy Commissioner announced that he has opened an investigation, in consultation with the data protection authorities of the states of Alberta, Quebec and British Columbia, to examine how the video-streaming platform collects personal data of Canadian users. In the statement, the authorities say they will investigate whether the organisation’s practices comply with Canadian privacy legislation and, in particular, whether valid and meaningful consent is obtained for the collection, use and disclosure of personal information. The investigation will also determine whether the company is complying with its transparency obligations, particularly when collecting personal information from its users. “A significant portion of TikTok’s users are young people,” the commissioners said, “given the importance of protecting children’s privacy, the joint investigation will focus on the data processing of younger users, including whether the company has obtained valid consent from these users for the collection, use and disclosure of their personal information.” This is not the first time that state authorities in Canada have collaborated to conduct a joint investigation. Last year, a group report was published on Tim Hortons’ use of its mobile application to locate users, which found that the application violated federal and state privacy laws. In 2021, a joint investigation found that facial recognition provider Clearview AI violated federal and provincial privacy laws by taking images from the Internet without authorisation and using them in its commercial product.

PRIVACY DAILY 38/2023

I ragazzi sono preoccupati dall’impatto dei social media sulla loro privacy e sulla loro salute mentale. Amnesty International ha condotto un sondaggio a livello globale, raccogliendo le risposte di bambini e giovani di età compresa tra i 13 e i 24 anni, provenienti da 45 Paesi diversi, per approfondire i loro atteggiamenti nei confronti dei social media. Al di là delle valutazioni positive per la possibilità di scambiare idee, manifestare la propria creatività o impegnarsi attivamente nel sociale, sono emerse due grandi preoccupazioni: l’impatto che i contenuti dannosi e il design “addictive” delle piattaforme (il 74% degli intervistati dichiara di controllare i propri account sui social media più di quanto vorrebbe) hanno sulla salute mentale dei giovani e la loro sensazione di impotenza di fronte al costante invito delle aziende globali alla condivisione di dati personali e consumo di contenuti. Tre quarti degli intervistati hanno trovato i termini di servizio dei social media difficili da capire, criticando il linguaggio spesso “tecnico” e l’approccio “prendere o lasciare” che i social media applicano, costringendoli a scegliere tra la minaccia percepita di esclusione sociale o l’iscrizione al prezzo della loro privacy. Alla domanda sulla loro visione di un social media ideale, gli intervistati hanno condiviso idee chiare su come i social media debbano cambiare per rispettare i loro diritti, da una maggiore protezione della privacy a modifiche alle raccomandazioni algoritmiche.

Tre recenti violazioni avvenute negli Stati Uniti dimostrano che i rischi per la sicurezza dei dati possono provenire da più fonti per gli operatori sanitari. Dipendenti, strumenti forniti da terze parti e criminali informatici sono tutti fattori di rischio. Nel primo data breach un dipendente del DCH Health System di Tuscaloosa (Alabama) aveva visualizzato le cartelle cliniche elettroniche di un paziente senza un apparente motivo lavorativo. Il DCH Health System ha quindi notificato a oltre 2.500 persone che lo stesso dipendente, immediatamente sospeso, avrebbe potuto accedere e visualizzare informazioni quali nome, indirizzo, data di nascita, numeri di previdenza sociale, data dell’incontro, diagnosi, segni vitali, farmaci, risultati di test e note cliniche/di assistenza. La seconda violazione ha riguardato la UCLA Health (California), che ha notificato a circa 94.000 persone che gli strumenti di analisi utilizzati sul sito web e sull’applicazione mobile potrebbero aver “catturato e trasmesso” informazioni dal modulo di richiesta di appuntamento compilato online ai fornitori di servizi terzi. Infine, l’UCHealth di Aurora (Colorado) ha segnalato una violazione dei dati che ha interessato quasi 49.000 persone, dovuta a un attacco informatico subito da un suo fornitore di servizi che potrebbe aver coinvolto alcuni dati di pazienti, fornitori e dipendenti.

In Canada, quando si effettua un acquisto, è possibile farsi inviare lo scontrino via email. Ma è una pratica sicura? Un’inchiesta svolta dalla CBC News ha rivelato che diversi noti rivenditori hanno condiviso le informazioni dei loro clienti con Meta. Ciò si aggiunge al recente rapporto presentato dal Federal Privacy Commissioner Philippe Dufresne sulla società Home Depot, in cui è stato rilevato che l’azienda trasmetteva sistematicamente i dettagli degli scontrini elettronici a Meta senza chiedere il consenso dei propri clienti. Il rapporto dell’Autorità garante era nato dal reclamo presentato da un uomo che, mentre cancellava il suo account Facebook, aveva scoperto che la piattafroma aveva un elenco di acquisti effettuati da lui in negozio presso Home Depot. L’indagine si è poi estesa a macchia d’olio. Un gruppo di giornalisti della CBC ha scaricato i propri dati personali da Facebook – informazioni catalogate come “attività off-Facebok” – e ha trovato elencati gli acquisti al dettaglio effettuati presso diverse catene. Ciò va, ovviamente, contro la legge canadese, la quale richiede che le aziende “devono generalmente ottenere il consenso di un individuo quando raccolgono, utilizzano o divulgano le sue informazioni personali”. Ma i rischi per i trasgressori non sono poi così tanti, dal momento che il Federal Privacy Commissioner non ha l’autorità di imporre sanzioni pecuniarie, ma solo di formulare raccomandazioni. Cionondimeno, il rapporto di Dufresne ha sollevato la preoccupazione che in alcuni negozi i dettagli degli acquisti possano rivelarsi “altamente sensibili… quando rivelano, ad esempio, informazioni sulla salute o sulla sessualità di un individuo”. Così la catena di grandi magazzini Hudson’s Bay ha dichiarato di aver “sospeso tutti i trasferimenti di dati a Meta”, alla luce delle conclusioni dell’Autorità garante su Home Depot.

English version

Kids are concerned about the impact of social media on their privacy and mental health. Amnesty International conducted a global survey, collecting responses from 550 children and young people between the ages of 13 and 24, from 45 different countries, to explore their attitudes towards social media. Beyond the praise for the opportunity to exchange ideas, manifest their creativity or actively engage in social engagement, two major concerns emerged: the impact that harmful content and the ‘addictive’ design of platforms (74% of respondents said they check their social media accounts more than they would like to) have on young people’s mental health, and their feeling of powerlessness in the face of global companies’ constant invitation to share personal data and consume content. Three quarters of respondents found social media terms of service difficult to understand, criticising the often ‘technical’ language and the ‘take it or leave it’ approach that social media enforces, forcing them to choose between the perceived threat of social exclusion or signing up at the price of their privacy. When asked about their vision of an ideal social media, respondents shared clear ideas on how social media should change to respect their rights, from increased privacy protection to changes in algorithmic recommendations.

Three recent breaches in the United States show that data security risks can come from multiple sources for healthcare providers. Employees, third-party tools and cybercriminals are all risk factors. In the first data breach, an employee of the DCH Health System in Tuscaloosa, Alabama, had viewed the electronic medical records of a patient for no apparent business reason. The DCH Health System then notified more than 2,500 people that the same employee, who was immediately suspended, could access and view information such as name, address, date of birth, social security numbers, date of encounter, diagnosis, vital signs, medications, test results, and clinical/care notes. The second breach involved UCLA Health (California), which notified approximately 94,000 people that analytics tools used on the website and mobile app may have ‘captured and transmitted’ information from the completed online appointment request form to third-party service providers. Finally, UCHealth in Aurora (Colorado) reported a data breach affecting nearly 49,000 people due to a cyber attack suffered by one of its service providers that may have involved some patient, provider and employee data.

In Canada, when making a purchase, it is possible to have the receipt sent by email instead of paper. But is this a safe practice? An investigation by CBC News revealed that a number of well-known retailers shared their customers’ information with Meta. This is in addition to the recent report by Federal Privacy Commissioner Philippe Dufresne on the company Home Depot, in which it was found that the company systematically transmitted electronic receipt details to Meta without asking for their customers’ consent. The Supervisory Authority’s report had stemmed from a complaint lodged by a man who, while deleting his Facebook account, had discovered that Meta had a list of purchases he had made in shop at Home Depot. The investigation then spread like wildfire. A group of CBC journalists downloaded his personal data from Facebook – information categorised as ‘off-Facebok activity’ – and found listed retail purchases made at several chains. This is, of course, against Canadian law, which requires that companies ‘must generally obtain an individual’s consent when collecting, using or disclosing his or her personal information’. But the risks for violators are not so great, since the Federal Privacy Commissioner has no authority to impose fines, only to make recommendations. Nonetheless, Dufresne’s report raised concerns that in some shops, shopping details may prove to be ‘highly sensitive… when they reveal, for example, information about an individual’s health or sexuality’. Thus, department store chain Hudson’s Bay stated that it had ‘suspended all data transfers to Meta’ in light of the Supervisory Authority’s findings on Home Depot.