PRIVACY DAILY 38/2023

I ragazzi sono preoccupati dall’impatto dei social media sulla loro privacy e sulla loro salute mentale. Amnesty International ha condotto un sondaggio a livello globale, raccogliendo le risposte di bambini e giovani di età compresa tra i 13 e i 24 anni, provenienti da 45 Paesi diversi, per approfondire i loro atteggiamenti nei confronti dei social media. Al di là delle valutazioni positive per la possibilità di scambiare idee, manifestare la propria creatività o impegnarsi attivamente nel sociale, sono emerse due grandi preoccupazioni: l’impatto che i contenuti dannosi e il design “addictive” delle piattaforme (il 74% degli intervistati dichiara di controllare i propri account sui social media più di quanto vorrebbe) hanno sulla salute mentale dei giovani e la loro sensazione di impotenza di fronte al costante invito delle aziende globali alla condivisione di dati personali e consumo di contenuti. Tre quarti degli intervistati hanno trovato i termini di servizio dei social media difficili da capire, criticando il linguaggio spesso “tecnico” e l’approccio “prendere o lasciare” che i social media applicano, costringendoli a scegliere tra la minaccia percepita di esclusione sociale o l’iscrizione al prezzo della loro privacy. Alla domanda sulla loro visione di un social media ideale, gli intervistati hanno condiviso idee chiare su come i social media debbano cambiare per rispettare i loro diritti, da una maggiore protezione della privacy a modifiche alle raccomandazioni algoritmiche.

Tre recenti violazioni avvenute negli Stati Uniti dimostrano che i rischi per la sicurezza dei dati possono provenire da più fonti per gli operatori sanitari. Dipendenti, strumenti forniti da terze parti e criminali informatici sono tutti fattori di rischio. Nel primo data breach un dipendente del DCH Health System di Tuscaloosa (Alabama) aveva visualizzato le cartelle cliniche elettroniche di un paziente senza un apparente motivo lavorativo. Il DCH Health System ha quindi notificato a oltre 2.500 persone che lo stesso dipendente, immediatamente sospeso, avrebbe potuto accedere e visualizzare informazioni quali nome, indirizzo, data di nascita, numeri di previdenza sociale, data dell’incontro, diagnosi, segni vitali, farmaci, risultati di test e note cliniche/di assistenza. La seconda violazione ha riguardato la UCLA Health (California), che ha notificato a circa 94.000 persone che gli strumenti di analisi utilizzati sul sito web e sull’applicazione mobile potrebbero aver “catturato e trasmesso” informazioni dal modulo di richiesta di appuntamento compilato online ai fornitori di servizi terzi. Infine, l’UCHealth di Aurora (Colorado) ha segnalato una violazione dei dati che ha interessato quasi 49.000 persone, dovuta a un attacco informatico subito da un suo fornitore di servizi che potrebbe aver coinvolto alcuni dati di pazienti, fornitori e dipendenti.

In Canada, quando si effettua un acquisto, è possibile farsi inviare lo scontrino via email. Ma è una pratica sicura? Un’inchiesta svolta dalla CBC News ha rivelato che diversi noti rivenditori hanno condiviso le informazioni dei loro clienti con Meta. Ciò si aggiunge al recente rapporto presentato dal Federal Privacy Commissioner Philippe Dufresne sulla società Home Depot, in cui è stato rilevato che l’azienda trasmetteva sistematicamente i dettagli degli scontrini elettronici a Meta senza chiedere il consenso dei propri clienti. Il rapporto dell’Autorità garante era nato dal reclamo presentato da un uomo che, mentre cancellava il suo account Facebook, aveva scoperto che la piattafroma aveva un elenco di acquisti effettuati da lui in negozio presso Home Depot. L’indagine si è poi estesa a macchia d’olio. Un gruppo di giornalisti della CBC ha scaricato i propri dati personali da Facebook – informazioni catalogate come “attività off-Facebok” – e ha trovato elencati gli acquisti al dettaglio effettuati presso diverse catene. Ciò va, ovviamente, contro la legge canadese, la quale richiede che le aziende “devono generalmente ottenere il consenso di un individuo quando raccolgono, utilizzano o divulgano le sue informazioni personali”. Ma i rischi per i trasgressori non sono poi così tanti, dal momento che il Federal Privacy Commissioner non ha l’autorità di imporre sanzioni pecuniarie, ma solo di formulare raccomandazioni. Cionondimeno, il rapporto di Dufresne ha sollevato la preoccupazione che in alcuni negozi i dettagli degli acquisti possano rivelarsi “altamente sensibili… quando rivelano, ad esempio, informazioni sulla salute o sulla sessualità di un individuo”. Così la catena di grandi magazzini Hudson’s Bay ha dichiarato di aver “sospeso tutti i trasferimenti di dati a Meta”, alla luce delle conclusioni dell’Autorità garante su Home Depot.

English version

Kids are concerned about the impact of social media on their privacy and mental health. Amnesty International conducted a global survey, collecting responses from 550 children and young people between the ages of 13 and 24, from 45 different countries, to explore their attitudes towards social media. Beyond the praise for the opportunity to exchange ideas, manifest their creativity or actively engage in social engagement, two major concerns emerged: the impact that harmful content and the ‘addictive’ design of platforms (74% of respondents said they check their social media accounts more than they would like to) have on young people’s mental health, and their feeling of powerlessness in the face of global companies’ constant invitation to share personal data and consume content. Three quarters of respondents found social media terms of service difficult to understand, criticising the often ‘technical’ language and the ‘take it or leave it’ approach that social media enforces, forcing them to choose between the perceived threat of social exclusion or signing up at the price of their privacy. When asked about their vision of an ideal social media, respondents shared clear ideas on how social media should change to respect their rights, from increased privacy protection to changes in algorithmic recommendations.

Three recent breaches in the United States show that data security risks can come from multiple sources for healthcare providers. Employees, third-party tools and cybercriminals are all risk factors. In the first data breach, an employee of the DCH Health System in Tuscaloosa, Alabama, had viewed the electronic medical records of a patient for no apparent business reason. The DCH Health System then notified more than 2,500 people that the same employee, who was immediately suspended, could access and view information such as name, address, date of birth, social security numbers, date of encounter, diagnosis, vital signs, medications, test results, and clinical/care notes. The second breach involved UCLA Health (California), which notified approximately 94,000 people that analytics tools used on the website and mobile app may have ‘captured and transmitted’ information from the completed online appointment request form to third-party service providers. Finally, UCHealth in Aurora (Colorado) reported a data breach affecting nearly 49,000 people due to a cyber attack suffered by one of its service providers that may have involved some patient, provider and employee data.

In Canada, when making a purchase, it is possible to have the receipt sent by email instead of paper. But is this a safe practice? An investigation by CBC News revealed that a number of well-known retailers shared their customers’ information with Meta. This is in addition to the recent report by Federal Privacy Commissioner Philippe Dufresne on the company Home Depot, in which it was found that the company systematically transmitted electronic receipt details to Meta without asking for their customers’ consent. The Supervisory Authority’s report had stemmed from a complaint lodged by a man who, while deleting his Facebook account, had discovered that Meta had a list of purchases he had made in shop at Home Depot. The investigation then spread like wildfire. A group of CBC journalists downloaded his personal data from Facebook – information categorised as ‘off-Facebok activity’ – and found listed retail purchases made at several chains. This is, of course, against Canadian law, which requires that companies ‘must generally obtain an individual’s consent when collecting, using or disclosing his or her personal information’. But the risks for violators are not so great, since the Federal Privacy Commissioner has no authority to impose fines, only to make recommendations. Nonetheless, Dufresne’s report raised concerns that in some shops, shopping details may prove to be ‘highly sensitive… when they reveal, for example, information about an individual’s health or sexuality’. Thus, department store chain Hudson’s Bay stated that it had ‘suspended all data transfers to Meta’ in light of the Supervisory Authority’s findings on Home Depot.

PRIVACY DAILY 30/2023

Un indagine di Kaspersky ha rivelato che il 24% degli utenti messicani fornisce i propri dati personali in cambio di sconti o coupon, senza verificare se questi siano reali o una truffa. Il 76% degli utenti si dichiara disposto a pubblicare informazioni compromettenti in cambio di qualche beneficio o pagamento, mentre il 27% condivide dati e particolari sui social network, con conseguenze come il doxing. Fabio Assolini, direttore del team di ricerca e analisi per l’America Latina di Kaspersky, ha spiegato: “Chiunque può essere vittima di doxing, poiché non si basa sulla popolarità, sullo status economico o sul ruolo dell’obiettivo nella società. Inoltre, l’aggressore può essere un estraneo, o qualcuno che cerca di trarre vantaggio personale, che vuole fare del male alla vittima, o persino un ammiratore segreto”. Per questo motivo, in occasione della Giornata internazionale della protezione dei dati personali, gli esperti di Kaspersky hanno invitato tutti gli utenti a considerare come i contenuti che condividono online possano essere interpretati e utilizzati da altri, raccomandando di adottare le dovute cautele. 

A margine della Giornata internazionale della privacy, in Israele è cresciuto il dibattito su come tenere al sicuro i bambini nell’ambiente online. Diversi esperti hanno messo in guardia rispetto ai rischi che comporta l’uso delle nuove tecnologie per i più piccoli. Kobi Nissan, CPO e cofondatore di Mine, ha affermato che la privacy dei bambini online è un’enorme preoccupazione per i genitori, dato che utilizzano sempre più la tecnologia e trascorrono più tempo online: “lo sconosciuto con il lecca-lecca al parco giochi è ora qualcuno che li contatta su TikTok o che gioca con loro a un videogioco usando degli pseudonimi”. La legge sulla protezione della privacy israeliana non prevede regole specifiche per quanto riguarda il trattamento dei dati dei minori. Pertanto, Elen Yosef, partner dello studio Weksler Bregman Law, ha sostenuto che: “poiché i bambini sono meno consapevoli dei rischi e delle conseguenze delle questioni relative alla privacy, tra cui il trattamento e la condivisione dei loro dati personali, le leggi israeliane in materia di privacy dovrebbero adottare un riconoscimento e una protezione specifici per quanto riguarda il diritto alla privacy dei bambini, compresi i requisiti per il trattamento dei dati personali online”.

La protezione dei dati personali in Nigeria vale 5,5 miliardi. Lo ha rivelato il Ministro delle Comunicazioni e dell’economia digitale, Isa Pantami, in occasione di un briefing con la stampa per l’inizio della Settimana Globale della Privacy 2023, dedicata al tema: “Think Privacy First”. Il Ministro ha affermato che avere una legge in materia di protezione dei dati personali è una best practice per attrarre investimenti e benefici economici. “Anche i potenziali investitori oggi si chiedono se la legge sulla protezione dei dati sia in vigore o meno nel vostro Paese. Se non avete una legge sulla protezione dei dati, non si sentiranno a loro agio a venire nel vostro Paese per investire, perché oggi i dati sono fondamentali. Di solito diciamo che i dati sono il nuovo petrolio, ma a volte sostengo che i dati sono l’acqua, perché l’acqua è una necessità per la sopravvivenza e i dati sono una necessità per la sopravvivenza dell’economia basata sulla conoscenza”.

English version

A Kaspersky survey revealed that 24% of Mexican users give out their personal data in exchange for discounts or coupons, without checking whether these are real or a scam. 76% of users are willing to publish compromising information in exchange for some benefit or payment, while 27% share data and details on social networks, with consequences such as doxing. Fabio Assolini, director of the research and analysis team for Latin America at Kaspersky, explained: ‘Anyone can be a victim of doxing, as it is not based on popularity, economic status or the target’s role in society. In addition, the attacker can be a stranger, or someone seeking personal gain, who wants to harm the victim, or even a secret admirer’. For this reason, on the occasion of International Data Protection Day, Kaspersky’s experts urged all users to consider how the content they share online can be interpreted and used by others, recommending that they take appropriate precautions. 

On the sidelines of International Privacy Day, debate grew in Israel about how to keep children safe in the online environment. Several experts warned of the risks involved in using new technologies for young children. Kobi Nissan, CPO and co-founder of Mine, said that children’s privacy online is a huge concern for parents as they increasingly use technology and spend more time online: ‘the stranger with the lollipop on the playground is now someone who contacts them on TikTok or plays a video game with them using pseudonyms’. The Israeli privacy protection law does not contain specific rules regarding the processing of children’s data. Therefore, Elen Yosef, partner at Weksler Bregman Law firm, argued that: “Because children are less aware of the risks and consequences of privacy issues, including the processing and sharing of their personal data, Israeli privacy laws should adopt specific recognition and protection regarding children’s right to privacy, including requirements for the processing of personal data online.”

Data protection in Nigeria is worth 5.5 billion. This was revealed by the Minister of Communications and Digital Economy, Isa Pantami, at a press briefing to mark the commencement of Global Privacy Week 2023, dedicated to the theme: ‘Think Privacy First’. The Minister said that having a data protection law is a best practice for attracting investment and economic benefits. “Even potential investors today are wondering whether or not a data protection law is in place in your country. If you don’t have a data protection law, they will not feel comfortable coming to your country to invest, because data is crucial today. We usually say that data is the new oil, but sometimes I say that data is water, because water is a necessity for survival and data is a necessity for the survival of the knowledge-based economy”.