PRIVACY DAILY 109/2023

Due giorni prima di Natale, TikTok ha chiamato la giornalista londinese Cristina Criddle per dirle che due dei suoi dipendenti in Cina e due negli Stati Uniti avevano consultato i dati degli utenti del suo account personale senza che lei ne fosse a conoscenza o avesse dato il suo consenso. “Ero a casa della mia famiglia con mia sorella adolescente e i miei cugini adolescenti, che usano tutti TikTok” ha dichiarato la giornalista corrispondente per la tecnologia del Financial Times . Questo è quello che  TikTok e la sua società madre, ByteDance, hanno sempre negato che accada, ed è per questo che lei  ha deciso di raccontarlo a BBC News. TikTok ha confermato che alcuni membri del suo dipartimento di revisione interna hanno esaminato la posizione dell’indirizzo IP di Cristina – il numero univoco di un dispositivo – e l’hanno confrontato con i dati IP di un numero imprecisato di membri del proprio staff, per cercare di stabilire chi stesse incontrando segretamente la stampa. Per fare questo però hanno “abusato della loro autorità” e hanno agito senza autorizzazione. Cristina non sa per quanto tempo sia stata monitorata, né con quale frequenza, ma sa che è successo l’estate scorsa. “Se la mia posizione è stata monitorata 24 ore su 24, 7 giorni su 7, questo non si limita solo alle mie azioni al lavoro, che non sarebbero state corrette anche se lo fossero state, ma riguardava anche la mia vita privata. Quando uscivo con gli amici, quando andavo in vacanza, c’erano tutte queste cose” ha concluso Cristina. L’account TikTok era sul suo cellulare personale e a nome del suo gatto, Buffy. Il suo nome e la sua occupazione non erano menzionati nella biografia. Aveva circa 170 follower e in circa tre anni aveva caricato una ventina di video di Buffy, visti in media un paio di centinaia di volte.

Secondo quanto riferito da due fonti alla fine dello scorso anno il più grande fornitore di dati finanziari della Cina, Wind Information, ha comunicato ad alcuni clienti che stava limitando l’accesso a determinati dati economici e aziendali da parte degli utenti offshore, a causa delle nuove regole sui dati dell’autorità di regolamentazione della cybersicurezza. La restrizione dell’accesso a Wind da parte degli utenti offshore arriva mentre la Cina intensifica l’attenzione sull’utilizzo dei dati e sulla sicurezza, in un contesto di crescenti tensioni geopolitiche e di preoccupazioni per la privacy nella seconda economia mondiale. La mossa di Wind, i cui servizi sono utilizzati da economisti, gestori di fondi e altri, arriva anche nel momento in cui la Cina sta cercando di attrarre maggiori investimenti stranieri e di rilanciare un’economia che sta lottando per il decollo post-Covid. Le limitazioni includono anche l’accesso ai dettagli sulla struttura azionaria di alcune società. Wind, società con sede a Shanghai, dal settembre dello scorso anno ha reso inaccessibili agli utenti che non risiedono nella Cina continentale parte dei suoi dati, come i numeri di vendita delle case, che venivano aggiornati regolarmente. Un addetto alle vendite di Wind ha riferito che a settembre l’azienda aveva apportato le modifiche in base alle istruzioni della Cyberspace Administration of China (CAC), che le aveva chiesto di non fornire più determinati dati agli utenti offshore. Lo scorso luglio l’autorità di regolamentazione della cybersecurity ha emanato le norme finali che impongono alle esportazioni di dati di sottoporsi a verifiche di sicurezza, nell’ambito di un nuovo quadro normativo che interesserà centinaia, se non migliaia, di aziende cinesi. Le nuove norme sono entrate in vigore a partire dal 1° settembre. Negli ultimi anni Pechino ha emanato nuove leggi sulla cybersecurity, sui dati e sulla privacy che impongono alle organizzazioni con grandi basi di utenti di sottoporsi a valutazioni e approvazioni quando gestiscono i dati che raccolgono. Il mese scorso, inoltre, i legislatori hanno approvato un ampio aggiornamento della legislazione antispionaggio di Pechino, vietando il trasferimento di qualsiasi informazione relativa alla sicurezza nazionale e ampliando la definizione di spionaggio.

In Tanzania la legge sulla protezione dei dati personali è entrata in vigore il 1° maggio 2023, cinque mesi dopo la sua approvazione in Parlamento. La nuova legge è stata presentata per la prima volta in Parlamento nel settembre 2022 e approvata dal Parlamento nel novembre 2022. “Questo avviso indica che il 1° maggio 2023 è stato scelto come inizio ufficiale dell’utilizzo della legge sulla protezione dei dati personali nel Paese”, si legge in una parte dell’informativa firmata da Nape. Nel novembre 2022, il Parlamento ha approvato la legge sulla protezione dei dati personali (Personal Data Protection Bill 2022), mentre i legislatori hanno illustrato congiuntamente i vantaggi della legge prevista dopo l’approvazione da parte del Presidente Samia Suluhu Hassan. Parlando durante il Forum Connect 2 Connect dello scorso settembre, Nape ha dichiarato: “Poiché sempre più attività sociali ed economiche si spostano su piattaforme online, l’importanza della privacy e della protezione dei dati è sempre più inevitabile: dobbiamo rendere sicuro il nostro cloud”. Tuttavia, al momento della presentazione del disegno di legge per la seconda lettura in Parlamento, il Ministro Nape ha sostenuto che la legge, una volta promulgata, avrebbe dovuto attrarre un maggior numero di investitori, soprattutto nel settore delle tecnologie dell’informazione e della comunicazione. “Dopo la firma della nuova legge da parte del Presidente, assisteremo a un’ondata di investitori”. Nel mondo di oggi, gli investitori non vanno a investire in Paesi in cui non esiste una legge sulla protezione dei dati personali. Non c’è dubbio che con questa legge attireremo più investitori, in particolare nel settore delle TIC” ha concluso Nape. Nel corso dell’attuazione della legge sulla protezione dei dati personali, la Tanzania prenderà spunto dai Paesi che hanno già applicato la stessa legge e così facendo, la Tanzania sarà in grado di affrontare le sfide associate alla legge, rendendola così valida per gli utenti.

English version

Two days before Christmas, TikTok called London-based journalist Cristina Criddle to tell her that two of its employees in China and two in the United States had accessed user data from her personal account without her knowledge or consent. “I was at my family home with my teenage sister and my teenage cousins, who all use TikTok,” said the Financial Times technology correspondent. This is what TikTok and its parent company, ByteDance, have always denied happens, which is why she decided to tell BBC News about it. TikTok confirmed that members of its internal audit department examined the location of Cristina’s IP address-the unique number of a device-and compared it with the IP data of an unspecified number of its staff members to try to determine who was secretly meeting with the press. To do this, however, they “abused their authority” and acted without authorization. Cristina does not know how long she was monitored or how often, but she does know that it happened last summer. “If my position was monitored 24/7, this is not limited only to my actions at work, which would not have been correct even if they were, but it also affected my private life. When I went out with friends, when I went on vacation, there were all these things,” Cristina concluded. The TikTok account was on her personal cell phone and in the name of her cat, Buffy. Her name and occupation were not mentioned in the bio. She had about 170 followers and in about three years had uploaded about 20 videos of Buffy, viewed on average a couple of hundred times.

China’s largest financial data provider, Wind Information, told some customers late last year that it was restricting access to certain economic and corporate data by offshore users due to new data rules from the cybersecurity regulator, according to two sources. The restriction of access to Wind by offshore users comes as China intensifies its focus on data use and security amid rising geopolitical tensions and privacy concerns in the world’s second-largest economy. The move by Wind, whose services are used by economists, fund managers and others, also comes at a time when China is trying to attract more foreign investment and revive an economy struggling to take off post-Covid. The restrictions also include access to details about the shareholding structure of some companies. Wind, a Shanghai-based company, has since September last year made inaccessible to users outside mainland China some of its data, such as home sales numbers, which used to be updated regularly. A Wind sales official reported that in September the company had made the changes based on instructions from the Cyberspace Administration of China (CAC), which had asked it to stop providing certain data to offshore users. Last July, the cybersecurity regulator issued final rules requiring data exports to undergo security audits as part of a new regulatory framework that will affect hundreds, if not thousands, of Chinese companies. The new regulations went into effect on September 1. In recent years, Beijing has enacted new cybersecurity, data and privacy laws that require organizations with large user bases to undergo assessments and approvals when handling the data they collect. Last month, lawmakers also approved a broad update to Beijing’s anti-espionage legislation, banning the transfer of any information related to national security and expanding the definition of espionage.

In Tanzania, the Data Protection Act came into effect on May 1, 2023, five months after it was passed in Parliament. The new law was first introduced in Parliament in September 2022 and passed by Parliament in November 2022. “This notice indicates that May 1, 2023 has been chosen as the official start of the use of the Personal Data Protection Law in the country,” reads a part of the notice signed by Nape. In November 2022, Parliament passed the Personal Data Protection Bill 2022 as lawmakers jointly explained the benefits of the planned law after it was passed by President Samia Suluhu Hassan. Speaking during the Connect 2 Connect Forum last September, Nape said, “As more and more social and economic activities move to online platforms, the importance of privacy and data protection is increasingly unavoidable-we must secure our cloud.” However, when presenting the bill for second reading in Parliament, Minister Nape argued that the law, once enacted, should attract more investors, especially in the information and communication technology sector. “After the President signs the new law, we will see a wave of investors.” In today’s world, investors are not going to invest in countries where there is no data protection law. There is no doubt that with this law we will attract more investors, especially in the ICT sector,” Nape concluded. In the course of implementing the Data Protection Act, Tanzania will take a cue from countries that have already implemented the same law, and by doing so, Tanzania will be able to address the challenges associated with the law, thus making it work for users.

PRIVACY DAILY 104/2023

In occasione di una riunione dei ministri del G7 responsabili delle politiche digitali e tecnologiche che si terrà questo fine settimana, il Giappone cercherà i partner negli sforzi per promuovere il libero flusso transfrontaliero di dati. A causa della rapida digitalizzazione in tutto il mondo, la quantità di dati generati e il loro valore non fanno che aumentare, tanto che molti definiscono i dati il “nuovo petrolio” del XXI secolo. In queste circostanze, diversi Paesi e regioni stanno adottando approcci diversi per gestire i flussi di dati transfrontalieri, alcuni dei quali attuano rigide norme di controllo dei dati, note come localizzazione dei dati. Nel 2017, la Cina ha introdotto una legge sulla cybersecurity che impone agli operatori di rete e ad altre aziende che gestiscono infrastrutture informatiche critiche di conservare le informazioni personali e i dati importanti all’interno del Paese, mentre la “fuoriuscita” di tali dati richiede una valutazione da parte della sicurezza. L’anno scorso, il Vietnam ha inasprito le norme sul flusso di dati, imponendo alle aziende internet di conservare le informazioni personali degli utenti nel Paese. Mentre un numero sempre maggiore di Paesi si sta orientando verso la localizzazione dei dati, il Giappone ha proposto nel 2019 il concetto di “Data Free Flow with Trust” (DFFT), con la posizione di Tokyo che ritiene che il trasferimento dei dati senza problemi sia fondamentale per le imprese e l’innovazione. In occasione della riunione dei ministri del digitale e della tecnologia del G7, il Giappone punterà a far progredire il concetto di DFFT ottenendo il consenso dei membri del G7 per lanciare un quadro istituzionale volto a promuoverlo.

Lo Stato di Washington ha adottato una legge statale, la prima nel suo genere, che prevede ampie salvaguardie per i dati sanitari dei consumatori raccolti dalle aziende, dalle piattaforme di teleassistenza alle app per il monitoraggio delle mestruazioni, nonché per i dati di localizzazione che potrebbero rivelare le visite alle cliniche abortive e ad altre strutture sanitarie. Il governatore Jay Inslee ha firmato la legge giovedì scorso. La misura, nota come My Health My Data Act, è stata introdotta come parte di uno sforzo legislativo locale per proteggere l’accesso all’aborto dopo che la Corte Suprema degli Stati Uniti ha fatto marcia indietro rispetto alla sentenza Roe v. Wade lo scorso anno. La nuova legge sulla privacy dello Stato di Washington mira a proteggere i dati di localizzazione dei consumatori e a limitare la raccolta e la condivisione di dati sanitari a fini pubblicitari o di altro tipo senza l’autorizzazione dei consumatori. Le aziende che violano le disposizioni della legge possono incorrere in azioni esecutive e sanzioni fino a 7.500 dollari per violazione da parte del procuratore generale dello Stato. La legge consente anche azioni legali private da parte dei consumatori, il che la rende uno dei pochi casi in cui è previsto un cosiddetto diritto d’azione privato. Gruppi aziendali come TechNet, i cui membri includono Apple Inc. e Google di Alphabet Inc., hanno sollevato il timore che l’ampia definizione di dati sulla salute contenuta nel provvedimento possa portare a un “diluvio” di privacy notifications ai consumatori. Il provvedimento copre un’ampia gamma di informazioni sul benessere fisico e mentale dei consumatori e sulle loro cure. “È molto più ampia del suo intento originario”, ha dichiarato Kelly Fukai, vicepresidente degli affari governativi e comunitari della Washington Technology Industry Association. I sostenitori della privacy e delle libertà civili hanno avvertito che negli Stati che limitano l’aborto gli investigatori potrebbero cercare di sfruttare le informazioni provenienti dalle app, dalle ricerche online o dai registri di localizzazione. Meta Platforms Inc., ad esempio, ha dovuto affrontare un’indagine dopo che una donna del Nebraska è stata accusata di due reati legati a un aborto illegale, utilizzando le informazioni sulla gravidanza contenute nei messaggi privati su Facebook Messenger di Meta.

L’amministratore delegato di Telegram ha dichiarato giovedì scorso che la società di social media farà appello alla decisione di un giudice brasiliano di bloccare l’accesso alla sua piattaforma in Brasile per non aver consegnato i dati sulle attività neonaziste. Ha affermato che il rispetto della legge è “tecnologicamente impossibile”. In una dichiarazione pubblicata sul suo account Telegram, Pavel Durov ha affermato che quando le leggi locali o i requisiti irrealizzabili contrastano con la mission della sua azienda – “preservare la privacy e la libertà di parola in tutto il mondo” – a volte si deve abbandonare queii mercati. Telegram è stato bloccato in passato da governi, tra cui Iran, Cina e Russia. Durov ha dichiarato che il giudice federale brasiliano che ha ordinato la sospensione mercoledì “ha richiesto dati che per noi è tecnologicamente impossibile ottenere”. Ha affermato di difendere il “diritto alla comunicazione privata” degli utenti brasiliani, ma non si è dilungato oltre. Gli utenti di Telegram possono pubblicare pubblicamente sui canali che creano o a cui si uniscono – o comunicare privatamente. L’azienda afferma che le “chat segrete” tra singoli utenti possono essere criptate. L’ufficio stampa di Telegram, che ha sede negli Emirati Arabi Uniti, non ha risposto alle domande inviate via e-mail dall’Associated Press o a un rappresentante dei media dell’azienda tramite l’app. Oltre a ordinare il blocco di Telegram, che i provider di internet e gli operatori wireless brasiliani hanno fatto rispettare, il giudice ha stabilito una multa giornaliera di circa 200.000 dollari per la mancata osservanza. Durov non ha detto se Telegram intende pagare. La sentenza emessa da un tribunale federale dello stato di Espírito Santo ha affermato che “i fatti mostrati dalle autorità di polizia dimostrano il chiaro intento di Telegram di non collaborare con le indagini”. La polizia è particolarmente interessata ai contenuti di Telegram relativi alla violenza nelle scuole.
Lo sviluppo arriva mentre il Brasile è alle prese con un’ondata di attacchi nelle scuole, tra cui quello di novembre in cui un uomo con una svastica appuntata sul giubbotto ha ucciso quattro persone e ne ha ferite 12 nella piccola città di Aracruz, nello stato di Espírito Santo.

English version

At a meeting of G7 ministers responsible for digital and technology policies this weekend, Japan will seek partners in efforts to promote the free flow of data across borders. Due to rapid digitization around the world, the amount of data generated and its value is only increasing, so much so that many are calling data the “new oil” of the 21st century. Under these circumstances, different countries and regions are taking different approaches to managing cross-border data flows, with some implementing strict data control regulations known as data localization. In 2017, China introduced a cybersecurity law that requires network operators and other companies operating critical IT infrastructure to keep personal information and important data within the country, while the “leakage” of such data requires a security assessment. Last year, Vietnam tightened data flow regulations, requiring internet companies to store users’ personal information in the country. While more and more countries are moving toward data localization, Japan proposed the concept of “Data Free Flow with Trust” (DFFT) in 2019, with Tokyo’s position that hassle-free data transfer is critical for business and innovation. At the G7 digital and technology ministers’ meeting, Japan will aim to advance the concept of DFFT by gaining the consensus of G7 members to launch an institutional framework to promote it.

Washington state has adopted a state law, the first of its kind, that provides broad safeguards for consumer health data collected by companies, from telehealth platforms to menstrual monitoring apps, as well as for location data that could reveal visits to abortion clinics and other health care facilities. Governor Jay Inslee signed the bill into law last Thursday. The measure, known as the My Health My Data Act, was introduced as part of a local legislative effort to protect abortion access after the U.S. Supreme Court reversed Roe v. Wade last year. Washington State’s new privacy law aims to protect consumers’ location data and restrict the collection and sharing of health data for advertising or other purposes without consumers’ permission. Companies that violate the provisions of the law can face enforcement actions and penalties of up to $7,500 per violation from the state attorney general. The law also allows for private lawsuits by consumers, making it one of the few cases in which there is a so-called private right of action. Business groups such as TechNet, whose members include Apple Inc. and Alphabet Inc.’s Google, have raised concerns that the broad definition of health data in the measure could lead to a “deluge” of privacy notifications to consumers. The measure covers a wide range of information about consumers’ physical and mental well-being and treatment. “It is much broader than its original intent,” said Kelly Fukai, vice president of government and community affairs at the Washington Technology Industry Association. Privacy and civil liberties advocates have warned that in states that restrict abortion, investigators could try to exploit information from apps, online searches or location records. Meta Platforms Inc. for example, faced an investigation after a Nebraska woman was charged with two felony counts related to an illegal abortion using pregnancy information contained in Meta’s private Facebook Messenger messages.

Telegram’s CEO said on Thursday that the social media company will appeal a Brazilian judge’s decision to block access to its platform in Brazil for failing to hand over data on neo-Nazi activities. He said compliance with the law is “technologically impossible.” In a statement posted on his Telegram account, Pavel Durov said that when local laws or unworkable requirements conflict with his company’s mission-“preserving privacy and freedom of speech around the world”-sometimes one must leave those markets. Telegram has been blocked in the past by governments including Iran, China and Russia. Durov said the Brazilian federal judge who ordered the suspension Wednesday “requested data that is technologically impossible for us to obtain.” He said he was defending Brazilian users’ “right to private communication” but did not elaborate further. Telegram users can post publicly on the channels they create or join – or communicate privately. The company says that “secret chats” between individual users can be encrypted. The press office of Telegram, which is based in the United Arab Emirates, did not respond to questions emailed by the Associated Press or to a media representative of the company via the app. In addition to ordering the blocking of Telegram, which Brazil’s Internet providers and wireless carriers have enforced, the judge set a daily fine of about $200,000 for noncompliance. Durov did not say whether Telegram intends to pay. The ruling issued by a federal court in the state of Espírito Santo said that “the facts shown by the police authorities demonstrate Telegram’s clear intent not to cooperate with the investigation.” Police are particularly interested in Telegram content related to school violence.
The development comes as Brazil grapples with a wave of school attacks, including one in November in which a man with a swastika pinned to his vest killed four people and injured 12 in the small town of Aracruz in Espírito Santo state.

PRIVACY DAILY 85/2023

I siti web educativi rivolti agli studenti brasiliani sorvegliavano i bambini e raccoglievano i loro dati personali. Lo ha dichiarato Human Rights Watch, affermando che il governo nazionale dovrebbe modificare la legge sulla protezione dei dati aggiungendo nuove garanzie per proteggere i bambini online. L’analisi condotta da HRW nel novembre 2022 e riesaminata nel gennaio 2023 ha rilevato che sette siti web educativi (Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh e Stoodi) hanno estratto e inviato i dati dei bambini a società terze, utilizzando tecnologie di tracciamento progettate per la pubblicità. Un ottavo sito web (Revisa Enem) ha inviato i dati dei bambini a una società terza, senza però utilizzare tracker specifici per gli annunci. Questi siti web non si limitavano a osservare i bambini all’interno delle loro aule online, ma li seguivano anche su Internet, al di fuori dell’orario scolastico e in profondità nella loro vita privata. I segretariati per l’istruzione di Minas Gerais e São Paulo avevano originariamente autorizzato questi siti web per l’uso da parte dei bambini durante la pandemia Covid-19, e sono tuttora in uso. Poiché i siti web offerti temporaneamente erano gratuiti e ampiamente diffusi alle scuole dal governo, molte scuole ne hanno adottato l’uso. Per molti bambini era impossibile rinunciare al monitoraggio senza rinunciare del tutto all’apprendimento formale. E anche quando le scuole hanno riaperto, la diffusione di questi siti web da parte dei governi statali durante la pandemia ha spianato la strada al loro continuo utilizzo da parte di studenti e scuole. Secondo quanto rilevato da HRW, ai bambini continua a essere negata la possibilità di proteggersi adeguatamente da queste invasioni della loro privacy. Peraltro, né le autorità statali né le aziende hanno reso note le loro pratiche di tracciamento, che sono invisibili all’utente. Pertanto, HRW invoca l’intervento dell’autorità brasiliana per la protezione dei dati per fermare queste violazioni della privacy dei bambini. Dovrebbe richiedere a queste aziende e ai governi statali di cancellare i dati dei bambini raccolti dopo la pandemia e impedire loro di utilizzare ulteriormente i dati dei bambini per qualsiasi scopo non legato all’istruzione.

In Germania, le imprese familiari chiedono una migliore protezione dei loro dati depositati nel Transparenzregister, che ha lo scopo di prevenire il riciclaggio di denaro e il finanziamento del terrorismo. In futuro, dovrebbero essere previsti requisiti più severi per la consultazione di queste informazioni. Questa è la conclusione di un parere di esperti pubblicato lunedì dalla Foundation for Family Business and Politics. Secondo il rapporto, è necessario dimostrare un “interesse legittimo” se, ad esempio, giornalisti, organizzazioni non governative o privati vogliono accedere ai dati. Anche questi ultimi dovrebbero registrarsi online e fornire una dichiarazione giurata del loro interesse. Secondo la normativa europea, ogni cittadino che detiene più del 25% di una società deve essere registrato come beneficiario effettivo nel registro della trasparenza. Con questo registro, la Germania attua una direttiva dell’UE per combattere il riciclaggio di denaro e il finanziamento del terrorismo. Nel registro, le società non quotate in borsa devono inserire i loro principali proprietari o titolari di diritti di voto, con tanto di data di nascita, nazionalità e luogo di residenza. Ogni azienda è interessata dall’obbligo di rendicontazione, ha spiegato la Foundation for Family Business and Politics. In Germania, solo un milione di società a responsabilità limitata dovrebbe fornire informazioni sulla proprietà al registro della trasparenza. Tuttavia, la Corte di giustizia europea ha rafforzato la protezione dei dati degli imprenditori con la decisione del novembre 2022. Di conseguenza, il pubblico non dovrebbe più avere accesso illimitato ai dati sensibili dei titolari effettivi. Il parere legale preparato per la fondazione sottolinea che, in combinazione con altri dati che le aziende sono obbligate a pubblicare, gli estranei potrebbero ottenere una visione profonda della gestione aziendale e della vita privata. “In questo caso devono entrare in vigore meccanismi di protezione”, ha dichiarato Rainer Kirchdörfer, presidente della Fondazione.

TikTok è la prima app di proprietà cinese a riscuotere un grande successo nel mercato globale, ma ci sono anche altre app di proprietà cinese che destano sospetti di potenziali violazioni della privacy. TikTok è una delle applicazioni più popolari negli Stati Uniti, anche se negli ultimi tempi ha fatto notizia per le censure ricevute e per l’interrogazione del suo AD davanti al Congresso. Ma la piattaforma non è l’unica applicazione mobile di proprietà cinese a conquistare i mercati occidentali. La società di analisi Apptopia stima che altre tre delle prime 10 applicazioni mobili negli Stati Uniti siano di proprietà di aziende cinesi. Due di esse sono anche tra le più scaricate nel Regno Unito. La prima è CapCut (sempre targata ByteDance), app per l’editing mobile in movimento che offre una serie di funzioni progettate per rendere i video virali, come l’aggiunta di canzoni popolari, filtri ed effetti speciali. La seconda è Shein, un marchio di moda globale fondato nel 2012 e che oggi ha una valutazione di quasi 15 miliardi di dollari. La terza è Temu, che ha debuttato negli USA da meno di un anno, ma già contende la scena ad Amazon e Walmart: un superstore online che vende di tutto, dall’abbigliamento all’elettronica, e consente ai consumatori di acquistare direttamente dal produttore cinese; i prezzi sono così bassi che molti americani hanno cercato “is Temu legit”. Secondo gli esperti, il successo delle app cinesi negli Stati Uniti è in parte dovuto alla forte concorrenza esistente nel loro mercato nazionale, dove le app statunitensi sono vietate. Queste aziende cinesi sono state anche leader nello sviluppo di algoritmi di raccomandazione altamente personalizzati per soddisfare le esigenze degli utenti, come quelli utilizzati da TikTok e dall’app di messaggistica istantanea WeChat. Tuttavia, le aziende tecnologiche statunitensi, come Apple, hanno combattuto lunghe battaglie in tribunale per bloccare le richieste governative dei dati dei loro utenti. Vi sono, però, dei dubbi sul fatto che un’azienda cinese possa fare lo stesso dinanzi ad un ordine del Partito Comunista Cinese.

English version

Educational websites targeting Brazilian students were surveilling children and collecting their personal data. This was stated by Human Rights Watch, saying that the national government should amend the data protection law by adding new safeguards to protect children online. The analysis conducted by HRW in November 2022 and reviewed in January 2023 found that seven educational websites (Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh and Stoodi) extracted and sent children’s data to third-party companies, using tracking technologies designed for advertising. An eighth website (Revisa Enem) sent children’s data to a third company, but did not use ad-specific trackers. These websites did not only observe children inside their online classrooms, but also followed them on the Internet, outside school hours and deep into their private lives. The education secretariats of Minas Gerais and São Paulo had originally authorised these websites for use by children during the Covid-19 pandemic, and they are still in use today. Since the temporarily offered websites were free and widely disseminated to schools by the government, many schools adopted their use. For many children, it was impossible to give up monitoring without giving up formal learning altogether. And even when schools reopened, the dissemination of these websites by state governments during the pandemic paved the way for their continued use by students and schools. According to HRW, children continue to be denied the opportunity to adequately protect themselves from these invasions of their privacy. Moreover, neither state authorities nor companies have disclosed their tracking practices, which are invisible to the user. Therefore, HRW calls for the intervention of the Brazilian data protection authority to stop these violations of children’s privacy. It should require these companies and state governments to delete children’s data collected after the pandemic and prevent them from further using children’s data for any purpose unrelated to education.

In Germany, family businesses demand better protection of their data deposited in the Transparenzregister, which aims to prevent money laundering and terrorist financing. In future, there should be stricter requirements for consulting this information. This is the conclusion of an expert opinion published on Monday by the Foundation for Family Business and Politics. According to the report, a ‘legitimate interest’ must be demonstrated if, for example, journalists, non-governmental organisations or private individuals want to access the data. The latter should also register online and provide a sworn declaration of their interest. According to European legislation, every citizen who holds more than 25 per cent of a company must be registered as a beneficial owner in the transparency register. With this register, Germany implements an EU directive to combat money laundering and terrorist financing. In the register, unlisted companies must enter their main owners or holders of voting rights, including their date of birth, nationality and place of residence. Every company is affected by the reporting obligation, explained the Foundation for Family Business and Politics. In Germany, only one million limited liability companies are supposed to provide ownership information to the transparency register. However, the European Court of Justice strengthened the data protection of entrepreneurs with its decision of November 2022. Consequently, the public should no longer have unrestricted access to the sensitive data of beneficial owners. The legal opinion prepared for the foundation points out that, in combination with other data that companies are obliged to publish, outsiders could gain an in-depth insight into company management and private life. “In this case, protection mechanisms must come into force,” said Rainer Kirchdörfer, president of the foundation.

TikTok is the first Chinese-owned app to enjoy great success in the global market, but there are also other Chinese-owned apps that raise suspicions of potential privacy violations. TikTok is one of the most popular apps in the US, although it has recently made headlines for the censorship it has received and the questioning of its CEO before Congress. But the platform is not the only Chinese-owned mobile application to conquer Western markets. Analyst firm Apptopia estimates that three more of the top 10 mobile apps in the US are owned by Chinese companies. Two of them are also among the most downloaded in the UK. The first is CapCut (also by ByteDance), a mobile editing app on the go that offers a range of features designed to make videos go viral, such as adding popular songs, filters and special effects. The second is Shein, a global fashion brand founded in 2012 and now valued at nearly $15 billion. The third is Temu, which debuted in the US less than a year ago, but already contends with Amazon and Walmart: an online superstore that sells everything from clothing to electronics, and allows consumers to buy directly from the Chinese manufacturer; prices are so low that many Americans have searched “is Temu legit”. According to experts, the success of Chinese apps in the US is partly due to the strong competition in their home market, where US apps are banned. These Chinese companies have also been leaders in developing highly customised recommendation algorithms to meet users’ needs, such as those used by TikTok and the instant messaging app WeChat. However, US technology companies, such as Apple, have fought long court battles to block government requests for their users’ data. There are, however, doubts as to whether a Chinese company can do the same in the face of an order from the Chinese Communist Party.

PRIVACY DAILY 61/2023

La Cina sta per istituire una nuova agenzia governativa per centralizzare la gestione delle banche dati. Lo riporta un articolo del Wall Street Journal, ripreso dalle agenzie. Pechino starebbe cercando di razionalizzare la propria struttura regolatoria, attualmente ripartita in vari soggetti (Amministrazione del Cyberspazio della Cina, Ministero dell’Industria e della Tecnologia dell’Informazione, Commissione Nazionale dello Sviluppo e delle Riforme ecc.). Secondo fonti ben informate, il nuovo ufficio nazionale per i dati è destinato a diventare il massimo regolatore cinese per tutte le principali materie legate ai dati, facendo marcare un cambiamento rispetto all’attuale quadro in cui le competenze sono spesso condivise tra le amministrazioni, provocando dubbi tra le imprese e i cittadini. Il piano per la creazione dell’agenzia dovrebbe essere discusso e approvato dall’Assemblea nazionale del popolo durante la sua sessione annuale, che durerà fino al 13 marzo. Qualora fosse istituita, l’agenzia sarebbe titolare di varie decisioni strategiche, tra cui quelle relative all’esportazione dei dati generati dalle operazioni delle multinazionali in Cina. Inoltre, l’agenzia stabilirebbe e applicherebbe le regole di raccolta e condivisione dei dati. Per giunta, la nuova agenzia sarebbe competente anche su altre questioni in ambito digitale, come l’uso di algoritmi per la manipolazione dei dati o per indurre la dipendenza da internet tra i minori, oltre a identificare le vulnerabilità della sicurezza dei dati che sono soggette a cyberattacchi. Ad oggi, l’Assemblea nazionale del popolo e l’Ufficio informazioni del Consiglio di Stato non hanno ancora commentato la notizia. Ciononostante, diversi alti dirigenti avrebbero espresso preoccupazione per il fatto che un nuovo soggetto regolatore possa soffocare l’innovazione nel settore tecnologico, già in crisi, dopo un giro di vite di due anni sulle aziende tecnologiche.

WhatsApp si è impegnata a essere più trasparente sulle modifiche ai suoi termini di servizio. Ciò fa seguito ad un ampio dialogo della società con le autorità di protezione dei consumatori dell’UE e con la Commissione europea (CPC network). L’azienda renderà più facile per gli utenti rifiutare gli aggiornamenti e spiegherà chiaramente quando tale rifiuto comporterà l’impossibilità di utilizzare i servizi di WhatsApp. Inoltre, l’azienda ha ribadito che i dati personali degli utenti non vengono condivisi con terze parti o altre società Meta – tra cui Facebook – per scopi pubblicitari. Il dialogo è stato coordinato dall’Agenzia svedese per i consumatori e dalla Commissione irlandese per la concorrenza e la protezione dei consumatori e facilitato dalla Commissione. Il Commissario per la Giustizia, Didier Reynders, ha dichiarato di aver accolto con favore l’impegno di WhatsApp a modificare le sue pratiche per conformarsi alle norme dell’UE, a informare attivamente gli utenti di qualsiasi modifica al loro contratto e a rispettare le loro scelte. La CPC network monitorerà attivamente l’attuazione di questi impegni da parte di WhatsApp in occasione di eventuali futuri aggiornamenti e, se necessario, imporrà il rispetto delle norme anche attraverso l’irrogazione di sanzioni. Ciò si pone, peraltro, nel solco tracciato dal Digital Services Act, il quale prevede l’obbligo per i servizi di avere termini e condizioni chiari, spiegando all’utente in un linguaggio comprensibile quando il loro contenuto o il loro account possono essere interessati da determinate restrizioni. Uno degli obiettivi del DSA è infatti integrare l’attuale disciplina della concorrenza e della protezione dei dati personali, garantendo che non venga lasciata alcuna lacuna normativa per le piattaforme per manipolare gli utenti.

Secondo il Department of Corrections della Virginia, i nastri delle registrazioni audio delle esecuzioni dei condannati a morte devono rimanere segreti. La National Public Radio (NPR) ha, infatti, recentemente pubblicato alcune registrazioni – ottenute presso la Library of Virginia – relative a esecuzioni capitali mediante la sedia elettrica avvenute tra il 1987 e il 2017. Dopo la messa in onda da parte della NPR, il Department of Corrections dello Stato ha richiesto la restituzione dei nastri e Library of Virginia, titolare delle cassette, ha acconsentito. Il Dipartimento ha poi respinto la richiesta dell’Associated Press volte ad ottenere copie di tutte le registrazioni delle esecuzioni in suo possesso, citando le eccezioni previste dalla legge sugli Open Records che riguardano la riservatezza delle cartelle cliniche e delle informazioni sul personale. Diversi esperti hanno, però, affermato che le quattro registrazioni in Virginia e altri 23 nastri di esecuzioni in Georgia – rilasciati due decenni fa – sono ritenuti le uniche registrazioni di esecuzioni pubblicamente disponibili negli Stati Uniti. Questi nastri offrono uno sguardo privilegiato sulle esecuzioni, procedimenti governativi spesso avvolti nella segretezza e a cui possono assistere solo in pochi, tra cui funzionari del carcere, familiari delle vittime e giornalisti. Peraltro, anche a coloro che sono autorizzati ad assistere, spesso viene impedito di vedere o ascoltare l’intero processo di esecuzione. Un rapporto del 2018 ha rilevato che dei 17 Stati federali che hanno effettuato esecuzioni tra gennaio 2011 e agosto 2018, ben 14 Stati hanno impedito ai testimoni di vedere almeno una parte dell’esecuzione, mentre 15 Stati hanno addirittura impedito ai testimoni di sentire ciò che accadeva all’interno della camera di esecuzione.

English version

China is about to set up a new government agency to centralise database management. This was reported in a Wall Street Journal article, which was picked up by the agencies. Beijing is reportedly trying to rationalise its regulatory structure, which is currently divided into various entities (Cyberspace Administration of China, Ministry of Industry and Information Technology, National Development and Reform Commission, etc.). According to well-informed sources, the new national data bureau is destined to become China’s top regulator for all major data-related matters, marking a change from the current framework in which competences are often shared between administrations, causing doubts among businesses and citizens. The plan to establish the agency is expected to be discussed and approved by the National People’s Congress during its annual session, which runs until 13 March. If established, the agency would be in charge of various strategic decisions, including those related to the export of data generated by multinational corporations’ operations in China. In addition, the agency would establish and enforce data collection and sharing rules. In addition, the new agency would also be responsible for other digital issues, such as the use of algorithms to manipulate data or induce internet addiction among minors, as well as identify data security vulnerabilities that are prone to cyber-attacks. To date, the National People’s Congress and the State Council Information Office have not commented on the news. Nonetheless, several senior executives have reportedly expressed concern that a new regulator could stifle innovation in the technology sector, which is already in crisis after a two-year crackdown on technology companies.

WhatsApp has committed to being more transparent about changes to its terms of service. This follows extensive dialogue by the company with EU consumer protection authorities and the European Commission (CPC network). The company will make it easier for users to reject updates and clearly explain when such a rejection will result in the inability to use WhatsApp’s services. Furthermore, the company reiterated that users’ personal data is not shared with third parties or other Meta companies – including Facebook – for advertising purposes. The dialogue was coordinated by the Swedish Consumer Agency and the Irish Competition and Consumer Protection Commission and facilitated by the Commission. Justice Commissioner Didier Reynders said he welcomed WhatsApp’s commitment to change its practices to comply with EU rules, to actively inform users of any changes to their contract and to respect their choices. The CPC network will actively monitor WhatsApp’s implementation of these commitments in any future updates and, if necessary, enforce compliance including through the imposition of sanctions. This is also in line with the Digital Services Act, which requires services to have clear terms and conditions, explaining to the user in understandable language when their content or account may be affected by certain restrictions. In fact, one of the objectives of the DSA is to complement the existing competition and personal data protection regulations, ensuring that no regulatory loopholes are left for platforms to manipulate users.

According to the Virginia Department of Corrections, tapes of audio recordings of executions of those sentenced to death must remain secret. National Public Radio (NPR) has, in fact, recently released recordings – obtained from the Library of Virginia – of executions by electric chair that took place between 1987 and 2017. After NPR aired them, the state’s Department of Corrections requested the return of the tapes, and Library of Virginia, the owner of the tapes, agreed. The Department then rejected the Associated Press’ request to obtain copies of all the execution tapes in its possession, citing exceptions in the Open Records Act regarding the confidentiality of medical records and personnel information. Several experts have, however, affirmed that the four recordings in Virginia and 23 other tapes of executions in Georgia released two decades ago are believed to be the only publicly available recordings of executions in the United States. These tapes offer an insider’s view of executions, government proceedings that are often shrouded in secrecy and witnessed by only a handful of people, including prison officials, victims’ relatives and journalists. Moreover, even those who are authorised to attend are often prevented from seeing or hearing the entire execution process. A 2018 report found that of the 17 federal states that carried out executions between January 2011 and August 2018, as many as 14 states prevented witnesses from seeing at least part of the execution, while 15 states even prevented witnesses from hearing what was happening inside the execution chamber.

PRIVACY DAILY 59/2023

La “maggiore età digitale” per iscriversi ai social network si raggiunge a 15 anni. Questa la proposta di legge approvata quasi all’unanimità (82 voti contro 2) in prima lettura dall’Assemblea Nazionale della Repubblica francese. E così – se l’attuale testo diventerà definitivamente legge -, i social network saranno tenuti a verificare l’età dei loro utenti e il consenso dei genitori per la registrazione dei minori di 15 anni, con sanzioni in caso di inadempienza. La “maggiore età digitale” di 15 anni a cui fa riferimento il testo non è nuova: è stata introdotta in Francia nel 2018 in applicazione del GDPR, che lasciava la possibilità di fissarla tra i 13 e i 16 anni. Ma questa soglia – che riguarda più in generale l’età al di sotto della quale è necessario il consenso dei genitori per il trattamento dei dati personali di un minore – non è stata realmente applicata e non ha avuto alcun impatto in termini di accesso dei minori ai social network. Per rimediare, il testo votato dall’Assemblea Nazionale introduce l’obbligo per i social network di “implementare una soluzione tecnica per verificare l’età degli utenti finali e il consenso dei titolari dell’autorità parentale” per i minori di 15 anni, una “soluzione” che dovrà essere certificata dalle autorità. In caso di inadempienza, all’azienda potrà essere comminata una multa fino all’1% del suo fatturato mondiale. Sui social network, la prima registrazione “avviene in media a circa otto anni e mezzo di età, e sono presenti più della metà dei ragazzi tra i 10 e i 14 anni”, secondo i dati messi a disposizione dalla CNIL e citati dai deputati. Il testo dovrà ora essere esaminato dal Senato.

Al Consiglio dell’Unione Europea è stato trovato un accordo sulla raccolta e sulla condivisione dei dati per gli affitti di alloggi a breve termine. I ministri dei Paesi membri hanno concordato un orientamento generale sulla proposta di Regolamento presentata dalla Commissione Europea il 7 novembre 2022. Ad oggi, infatti, i dati delle piattaforme online che operano nel mercato degli short-term accomodation rental non sono standardizzati a causa della diversità di regole vigenti negli Stati membri. Il Consiglio sostiene, pertanto, la creazione di un quadro comune per la raccolta e la condivisione dei dati a livello europeo, includendo anche disposizioni che tengano maggiormente conto dei sistemi di registrazione già in vigore nei singoli Stati. L’affitto di appartamenti, case o stanze per brevi periodi di tempo è, infatti, diventato una forma comune di alloggio per turisti e viaggiatori. Le piattaforme online hanno incrementato l’uso di questi servizi, che attualmente rappresentano quasi un quarto del totale degli alloggi turistici nell’UE. Alcuni Stati membri hanno implementato diversi sistemi di registrazione che si differenziano per l’ambito di applicazione e per le informazioni che devono essere presentate dagli host o dalle piattaforme online. La proposta di Regolamento si propone, dunque, di produrre vantaggi per tutti gli operatori del segmento short-term accommodation rental: gli host potranno utilizzare una procedura di registrazione semplice, le piattaforme avranno un unico set di regole per le informazioni che devono fornire, i viaggiatori saranno più protetti dalle frodi e i dati trattati saranno più accurati e affidabili. Il tutto nel rispetto della disciplina europea in materia di protezione dei dati personali. L’approccio generale concordato fornisce alla Presidenza del Consiglio UE un mandato per avviare i negoziati con il Parlamento europeo una volta che quest’ultimo avrà definito la propria posizione.

La città cinese di Wuxi ha dichiarato di aver distrutto un miliardo di dati personali raccolti durante la pandemia. Questo centro manifatturiero di 7,5 milioni di abitanti sulla costa orientale della Cina, ha tenuto una cerimonia per smaltire i dati personali relativi al Covid, stando a quanto dichiarato dagli Uffici di pubblica sicurezza della città in un comunicato sui social media. Il miliardo di dati è stato raccolto per scopi che includono i test Covid, la tracciabilità dei contatti e la prevenzione dei casi importati – e si tratta solo del primo lotto di dati da smaltire, si legge sempre nel comunicato. La Cina raccoglie una grande quantità di dati sui suoi cittadini (dal DNA e altri campioni biologici al monitoraggio degli spostamenti attraverso una rete capillare di telecamere di sorveglianza). Ma dopo la pandemia, la sorveglianza dello Stato si è spinta più in profondità nella vita privata dei cittadini cinesi, portando a livelli di raccolta dati senza precedenti. Dopo lo smantellamento delle restrizioni zero-Covid, i residenti si sono preoccupati della sicurezza dell’enorme quantità di dati personali archiviati dalle amministrazioni locali, temendo potenziali data breach. Lo scorso luglio è stato rivelato che un enorme database online, apparentemente contenente le informazioni personali di un miliardo di cittadini cinesi, è stato lasciato non protetto e pubblicamente accessibile per più di un anno, fino a quando un utente anonimo di un forum di hacking si è offerto di vendere i dati e ha portato la questione all’attenzione di tutti. I funzionari di Wuxi hanno affermato di aver eliminato più di 40 applicazioni locali utilizzate per la “prevenzione delle epidemie digitali”. Durante la pandemia, applicazioni Covid come queste hanno dettato la vita sociale ed economica in tutta la Cina, controllando se le persone potevano lasciare le loro case, dove potevano viaggiare, quando le imprese potevano aprire e dove le merci potevano essere trasportate. Ma dopo l’improvvisa uscita del Paese da zero Covid a dicembre, la maggior parte di queste app è scomparsa dalla vita quotidiana. In ogni caso, resta il problema di poter verificare in modo indipendente la distruzione dei dati.

English version

The ‘digital age of majority’ for registering for social networks is reached at the age of 15. So according to the bill approved almost unanimously (82 votes to 2) at first reading by the National Assembly of the French Republic. Thus, social networks will be required to verify the age of their users and parental consent for the registration of children under 15, with penalties for non-compliance. The ‘digital age of majority’ of 15 referred to in the text is not new: it was introduced in France in 2018 in application of the GDPR, which left the option of setting it between 13 and 16. But this threshold – which relates more generally to the age below which parental consent is required to process a minor’s personal data – was not really applied and had no impact in terms of minors’ access to social networks. To remedy this, the text voted by the National Assembly introduces the obligation for social networks to ‘implement a technical solution to verify the age of the end users and the consent of the holders of parental authority’ for minors under the age of 15, a ‘solution’ that will have to be certified by the authorities. In case of non-compliance, the company may be fined up to 1% of its worldwide turnover. On social networks, the first registration ‘takes place on average at around eight and a half years of age, and more than half of the children between 10 and 14 years old are present’, according to data made available by the CNIL and quoted by MEPs. The text will now have to be examined by the Senate.

At the Council of the European Union, an agreement was reached on the collection and sharing of data for short-term housing rentals. The ministers of the member states agreed on a general approach to the proposal for a regulation presented by the European Commission on 7 November 2022. As of today, data from online platforms operating in the short-term accommodation rental market are not standardised due to different rules in the member states. The Council therefore supports the creation of a common framework for collecting and sharing data at European level, including provisions that take greater account of the registration systems already in place in individual states. Renting flats, houses or rooms for short periods of time has, in fact, become a common form of accommodation for tourists and travellers. Online platforms have increased the use of these services, which now account for almost a quarter of all tourist accommodation in the EU. Some Member States have implemented different registration systems that differ in scope and in the information that must be submitted by hosts or online platforms. The proposed Regulation therefore aims to produce advantages for all operators in the short-term accommodation rental segment: hosts will be able to use a simple registration procedure, platforms will have a single set of rules for the information they must provide, travellers will be better protected against fraud, and the data processed will be more accurate and reliable. All this will be done in compliance with European data protection regulations. The general approach agreed upon gives the EU Council Presidency a mandate to start negotiations with the European Parliament once the latter has defined its position.

The Chinese city of Wuxi claimed to have destroyed one billion personal data collected during the pandemic. This manufacturing centre of 7.5 million inhabitants on China’s east coast held a ceremony to dispose of Covid-related personal data, according to the city’s Public Security Bureau in a statement on social media. The one billion pieces of data were collected for purposes including Covid testing, contact tracing and prevention of imported cases – and this is only the first batch of data to be disposed of, the statement said. China collects a great deal of data on its citizens (from DNA and other biological samples to tracking movements through a widespread network of surveillance cameras). But since the pandemic, state surveillance has gone deeper into the private lives of Chinese citizens, leading to unprecedented levels of data collection. After the dismantling of zero-Covid restrictions, residents became concerned about the security of the huge amount of personal data stored by local governments, fearing potential data breaches. Last July, it was revealed that a huge online database, apparently containing the personal information of one billion Chinese citizens, was left unprotected and publicly accessible for more than a year, until an anonymous user of a hacking forum offered to sell the data and brought the issue to everyone’s attention. Wuxi officials claimed to have removed more than 40 local applications used for ‘digital epidemic prevention’. During the pandemic, Covid apps like these dictated social and economic life throughout China, controlling whether people could leave their homes, where they could travel, when businesses could open, and where goods could be transported. But after the country’s sudden exit from zero Covid in December, most of these apps disappeared from everyday life. In any case, the problem of being able to independently verify the destruction of data remains.

Privacy Daily 20/2023

In che modo la tua città gestisce i tuoi dati digitali? Con un numero sempre maggiore di dati prodotti ogni giorno nelle nostre città, c’è una crescente necessità di un utilizzo socialmente responsabile della conoscenza generata dai dati per migliorare il processo decisionale e l’efficienza dei servizi pubblici. La tua auto parcheggiata può rimanere ferma perché hai già pagato il ticket? Vuoi segnalare una zona trafficata e dei rischi ad essa connessi, la necessità di manutenzione di una strada o del parco più vicino? In molti casi, le amministrazioni locali si servono di una serie di algoritmi che riducono gli oneri amministrativi e che veicolano le richieste/segnalazioni presso i reparti competenti (quindi, in maniera più certa e più rapida). Helsinky e Amsterdam hanno però fatto di più sforzandosi di stabilire uno standard per l’uso trasparente ed etico degli algoritmi delle amministrazioni cittadine con la creazione di un registro degli algoritmi. Grazie a questo sistema, i cittadini potranno essere messi nelle condizioni di accedere a informazioni comprensibili e aggiornate su come gli algoritmi influenzino le loro vite e potranno esercitare il diritto di conoscere effettivamente i sistemi di raccolta dei loro dati. “In questo modo – ha affermato André Sobczak, Segretario generale, Eurocities – le due città cercano di offrire una salvaguardia per le persone i cui dati possono essere utilizzati da algoritmi e un modello convalidato che altre città possono utilizzare immediatamente, senza dover investire ulteriori risorse stesse”. Basandosi sul lavoro di Amsterdam e Helsinki, Eurocities Digital Forum Lab ad esempio ha sviluppato uno schema di dati open source, che stabilisce un metodo comune che qualsiasi città può adottare quando crea un registro di algoritmi. Sebbene l’intelligenza artificiale possa essere un importante fattore abilitante per migliorare i servizi pubblici e sostenere l’elaborazione di politiche pubbliche, la sua applicazione può sollevare preoccupazioni etiche. Ad esempio, algoritmi complessi in sistemi automatizzati addestrati su dati distorti possono trasporre pregiudizi a gruppi di cittadini. I registri degli algoritmi offrono trasparenza in merito allo sviluppo e all’attuazione degli algoritmi e forniscono un’importante salvaguardia per l’uso responsabile dell’IA. Sulla base dell’esempio di Helsinky e Amsterdam anche altre città hanno deciso di andare nella stessa direzione: Barcellona, ​​Bologna, la Regione di Bruxelles Capitale, Eindhoven, Mannheim, Rotterdam e Sofia.

La posizione tedesca sul Data Act dell’UE, l’iniziativa legislativa per regolamentare le modalità di accesso, condivisione e trasmissione dei dati, è stata inviata la scorsa settimana alla presidenza svedese del Consiglio dell’UE, che sta raccogliendo feedback prima di presentare una nuova proposta di compromesso per la fine del mese. Nello specifico, la Germania ha chiesto chiarezza su una serie di argomenti tra cui l’interazione del Data Act con il regolamento generale sulla protezione dei dati dell’UE, le condizioni legali per la condivisione e il trasferimento dei dati e i tempi di passaggio al cloud. Per Berlino, un punto centrale sono le contraddizioni, le incoerenze e sovrapposizioni tra la proposta di Data Act e il Regolamento generale sulla protezione dei dati per cui il governo tedesco chiede di rendere esplicito che tutti i dati personali ottenuti tramite il Data Act debbano essere gestiti in conformità con il GDPR.

La politica della Cina sulle Big Tech diventa più chiara. O almeno così sembra, vista da Singapore. Dopo anni di politiche repressive nei confronti dei giganti tecnologici, le incertezze normative stanno per svanire e la strada per gli investitori diffidenti sembra più semplice. Così si è espresso Jeffrey Jaensubhakij, Chief Investment Officer del fondo sovrano GIC, nel corso di un panel al World Economic Forum di Davos. Il commento di Jaensubhakij arriva a margine delle dichiarazioni del vice premier cinese Liu He, che sembrano aver chiarito il quadro. Negli ultimi cinque anni, infatti, la Cina è passata da essere una fonte di profitto a un Paese quasi invisibile per via degli invadenti interventi del governo e delle restrizioni pandemiche. Ora, però, gli investitori mondiali stanno cercando di cambiare passo. E la Cina sembra essersi impegnata a rilanciare l’economia e ad accoglierli.

English translation

How does your city manage your digital data? With more and more data being produced every day in our cities, there is a growing need for socially responsible use of data-generated knowledge to improve decision-making and the efficiency of public services. Can your parked car stay parked because you have already paid the ticket? Do you want to report a busy area and its associated risks, the maintenance of a road or the nearest park? In many cases, local administrations make use of a series of algorithms that reduce the administrative burden and channel the requests/reports to the relevant departments (thus, more reliably and faster). Helsinki and Amsterdam have, however, gone further by striving to establish a standard for the transparent and ethical use of city government algorithms with the creation of an algorithm register. Thanks to this system, citizens will be able to access comprehensible and up-to-date information on how algorithms affect their lives and will be able to exercise their right to actually know about the systems that collect their data. “In this way,” said André Sobczak, Secretary General, Eurocities, “the two cities seek to offer a safeguard for people whose data can be used by algorithms and a validated model that other cities can use immediately, without having to invest additional resources themselves. Building on the work of Amsterdam and Helsinki, Eurocities Digital Forum Lab, for instance, has developed an open source data schema, which establishes a common method that any city can adopt when creating a registry of algorithms. Although artificial intelligence can be an important enabler for improving public services and supporting public policy-making, its application can raise ethical concerns. For instance, complex algorithms in automated systems trained on biased data may transpose biases to groups of citizens. Algorithm registries offer transparency regarding the development and implementation of algorithms and provide an important safeguard for the responsible use of AI. Based on the example of Helsinky and Amsterdam, other cities have also decided to go in the same direction: Barcelona, Bologna, the Brussels Capital Region, Eindhoven, Mannheim, Rotterdam and Sofia.

Germany’s position on the EU Data Act, the legislative initiative to regulate how data is accessed, shared and transmitted, was sent last week to the Swedish EU Council Presidency, which is gathering feedback before presenting a new compromise proposal by the end of the month. Specifically, Germany has asked for clarity on a number of topics including the Data Act’s interaction with the EU’s General Data Protection Regulation, the legal conditions for data sharing and transfer, and the timing of the move to the cloud. For Berlin, a central point of criticism are the contradictions and overlaps between the proposed Data Act and the General Data Protection Regulation, whereby the German government demands that it be made explicit that all personal data obtained through the Data Act must be handled in accordance with the GDPR.

China’s Big Tech policy is becoming clearer. Or so it seems, as seen from Singapore. After years of repressive policies towards tech giants, regulatory uncertainties are about to fade and the road for wary investors seems easier. So said Jeffrey Jaensubhakij, Chief Investment Officer of the sovereign wealth fund GIC, during a panel at the World Economic Forum in Davos. Jaensubhakij’s comment comes on the sidelines of statements by Chinese Vice Premier Liu He, which seem to have clarified the picture. Over the past five years, China has gone from being a source of profit to an almost invisible country due to intrusive government interventions and pandemic restrictions. Now, however, global investors are looking for a change of pace. And China seems to be committed to reviving the economy and welcoming them.

Privacy Daily 14/2023

Il Wisconsin e la Carolina del Nord hanno vietato l’uso di TikTok su dispositivi di proprietà del governo per problemi di sicurezza informatica. Qualche giorno fa era toccato al New Jersey, all’Arkansas e all’Ohio bandire l’app, aggiungendosi ad altri 20 stati. Il governatore del Wisconsin Tony Evers, firmando l’ordine di divieto, ha sottolineato che: “Nell’era digitale, difendere la tecnologia del nostro stato e l’infrastruttura di sicurezza informatica e proteggere la privacy digitale devono essere una priorità assoluta per noi a livello statale”, aggiungendo che, oltre a vietare l’app di social media cinese, verranno anche banditi fornitori, prodotti e servizi di nove società, tra cui Huawei Technologies, Tencent Holdings e ZTE Corporation.  La richiesta di vietare TikTok è nata dalle parole di Christopher Wray, direttore dell’FBI, il quale, nel novembre scorso, ha affermato che l’app rappresenta una minaccia per la sicurezza nazionale, tramite la quale il governo cinese può influenzare gli utenti o controllare i loro dispositivi. 

Il governo maltese rinuncia al progetto Safe City Malta, partnership tra il governo maltese e la società tecnologica Huawei per implementare sistemi CCTV di riconoscimento facciale, pensata per i luoghi turistici, come riferisce MaltaToday. Il piano ha sollevato preoccupazioni, anche da parte del già Rapporteur speciale delle Nazioni Unite sulla privacy Joe Cannataci. Una preoccupazione diffusa sull’Isola anche da settori della società civile preoccupati per i piani di espansione di Huawei con particolare riguardo all’utilizzo di algoritmi di riconoscimento facciale e sulla raccolta dei dati dei cittadini maltesi da parte dal colosso cinese. Altri giganti della tecnologia cinese, come ZTE, hanno fornito infatti al governo etiope l’infrastruttura necessaria per monitorare le comunicazioni dei suoi cittadini, mentre, CloudWalk Technology, una start-up con sede a Guangzhou, ha firmato un accordo con il governo dello Zimbabwe per realizzare un programma di riconoscimento facciale di massa, replicando parti dell’infrastruttura di sorveglianza che limita le libertà in Cina.

Check Point Research, la divisione Threat Intelligence della società di sicurezza informatica Check Point Software, ha condiviso nuovi dati sui trend degli attacchi informatici nel 2022, che, nel mondo, sono aumentati del 38% rispetto al 2021. Si tratta di numeri determinati da gruppi hacker e ransomware più piccoli, che hanno aumentato il volume delle violazioni. Uno degli obiettivi preferiti dei criminali sono le organizzazioni sanitarie, che hanno registrato il maggior aumento di cyberattacchi durante lo scorso anno, in media 1.463 settimanali, un numero superiore del 74% rispetto a quello registrato nel 2021. Check Point Research sottolinea che la diffusione della tecnologia AI, come ChatGPT, potrebbe accelerare il numero di attacchi per il 2023.

English Translation

Wisconsin and North Carolina have banned the use of TikTok on government-owned devices due to cybersecurity concerns. A few days ago it was the turn of New Jersey, Arkansas and Ohio to ban the app, joining 20 other states. Wisconsin Governor Tony Evers, signing the ban order, emphasised that: “In the digital age, defending our state’s technology and cybersecurity infrastructure and protecting digital privacy must be a top priority for us at the state level,” adding that in addition to banning the Chinese social media app, suppliers, products and services from nine companies, including Huawei Technologies, Tencent Holdings and ZTE Corporation, will also be banned.  The call to ban TikTok was fuelled by the words of Christopher Wray, director of the FBI, who said last November that the app poses a threat to national security, through which the Chinese government can influence users or control their devices. 

The Maltese government is abandoning the Safe City Malta project, a partnership between the Maltese government and technology company Huawei to implement facial recognition CCTV systems designed for tourist sites, as MaltaToday reports. The plan has raised concerns, including from former UN Special Rapporteur on Privacy Joe Cannataci. Concerns have also been spread on the island by sectors of civil society worried about Huawei’s expansion plans with particular regard to the use of facial recognition algorithms and the Chinese giant’s collection of Maltese citizens’ data. Other Chinese technology giants, such as ZTE, have in fact provided the Ethiopian government with the necessary infrastructure to monitor the communications of its citizens, while, CloudWalk Technology, a Guangzhou-based start-up, has signed an agreement with the Zimbabwean government to implement a mass facial recognition programme, replicating parts of the surveillance infrastructure that restricts freedoms in China.

Check Point Research, the Threat Intelligence division of the cybersecurity company Check Point Software, shared new data on cyber attack trends in 2022, which increased by 38 per cent worldwide compared to 2021. These numbers are driven by smaller hacker groups and ransomware, which have increased the volume of breaches. Targeted by criminals are healthcare organisations, which recorded the largest increase in cyberattacks during the past year, averaging 1,463 weekly, a number 74% higher than in 2021. Check Point Research points out that the spread of AI technology, such as ChatGPT, could accelerate the number of attacks by 2023.