N. 137/2023

LE TRE NEWS DI OGGI:

• NORVEGIA, VERSO IL DIVIETO DI TRACCIAMENTO ON LINE DEGLI UTENTI A SCOPO PUBBLICITARIO PER META
• SCOZIA, L’UTILIZZO DEL CLOUD PER I DATI BIOMETRICI SOLLEVA POLEMICHE
• THAILANDIA, UOMO ARRESTATO A PHUKET PER LA VENDITA DEI DATI PERSONALI

Ai giganti dei social media Facebook e Instagram sarà presto vietato in Norvegia di tracciare gli utenti online per indirizzarli alla pubblicità. L’Autorità norvegese per la protezione dei dati ha ordinato all’azienda tecnologica statunitense Meta, società madre di Facebook e Instagram, di smettere di mostrare agli utenti norvegesi annunci personalizzati basati sulla loro attività online e sulla loro posizione stimata. Il divieto scatterà a partire da agosto, secondo un ordine ottenuto in esclusiva da POLITICO e inviato a Meta il 14 luglio.Le pratiche pubblicitarie di Meta su Facebook e Instagram comportano attualmente “il trattamento di dati personali molto privati e sensibili attraverso operazioni di monitoraggio e profilazione altamente opache e intrusive”, ha scritto l’agenzia norvegese Datatilsynet. Il divieto della cosiddetta pubblicità comportamentale durerà tre mesi, a partire dal 4 agosto. Facebook e Instagram potranno mostrare alle persone annunci pubblicitari personalizzati, ma solo sulla base delle informazioni fornite dagli utenti nella sezione “About” dei loro profili. Meta dovrà affrontare multe giornaliere di 1 milione di corone norvegesi (89.500 euro) se non rispetterà l’ordine.Il divieto temporaneo potrebbe essere revocato se Meta troverà un modo per trattare legalmente i dati personali e dare agli utenti il diritto di rinunciare alla pubblicità mirata basata sul tracciamento, si legge nell’ordinanza.  La restrizione arriva dopo che la Corte di Giustizia dell’Unione Europea, il 4 luglio, ha stabilito che Meta stava raccogliendo illegalmente i dati delle persone per indirizzare loro pubblicità senza il loro esplicito consenso e sulla base del “legittimo interesse” dell’azienda. Meta è anche attualmente sotto esame da parte del suo principale regolatore della privacy, la Commissione irlandese per la protezione dei dati, per le sue pratiche pubblicitarie. A gennaio l’autorità con sede a Dublino ha multato la società di social media per un totale di 390 milioni di euro per aver violato la privacy dei cittadini europei. Ha ordinato a Meta di trovare una nuova base giuridica per il suo modello di business. L’azienda tecnologica ha presentato ricorso contro la decisione.La Commissione irlandese per la protezione dei dati prevede di prendere una decisione sulla base giuridica di Meta per le sue operazioni di pubblicità mirata “entro e non oltre la metà di agosto”, ha dichiarato il vice commissario e portavoce dell’agenzia Graham Doyle. L’autorità di regolamentazione irlandese supervisiona Meta ai sensi del Regolamento generale sulla protezione dei dati (GDPR) per l’intera Europa, poiché l’azienda tecnologica ha la sua sede regionale lì. Altri Paesi europei, come la Norvegia, possono emettere decisioni nazionali con un limite di tempo di tre mesi in un “caso di urgenza” ai sensi del GDPR.”Il persistente stato di non conformità a seguito delle decisioni [irlandesi] richiede un’azione immediata per proteggere i diritti e le libertà degli interessati europei”, ha scritto l’agenzia norvegese nel suo ordine. L’autorità di regolamentazione norvegese è la prima autorità europea per la privacy a limitare severamente l’attività di Meta basata sui dati in seguito alla sentenza della Corte Suprema dell’UE. L’agenzia ha dichiarato che intende richiedere una decisione vincolante urgente all’European Data Protection Board (EDPB) – la rete di autorità di regolamentazione della privacy della regione – per decidere le misure finali.

All’inizio di aprile 2023, Computer Weekly ha rivelato che il servizio Digital Evidence Sharing Capability (DESC) del governo scozzese – appaltato al fornitore di body-worn video Axon per la consegna e ospitato su Microsoft Azure – era in fase di sperimentazione, nonostante l’organo di controllo della polizia avesse sollevato preoccupazioni sul fatto che l’uso di Azure “non sarebbe stato legale”.Secondo una valutazione d’impatto sulla protezione dei dati (DPIA) dell’Autorità di polizia scozzese (SPA) – che rileva che il sistema elaborerà informazioni genetiche e biometriche – il sistema presenta diversi rischi per i diritti degli interessati.Tra questi, il potenziale accesso del governo degli Stati Uniti attraverso il Cloud Act, che di fatto dà al governo degli Stati Uniti l’accesso a qualsiasi dato, memorizzato ovunque, dalle aziende statunitensi nel cloud; l’uso da parte di Microsoft di clausole contrattuali generiche, anziché specifiche; e l’incapacità di Axon di rispettare le clausole contrattuali sulla salvaguardia della sovranità dei dati. Sulla scia del servizio di Computer Weekly, il 22 aprile 2023 il commissario scozzese per la biometria Brian Plastow ha notificato alla Police Scotland (il principale responsabile del trattamento dei dati per il sistema) una nota informativa formale, chiedendo alla forza di polizia di dimostrare che l’uso del sistema è conforme alla Parte terza del Data Protection Act 2018 (DPA 18), che contiene le norme sulla protezione dei dati specifiche per le forze dell’ordine del Regno Unito.Sebbene la risposta di Police Scotland a Plastow non sia stata divulgata pubblicamente, questi ha confermato in una corrispondenza con Computer Weekly che la forza ha “caricato volumi significativi di immagini su DESC durante questo progetto pilota”, che includeva in particolare fotogrammi e immagini CCTV.Ha inoltre confermato con i servizi di polizia forense dell’autorità scozzese che non sono stati caricati profili di DNA o impronte digitali, in attesa di chiarimenti da parte del commissario per l’informazione del Regno Unito, che ha stabilito se ciò non sia in contrasto con la legge britannica sulla protezione dei dati.

Gli agenti del Digital Crimes Investigation Bureau (CCIB) hanno arrestato ieri un uomo a Phuket per aver venduto dati personali raccolti da siti di scommesse online.Il sospetto, “Mr Phadungkiat”, 28 anni, è stato arrestato intorno alle 12.30 del 14 luglio nel distretto di Muang, ha dichiarato il CCIB.Phadungkiat aveva un mandato d’arresto emesso dal tribunale provinciale di Phuket per reati previsti dalla legge sul crimine informatico del 2007, dalla legge sul gioco d’azzardo del 1935 e dalla legge sulla protezione dei dati personali del 2019 (PDPA), ha dichiarato la CCIB nel suo rapporto.Gli agenti della CCIB avevano arrestato un sospetto a Trang, il che ha portato all’arresto di ieri, ha dichiarato il commissario della CCIB, il tenente generale Worawat Watnakornbancha. Gli agenti hanno appreso che Phadungkiat, laureato in informatica presso la Facoltà di Ingegneria, era un amministratore di sistema di un sito di scommesse online.Hanno sequestrato telefoni cellulari, computer, libri copti e dispositivi di archiviazione dati.I dati personali, provenienti da oltre 2 milioni di account online, venivano venduti su un gruppo privato di Facebook, che conta circa 100.000 membri, ha dichiarato la CCIB.Il database dei clienti dei siti di scommesse online comprendeva informazioni come nome e cognome e numeri di telefono degli utenti. I loro numeri di conto bancario e le informazioni sul conto Line.I dati sono stati venduti a vari prezzi, da B500 (MONETA LOCALE) per i dettagli di 100.000 nomi a B3.500 per l’elenco completo di oltre 2 milioni di nomi, ha dichiarato il tenente generale Worawat.Gli acquirenti erano in grado di utilizzare questi dati personali per campagne di promozione di siti di scommesse online per truffe online, utilizzando le informazioni ottenute per contattare i bersagli per telefono, SMS o via linea, ha aggiunto il tenente generale Worawat.Phadungkiat aveva sviluppato un sistema “pronto all’uso”, completo di un sito web funzionale, un’interfaccia dati e un database pronto per essere scaricato, ha dichiarato.Ha iniziato vendendo per 8.000 sterline i dati di quasi 2 milioni di account Facebook, utilizzati per il marketing e la pubblicità di un sito di scommesse online da lui gestito. Phadungkiat ha dichiarato di aver venduto i dati, in varie quantità, “circa sei volte”.Il mese successivo ha lasciato i siti di scommesse online per concentrarsi sulla vendita di dati personali.Phadungkiat ha venduto dati personali per circa un anno. In quel periodo aveva tra i “15 e i 20 clienti”, che gli permettevano di guadagnare una media di 50.000 dollari al mese, afferma il tenente generale Worawat.Phadungkiat è stato accusato dei reati elencati nel mandato di arresto. Gli agenti stanno proseguendo le indagini, ha dichiarato il tenente generale Worawat.Nel suo rapporto, la CCIB invita il pubblico a diffidare delle informazioni che comunica online, avvertendo che queste potrebbero essere usate contro di lui.

English version

• NORWAY, TOWARDS A BAN ON ONLINE TRACKING OF USERS FOR PUBLICITY PURPOSES FOR META
• SCOTLAND, USE OF CLOUD FOR BIOMETRIC DATA RAISES POLEMICY
• THAILAND, MAN ARRESTED IN PHUKET FOR SELLING PERSONAL DATA

Social media giants Facebook and Instagram will soon be temporarily banned in Norway from tracking users online to target them with advertising.The Norwegian Data Protection Authority ordered U.S. technology firm Meta, the parent company of Facebook and Instagram, to stop showing users in Norway personalized ads based on their online activity and estimated locations. The ban kicks in from August, according to an order obtained exclusively by POLITICO and sent to Meta on July 14.Meta’s advertising practice on Facebook and Instagram currently involves the “processing of very private and sensitive personal data through highly opaque and intrusive monitoring and profiling operations,” wrote Norway’s Datatilsynet agency.The ban on so-called behavioral advertising will last three months, starting from August 4. Facebook and Instagram will be able to show people customized ads but only based on information given by users in the “about” section of their profiles.Meta will face daily fines of 1 million Norwegian Krone (€89,500) if it doesn’t comply with the order.The temporary ban could be lifted if Meta finds a way to legally process personal data and give users the rights to opt out of targeted advertising based on tracking, the order said.  The restriction comes after the Court of Justice of the European Union on July 4 ruled that Meta was unlawfully collecting people’s data to target them with ads without their explicit consent and based on the firm’s “legitimate interest.”Meta is also currently under scrutiny from its lead privacy regulator, the Irish Data Protection Commission, over its advertising practices. The Dublin-based authority fined the social media company in January a total of €390 million for infringing Europeans’ privacy. It ordered Meta to find a new legal basis for its business model. The tech company has appealed the decision.The Irish Data Protection Commission plans on making a decision on Meta’s legal basis for its targeted advertising operations “by no later than mid-August,” said the agency’s Deputy Commissioner and Spokesperson Graham Doyle.The Irish regulator oversees Meta under the General Data Protection Regulation (GDPR) for the whole of Europe because the tech company has its regional headquarters there. Other European countries such as Norway are able to issue national decisions for a time limit of three months in a “case of urgency” under the GDPR.”The persistent state of non-compliance following the [Irish] decisions demand[s] immediate action to protect the rights and freedoms of European data subjects,” wrote the Norwegian data agency in its order.The Norwegian regulator is the first European privacy authority to severely restrict Meta’s data-driven business following the EU’s top court ruling. It said it also plans to request an urgent binding decision from the European Data Protection Board (EDPB) — the region’s network of privacy regulators — to decide on final measures.

Police Scotland has “uploaded significant volumes of images” to its cloud-based digital evidence-sharing system despite major ongoing data protection concerns, finds formal information notice from the Scottish biometrics commissioner.At the start of April 2023, Computer Weekly revealed the Scottish government’s Digital Evidence Sharing Capability (DESC) service – contracted to body-worn video provider Axon for delivery and hosted on Microsoft Azure – was being piloted despite the police watchdog raising concerns about how the use of Azure “would not be legal”.According to a Data Protection Impact Assessment (DPIA) by the Scottish Police Authority (SPA) – which notes the system will be processing genetic and biometric information – the system presents several risks to data subjects’ rights.This includes the potential for US government access via the Cloud Act, which effectively gives the US government access to any data, stored anywhere, by US corporations in the cloud; Microsoft’s use of generic, rather than specific, contracts; and Axon’s inability to comply with contractual clauses around data sovereignty.In the wake of Computer Weekly’s coverage, Scottish biometrics commissioner Brian Plastow served Police Scotland (the lead data controller for the system) with a formal information notice on 22 April 2023, requiring the force to demonstrate that its use of the system is compliant with Part Three of the Data Protection Act 2018 (DPA 18), which contains the UK’s law enforcement-specific data protection rules.Plastow specifically asked whether biometric data transfers have taken place, what types have been transferred, in what volumes, and which country the data is being hosted in.While Police Scotland’s response to Plastow has not been publicly disclosed, he confirmed in correspondence with Computer Weekly that the force “uploaded significant image volumes to DESC during this pilot”, which specifically included stills and CCTV images.He also confirmed with the Scottish Police Authority Forensic Services that no DNA profiles or fingerprints have been uploaded, pending clarification from the UK Information Commissioner on whether he is satisfied that doing so would not conflict with UK data protection law.

Officers from the Digital Crimes Investigation Bureau (CCIB) arrested a man in Phuket yesterday for selling personal data gleaned from online betting sites.The suspect, “Mr Phadungkiat”, 28, was arrested at around 12.30pm on 14 July in Muang district, the CCIB said.Phadungkiat had an arrest warrant from Phuket Provincial Court for offences under the Computer Crime Act 2007, the Gambling Act 1935 and the Personal Data Protection Act 2019 (PDPA), the CCIB said in its report.CCIB officers had arrested a suspect in Trang, which led to yesterday’s arrest, said CCIB commissioner Lieutenant-General Worawat Watnakornbancha.Officers learned that Phadungkiat, a computer science graduate from the Faculty of Engineering, was a system administrator for an online betting site, he added.They seized mobile phones, computers, Coptic books and data storage devices.The personal data, from more than 2 million online accounts, was being sold on a private Facebook group, which has around 100,000 members, the CCIB said.The database of online betting site customers included information such as users’ first and last names and telephone numbers. Their bank account numbers and Line account information.The data was sold at various prices, from B500 for the details of 100,000 names to B3,500 for the complete list of more than 2 million names, said Lieutenant-General Worawat.The buyers were able to use this personal data for campaigns to promote online betting sites for online scams by using the information obtained to contact targets by telephone, SMS or via Line, Lieutenant-General Worawat added.Phadungkiat had developed a ‘ready-to-use’ system, complete with a functional website, a data interface, and a database ready for download, he said.He began by selling the data from nearly 2 million Facebook accounts for B8,000, used for marketing and advertising an online betting site he managed. Phadungkiat said he sold the data, in various quantities, “about six times”.The following month, he left the online betting sites to concentrate on selling personal data. Phadungkiat sold personal data for about a year. At that time he had between “15 and 20 customers”, enabling him to earn an average of B50,000 a month, says Lieutenant-General Worawat.Phadungkiat has been charged with the offences listed in the arrest warrant. Officers are continuing their investigation, Lieutenant-General Worawat said.In its report, the CCIB calls on the public to be wary of the information they communicate online, warning that this information could be used against them.