Privacy Daily 25/2023

La Presidente della CNIL avverte: niente riconoscimento facciale per le Olimpiadi 2024. L’apparto di sicurezza che la Francia sta predisponendo in vista delle Olimpiadi estive includerà, per la prima volta, telecamere dotate di intelligenza artificiale. È così che il governo sta cercando di aumentare il suo arsenale di poteri di sorveglianza per garantire la sicurezza dei milioni di turisti attesi. La legge che introduce questi nuovi poteri è in votazione al Senato ed è in corso uno scontro tra coloro che vogliono aggiungere tutele per la privacy e coloro che vogliono aumentare il potenziale dei dispositivi di sorveglianza e sicurezza, soprattutto introducendo il riconoscimento facciale. A riguardo, la Presidente dell’Autorità garante francese, Marie-Laure Denis, ha affermato con chiarezza: “I membri del collegio della CNIL invitano i parlamentari a non introdurre il riconoscimento facciale, cioè l’identificazione in tempo reale delle persone nello spazio pubblico”. Un primo emendamento per includere il riconoscimento facciale è stato già respinto in commissione al Senato, ma può tornare in sessione plenaria.

La Royal Society indaga sul potenziale delle PETs (Privacy Enhancing Technologies) per massimizzare i benefici e ridurre i danni associati all’uso dei dati.  Il nuovo rapporto 2023, intitolato From privacy to partnership: the role of Privacy Enhancing Technologies in data governance and collaborative analysis, analizza il potenziale delle PETs nell’assicurare un uso sicuro e rapido dei dati sensibili, al fine di un più ampio beneficio pubblico. Il documento, realizzato in stretta collaborazione con l’Alan Turing Institute, esamina il ruolo di queste tecnologie nell’affrontare le questioni di governance dei dati al di là della privacy. In particolare, nel documento vengono approfondite le modalità di impiego delle PETs per supportare la governance dei dati e consentire usi nuovi, i principali ostacoli e i fattori abilitanti all’impiego di tali tecnologie e il loro inserimento nei quadri di valutazione e bilanciamento dei rischi, dei danni e dei benefici quando si lavora con i dati personali.

Continua la saga del “Watergate” greco. La commissione d’inchiesta del Parlamento europeo istituita per indagare sull’uso di Pegasus e di software di sorveglianza equivalenti (PEGA) sta per presentare la sua bozza di raccomandazione alla Commissione e al Consiglio UE. A quanto pare, è molto probabile che il governo ellenico verrà richiamato al rispetto dell’indipendenza dell’autorità nazionale responsabile per le questioni di privacy (ADAE) e in particolare del suo presidente, Christos Rammos. L’insistenza di quest’ultimo nel far luce sul caso sembra, infatti, aver indisposto il governo e, secondo gli analisti, c’è da aspettarsi che questa vicenda avveleni il clima politico del Paese fino alle prossime elezioni. Ma Rammos è determinato a ottenere risultati concreti.

English Translation

The President of the CNIL warns: no facial recognition for the 2024 Olympics. The security apparatus France is preparing for the Summer Olympics will include, for the first time, cameras equipped with artificial intelligence. This is how the government is seeking to increase its arsenal of surveillance powers to ensure the safety of the millions of expected tourists. The bill introducing these new powers is being voted on in the Senate, and a clash is underway between those who want to add privacy protections and those who want to increase the potential of surveillance and security devices, especially by introducing facial recognition. In this regard, the President of the French Supervisory Authority, Marie-Laure Denis, issued a clearly warning: ‘The members of the CNIL’s college call on parliamentarians not to introduce facial recognition, that is to say the identification of people on the fly in the public space”. A first amendment to include facial recognition has already been rejected in the Senate committee, but may return to the plenary session

The Royal Society investigates the potential of Privacy Enhancing Technologies (PETs) to maximise the benefits and reduce the harms associated with data use.  The new report 2023, entitled From privacy to partnership: the role of Privacy Enhancing Technologies in data governance and collaborative analysis, explores the potential of PETs in ensuring the secure and rapid use of sensitive data for wider public benefit. The paper, produced in close collaboration with the Alan Turing Institute, examines the role of these technologies in addressing data governance issues beyond privacy. In particular, the paper explores how PETs can be used to support data governance and enable novel uses, the main barriers and enablers to the use of these technologies, and their inclusion in risk, harm and benefit assessment and balancing frameworks when working with personal data.

The Greek ‘Watergate’ saga continues. The European Parliament enquiry committee set up to investigate the use of Pegasus and equivalent surveillance software (PEGA) is about to submit its draft recommendation to the EU Commission and Council. Apparently, it is very likely that the Greek government will be reminded of the independence of the national authority responsible for privacy issues (ADAE) and in particular its president, Christos Rammos. The latter’s insistence on shedding light on the case seems, in fact, to have indisposed the government and, according to analysts, it is to be expected that this affair will poison the country’s political climate until the next elections. But Rammos is determined to achieve concrete results.

Privacy Daily 24/2023

L’autorità francese per la protezione dei dati, la Commission nationale de l’informatique et des libertés, ha lanciato una consultazione pubblica sulle questioni economiche associate alla raccolta e all’elaborazione dei dati da parte delle applicazioni mobili. Come annunciato nel suo piano d’azione del 24 novembre, la CNIL ha affermato che il suo obiettivo “è rendere visibili i flussi di dati e rafforzare la conformità delle applicazioni mobili e dei loro ecosistemi al fine di proteggere meglio la privacy degli utenti”. Nel comunicato la Cnil, ha aggiunto che l’approccio “dovrebbe consentire di misurare il potenziale impatto delle scelte normative della CNIL sugli attori francesi, europei e internazionali, in particolare sugli aspetti della concorrenza e dell’innovazione”. Il piano strategico 2022-2024 della CNIL, si è posto tra i temi prioritari: “la raccolta di dati personali nelle applicazioni per smartphone “. Di fronte alla polivalenza delle tecnologie e all’eterogeneità delle pratiche, l’obiettivo della CNIL è rendere visibili i flussi di dati e rafforzare la conformità delle applicazioni mobili e dei loro ecosistemi.

Il Rapporto dell’Università di Oxford dal titolo “Automating Immigration and Asylum: The Uses of New Technologies in Migration and Asylum Governance in Europe” analizza in 76 pagine il delicato tema dell’uso in tutta Europa delle nuove tecnologie anche nel campo della migrazione e dell’asilo. Diversi Stati hanno iniziato a usarle (o a testarle) per controllare chi entra nei propri confini o per scegliere chi può accedere o meno ai propri territori. L’uso di nuove tecnologie può talora accelerare i processi decisionali a vantaggio delle agenzie governative e di alcuni richiedenti. Tuttavia, l’impiego di questi sistemi potrebbe potenzialmente provocare anche nuove vulnerabilità e discriminazioni. Peraltro, i potenziali “errori della macchina” rappresentano una minaccia significativa per migranti e richiedenti asilo, dal momento che un’errata decisione di rimpatrio potrebbe tradursi in un serio rischio per la libertà e la vita. Inoltre, gli studiosi di Oxford evidenziano che, siccome la proposta di Regolamento europeo sull’IA classifica le applicazioni connesse all’immigrazione, all’asilo e al controllo delle frontiere come “ad alto rischio”, è necessaria un’indagine sistematica sulle pratiche attuali e sulla portata del loro utilizzo nei Paesi europei.

Gira un video e diventa “ambasciatore della privacy”. Il contest del Garante privacy dedicato alle scuole, un concorso per gli studenti delle scuole superiori di secondo grado chiamati a realizzare un video per spiegare ai coetanei cosa è per loro la privacy e come tutelarla. L’iniziativa del Garante, realizzata con il supporto tecnico di Skuola.net, ha lo scopo di coinvolgere insegnanti e ragazzi in progetti di informazione e sensibilizzazione sul valore dei dati personali e sull’importanza di difenderli, soprattutto nella dimensione digitale. L’Autorità mette a disposizione degli istituti scolastici che intendono partecipare un apposito kit didattico per sviluppare percorsi di formazione su temi di grande impatto, soprattutto per i più giovani, tra i quali, in particolare il cyberbullismo; i furti di identità; il revenge porn; la profilazione on line; gli assistenti digitali; i dispositivi indossabili; i deepfake.

English Translation

The French data protection authority, the Commission nationale de l’informatique et des libertés, launched a public consultation on the economic issues associated with the collection and processing of data by mobile applications. As announced in its action plan of 24 November, the CNIL stated that its goal ‘is to make data flows visible and strengthen the compliance of mobile applications and their ecosystems, to better protect users’ privacy’. It added that the approach ‘should make it possible to measure the potential impact of CNIL’s regulatory choices on French, European and international actors, particularly on competition and innovation aspects’. The CNIL’s 2022-2024 strategic plan set as one of its priority themes ‘the collection of personal data in smartphone applications’. Faced with the polyvalence of technologies and the heterogeneity of practices, the CNIL’s objective is to make data flows visible and to strengthen the compliance of mobile applications and their ecosystems.

The Oxford University report entitled ‘Automating Immigration and Asylum: The Uses of New Technologies in Migration and Asylum Governance in Europe’ analyses in 76 pages the sensitive topic of the use of new technologies in the field of migration and asylum throughout Europe. Several states have started to use (or test) them to control who enters their borders or to choose who may or may not enter their territories. The use of new technologies can sometimes speed up decision-making processes to the benefit of government agencies and some applicants. However, the use of these systems could also potentially lead to new vulnerabilities and discrimination. Moreover, potential ‘machine errors’ pose a significant threat to migrants and asylum seekers, as a wrong return decision could result in a serious risk to freedom and life. Furthermore, the Oxford scholars point out that since the proposed European AI Regulation classifies applications related to immigration, asylum and border control as ‘high-risk’, a systematic investigation of current practices and the extent of their use in European countries is necessary.

Shoot a video and become a ‘privacy ambassador‘. The Privacy Guarantor’s contest dedicated to schools, a competition for secondary school students called upon to make a video to explain to their peers what privacy means to them and how to protect it. The Garante’s initiative, realised with the technical support of Skuola.net, aims to involve teachers and students in information and awareness-raising projects on the value of personal data and the importance of defending them, especially in the digital dimension. The Authority is making a special teaching kit available to schools wishing to participate in order to develop training courses on topics of great impact, especially for young people, including, in particular, cyberbullying; identity theft; revenge porn; online profiling; digital assistants; wearable devices; and deepfakes.

Privacy Daily 13/2023

In un editoriale per il Wall Street Journal, ripreso dalla Reuters, il presidente degli Stati Uniti Joe Biden ha ribadito la richiesta al Congresso degli Stati Uniti di approvare una legislazione federale organica sulla privacy. Tra i principi generali per la riforma di Biden contro le Big Tech, il Presidente USA ha affermato che sono in cima alla lista: “una serie protezioni federali per la privacy degli americani. Ciò significa limiti chiari su come le aziende possono raccogliere, utilizzare e condividere dati altamente personali: la cronologia di Internet, le comunicazioni personali, la posizione, i dati sanitari, genetici e biometrici. Non è sufficiente che le aziende rivelino quali dati stanno raccogliendo. Molti di questi dati non dovrebbero essere raccolti in primo luogo. Queste protezioni dovrebbero essere ancora più forti per i giovani, che sono particolarmente vulnerabili online. Dovremmo limitare la pubblicità mirata e vietarla del tutto per i bambini”. “Ci saranno molte questioni politiche su cui non siamo d’accordo nel nuovo Congresso – ha concluso Biden nel suo editoriale – ma le proposte bipartisan per proteggere la nostra privacy e i nostri figli, prevenire la discriminazione, lo sfruttamento sessuale e lo stalking informatico e affrontare i comportamenti anticoncorrenziali non dovrebbero separarci. Uniamoci dietro i nostri valori condivisi e mostriamo alla nazione che possiamo lavorare insieme per portare a termine il lavoro”.

La Cnil ha annunciato di aver inflitto una multa di 5 milioni di euro al social network cinese Tik Tok. Contestate le pratiche di raccolta del consenso degli utenti di Internet e la gestione dei cookie pubblicitari. ” La privacy dei nostri utenti rimane una priorità assoluta per TikTok “, commenta l’azienda, che sottolinea che queste sanzioni riguardano ” pratiche precedenti che abbiamo modificato lo scorso anno. » Il Garante francesce aveva concesso ai siti operanti in Francia fino al 1 aprile 2021 di modificare i propri banner informativi sui cookie. La Cnil ha da allora effettuato una serie di controlli che hanno portato a sanzioni nei confronti di molti player digitali, tra cui Google, Facebook, Microsoft e Amazon. Ora la procedura contro Tik Tok. Nella sua delibera, l’autorità di regolamentazione dà atto che il social network ha collaborato alla sua indagine. Il social ha quattro mesi di tempo per presentare ricorso al Consiglio di Stato. “ Questa decisione è solo il primo mattone delle azioni della Cnil riguardanti TikTok ”, spiega a Figaro il suo segretario generale Louis Dutheillet de Lamothe. Il regolatore ha infatti avviato altre due inchieste nel 2021 sul trasferimento dei dati degli utenti europei in Cina, nonché sul trattamento dei dati personali degli utenti di età inferiore ai 18 anni, che rappresentano una parte significativa della platea di Tik Tok.

In Veneto si vorrebbe fosse un algoritmo a decidere se la priorità segnata dal medico sull’impegnativa risulti o meno appropriata. Ma i medici non ci stanno. “La priorità espressa sulle richieste di indagini fa parte dell’atto medico in sé e non può essere guidata e compressa in un algoritmo, perché esprime la valutazione del professionista, basata su criteri clinici, sulla necessità della tempistica di esecuzione di quella precisa indagine per quel paziente specifico”, obietta Liana Lora, segretario del Sindacato medici italiani del Veneto attaccando la delibera regionale che stabilisce l’entrata in vigore dei Raggruppamenti di attesa omogenei (Rao), una novità pensata per arginare le liste d’attesa. Istituiti a inizio mese i Raggruppamenti di attesa omogenei sono griglie di scelta preordinate per le tempistiche dello svolgimento delle indagini diagnostiche prescritte dai medici. Questione da approfondire anche in una dimensione di protezione dei dati personali.

English Translation

In an editorial for the Wall Street Journal, picked up by Reuters, US President Joe Biden reiterated his call for the US Congress to pass comprehensive federal privacy legislation. Among the overarching principles for Biden’s reform against Big Tech, the US President said are at the top of the list: ‘First, we need serious federal protections for Americans’ privacy. That means clear limits on how companies can collect, use and share highly personal data—your internet history, your personal communications, your location, and your health, genetic and biometric data. It’s not enough for companies to disclose what data they’re collecting. Much of that data shouldn’t be collected in the first place. These protections should be even stronger for young people, who are especially vulnerable online. We should limit targeted advertising and ban it altogether for children”. “There will be many policy issues we disagree on in the new Congress – Biden concluded in his editorial – but bipartisan proposals to protect our privacy and our children; to prevent discrimination, sexual exploitation, and cyberstalking; and to tackle anticompetitive conduct shouldn’t separate us. Let’s unite behind our shared values and show the nation we can work together to get the job done”,

Cnil announced that it has imposed a fine of EUR 5 million on the Chinese social network Tik Tok. The practices of collecting consent from Internet users and the management of advertising cookies were contested. ” The privacy of our users remains a top priority for TikTok “, comments the company, which emphasises that these sanctions concern ” previous practices that we changed last year. ” The French Garante had granted sites operating in France until 1 April 2021 to modify their cookie information banners. The Cnil has since carried out a series of checks that have led to sanctions against many digital players, including Google, Facebook, Microsoft and Amazon. Now the proceedings against Tik Tok. In its ruling, the regulator acknowledges that the social network cooperated with its investigation. The social has four months to appeal to the Council of State. “This decision is just the first brick in the Cnil’s actions concerning TikTok,” its secretary general Louis Dutheillet de Lamothe tells Figaro. Indeed, the regulator has launched two other investigations in 2021 on the transfer of European users’ data to China, as well as on the processing of personal data of users under the age of 18, who represent a significant part of Tik Tok’s audience.

In Veneto, an algorithm will decide whether the priority marked by the doctor on the prescription is appropriate or not. And the doctors do not agree. “The priority expressed on requests for investigations is part of the medical act in itself and cannot be guided and compressed in an algorithm, because it expresses the professional’s assessment, based on clinical criteria, of the need for the timing of the execution of that specific investigation for that specific patient,’ objects Liana Lora, secretary of the Veneto Italian Doctors’ Union, attacking the regional resolution that establishes the entry into force of the Homogeneous Waiting Groups (Rao), a new feature designed to curb waiting lists. Set up at the beginning of the month, the Homogeneous Waiting Groups are preordained grids for the timing of diagnostic investigations prescribed by doctors. Issue to be explored also in a data protection dimension.

Le iniziative delle altre Autorità

Sanzione da 8 milioni di euro del Garante francese (CNIL) a Apple

Il 29 dicembre 2022, il Garante privacy francese (CNIL) ha inflitto una sanzione da 8 milioni di euro ad Apple Distribution International per aver utilizzato gli identificatori memorizzati sui devices degli utenti francesi di iPhone (versione iOS 14.6) a fini pubblicitari.

A seguito di una serie di ispezioni, condotte dalla CNIL tra il 2021 e il 2022, è emerso che con la versione 14.6 del sistema operativo dell’iPhone, quando un utente visitava l’App Store, gli identificatori – utilizzati per vari fini, tra cui quello pubblicitario – venivano letti automaticamente senza ottenere il consenso.

Infatti, le impostazioni di targeting pubblicitario disponibili dall’icona “Impostazioni” dell’iPhone erano preselezionati by default e per disattivarle l’utente avrebbe dovuto eseguire diverse azioni (cliccare sull’icona “Impostazioni” dell’iPhone, poi andare nel menu “Privacy” e infine nella sezione “Pubblicità Apple”).

Pertanto la CNIL, riscontrando una violazione dell’art. 82 della Loi Informatique et Libertés ha sanzionato Apple Distribution International per 8 milioni di euro. Nel valutare l’importo l’Autorità transalpina ha tenuto conto del numero di persone coinvolte in Francia e dei profitti che l’azienda ha ottenuto grazie agli introiti pubblicitari indirettamente generati dai dati raccolti, ma anche dell’ambito limitato del trattamento (App Store) e del fatto che l’azienda si è poi adeguata.

È interessante notare che la CNIL si è considerata competente sulla vicenda da cui è scaturita la sanzione senza attivare il meccanico dello one-stop shop previsto dal GDPR. Infatti, l’Autorità ha ritenuto che le operazioni connesse all’uso degli identificatori rientrassero nell’ambito di applicazione della direttiva ePrivacy, recepita appunto nell’art. 82 della Loi Informatique et Libertés.

Inoltre, un altro elemento che ha fatto propendere la CNIL per l’affermazione della sua competenza territoriale è il fatto che gli identificatori siano stati utilizzati ne quadro delle attività di Apple Retail France e Apple France, vale a dire “stabilimenti” del gruppo Apple in Francia. Tuttavia, la sanzione è stata irrogata ad Apple Distribution International (società con sede in Irlanda) in quanto ritenuta responsabile degli annunci personalizzati sull’App Store.