PRIVACY DAILY 103/2023

Secondo i documenti ottenuti da NBC News, il Governatore del Montana ha proposto di modificare il testo di una legge che mira a vietare TikTok nello Stato. L’emendamento proposto dal governatore Greg Gianforte, riportato per la prima volta dal Wall Street Journal, elimina qualsiasi riferimento a TikTok o alla società madre di TikTok, ByteDance, e stabilisce invece che il divieto sarà applicato alle “applicazioni di social media che forniscono determinati dati a Paesi stranieri considerati avversari”. “Un’applicazione di social media non può operare all’interno della giurisdizione territoriale del Montana” se consente di raccogliere dati o informazioni personali e di “fornirli a un Paese straniero considerato avversario o a una persona o entità situata in un Paese designato come avversario”, così si legge nell’emendamento proposto. Alcuni esperti nel campo della tecnologia e della libertà di parola hanno dichiarato di essere preoccupati per la bozza di emendamento, compresa la mancanza di definizioni di “raccolta di dati” e “applicazione per social media”. Due esperti che hanno parlato con NBC News hanno detto che l’emendamento non fa che peggiorare una legge già problematica. Un portavoce di Gianforte ha dichiarato che le modifiche sono volte a rafforzare il disegno di legge. “L’emendamento in esame mira a migliorare il disegno di legge, ampliando la protezione della privacy dei montanesi al di là di TikTok e contro tutti gli avversari, affrontando al contempo le problematiche tecniche e legali del disegno di legge”, ha dichiarato Kaitlin Price, addetta stampa del governatore.

La scorsa settimana è stato rivelato che le informazioni personali sensibili di oltre 1,2 milioni di filippini potrebbero essere state esposte in una violazione dei dati di diverse agenzie governative, tra cui alcuni dei principali organi di polizia del Paese, come la Polizia Nazionale Filippina e la sua Forza d’Azione Speciale, il National Bureau of Investigation e il Bureau of Internal Revenue. Questo sviluppo è a dir poco allarmante perché potenzialmente coinvolge le informazioni più sensibili che un cittadino possa avere, non solo i comuni dati personali, ma anche quelli estremamente intimi come le cause legali pendenti o i precedenti penali, i dati finanziari e le dichiarazioni dei redditi, e molti altri che possono essere sfruttati dai cosiddetti “cattivi attori”. È ancora più allarmante che le presunte violazioni dei dati coinvolgano agenzie governative che dovrebbero avere i più alti standard di protezione per le informazioni sensibili, proprio per la natura del ruolo delle loro agenzie che coinvolge l’applicazione della legge e la regolamentazione delle attività. Se la fiducia del pubblico in queste istituzioni era bassa prima di questo incidente, sia per la percezione di alti livelli di corruzione che di bassi livelli di competenza, ora è certamente ancora più bassa. Questo non fa presagire gli sforzi del governo per incoraggiare i cittadini a condurre un maggior numero di rapporti con lo Stato, che si tratti del pagamento di tasse di regolamentazione o della richiesta di licenze, nella sfera digitale dopo l’esplosione della pandemia COVID-19.

In Nuova Zelanda, il team di manutenzione di Fonterra si rifiuta di fornire le impronte digitali per la registrazione degli orari, adducendo problemi di privacy. Un dipendente di Fonterra che ha guidato l’accusa contro i lavoratori che scansionano le loro impronte digitali per timbrare il cartellino del lavoro ha citato una “intrusione nella privacy” per rifiutare la nuova tecnologia – ma ora dovrebbero essere costretti a rispettarla. Fonterra Brands New Zealand Ltd (FBNZ) si è rivolta all’Autorità per i rapporti di lavoro (ERA) dopo che Michael Lanigan e altri 30 lavoratori, che ha rappresentato, si sono rifiutati di fornire le loro impronte digitali per la registrazione dei fogli di presenza. Lanigan lavora per il colosso lattiero-caseario dal 2014 come membro del team di manutenzione dello stabilimento di Takanini. È anche un delegato eletto del sindacato. Nel 2016, FBNZ ha acquistato un sistema di rilevazione degli orari e delle presenze che utilizza la tecnologia di scansione delle impronte digitali (FST) per introdurlo nello stabilimento di Takanini nel 2018, ma le complicazioni legate alla pandemia di Covid e all’igiene hanno fatto sì che Fonterra chiedesse a tutti i lavoratori dello stabilimento di iniziare a utilizzare il sistema solo nel marzo dello scorso anno. Circa 8.000 dipendenti di Fonterra in tutta l’azienda stanno ora utilizzando la tecnologia e solo il team di manutenzione di Takanini non lo sta facendo, si legge nella recente decisione dell’ERA. Il sistema prevedeva che ogni dipendente offrisse la propria impronta digitale per la mappatura elettronica e la registrazione nel sistema. Ogni volta che si registrava l’ingresso o l’uscita dal lavoro, l’impronta veniva riconosciuta. FBNZ ha assicurato all’ERA che le impronte non venivano conservate o memorizzate nel sistema, ma venivano istantaneamente convertite in una rappresentazione matematica mediante un algoritmo.

English version

According to documents obtained by NBC News, Montana’s governor has proposed to amend the text of a bill aimed at banning TikTok in the state. Governor Greg Gianforte’s proposed amendment, first reported by the Wall Street Journal, removes any reference to TikTok or TikTok’s parent company, ByteDance, and instead states that the ban will apply to “social media applications that provide certain data to foreign countries that are considered adversaries.” “A social media application may not operate within the territorial jurisdiction of Montana” if it allows personal data or information to be collected and “provided to a foreign country that is considered an adversary country or to a person or entity located in a country designated as an adversary country,” so reads the proposed amendment. Some experts in the field of technology and free speech said they were concerned about the draft amendment, including the lack of definitions of “data collection” and “social media application.” Two experts who spoke to NBC News said the amendment only makes an already problematic law worse. A spokesman for Gianforte said the changes are intended to strengthen the bill. “The amendment under consideration is intended to improve the bill by expanding privacy protections for Montanans beyond TikTok and against all opponents, while addressing the technical and legal issues in the bill,” said Kaitlin Price, press secretary for the governor.

Last week it was revealed that the sensitive personal information of more than 1.2 million Filipinos may have been exposed in a data breach of several government agencies, including some of the country’s major law enforcement agencies, such as the Philippine National Police and its Special Action Force, the National Bureau of Investigation, and the Bureau of Internal Revenue. This development is alarming, to say the least, because it potentially involves the most sensitive information a citizen may have, not only common personal data, but also extremely intimate data such as pending lawsuits or criminal records, financial data and tax returns, and many others that can be exploited by so-called “bad actors.” It is even more alarming that the alleged data breaches involve government agencies that should have the highest standards of protection for sensitive information, precisely because of the nature of their agencies’ role involving law enforcement and regulation of activities. If public trust in these institutions was low before this incident, either because of perceived high levels of corruption or low levels of competence, it is certainly even lower now. This does not bode well for the government’s efforts to encourage citizens to conduct more dealings with the state, be it paying regulatory fees or applying for licenses, in the digital sphere after the COVID-19 pandemic outbreak.

In New Zealand, Fonterra’s maintenance team refuses to provide fingerprints for timekeeping, citing privacy concerns. A Fonterra employee who led the charge against workers scanning their fingerprints to clock in for work cited a “privacy intrusion” for rejecting the new technology-but now they should be forced to comply. Fonterra Brands New Zealand Ltd (FBNZ) turned to the Employment Relations Authority (ERA) after Michael Lanigan and 30 other workers, whom he represented, refused to provide their fingerprints for time-sheet entry. Lanigan has worked for the dairy giant since 2014 as a member of the maintenance team at the Takanini plant. He is also an elected delegate of the union. In 2016, FBNZ purchased a time and attendance system that uses fingerprint scanning technology (FST) to introduce it at the Takanini plant in 2018, but complications related to the Covid pandemic and hygiene caused Fonterra to ask all workers at the plant to start using the system only in March last year. About 8,000 Fonterra employees across the company are now using the technology, and only Takanini’s maintenance team is not doing so, the recent ERA decision states. The system required each employee to offer their fingerprint for electronic mapping and registration in the system. Each time entry or exit from work was recorded, the fingerprint was recognized. FBNZ assured ERA that the fingerprints were not retained or stored in the system, but were instantly converted into a mathematical representation using an algorithm.

PRIVACY DAILY 59/2023

La “maggiore età digitale” per iscriversi ai social network si raggiunge a 15 anni. Questa la proposta di legge approvata quasi all’unanimità (82 voti contro 2) in prima lettura dall’Assemblea Nazionale della Repubblica francese. E così – se l’attuale testo diventerà definitivamente legge -, i social network saranno tenuti a verificare l’età dei loro utenti e il consenso dei genitori per la registrazione dei minori di 15 anni, con sanzioni in caso di inadempienza. La “maggiore età digitale” di 15 anni a cui fa riferimento il testo non è nuova: è stata introdotta in Francia nel 2018 in applicazione del GDPR, che lasciava la possibilità di fissarla tra i 13 e i 16 anni. Ma questa soglia – che riguarda più in generale l’età al di sotto della quale è necessario il consenso dei genitori per il trattamento dei dati personali di un minore – non è stata realmente applicata e non ha avuto alcun impatto in termini di accesso dei minori ai social network. Per rimediare, il testo votato dall’Assemblea Nazionale introduce l’obbligo per i social network di “implementare una soluzione tecnica per verificare l’età degli utenti finali e il consenso dei titolari dell’autorità parentale” per i minori di 15 anni, una “soluzione” che dovrà essere certificata dalle autorità. In caso di inadempienza, all’azienda potrà essere comminata una multa fino all’1% del suo fatturato mondiale. Sui social network, la prima registrazione “avviene in media a circa otto anni e mezzo di età, e sono presenti più della metà dei ragazzi tra i 10 e i 14 anni”, secondo i dati messi a disposizione dalla CNIL e citati dai deputati. Il testo dovrà ora essere esaminato dal Senato.

Al Consiglio dell’Unione Europea è stato trovato un accordo sulla raccolta e sulla condivisione dei dati per gli affitti di alloggi a breve termine. I ministri dei Paesi membri hanno concordato un orientamento generale sulla proposta di Regolamento presentata dalla Commissione Europea il 7 novembre 2022. Ad oggi, infatti, i dati delle piattaforme online che operano nel mercato degli short-term accomodation rental non sono standardizzati a causa della diversità di regole vigenti negli Stati membri. Il Consiglio sostiene, pertanto, la creazione di un quadro comune per la raccolta e la condivisione dei dati a livello europeo, includendo anche disposizioni che tengano maggiormente conto dei sistemi di registrazione già in vigore nei singoli Stati. L’affitto di appartamenti, case o stanze per brevi periodi di tempo è, infatti, diventato una forma comune di alloggio per turisti e viaggiatori. Le piattaforme online hanno incrementato l’uso di questi servizi, che attualmente rappresentano quasi un quarto del totale degli alloggi turistici nell’UE. Alcuni Stati membri hanno implementato diversi sistemi di registrazione che si differenziano per l’ambito di applicazione e per le informazioni che devono essere presentate dagli host o dalle piattaforme online. La proposta di Regolamento si propone, dunque, di produrre vantaggi per tutti gli operatori del segmento short-term accommodation rental: gli host potranno utilizzare una procedura di registrazione semplice, le piattaforme avranno un unico set di regole per le informazioni che devono fornire, i viaggiatori saranno più protetti dalle frodi e i dati trattati saranno più accurati e affidabili. Il tutto nel rispetto della disciplina europea in materia di protezione dei dati personali. L’approccio generale concordato fornisce alla Presidenza del Consiglio UE un mandato per avviare i negoziati con il Parlamento europeo una volta che quest’ultimo avrà definito la propria posizione.

La città cinese di Wuxi ha dichiarato di aver distrutto un miliardo di dati personali raccolti durante la pandemia. Questo centro manifatturiero di 7,5 milioni di abitanti sulla costa orientale della Cina, ha tenuto una cerimonia per smaltire i dati personali relativi al Covid, stando a quanto dichiarato dagli Uffici di pubblica sicurezza della città in un comunicato sui social media. Il miliardo di dati è stato raccolto per scopi che includono i test Covid, la tracciabilità dei contatti e la prevenzione dei casi importati – e si tratta solo del primo lotto di dati da smaltire, si legge sempre nel comunicato. La Cina raccoglie una grande quantità di dati sui suoi cittadini (dal DNA e altri campioni biologici al monitoraggio degli spostamenti attraverso una rete capillare di telecamere di sorveglianza). Ma dopo la pandemia, la sorveglianza dello Stato si è spinta più in profondità nella vita privata dei cittadini cinesi, portando a livelli di raccolta dati senza precedenti. Dopo lo smantellamento delle restrizioni zero-Covid, i residenti si sono preoccupati della sicurezza dell’enorme quantità di dati personali archiviati dalle amministrazioni locali, temendo potenziali data breach. Lo scorso luglio è stato rivelato che un enorme database online, apparentemente contenente le informazioni personali di un miliardo di cittadini cinesi, è stato lasciato non protetto e pubblicamente accessibile per più di un anno, fino a quando un utente anonimo di un forum di hacking si è offerto di vendere i dati e ha portato la questione all’attenzione di tutti. I funzionari di Wuxi hanno affermato di aver eliminato più di 40 applicazioni locali utilizzate per la “prevenzione delle epidemie digitali”. Durante la pandemia, applicazioni Covid come queste hanno dettato la vita sociale ed economica in tutta la Cina, controllando se le persone potevano lasciare le loro case, dove potevano viaggiare, quando le imprese potevano aprire e dove le merci potevano essere trasportate. Ma dopo l’improvvisa uscita del Paese da zero Covid a dicembre, la maggior parte di queste app è scomparsa dalla vita quotidiana. In ogni caso, resta il problema di poter verificare in modo indipendente la distruzione dei dati.

English version

The ‘digital age of majority’ for registering for social networks is reached at the age of 15. So according to the bill approved almost unanimously (82 votes to 2) at first reading by the National Assembly of the French Republic. Thus, social networks will be required to verify the age of their users and parental consent for the registration of children under 15, with penalties for non-compliance. The ‘digital age of majority’ of 15 referred to in the text is not new: it was introduced in France in 2018 in application of the GDPR, which left the option of setting it between 13 and 16. But this threshold – which relates more generally to the age below which parental consent is required to process a minor’s personal data – was not really applied and had no impact in terms of minors’ access to social networks. To remedy this, the text voted by the National Assembly introduces the obligation for social networks to ‘implement a technical solution to verify the age of the end users and the consent of the holders of parental authority’ for minors under the age of 15, a ‘solution’ that will have to be certified by the authorities. In case of non-compliance, the company may be fined up to 1% of its worldwide turnover. On social networks, the first registration ‘takes place on average at around eight and a half years of age, and more than half of the children between 10 and 14 years old are present’, according to data made available by the CNIL and quoted by MEPs. The text will now have to be examined by the Senate.

At the Council of the European Union, an agreement was reached on the collection and sharing of data for short-term housing rentals. The ministers of the member states agreed on a general approach to the proposal for a regulation presented by the European Commission on 7 November 2022. As of today, data from online platforms operating in the short-term accommodation rental market are not standardised due to different rules in the member states. The Council therefore supports the creation of a common framework for collecting and sharing data at European level, including provisions that take greater account of the registration systems already in place in individual states. Renting flats, houses or rooms for short periods of time has, in fact, become a common form of accommodation for tourists and travellers. Online platforms have increased the use of these services, which now account for almost a quarter of all tourist accommodation in the EU. Some Member States have implemented different registration systems that differ in scope and in the information that must be submitted by hosts or online platforms. The proposed Regulation therefore aims to produce advantages for all operators in the short-term accommodation rental segment: hosts will be able to use a simple registration procedure, platforms will have a single set of rules for the information they must provide, travellers will be better protected against fraud, and the data processed will be more accurate and reliable. All this will be done in compliance with European data protection regulations. The general approach agreed upon gives the EU Council Presidency a mandate to start negotiations with the European Parliament once the latter has defined its position.

The Chinese city of Wuxi claimed to have destroyed one billion personal data collected during the pandemic. This manufacturing centre of 7.5 million inhabitants on China’s east coast held a ceremony to dispose of Covid-related personal data, according to the city’s Public Security Bureau in a statement on social media. The one billion pieces of data were collected for purposes including Covid testing, contact tracing and prevention of imported cases – and this is only the first batch of data to be disposed of, the statement said. China collects a great deal of data on its citizens (from DNA and other biological samples to tracking movements through a widespread network of surveillance cameras). But since the pandemic, state surveillance has gone deeper into the private lives of Chinese citizens, leading to unprecedented levels of data collection. After the dismantling of zero-Covid restrictions, residents became concerned about the security of the huge amount of personal data stored by local governments, fearing potential data breaches. Last July, it was revealed that a huge online database, apparently containing the personal information of one billion Chinese citizens, was left unprotected and publicly accessible for more than a year, until an anonymous user of a hacking forum offered to sell the data and brought the issue to everyone’s attention. Wuxi officials claimed to have removed more than 40 local applications used for ‘digital epidemic prevention’. During the pandemic, Covid apps like these dictated social and economic life throughout China, controlling whether people could leave their homes, where they could travel, when businesses could open, and where goods could be transported. But after the country’s sudden exit from zero Covid in December, most of these apps disappeared from everyday life. In any case, the problem of being able to independently verify the destruction of data remains.