PRIVACY DAILY 104/2023

In occasione di una riunione dei ministri del G7 responsabili delle politiche digitali e tecnologiche che si terrà questo fine settimana, il Giappone cercherà i partner negli sforzi per promuovere il libero flusso transfrontaliero di dati. A causa della rapida digitalizzazione in tutto il mondo, la quantità di dati generati e il loro valore non fanno che aumentare, tanto che molti definiscono i dati il “nuovo petrolio” del XXI secolo. In queste circostanze, diversi Paesi e regioni stanno adottando approcci diversi per gestire i flussi di dati transfrontalieri, alcuni dei quali attuano rigide norme di controllo dei dati, note come localizzazione dei dati. Nel 2017, la Cina ha introdotto una legge sulla cybersecurity che impone agli operatori di rete e ad altre aziende che gestiscono infrastrutture informatiche critiche di conservare le informazioni personali e i dati importanti all’interno del Paese, mentre la “fuoriuscita” di tali dati richiede una valutazione da parte della sicurezza. L’anno scorso, il Vietnam ha inasprito le norme sul flusso di dati, imponendo alle aziende internet di conservare le informazioni personali degli utenti nel Paese. Mentre un numero sempre maggiore di Paesi si sta orientando verso la localizzazione dei dati, il Giappone ha proposto nel 2019 il concetto di “Data Free Flow with Trust” (DFFT), con la posizione di Tokyo che ritiene che il trasferimento dei dati senza problemi sia fondamentale per le imprese e l’innovazione. In occasione della riunione dei ministri del digitale e della tecnologia del G7, il Giappone punterà a far progredire il concetto di DFFT ottenendo il consenso dei membri del G7 per lanciare un quadro istituzionale volto a promuoverlo.

Lo Stato di Washington ha adottato una legge statale, la prima nel suo genere, che prevede ampie salvaguardie per i dati sanitari dei consumatori raccolti dalle aziende, dalle piattaforme di teleassistenza alle app per il monitoraggio delle mestruazioni, nonché per i dati di localizzazione che potrebbero rivelare le visite alle cliniche abortive e ad altre strutture sanitarie. Il governatore Jay Inslee ha firmato la legge giovedì scorso. La misura, nota come My Health My Data Act, è stata introdotta come parte di uno sforzo legislativo locale per proteggere l’accesso all’aborto dopo che la Corte Suprema degli Stati Uniti ha fatto marcia indietro rispetto alla sentenza Roe v. Wade lo scorso anno. La nuova legge sulla privacy dello Stato di Washington mira a proteggere i dati di localizzazione dei consumatori e a limitare la raccolta e la condivisione di dati sanitari a fini pubblicitari o di altro tipo senza l’autorizzazione dei consumatori. Le aziende che violano le disposizioni della legge possono incorrere in azioni esecutive e sanzioni fino a 7.500 dollari per violazione da parte del procuratore generale dello Stato. La legge consente anche azioni legali private da parte dei consumatori, il che la rende uno dei pochi casi in cui è previsto un cosiddetto diritto d’azione privato. Gruppi aziendali come TechNet, i cui membri includono Apple Inc. e Google di Alphabet Inc., hanno sollevato il timore che l’ampia definizione di dati sulla salute contenuta nel provvedimento possa portare a un “diluvio” di privacy notifications ai consumatori. Il provvedimento copre un’ampia gamma di informazioni sul benessere fisico e mentale dei consumatori e sulle loro cure. “È molto più ampia del suo intento originario”, ha dichiarato Kelly Fukai, vicepresidente degli affari governativi e comunitari della Washington Technology Industry Association. I sostenitori della privacy e delle libertà civili hanno avvertito che negli Stati che limitano l’aborto gli investigatori potrebbero cercare di sfruttare le informazioni provenienti dalle app, dalle ricerche online o dai registri di localizzazione. Meta Platforms Inc., ad esempio, ha dovuto affrontare un’indagine dopo che una donna del Nebraska è stata accusata di due reati legati a un aborto illegale, utilizzando le informazioni sulla gravidanza contenute nei messaggi privati su Facebook Messenger di Meta.

L’amministratore delegato di Telegram ha dichiarato giovedì scorso che la società di social media farà appello alla decisione di un giudice brasiliano di bloccare l’accesso alla sua piattaforma in Brasile per non aver consegnato i dati sulle attività neonaziste. Ha affermato che il rispetto della legge è “tecnologicamente impossibile”. In una dichiarazione pubblicata sul suo account Telegram, Pavel Durov ha affermato che quando le leggi locali o i requisiti irrealizzabili contrastano con la mission della sua azienda – “preservare la privacy e la libertà di parola in tutto il mondo” – a volte si deve abbandonare queii mercati. Telegram è stato bloccato in passato da governi, tra cui Iran, Cina e Russia. Durov ha dichiarato che il giudice federale brasiliano che ha ordinato la sospensione mercoledì “ha richiesto dati che per noi è tecnologicamente impossibile ottenere”. Ha affermato di difendere il “diritto alla comunicazione privata” degli utenti brasiliani, ma non si è dilungato oltre. Gli utenti di Telegram possono pubblicare pubblicamente sui canali che creano o a cui si uniscono – o comunicare privatamente. L’azienda afferma che le “chat segrete” tra singoli utenti possono essere criptate. L’ufficio stampa di Telegram, che ha sede negli Emirati Arabi Uniti, non ha risposto alle domande inviate via e-mail dall’Associated Press o a un rappresentante dei media dell’azienda tramite l’app. Oltre a ordinare il blocco di Telegram, che i provider di internet e gli operatori wireless brasiliani hanno fatto rispettare, il giudice ha stabilito una multa giornaliera di circa 200.000 dollari per la mancata osservanza. Durov non ha detto se Telegram intende pagare. La sentenza emessa da un tribunale federale dello stato di Espírito Santo ha affermato che “i fatti mostrati dalle autorità di polizia dimostrano il chiaro intento di Telegram di non collaborare con le indagini”. La polizia è particolarmente interessata ai contenuti di Telegram relativi alla violenza nelle scuole.
Lo sviluppo arriva mentre il Brasile è alle prese con un’ondata di attacchi nelle scuole, tra cui quello di novembre in cui un uomo con una svastica appuntata sul giubbotto ha ucciso quattro persone e ne ha ferite 12 nella piccola città di Aracruz, nello stato di Espírito Santo.

English version

At a meeting of G7 ministers responsible for digital and technology policies this weekend, Japan will seek partners in efforts to promote the free flow of data across borders. Due to rapid digitization around the world, the amount of data generated and its value is only increasing, so much so that many are calling data the “new oil” of the 21st century. Under these circumstances, different countries and regions are taking different approaches to managing cross-border data flows, with some implementing strict data control regulations known as data localization. In 2017, China introduced a cybersecurity law that requires network operators and other companies operating critical IT infrastructure to keep personal information and important data within the country, while the “leakage” of such data requires a security assessment. Last year, Vietnam tightened data flow regulations, requiring internet companies to store users’ personal information in the country. While more and more countries are moving toward data localization, Japan proposed the concept of “Data Free Flow with Trust” (DFFT) in 2019, with Tokyo’s position that hassle-free data transfer is critical for business and innovation. At the G7 digital and technology ministers’ meeting, Japan will aim to advance the concept of DFFT by gaining the consensus of G7 members to launch an institutional framework to promote it.

Washington state has adopted a state law, the first of its kind, that provides broad safeguards for consumer health data collected by companies, from telehealth platforms to menstrual monitoring apps, as well as for location data that could reveal visits to abortion clinics and other health care facilities. Governor Jay Inslee signed the bill into law last Thursday. The measure, known as the My Health My Data Act, was introduced as part of a local legislative effort to protect abortion access after the U.S. Supreme Court reversed Roe v. Wade last year. Washington State’s new privacy law aims to protect consumers’ location data and restrict the collection and sharing of health data for advertising or other purposes without consumers’ permission. Companies that violate the provisions of the law can face enforcement actions and penalties of up to $7,500 per violation from the state attorney general. The law also allows for private lawsuits by consumers, making it one of the few cases in which there is a so-called private right of action. Business groups such as TechNet, whose members include Apple Inc. and Alphabet Inc.’s Google, have raised concerns that the broad definition of health data in the measure could lead to a “deluge” of privacy notifications to consumers. The measure covers a wide range of information about consumers’ physical and mental well-being and treatment. “It is much broader than its original intent,” said Kelly Fukai, vice president of government and community affairs at the Washington Technology Industry Association. Privacy and civil liberties advocates have warned that in states that restrict abortion, investigators could try to exploit information from apps, online searches or location records. Meta Platforms Inc. for example, faced an investigation after a Nebraska woman was charged with two felony counts related to an illegal abortion using pregnancy information contained in Meta’s private Facebook Messenger messages.

Telegram’s CEO said on Thursday that the social media company will appeal a Brazilian judge’s decision to block access to its platform in Brazil for failing to hand over data on neo-Nazi activities. He said compliance with the law is “technologically impossible.” In a statement posted on his Telegram account, Pavel Durov said that when local laws or unworkable requirements conflict with his company’s mission-“preserving privacy and freedom of speech around the world”-sometimes one must leave those markets. Telegram has been blocked in the past by governments including Iran, China and Russia. Durov said the Brazilian federal judge who ordered the suspension Wednesday “requested data that is technologically impossible for us to obtain.” He said he was defending Brazilian users’ “right to private communication” but did not elaborate further. Telegram users can post publicly on the channels they create or join – or communicate privately. The company says that “secret chats” between individual users can be encrypted. The press office of Telegram, which is based in the United Arab Emirates, did not respond to questions emailed by the Associated Press or to a media representative of the company via the app. In addition to ordering the blocking of Telegram, which Brazil’s Internet providers and wireless carriers have enforced, the judge set a daily fine of about $200,000 for noncompliance. Durov did not say whether Telegram intends to pay. The ruling issued by a federal court in the state of Espírito Santo said that “the facts shown by the police authorities demonstrate Telegram’s clear intent not to cooperate with the investigation.” Police are particularly interested in Telegram content related to school violence.
The development comes as Brazil grapples with a wave of school attacks, including one in November in which a man with a swastika pinned to his vest killed four people and injured 12 in the small town of Aracruz in Espírito Santo state.

PRIVACY DAILY 69/2023

Il Parlamento Europeo ha adottato la sua posizione negoziale sul Data Act. Questa normativa mira a stabilire regole comuni sulla condivisione dei dati generati dall’uso di prodotti connessi o servizi affini (ad esempio “l’internet delle cose” e le macchine industriali) al fine di garantire un’equità dei contratti di condivisione dei dati. Il testo è stato approvato con 500 voti favorevoli, 23 contrari e 110 astensioni. Sono state varate anche misure per consentire agli utenti di accedere ai dati da loro generati. Stando ai dati della Commissione Europea, l’80% dei dati industriali non viene utilizzato. Inoltre, si vogliono valorizzare le relazioni tra imprese. Secondo la proposta, le aziende potranno decidere quali dati possono essere condivisi, mentre il produttore potrà scegliere di non rendere disponibili alcuni dati “per scelta”. La normativa dovrebbe inoltre riequilibrare il potere negoziale a favore delle PMI nella redazione dei loro contratti di condivisione di dati, mettendole al riparo da clausole contrattuali inique imposte da aziende in una posizione significativamente più favorevole. Il testo definisce anche come gli enti pubblici potranno accedere e utilizzare i dati in possesso del settore privato, necessari in circostanze eccezionali o di emergenza quali inondazioni e incendi. Inoltre, i deputati hanno rafforzato le disposizioni per proteggere i segreti commerciali, per evitare che un maggiore accesso ai dati venga utilizzato dai concorrenti per modificare i servizi o i dispositivi, oltre a stabilire condizioni più severe per le richieste di dati da parte delle imprese alle amministrazioni pubbliche. Infine, la normativa sui dati faciliterà il passaggio da un fornitore all’altro di servizi cloud e di altri servizi di elaborazione dati e introdurrà misure di salvaguardia contro il trasferimento illegale di dati a livello internazionale da parte dei servizi cloud. I deputati sono ora pronti ad avviare i negoziati con il Consiglio sulla forma finale della legge, non appena quest’ultimo avrà approvato il proprio mandato.

L’ONU solleva preoccupazioni rispetto l’allarmante aumento dell’uso di “tecnologie invasive ad alto rischio”. Così si è espressa la Special Rapporteur delle Nazioni Unite per la promozione e la protezione dei diritti umani nella lotta al terrorismo, Fionnuala Ní Aoláin, in un rapporto all’ultima sessione del Consiglio dei diritti umani. Tra le tecnologie additate figurano i droni, la biometria, l’intelligenza artificiale (IA) e i programmi spia, che vengono incrementati nella lotta al terrorismo, senza tenere in debito conto lo stato di diritto, la governance e i diritti umani. “Le giustificazioni eccezionali per l’uso delle tecnologie di sorveglianza nell’antiterrorismo sui diritti umani spesso si trasformano in un uso banale e regolare”, ha dichiarato Ní Aoláin, sottolineando l’impatto sui diritti fondamentali come la libertà di movimento, la libertà di espressione, la libertà di riunione pacifica e il diritto alla privacy. Anche l’esperto indipendente nominato dal Consiglio per i diritti umani ha espresso preoccupazione per la crescente diffusione dell’uso dei droni in diversi Paesi, per il diffuso abuso della tecnologia spyware contro gruppi della società civile, dissidenti e giornalisti e per la crescente adozione della raccolta di dati biometrici. “Il trasferimento non regolamentato di tecnologie ad alto rischio a Stati che commettono sistematiche violazioni dei diritti umani deve finire”, ha dichiarato la Special Rapporteur. Ha esortato le autorità a regolamentare in modo più efficace le aziende coinvolte nel trasferimento di tecnologie di sorveglianza all’estero. Nel rapporto è stato così presentato al Consiglio un approccio nuovo e innovativo alla regolamentazione dei software spia, che si concentrerebbe sulla garanzia dell’applicazione di “standard minimi di diritti umani”, sia da parte dei governi che delle aziende, nello sviluppo, nell’uso e nel trasferimento di tecnologie di sorveglianza ad alto rischio.

Facebook ha violato la legge olandese nel modo in cui ha trattato le informazioni personali. Lo hanno dichiarato i giudici di Amsterdam in una recentissima sentenza. Il tribunale ha stabilito che Facebook Ireland ha utilizzato le informazioni per scopi pubblicitari senza valide basi giuridiche e le ha trasmesse ad altre aziende. La causa, intentata dalla fondazione Stichting Data Bescherming Nederland e dall’associazione di consumatori Consumentenbond, riguarda il periodo compreso tra aprile 2010 e il 1° gennaio 2020. Il tribunale ha anche stabilito che Facebook non ha informato adeguatamente gli utenti che le loro informazioni sarebbero state condivise, né che i dati appartenenti agli amici di Facebook degli utenti di Facebook sarebbero stati trasmessi. Una terza doglianza, relativa all’uso di cookie su siti web di terzi, non è stata accolta. Il tribunale ha affermato che non è Facebook, ma il responsabile del sito web ad avere la responsabilità di chiedere ai visitatori se accettano i cookie. Questa sentenza è la prima tappa di quella che probabilmente sarà una lunga battaglia legale. Infatti quanto stabilito dai giudici di Amsterdam potrebbe consentire ai consumatori di chiedere un risarcimento per le violazioni della privacy da parte di Facebook. Tuttavia, un portavoce di Meta ha dichiarato che la società intende presentare ricorso.

English version

The European Parliament adopted its negotiating position on the Data Act. This legislation aims to establish EU rules on the sharing of data generated by the use of connected products or related services (e.g. the ‘internet of things’ and industrial machines) in order to ensure fairness in data-sharing contracts. The text was approved with 500 votes in favour, 23 against and 110 abstentions. MEPs approved measures to allow users to access the data they generate. According to data from the European Commission, 80 per cent of industrial data is not used. Furthermore, they want to enhance the relationships between companies. According to the proposal, companies will be able to decide which data can be shared, while manufacturers will be able to choose not to make certain data available ‘by choice’. The legislation should also rebalance the bargaining power in favour of SMEs in the drafting of their data-sharing contracts, shielding them from unfair contractual clauses imposed by companies in a significantly more favourable position. The text also defines how public bodies will be able to access and use data held by the private sector that is needed in exceptional or emergency circumstances such as floods and fires. In addition, MEPs strengthened provisions to protect trade secrets, to prevent greater access to data being used by competitors to modify services or devices, as well as setting stricter conditions for data requests from companies to public administrations. Finally, the data regulation will facilitate switching between providers of cloud and other data processing services and introduce safeguards against illegal international data transfers by cloud services. MEPs are now ready to start negotiations with the Council on the final form of the law, as soon as the latter has approved its mandate.

The UN raises concerns about the alarming increase in the use of ‘high-risk invasive technologies’. So said the UN Special Rapporteur on the promotion and protection of human rights in the fight against terrorism, Fionnuala Ní Aoláin, in a report to the latest session of the Human Rights Council. The technologies singled out included drones, biometrics, artificial intelligence (AI) and spy programmes, which are augmented in the fight against terrorism without due regard for the rule of law, governance and human rights. “Exceptional justifications for the use of surveillance technologies in counter-terrorism on human rights often turn into trivial and regular use,” said Ní Aoláin, emphasising the impact on fundamental rights such as freedom of movement, freedom of expression, freedom of peaceful assembly and the right to privacy. The independent expert appointed by the Human Rights Council also expressed concern about the increasing use of drones in several countries, the widespread misuse of spyware technology against civil society groups, dissidents and journalists, and the increasing adoption of biometric data collection. “The unregulated transfer of high-risk technologies to states that commit systematic human rights violations must end,” said the Special Rapporteur. She urged the authorities to more effectively regulate companies involved in the transfer of surveillance technology abroad. In her new report, she presented the Council with a new and innovative approach to the regulation of spyware, which would focus on ensuring the application of ‘minimum human rights standards’ by both governments and companies in the development, use and transfer of high-risk surveillance technologies.

Facebook violated Dutch law in the way it handled personal information. This was stated by the Amsterdam courts in a recent decision. The court ruled that Facebook Ireland used the information for advertising purposes without a valid legal basis and passed it on to other companies. The lawsuit, brought by the foundation Stichting Data Bescherming Nederland and the consumer association Consumentenbond, covers the period between April 2010 and 1 January 2020. The court also ruled that Facebook did not adequately inform users that their information would be shared, nor that data belonging to Facebook friends of Facebook users would be passed on.A third complaint, concerning the use of cookies on third-party websites, was not upheld. The court stated that it is not Facebook, but the website manager who is responsible for asking visitors whether they accept cookies. This ruling is the first step in what is likely to be a long legal battle. Indeed, what the Amsterdam judges ruled could allow consumers to claim compensation for Facebook’s privacy violations. However, a Meta spokesperson stated that the company intends to appeal.

PRIVACY DAILY 64/2023

Il Governo britannico presenta la sua nuova privacy: meno burocrazia e più impresa. Così, stando a quanto dichiarato nel comunicato stampa che accompagna la presentazione della nuova proposta normativa in materia di protezione dei dati personali a Westminster. L’obiettivo dichiarato dell’esecutivo guidato da Rishi Sunak è ridurre le pratiche burocratiche inutili per le aziende e i fastidiosi pop-up dei cookie. Il Data Protection and Digital Information Bill, presentato già in estate, a settembre era stato “messo in pausa” per consentire ai ministri di impegnarsi in un processo di co-progettaione con i leader delle imprese e gli esperti di dati. Il Governo vuole assolutamente allontanarsi dall’approccio “unico” del GDPR dell’Unione europea, proponendo una versione britannica della data protection. L’assunto di partenza è che i dati sono fondamentali per alimentare la crescita economica in tutti i settori della società, nonché vitali per lo sviluppo e l’utilizzo di tecnologie innovative come l’intelligenza artificiale. Il commercio basato sui dati ha generato l’85% delle esportazioni totali di servizi del Regno Unito e ha contribuito all’economia per un valore stimato di 259 miliardi di sterline nel 2021. La proposta mira ad introdurre “un quadro semplice, chiaro e favorevole alle imprese che non sarà difficile o costoso da implementare, prendendo i migliori elementi del GDPR e fornendo alle imprese una maggiore flessibilità su come conformarsi alle nuove leggi sui dati”. Oltre a questi nuovi cambiamenti, il disegno di legge aumenterà le sanzioni per le chiamate e gli sms molesti fino al 4% del fatturato globale o fino a 17,5 milioni di sterline (a seconda di quale sia il valore più alto) e mira a ridurre il numero di pop-up di consenso, che consentono ai siti web di raccogliere dati sulla visita di un individuo. Il disegno di legge stabilirà un sistema di digital verification, per consentire alle persone che lo desiderano di avere la propria identità digitale. Inoltre, sarà rafforzata l’Information Commissioner’s Office (l’Autorità garante britannica) attraverso la creazione di uno statutory board con un chair e un chief executive.

Il nuovo compromesso sulla bozza di Data Act mira a rafforzare il segreto industriale, ma fa chiarezza anche rispetto ai rapporti con le norme sulla protezione dei dati e l’applicazione delle disposizioni sul cloud-switching. La presidenza svedese del Consiglio UE ha condiviso la sesta versione del testo del Data Act, in vista della sua discussione il 14 marzo presso l’apposito Gruppo di lavoro. Se la prossima settimana non saranno sollevate opposizioni significative, il testo della presidenza approderà sul tavolo del Comitato dei rappresentanti permanenti (COREPER) il 22 marzo. L’intento è quello di avviare rapidamente i negoziati interistituzionali con il Parlamento europeo, che dovrebbe formalizzare la propria posizione nella sessione plenaria della prossima settimana. Il Data Act introduce il principio secondo cui gli utenti dei dispositivi connessi devono avere il diritto di accedere e condividere i dati che contribuiscono a generare. Tuttavia, quale tipo di dati debba essere coperto da questi obblighi di condivisione è stato un argomento controverso per via del fatto che i dati potrebbero contenere segreti commerciali legati al modo in cui l’organizzazione che controlla i dati li elabora per ottenere approfondimenti e altre informazioni. Un altro aspetto critico della discussione ha riguardato il rapporto tra Data Act e GDPR. La nuova formulazione del testo chiarisce che ogni volta che gli utenti ottengono dati personali che non sono loro, il Data Act non può essere considerato come una valida base giuridica per il trattamento. I titolari dei dati dovranno peraltro garantire che la condivisione dei dati personali sia conforme al GDPR. Inoltre, il Data Act intende promuovere la concorrenza nel mercato del cloud riducendo gli ostacoli al passaggio da un servizio cloud a un altro. A questo proposito, la legge prevede il ritiro completo delle tariffe per il passaggio da un servizio all’altro entro tre anni dalla sua entrata in vigore.

Il Federal Bureau of Investigation (FBI) ha ammesso per la prima volta di aver acquistato dati di localizzazione invece di ottenere un mandato. Sebbene la pratica di acquistare i dati di localizzazione delle persone sia diventata sempre più comune da quando, quasi cinque anni fa, la Corte Suprema degli Stati Uniti ha posto un freno alla capacità del governo di tracciare i telefoni degli americani senza mandato, l’FBI non aveva mai rivelato di aver effettuato tali acquisti. La rivelazione è avvenuta oggi durante un’audizione del Senato degli Stati Uniti a cui hanno partecipato cinque capi dell’intelligence nazionale. Il senatore Ron Wyden ha posto la questione dell’uso di dati commerciali da parte del Bureau al suo direttore, Christopher Wray: “L’FBI acquista informazioni sulla geolocalizzazione dei telefoni statunitensi?”. Wray ha risposto che l’agenzia non lo fa attualmente, ma ha riconosciuto che lo ha fatto in passato; specificando però che: “non acquistiamo informazioni di database commerciali che includano dati di localizzazione derivati dalla pubblicità su Internet”. Ha aggiunto che ora il Bureau si affida a un “processo autorizzato dal tribunale” per ottenere i dati di localizzazione dalle aziende. Come accennato, la Corte Suprema ha stabilito che le agenzie governative che accedono ai dati di localizzazione senza un mandato violano la garanzia del Quarto Emendamento contro le perquisizioni irragionevoli. Ma la sentenza è stata interpretata in modo restrittivo. I sostenitori della privacy affermano che la decisione ha lasciato aperta una clamorosa scappatoia che consente al governo di acquistare semplicemente tutto ciò che non può altrimenti ottenere legalmente. La US Customs and Border Protection e la Defense Intelligence Agency sono tra le agenzie federali note per aver approfittato di questa scappatoia. Il Dipartimento di Sicurezza Nazionale, ad esempio, avrebbe acquistato le geolocalizzazioni di milioni di americani da aziende private di marketing. In quel caso, i dati provenivano da una serie di fonti ingannevolmente benevole, come giochi per cellulari e app meteorologiche.

English version

The British government presents its new privacy: less bureaucracy and more enterprise. So says the press release accompanying the presentation of the new data protection legislation proposal in Westminster. The stated goal of the Rishi Sunak-led executive is to reduce unnecessary paperwork for businesses and annoying cookie pop-ups. The Data Protection and Digital Information Bill, presented back in the summer, had been ‘paused’ in September to allow ministers to engage in a co-drafting process with business leaders and data experts. The government definitely wants to move away from the ‘one-size-fits-all’ approach of the EU GDPR by proposing a UK version of data protection. The starting assumption is that data is fundamental to fuelling economic growth in all sectors of society, as well as vital to the development and use of innovative technologies such as artificial intelligence. Data-driven trade generated 85 per cent of the UK’s total services exports and contributed an estimated £259 billion to the economy by 2021. The proposal aims to introduce ‘a simple, clear and business-friendly framework that will not be difficult or expensive to implement, taking the best elements of GDPR and providing businesses with greater flexibility on how to comply with the new data laws’. In addition to these new changes, the bill will increase penalties for harassing calls and texts to 4% of global turnover or up to £17.5 million (whichever is higher) and aims to reduce the number of consent pop-ups, which allow websites to collect data on an individual’s visit. The bill will establish a system of digital verification, to allow people who wish to have their own digital identity. In addition, the Information Commissioner’s Office (the UK Data Protection Authority) will be strengthened through the creation of a statutory board with a chair and a chief executive.

The new compromise on the draft Data Act aims to strengthen trade secrecy, but also clarifies the relationship with data protection rules and the application of cloud-switching provisions. The Swedish EU Council Presidency shared the sixth version of the Data Act text with a view to its discussion on 14 March at the Data Act Working Party. If no significant opposition is raised next week, the Presidency text will land on the table of the Permanent Representatives Committee (COREPER) on 22 March. The intention is to quickly start inter-institutional negotiations with the European Parliament, which is expected to formalise its position in next week’s plenary session. The Data Act introduces the principle that users of connected devices should have the right to access and share the data they help generate. However, what kind of data should be covered by these sharing obligations was a controversial topic due to the fact that the data could contain trade secrets related to how the organisation controlling the data processes it for insights and other information. Another critical aspect of the discussion concerned the relationship between the Data Act and GDPR. The new wording makes it clear that whenever users obtain personal data that are not their own, the Data Act cannot be considered as a valid legal basis for processing. Data controllers will also have to ensure that the sharing of personal data complies with the GDPR. Furthermore, the Data Act aims to promote competition in the cloud market by reducing barriers to switching from one cloud service to another. In this regard, the Act provides for the complete withdrawal of fees for switching from one service to another within three years of its entry into force.

The Federal Bureau of Investigation (FBI) admitted for the first time that it purchased location data instead of obtaining a warrant. Although the practice of purchasing people’s location data has become increasingly common since the US Supreme Court put a stop to the government’s ability to track Americans’ phones without a warrant almost five years ago, the FBI had never disclosed that it had made such purchases. The revelation came today during a US Senate hearing attended by five national intelligence chiefs. Senator Ron Wyden posed the question of the Bureau’s use of commercial data to its director, Christopher Wray: “Does the FBI purchase geolocation information on US phones?” Wray replied that the agency does not currently, but acknowledged that it has done so in the past; specifying, however, that: “we do not purchase commercial database information that includes location data derived from Internet advertising.” He added that the bureau now relies on a ‘court-authorised process’ to obtain location data from companies. As mentioned, the Supreme Court ruled that government agencies accessing location data without a warrant violates the Fourth Amendment’s guarantee against unreasonable searches. But the ruling has been interpreted narrowly. Privacy advocates say the decision left open a glaring loophole that allows the government to simply buy anything it cannot otherwise legally obtain. US Customs and Border Protection and the Defense Intelligence Agency are among the federal agencies known to have taken advantage of this loophole. The Department of Homeland Security, for instance, allegedly purchased the geolocations of millions of Americans from private marketing companies. In that case, the data came from a variety of deceptively benign sources, such as mobile phone games and weather apps.

Privacy Daily 20/2023

In che modo la tua città gestisce i tuoi dati digitali? Con un numero sempre maggiore di dati prodotti ogni giorno nelle nostre città, c’è una crescente necessità di un utilizzo socialmente responsabile della conoscenza generata dai dati per migliorare il processo decisionale e l’efficienza dei servizi pubblici. La tua auto parcheggiata può rimanere ferma perché hai già pagato il ticket? Vuoi segnalare una zona trafficata e dei rischi ad essa connessi, la necessità di manutenzione di una strada o del parco più vicino? In molti casi, le amministrazioni locali si servono di una serie di algoritmi che riducono gli oneri amministrativi e che veicolano le richieste/segnalazioni presso i reparti competenti (quindi, in maniera più certa e più rapida). Helsinky e Amsterdam hanno però fatto di più sforzandosi di stabilire uno standard per l’uso trasparente ed etico degli algoritmi delle amministrazioni cittadine con la creazione di un registro degli algoritmi. Grazie a questo sistema, i cittadini potranno essere messi nelle condizioni di accedere a informazioni comprensibili e aggiornate su come gli algoritmi influenzino le loro vite e potranno esercitare il diritto di conoscere effettivamente i sistemi di raccolta dei loro dati. “In questo modo – ha affermato André Sobczak, Segretario generale, Eurocities – le due città cercano di offrire una salvaguardia per le persone i cui dati possono essere utilizzati da algoritmi e un modello convalidato che altre città possono utilizzare immediatamente, senza dover investire ulteriori risorse stesse”. Basandosi sul lavoro di Amsterdam e Helsinki, Eurocities Digital Forum Lab ad esempio ha sviluppato uno schema di dati open source, che stabilisce un metodo comune che qualsiasi città può adottare quando crea un registro di algoritmi. Sebbene l’intelligenza artificiale possa essere un importante fattore abilitante per migliorare i servizi pubblici e sostenere l’elaborazione di politiche pubbliche, la sua applicazione può sollevare preoccupazioni etiche. Ad esempio, algoritmi complessi in sistemi automatizzati addestrati su dati distorti possono trasporre pregiudizi a gruppi di cittadini. I registri degli algoritmi offrono trasparenza in merito allo sviluppo e all’attuazione degli algoritmi e forniscono un’importante salvaguardia per l’uso responsabile dell’IA. Sulla base dell’esempio di Helsinky e Amsterdam anche altre città hanno deciso di andare nella stessa direzione: Barcellona, Bologna, la Regione di Bruxelles Capitale, Eindhoven, Mannheim, Rotterdam e Sofia.

La posizione tedesca sul Data Act dell’UE, l’iniziativa legislativa per regolamentare le modalità di accesso, condivisione e trasmissione dei dati, è stata inviata la scorsa settimana alla presidenza svedese del Consiglio dell’UE, che sta raccogliendo feedback prima di presentare una nuova proposta di compromesso per la fine del mese. Nello specifico, la Germania ha chiesto chiarezza su una serie di argomenti tra cui l’interazione del Data Act con il regolamento generale sulla protezione dei dati dell’UE, le condizioni legali per la condivisione e il trasferimento dei dati e i tempi di passaggio al cloud. Per Berlino, un punto centrale sono le contraddizioni, le incoerenze e sovrapposizioni tra la proposta di Data Act e il Regolamento generale sulla protezione dei dati per cui il governo tedesco chiede di rendere esplicito che tutti i dati personali ottenuti tramite il Data Act debbano essere gestiti in conformità con il GDPR.

La politica della Cina sulle Big Tech diventa più chiara. O almeno così sembra, vista da Singapore. Dopo anni di politiche repressive nei confronti dei giganti tecnologici, le incertezze normative stanno per svanire e la strada per gli investitori diffidenti sembra più semplice. Così si è espresso Jeffrey Jaensubhakij, Chief Investment Officer del fondo sovrano GIC, nel corso di un panel al World Economic Forum di Davos. Il commento di Jaensubhakij arriva a margine delle dichiarazioni del vice premier cinese Liu He, che sembrano aver chiarito il quadro. Negli ultimi cinque anni, infatti, la Cina è passata da essere una fonte di profitto a un Paese quasi invisibile per via degli invadenti interventi del governo e delle restrizioni pandemiche. Ora, però, gli investitori mondiali stanno cercando di cambiare passo. E la Cina sembra essersi impegnata a rilanciare l’economia e ad accoglierli.

English translation

How does your city manage your digital data? With more and more data being produced every day in our cities, there is a growing need for socially responsible use of data-generated knowledge to improve decision-making and the efficiency of public services. Can your parked car stay parked because you have already paid the ticket? Do you want to report a busy area and its associated risks, the maintenance of a road or the nearest park? In many cases, local administrations make use of a series of algorithms that reduce the administrative burden and channel the requests/reports to the relevant departments (thus, more reliably and faster). Helsinki and Amsterdam have, however, gone further by striving to establish a standard for the transparent and ethical use of city government algorithms with the creation of an algorithm register. Thanks to this system, citizens will be able to access comprehensible and up-to-date information on how algorithms affect their lives and will be able to exercise their right to actually know about the systems that collect their data. “In this way,” said André Sobczak, Secretary General, Eurocities, “the two cities seek to offer a safeguard for people whose data can be used by algorithms and a validated model that other cities can use immediately, without having to invest additional resources themselves. Building on the work of Amsterdam and Helsinki, Eurocities Digital Forum Lab, for instance, has developed an open source data schema, which establishes a common method that any city can adopt when creating a registry of algorithms. Although artificial intelligence can be an important enabler for improving public services and supporting public policy-making, its application can raise ethical concerns. For instance, complex algorithms in automated systems trained on biased data may transpose biases to groups of citizens. Algorithm registries offer transparency regarding the development and implementation of algorithms and provide an important safeguard for the responsible use of AI. Based on the example of Helsinky and Amsterdam, other cities have also decided to go in the same direction: Barcelona, Bologna, the Brussels Capital Region, Eindhoven, Mannheim, Rotterdam and Sofia.

Germany’s position on the EU Data Act, the legislative initiative to regulate how data is accessed, shared and transmitted, was sent last week to the Swedish EU Council Presidency, which is gathering feedback before presenting a new compromise proposal by the end of the month. Specifically, Germany has asked for clarity on a number of topics including the Data Act’s interaction with the EU’s General Data Protection Regulation, the legal conditions for data sharing and transfer, and the timing of the move to the cloud. For Berlin, a central point of criticism are the contradictions and overlaps between the proposed Data Act and the General Data Protection Regulation, whereby the German government demands that it be made explicit that all personal data obtained through the Data Act must be handled in accordance with the GDPR.

China’s Big Tech policy is becoming clearer. Or so it seems, as seen from Singapore. After years of repressive policies towards tech giants, regulatory uncertainties are about to fade and the road for wary investors seems easier. So said Jeffrey Jaensubhakij, Chief Investment Officer of the sovereign wealth fund GIC, during a panel at the World Economic Forum in Davos. Jaensubhakij’s comment comes on the sidelines of statements by Chinese Vice Premier Liu He, which seem to have clarified the picture. Over the past five years, China has gone from being a source of profit to an almost invisible country due to intrusive government interventions and pandemic restrictions. Now, however, global investors are looking for a change of pace. And China seems to be committed to reviving the economy and welcoming them.