PRIVACYDAILY

N. 129/2023

LE TRE NEWS DI OGGI:

MALTA, LO SCANDALO SUL DATA BREACH ELETTORALE NON RISPARMIA NEANCHE IL PADRE DEL MINISTRO DEI LAVORI PUBBLICI
COLOMBIA, LE AUTORITA’ POTRANNO ACCEDERE AI DATI BANCARI ANCHE SENZA PROVVEDIMENTO GIUDIZIARIO
RWANDA, LA STRATEGIA PER FAVORIRE IL COMMERCIO ELETTRONICO

Anche il padre del Ministro dei Lavori Pubblici e della Pianificazione Stefan Zrinzo Azzopardi, Joseph Zrinzo, era coinvolto nella C-Planet IT Services insieme al cognato del Ministro, Philip Farrugia, ma si è dimesso dalla sua posizione subito dopo lo scoppio dello scandalo dei dati elettorali. L’azienda è stata coinvolta in una massiccia violazione dei dati relativi alle informazioni e alle preferenze politiche di 337.384 elettori, che sono stati trasmessi al Partito Laburista prima delle elezioni del 2013, vinte dal partito con una vittoria schiacciante. La violazione dei dati è avvenuta durante il periodo in cui Zrinzo Azzopardi era presidente del partito, tra il 2003 e il 2013, e proveniva da una società gestita e posseduta da suo cognato e in cui era coinvolto anche suo padre. Zrinzo aveva ricoperto il ruolo di segretario della società, ma si era dimesso dall’incarico dopo lo scoppio dello scandalo politico e le richieste di libertà di informazione sulla violazione dei dati degli elettori da parte della società sono state presentate nell’aprile 2020. Farrugia ha assunto la posizione di Zrinzo al momento della sua uscita dall’azienda coinvolta nello scandalo e rimane l’unico azionista e amministratore della società. Le dimissioni di Zrinzo sono state depositate presso il Registro delle imprese di Malta il 23 dicembre 2020, ma sono state stranamente retrodatate alla data effettiva del 3 giugno 2020. La società era stata registrata per la prima volta nel giugno 2007. La violazione dei dati ha riguardato un database di elettori che conteneva informazioni personali come nomi, indirizzi e dati della carta d’identità di quasi tutti gli elettori. I dati includevano anche indicatori che indicavano se le persone erano più inclini a votare per il Partito laburista o per il Partito nazionalista. Il servizio di monitoraggio online – Under The Breach – ha rivelato per la prima volta la violazione quando ha twittato che i dati erano stati lasciati esposti da una società informatica maltese. Il cognato del ministro e proprietario dell’azienda, Philip Farrugia, è un ex direttore di produzione della società mediatica del partito laburista ONE Productions.

Una lettera arrivata sulle scrivanie dei rappresentanti legali di banche, società di brokeraggio, compagnie assicurative, cooperative e altre entità sottoposte alla supervisione della Sovrintendenza finanziaria ha ricordato loro il dovere di collaborare con la giustizia e le autorità per consegnare le informazioni richieste. La Circolare 32, firmata dal Supervisore Finanziario César Ferrari, parla della consegna di informazioni alle autorità senza la necessità di un ordine del tribunale, in modo che queste possano accedere ai dati finanziari di qualsiasi persona. L’ente giustifica che questa azione potrebbe prevenire i reati. La lettera, inviata il 24 maggio, afferma che “le richieste avanzate dalle autorità non richiedono un’ordinanza del tribunale, poiché mirano ad anticipare azioni criminali o terroristiche o a prevenire la violazione di diritti o libertà”. Aggiunge che vi è una necessità di rapidità nel rispondere alle richieste, “e pertanto la loro risposta richiede diligenza, tempestività e immediatezza”.”È importante che, nel fornire informazioni soggette a custodia o riservatezza, si tenga conto di questa qualità e che la riservatezza dei dati sia trasferita alle autorità o agli organismi richiedenti, per il loro uso esclusivo, in conformità con il loro dovere legale”, si legge nella circolare. In questo modo, il suggerimento agli enti vigilati è di creare un indirizzo e-mail esclusivo per gestire queste richieste di informazioni. E di designare un funzionario che assuma il ruolo di collegamento con le autorità. Questa persona dovrebbe tenere costantemente informato via e-mail l’organo giudiziario che richiede le informazioni. In risposta a questa richiesta, che ha fatto scattare qualche campanello d’allarme nel settore bancario, Ferrari ha affermato che non si tratta di una novità perché, a suo dire, la polizia chiede da dicembre dell’anno scorso che gli istituti finanziari collaborino in modo efficiente e rapido affinché le autorità possano agire rapidamente contro i criminali. Una delle questioni sollevate dalla suddetta circolare è la protezione delle informazioni finanziarie dei colombiani. Rafael Felipe Gómez, avvocato specializzato in diritto commerciale, ha spiegato che è importante chiarire che la Soprintendenza non sta modificando lo statuto organico del sistema finanziario colombiano, in termini di protezione dei dati, della privacy e tanto meno del segreto bancario.

Il Ruanda sta guadagnando sempre più attenzione a livello internazionale per le sue politiche digitali lungimiranti. Tali politiche, in parte, mirano a stimolare l’economia digitale emergente del Paese attraverso un approccio coordinato “a tutto campo”, sostenuto da una strategia nazionale per l’e-commerce recentemente pubblicata dall’UNCTAD. “La strategia nazionale per il commercio elettronico del Ruanda segna un’importante pietra miliare nel rafforzamento del quadro politico del Paese per facilitare il commercio digitale”, ha dichiarato Shamika N. Sirimanne, direttore UNCTAD per la tecnologia e la logistica. La strategia delinea un piano d’azione quinquennale per promuovere un ambiente favorevole al commercio elettronico in Ruanda, coinvolgendo i settori pubblico e privato. Essa contiene quadri dettagliati per la governance, l’attuazione, il monitoraggio e la valutazione. È il risultato di una partnership di lunga data che coinvolge l’UNCTAD, il governo ruandese e l’Ufficio per gli Affari Esteri, il Commonwealth e lo Sviluppo del Regno Unito. Alla strategia hanno contribuito anche l’agenzia di sviluppo tedesca GIZ, l’International Trade Centre e la Commissione delle Nazioni Unite per il diritto commerciale internazionale.Leva per uscire dallo status di Paese meno sviluppato Il Ruanda, una delle nazioni più densamente popolate dell’Africa subsahariana, ha fatto progressi per uscire dalla categoria dei Paesi meno sviluppati delle Nazioni Unite, in cui si trova dal 1971. Nell’ultimo decennio, ad esempio, il possesso di telefoni cellulari è aumentato costantemente, fino a raggiungere il 78,1% dei ruandesi nel 2022. Con la nuova strategia, gli esperti sono ottimisti sul fatto che il Ruanda potrà capitalizzare meglio l’e-commerce a vantaggio di imprese e consumatori, oltre a ottimizzare la fornitura di servizi governativi. “La crescita del commercio elettronico rappresenta un’opportunità unica per aprire l’accesso ai mercati internazionali e locali alle nostre piccole e medie imprese”, ha dichiarato Jean Chrysostome Ngabitsinze, ministro ruandese del Commercio e dell’Industria. “Può aiutare a rafforzare il contributo del settore privato alla crescita nazionale”, ha aggiunto il ministro. Al centro della strategia c’è l’ambizione del Ruanda di promuovere uno sviluppo sostenibile e inclusivo attraverso la digitalizzazione e il commercio elettronico .A tal fine, la strategia traduce le priorità politiche in iniziative attuabili che riguardano aree come le piattaforme di e-commerce, i dati, l’imprenditorialità, l’innovazione, i servizi finanziari e le soluzioni di pagamento digitale, nonché l’accesso ai finanziamenti.

English version

MALTA, THE ELECTORAL DATA BREACH SCANDAL DOES NOT SAVE EVEN THE FATHER OF THE MINISTER OF PUBLIC WORKS
COLOMBIA, AUTHORITIES MAY ACCESS BANK DATA EVEN WITHOUT A JUDICIAL PROVISION
RWANDA, THE STRATEGY TO FAVOUR E-COMMERCE

The father of Public Works and Planning Minister Stefan Zrinzo Azzopardi, Joseph Zrinzo, was also involved in C-Planet IT Services along with the minister’s brother-in-law Philip Farrugia but resigned from his position right after the electioneering data scandal broke.The company was involved in a massive data breach of information and political preferences of 337,384 voters that made its way to the Labour Party before the 2013 election, which the party won in a landslide. The data breach happened during Zrinzo Azzopardi’s time as party president between 2003 and 2013 and came from a company run and owned by his brother-in-law and in which his father was also involved. Zrinzo had served as company secretary but resigned from the post after the political scandal broke and freedom of information requests on the company’s voter data breach were filed in April 2020. Farrugia assumed Zrinzo’s position upon his exit from the scandal-tainted company and remains the company’s sole shareholder and director. Zrinzo’s resignation was filed at the Malta Business Registry on 23 December 2020 but was strangely backdated to an effective date of 3 June 2020. The company had first been registered in June 2007. The data breach involved a voter database that held personal information such as names, addresses and ID card details of almost the entire electorate. The data also included indicators as to whether individuals were more inclined to vote for the Labour Party or the Nationalist Party. Online monitoring service – Under The Breach – first revealed the breach when it tweeted that data had been left exposed by a Maltese IT company. The minister’s brother-in-law and company owner Philip Farrugia is a former production director at the Labour Party media company ONE Productions.

A letter that arrived on the desks of the legal representatives of banks, brokerage firms, insurance companies, cooperatives and other entities supervised by the Financial Superintendency reminded them of their duty to cooperate with the justice system and the authorities to hand over the information requested of them. Circular 32, signed by the Financial Supervisor, César Ferrari, talks about handing over information to the authorities without the need for a court order, so that they can access the financial data of any person. The entity justifies that this action could prevent crimes. The letter, sent on 24 May, states that “the requests made by the authorities do not require a court order since they seek to anticipate criminal or terrorist actions or to prevent the infringement of rights or freedoms”. It adds that there is a need for speed in responding to requests, “and therefore their response requires diligence, timeliness and immediacy”. “It is important that, when providing information subject to custody or confidentiality, this quality is taken into account and the confidentiality of the data is transferred to the requesting authorities or bodies, for their exclusive use, in compliance with their legal duty,” the circular reads. In this way, the suggestion to the supervised entities is to create an exclusive email address to deal with these requests for information. And also to designate an official to assume the role of liaison with the authorities. This person should keep the judicial body requesting information constantly informed by e-mail. In response to this request, which has set off some alarm bells in the banking sector, Ferrari said that this is nothing new because, he said, the police have been requesting since December last year that financial institutions collaborate efficiently and quickly so that the authorities can act swiftly against criminals. One of the issues raised by the aforementioned circular is the protection of Colombians’ financial information.Rafael Felipe Gómez, a lawyer specialising in commercial law, explained that it is important to be clear that the Superintendency is not modifying the organic statute of the financial system in Colombia, in terms of data protection, privacy, much less banking confidentiality.

Rwanda is increasingly gaining international attention for its forward-looking digital policies. These policies, in part, aim to stimulate the country’s emerging digital economy through a coordinated ‘whole-of-government’ approach, supported by a national e-commerce strategy recently published by UNCTAD. “Rwanda’s National E-Commerce Strategy marks an important milestone in strengthening the country’s policy framework to facilitate digital commerce,” said Shamika N. Sirimanne, UNCTAD Director for Technology and Logistics. The strategy outlines a five-year action plan to promote an enabling environment for e-commerce in Rwanda, involving the public and private sectors. It contains detailed frameworks for governance, implementation, monitoring and evaluation. It is the result of a long-standing partnership involving UNCTAD, the Government of Rwanda and the UK Foreign, Commonwealth and Development Office. The German development agency GIZ, the International Trade Centre and the United Nations Commission on International Trade Law have also contributed to the strategy.Leveraging out of Least Developed Country status Rwanda, one of the most densely populated nations in sub-Saharan Africa, has made progress in moving out of the UN Least Developed Country category, in which it has been placed since 1971. Over the past decade, for example, mobile phone ownership has steadily increased, reaching 78.1 per cent of Rwandans in 2022. With the new strategy, experts are optimistic that Rwanda will be able to better capitalise on e-commerce for the benefit of businesses and consumers, as well as optimise the delivery of government services. “The growth of e-commerce represents a unique opportunity to open access to international and local markets for our small and medium-sized enterprises,” said Jean Chrysostome Ngabitsinze, Rwanda’s Minister of Trade and Industry. ‘It can help strengthen the private sector’s contribution to national growth,’ the minister added. At the heart of the strategy is Rwanda’s ambition to promote sustainable and inclusive development through digitisation and e-commerce.To this end, the strategy translates policy priorities into actionable initiatives covering areas such as e-commerce platforms, data, entrepreneurship, innovation, financial services and digital payment solutions, and access to finance.

PRIVACY DAILY 95/2023

L’attivista di Hong Kong Joshua Wong è stato condannato a tre mesi di carcere per aver divulgato informazioni personali su un agente di polizia che ha ferito un manifestante durante le proteste antigovernative del 2019. Wong era salito alla ribalta nelle proteste pro-democrazia del 2014 ed era in custodia dopo aver manifestato l’intenzione di dichiararsi colpevole nel più grande caso di sicurezza nazionale della città, in cui rischia una potenziale pena fino all’ergastolo. L’anno scorso ha finito di scontare la sua pena di circa due anni per altri tre casi, dopo essere stato condannato per accuse multiple. L’ex studente leader delle proteste del 2014 non era uno dei leader delle proteste del 2019, ma il suo continuo attivismo e il suo alto profilo lo hanno reso un bersaglio delle autorità. Durante le proteste, si sono verificati violenti scontri tra polizia e manifestanti, e alcuni manifestanti hanno espresso la loro opposizione alle tattiche discutibili degli agenti attraverso il “doxxing”, la pratica di far trapelare maliziosamente informazioni personali altrui. Wong è stato accusato di aver ripubblicato su Facebook un thread di un forum online che rivelava i dettagli dell’agente che aveva sparato tre colpi di pistola nella zona residenziale di Sai Wan Ho, sull’isola di Hong Kong. Uno dei colpi ha ferito un manifestante e ha scatenato una protesta pubblica al culmine delle proteste. Il giudice Russell Coleman, che ha emesso la sentenza, ha detto che offrirà la motivazione completa nei prossimi giorni. Nelle sue attenuanti, il suo avvocato ha detto che Wong ha ammesso la sua responsabilità e che vorrebbe scusarsi con l’agente di polizia e la sua famiglia.

In Irlanda, i data breach non risparmiano neanche i centri anti-abusi. E in diversi, tra gli enti benefici che hanno subito il furto dei dati personali delle vittime di abusi in un attacco ransomware, potrebbero subire sanzioni da parte della Data Protection Commission (DPC). L’unico ente di beneficenza irlandese coinvolto che è stato nominato pubblicamente – l’organizzazione di sostegno agli abusi sui minori One In Four – è stato informato per la prima volta della violazione il 5 aprile. A quanto risulta, almeno altre otto istituzioni irlandesi, tra cui un centro antistupro, hanno contattato la Polizia e la DPC dopo che i dati da loro gestiti sono stati violati durante l’attacco. I dati erano in possesso della società Evide, con sede a Derry, specializzata nell’archiviazione e nell’analisi dei dati per il settore della beneficenza. Evide gestisce i dati di circa 140 organizzazioni. Tuttavia, gli enti irlandesi coinvolti dovranno probabilmente affrontare un’indagine da parte della DPC a causa del loro status di titolari del trattamento dei dati perduti, mentre Evide agisce come responsabile del trattamento dei dati pur operando in una giurisdizione separata. Il Ministro della Giustizia Simon Harris ha definito l’attacco “spaventoso” e ha esortato le vittime a essere “estremamente vigili” in termini di e-mail o messaggi di testo particolari che potrebbero ricevere in futuro. Sebbene in seguito all’attacco ransomware sia stato possibile accedere a dati personali, tra cui nomi, indirizzi e numeri di telefono, i riepiloghi dei casi di One in Four sono stati anonimizzati, il che significa che i singoli casi non possono essere collegati ad altri dati personali. Si ritiene inoltre che il dump di dati abbia visto l’accesso ai vari dettagli di tutte le 140 organizzazioni coinvolte in un’unica tranche, rendendo più difficile il collegamento delle varie sfaccettature ai diversi enti colpiti. Nel caso dell’hack Evide è stato richiesto un riscatto, ma non è ancora stato pagato.

A Birmingham cresce la preoccupazione dei commercianti per i piccoli furti e aumentano le misure di sicurezza adottate. L’anno scorso i negozianti del Regno Unito hanno speso 722 milioni di sterline per la prevenzione del crimine, il cui aumento è dovuto alla crisi del carovita. Alcuni commercianti nelle West Midlands sono ricorsi a pubblicare i filmati delle loro telecamere a circuito chiuso sui social media, lamentando che la polizia non sta facendo abbastanza per rintracciare i sospetti. Uno di loro ha addirittura creato un “wall of shame” affiggendo le immagini dei presunti colpevoli fuori dal suo negozio. I dati governativi indicano che i reati di taccheggio registrati sono aumentati del 29% nelle West Midlands negli ultimi due anni. Farrah McNutt, direttore generale di Catch a Thief UK, ha detto che per i negozianti che vogliono intraprendere un’azione simile, c’è un “processo di controllo” da seguire prima di poter mostrare le immagini.”Bisogna assicurarsi di seguire una procedura che rispetti le norme sulla protezione dei dati,” ha aggiunto. Ma la frustrazione dei negozianti è alta. “La polizia dovrebbe fare di più”, ha dichiarato il signor Farooq alla BBC, dopo aver informato gli agenti di aver istituito il suo “wall of shame” con le foto dei presunti taccheggiatori. “Di solito ci dicono ‘è un piccolo crimine, vi daremo un riferimento, vi faremo sapere’, ma in realtà dovrebbero uscire e dare un’occhiata al filmato”, ha aggiunto. In Gran Bretagna, secondo il British Retail Consortium (BRC), il taccheggio è costato ai rivenditori 953 milioni di sterline nel periodo 2021/22, e alcuni trasgressori sembrano non riuscire a fermarsi. Lara Conradie, del BRC, ha dichiarato di sentire “costantemente aneddoti da parte dei commercianti di tutto il Paese che dicono che gli episodi di furto sono aumentati durante la crisi del carovita”. I rivenditori sono costretti ad aumentare la sicurezza, “causando un’ulteriore pressione sui costi per i rivenditori”, ha aggiunto.

English version

Hong Kong activist Joshua Wong has been sentenced to three months in prison for divulging personal information about a police officer who injured a protester during anti-government protests in 2019. Wong had risen to prominence in the 2014 pro-democracy protests and was in custody after he indicated his intention to plead guilty in the city’s largest national security case, in which he faces a potential sentence of up to life in prison. Last year he finished serving his approximately two-year sentence for three other cases after being convicted of multiple charges. The former student leader of the 2014 protests was not one of the leaders of the 2019 protests, but his continued activism and high profile made him a target of the authorities. During the protests, violent clashes occurred between police and protesters, and some protesters voiced their opposition to the officers’ questionable tactics through ‘doxxing’, the practice of maliciously leaking others’ personal information. Wong was accused of reposting an online forum thread on Facebook that revealed details of the officer who fired three gunshots in the Sai Wan Ho residential area on Hong Kong Island. One of the shots injured a protester and triggered a public outcry at the height of the protests. Judge Russell Coleman, who handed down the sentence, said he would offer full reasons in the coming days. In his mitigation, his lawyer said Wong admitted responsibility and would like to apologise to the police officer and his family.

Data breaches do not spare even anti-abuse centres in Ireland. And several of the charities whose personal data of abuse victims was stolen in a ransomware attack could face sanctions from the Data Protection Commission. The only Irish charity involved that has been named publicly – the child abuse support organisation One In Four – was first informed of the breach on 5 April. Reportedly, at least eight other Irish institutions, including a rape crisis centre, contacted the Gardaí and the DPC after data managed by them was breached during the attack. The data was held by the Derry-based company Evide, which specialises in data storage and analysis for the charity sector. Evide manages the data of around 140 organisations. However, the Irish organisations involved are likely to face an investigation by the DPC due to their status as data controllers of the lost data, while Evide acts as a data controller while operating in a separate jurisdiction. Justice Minister Simon Harris called the attack ‘frightening’ and urged victims to be ‘extremely vigilant’ in terms of any particular emails or text messages they might receive in the future. Although personal data, including names, addresses and phone numbers, could be accessed as a result of the ransomware attack, One in Four case summaries were anonymised, meaning that individual cases cannot be linked to other personal data. It is also believed that the data dump saw access to the various details of all 140 affected organisations in one go, making it more difficult to link the various facets to the different entities affected. In the case of the Evide hack, a ransom was demanded, but has not yet been paid.

In Birmingham, shopkeepers’ concern about petty theft is growing and security measures are being increased. Last year, shopkeepers in the UK spent £722 million on crime prevention, the increase in which is due to the cost of living crisis. Some shopkeepers in the West Midlands have resorted to posting their CCTV footage on social media, complaining that the police are not doing enough to track down suspects. One of them even created a ‘wall of shame’ by posting pictures of the alleged perpetrators outside his shop. Government figures show that recorded shoplifting offences have increased by 29% in the West Midlands in the last two years. Farrah McNutt, chief executive of Catch a Thief UK, said that for shopkeepers who want to take such action, there is a ‘vetting process’ to follow before they can display the images.’You have to make sure you follow a procedure that complies with data protection regulations,’ she added. But shopkeepers’ frustration is high. “The police should do more,” Mr Farooq told the BBC, after informing officers that he had set up his “wall of shame” with photos of alleged shoplifters. “They usually tell us ‘it’s a small crime, we’ll give you a reference, we’ll let you know’, but really they should go out and have a look at the footage,” he added. In the UK, according to the British Retail Consortium (BRC), shoplifting cost retailers £953 million in the 2021/22 period, and some offenders just can’t seem to stop. Lara Conradie, of the BRC, said she is “constantly hearing anecdotes from retailers across the country saying that incidents of shoplifting have increased during the cost-cutting crisis”. Retailers are forced to increase security, ‘causing additional cost pressure for retailers,’ she added.

Le iniziative delle altre Autorità

L’Autorità garante spagnola adotta delle Linee Guida per la prevenzione dei data breach nella Pubblica Amministrazione

L’Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato le Orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales. Si tratta di un documento rivolto al settore pubblico che esamina la gestione dei rischi derivanti dal trattamento di enormi quantità di dati personali e dal loro scambio tra le Pubbliche Amministrazioni.

Le amministrazioni pubbliche, come tutti i titolari del trattamento, devono mettere in conto l’eventualità che si verifichino delle violazioni di dati personali e che le misure di sicurezza non garantiscano una protezione totale. Pertanto, devono attuare misure e azioni specifiche fin dalla progettazione del trattamento per ridurre al minimo il potenziale impatto individuale e sociale di un eventuale data breach.

Stando ai dati, infatti, nel 2021, l’Agenzia ha ricevuto 163 notifiche di violazione di dati personali dal settore pubblico, e nel 2022 la cifra è aumentata del 49%, arrivando a 243.

Una gestione efficace del rischio implica l’azione coordinata dei soggetti coinvolti nel trattamento, uno studio congiunto dei diversi scenari di violazione dei dati in caso di fallimento delle misure di sicurezza e l’adozione di misure specifiche e adeguate al fine di ridurre al minimo l’impatto sui diritti fondamentali. Proprio per questo, le linee guida includono un elenco di misure preventive di rilevamento, risposta, revisione e monitoraggio che potrebbero essere attuate nell’ambito di questo tipo di trattamento.

Nelle linee guida l’AEPD sottolinea che gestire questi trattamenti è organizzativamente complesso a causa della molteplicità degli attori coinvolti. Peraltro, l’interconnessione di infrastrutture per l’accesso e lo scambio di dati moltiplica la probabilità che una violazione dei dati personali si concretizzi, generando un grande impatto. Ciò implica la necessità di attuare misure di salvaguardia della privacy e di sicurezza, sia tecniche che organizzative, adeguate a questi scenari complessi, specifiche e in grado di gestire in modo coordinato l’elevato impatto sociale in relazione alla protezione dei dati.

PRIVACY DAILY 70/2023

Anche ai funzionari governativi del Regno Unito è stato vietato di utilizzare TikTok. Il Cabinet Minister Oliver Dowden, che ha tra le deleghe del suo portafoglio quella alla cybersicurezza, ha dichiarato in Parlamento che il divieto è una mossa “precauzionale” ma che entrerà in vigore immediatamente. TikTok ha negato con forza le accuse di trasmettere i dati degli utenti al governo cinese. Theo Bertram, vicepresidente dell’app per le relazioni con i governi e le politiche pubbliche in Europa, ha dichiarato di ritenere che la decisione fosse basata “più sulla geopolitica che su altro”. “Abbiamo chiesto di essere giudicati non in base alle paure della gente, ma in base ai fatti”, ha aggiunto. Dowden ha dichiarato di non voler sconsigliare al pubblico l’uso di TikTok, ma di dover sempre “considerare le politiche sui dati di ogni piattaforma di social media prima di scaricarla e utilizzarla”. A quanto pare, il Primo Ministro Rishi Sunak ha subito forti pressioni politiche affinché seguisse gli Stati Uniti e l’Unione Europea nel vietare l’utilizzo dell’app di condivisione video dai dispositivi ufficiali del governo. Ma i dipartimenti governativi – e i singoli ministri – avevano abbracciato TikTok come un modo per trasmettere il loro messaggio ai più giovani. E, infatti, Downing Street – che l’ultima volta ha postato su TikTok un video di Larry il gatto che prediceva i risultati del calcio – ha dichiarato che continuerà a usare TikTok per diffondere il messaggio del governo. Ha dichiarato che in alcune circostanze sono previste delle deroghe al divieto.

Informazioni sensibili sono state pubblicate online a seguito della “significativa violazione dei dati” del mercato delle assicurazioni sanitarie di Washington della scorsa settimana. Il data breach ha colpito anche i membri del Congresso, secondo quanto riferito da funzionari del Senato. In un’email inviata agli uffici del Senato, i membri del Comitato per l’Intelligence hanno dichiarato di aver appreso che le informazioni violate sono già online e comprendono tra gli altri nome, indirizzo, numero di previdenza sociale, data di nascita, numero di telefono dell’ufficio. Il 6 marzo, prima che la violazione fosse resa pubblica, un utente su un forum del dark web popolare tra gli hacker criminali ha affermato di avere accesso ai dati di una manciata di utenti del DC Health Link, il marketplace dell’Affordable Care Act che gestisce i piani di assistenza sanitaria per i membri del Congresso e per alcuni dipendenti di Capitol Hill, oltre che per altre persone nell’area di Washington. E ha offerto l’intero database in vendita. NBC News non ha verificato l’autenticità dei dati. Un altro utente ha poi reso pubblici i file sul sito. Il database, visionato da NBC News, include le presunte informazioni di oltre 65.000 persone, tra cui più di 1.000 con informazioni relative al lavoro svolto per la Camera o il Senato. In una comunicazione inviata agli utenti interessati, DC Health Link ha dichiarato di essere venuta a conoscenza della violazione dopo essere stata informata il 6 marzo della pubblicazione dei dati sul forum pubblico, di aver immediatamente avviato un’indagine approfondita in collaborazione con gli investigatori forensi e le forze dell’ordine e di offrire ai clienti interessati tre anni di monitoraggio gratuito dell’identità e del credito. La polizia di Capitol Hill e l’FBI stanno indagando

La Privacy Commission federale del Canada sta indagando sulla gestione dei dati sensibili dei dipendenti da parte della CBC. L’istruttoria è stata avviata dopo che la stampa ha riferito che alcuni dipendenti della CBC e di Radio-Canada si erano sentiti “traditi” nello scoprire che informazioni strettamente riservate, come l’orientamento sessuale, la religione, erano apparsi nel loro profilo personale su un nuovo programma di risorse umane basato sul cloud, chiamato Workday. I dipendenti avevano dichiarato di aver fornito le informazioni durante un “censimento culturale confidenziale” e volontario, credendo che i dati sarebbero stati anonimizzati e aggregati in modo da non poter essere ricondotti a loro. In una dichiarazione, il portavoce del Privacy Commissioner of Canada, Vito Pilieci, ha confermato che l’ufficio sta cercando di ottenere “ulteriori informazioni” dall’emittente pubblica, anche rispetto alla possibilità che i dati siano stati ospitati su server situati all’estero e quindi meno sicuri. In generale, Pilieci ha affermato che la legge sulla privacy impone ai datori di lavoro di comunicare ai dipendenti quali informazioni personali vengono raccolte, le finalità e i tempi di conservazione. Infine, ha dichiarato che la legge sulla privacy obbliga le istituzioni a garantire che le informazioni siano gestite da terzi in modo da essere “protette da ogni possibile rischio legato alla questione dei flussi di dati transfrontalieri”.

English version

UK government officials have also been banned from using TikTok. Cabinet Minister Oliver Dowden, who has cybersecurity as one of his portfolio mandates, said in Parliament that the ban was a ‘precautionary’ move but would come into effect immediately. TikTok has strongly denied allegations of passing on user data to the Chinese government. Theo Bertram, the app’s vice president for government relations and public policy in Europe, said he believed the decision was based “more on geopolitics than anything else”. “We asked to be judged not by people’s fears, but by the facts,” he added. Dowden said he did not want to advise the public against using TikTok, but that they should always ‘consider the data policies of any social media platform before downloading and using it’. Apparently, Prime Minister Rishi Sunak came under intense political pressure to follow the US and EU in banning the use of the video-sharing app from official government devices. But government departments – and individual ministers – had embraced TikTok as a way to get their message across to younger people. And, indeed, Downing Street – which last posted a video of Larry the cat predicting football results on TikTok – said it would continue to use TikTok to spread the government’s message. He stated that there are exceptions to the ban in certain circumstances.

Sensitive information has been posted online following last week’s ‘significant data breach’ of Washington’s health insurance marketplace targeting members of Congress, according to Senate officials. In an email sent to Senate offices, Intelligence Committee members said they learned that the breached information is already online and includes name, address, social security number, date of birth, office phone number, among others. On 6 March, before the breach was made public, a user on a dark web forum popular with criminal hackers claimed to have access to the data of a handful of users of DC Health Link, the Affordable Care Act marketplace that manages health care plans for members of Congress and some Capitol Hill employees, as well as others in the Washington area. And he offered the entire database for sale. NBC News did not verify the authenticity of the data. Another user then made the files public on the site. The database, viewed by NBC News, includes the alleged information of more than 65,000 people, including more than 1,000 with information about their work for the House or Senate. In a notice sent to affected users, DC Health Link said it became aware of the breach after being informed on 6 March that the data was posted on the public forum, immediately launched a thorough investigation in cooperation with forensic investigators and law enforcement, and offered affected customers three years of free identity and credit monitoring. Capitol Hill police and the FBI are investigating

The Federal Privacy Commission of Canada is investigating the CBC’s handling of sensitive employee data. The investigation was initiated after the press reported that some CBC and Radio-Canada employees had felt ‘betrayed’ to discover that strictly confidential information, such as sexual orientation and religion, had appeared in their personal profiles on a new cloud-based human resources programme called Workday. Employees had claimed to have provided the information during a voluntary ‘confidential cultural census’, believing that the data would be anonymised and aggregated so that it could not be traced back to them. In a statement, Privacy Commissioner of Canada spokesman Vito Pilieci confirmed that the office is seeking ‘further information’ from the public broadcaster, including on the possibility that the data was hosted on servers located abroad and therefore less secure. In general, Pilieci stated that the Privacy Act requires employers to tell employees what personal information is being collected, the purposes for which it is being collected, and when it is being stored. Finally, he stated that the Privacy Act obliges institutions to ensure that information is managed by third parties in such a way that it is ‘protected from any possible risk related to the issue of cross-border data flows’.

Obblighi di trasparenza: attenzione a non pubblicare dati eccedenti

Nuovo appuntamento con la rubrica #iprovvedimentispiegatisemplice su Agenda Digitale. In questo numero parliamo di un Comune che ha pubblicato il curriculum di una persona che da tempo non lavorava presso l’ente e secondo la quale la diffusione di quei dati – indirizzo di residenza, numero di telefono e email – avrebbe potuto comportare rischi per sé e la sua famiglia. I motivi che hanno spinto il Garante a multare l’ente.

Lavoro: no alla rilevazione delle impronte digitali senza specifici requisiti

Nuovo appuntamento con la rubrica #iprovvedimentispiegatisemplice su Agenda Digitale. In questo numero parliamo dell’illecito trattamento dei dati biometrici dei dipendenti che è costato alla società Sportitalia una sanzione di 20 mila euro da parte del Garante privacy.

“È pericoloso condividere le foto dei propri figli”, su Le Figaro l’intervista a Justine Atlan

Una bella intervista di Le Figaro a Justine Atlan, direttrice dell’associazione e-Enfance, che si occupa di tutela dei minori nella dimensione digitale e di attività di sensibilizzazione per un uso responsabile della rete.

San Valentino: l’amore è cieco ma (soprattutto) online bisogna tenere gli occhi aperti

Le app di dating sono sempre più diffuse e lo sanno bene i cybercriminali che soprattutto nel giorno di San Valentino tentano di sfruttare la maggiore vulnerabilità di chi è in cerca d’amore. Guarda il video per qualche consiglio pratico su come difenderti e per saperne di più vai alla pagina dedicata del Garante privacy.

Multa a Vodafone Italia: Il call center deve dare informazioni comprensibili

Nuovo appuntamento con la rubrica #iprovvedimentispiegatisemplice su Agenda Digitale. In questo numero parliamo della multa a Vodafone Italia per la violazione dei principi di correttezza e trasparenza.

PRIVACY DAILY 43/2023

La Corte Suprema degli Stati Uniti potrebbe rivoluzionare il funzionamento delle piattaforme online. Il 21 febbraio, infatti, verrà discussa la causa Gonzalez v. Google, in cui si pronuncerà sugli “algoritmi di raccomandazione”, vale a dire il meccanismo che ordina la maggior parte dei contenuti online e determina la priorità dei post, delle notizie e degli account sulle piattaforme digitali. Il caso di specie ha ad oggetto delle accuse di presunta violazione dell’Anti-Terrorism Act commesse da Google, per via della raccomandazione di contenuti dell’ISIS da parte degli algoritmi di YouTube. Entra, così, in gioco la Sezione 230 del Titolo 47 dell’U.S. Code, cioè il fondamento giuridico su cui, per decenni, tutte le grandi aziende di Internet con contenuti generati dagli utenti hanno costruito le loro policy e le loro attività. In particolare, la Corte Suprema è chiamata a sciogliere la seguente questione: raccomandare un contenuto equivale a mostrarlo? Per rispondere al non facile quesito i giudici dovranno stabilire dove cade la linea di demarcazione tra l’hosting di contenuti e gli algoritmi di raccomandazione, che li ordinano in base alla cronologia, alla posizione geografica o ad altri criteri. In poche parole, vengono messi in discussione gli algoritmi che gestiscono la visualizzazione della maggior parte dei contenuti. Se la Sezione 230 venisse abrogata o ampiamente reinterpretata, le Big Tech potrebbero essere costrette a trasformare non solo il loro approccio alla moderazione dei contenuti, ma tutta l’architettura delle piattaforme. Alcuni esperti sostengono che i danni inflitti dagli algoritmi agli individui e alla società hanno raggiunto un livello inaccettabile e che, sebbene sarebbe preferibile un intervento legislativo, la Corte Suprema potrebbe cogliere questa opportunità per cambiare le regole su Internet, intaccando uno degli elementi di base del c.d. “capitalismo della sorveglianza”.

L’Austria vuole facilitare l’accesso ai dati sanitari dei pazienti. Dopo l’introduzione del Gesundheitsakte (versione austriaca del fascicolo sanitario elettronico) e del passaporto vaccinale sullo smartphone, il Ministro della Salute Johannes Rauch vuole intraprendere questo passo ulteriore con l’obiettivo di migliorare l’assistenza ai pazienti e di favorire un risparmio per l’Amministrazione. Al momento, l’Austria è alle prese con una serie di problemi relativi alle diverse modalità registrazione dei dati dei pazienti da parte di ospedali, medici di base e assicurazioni sociali. Nei piani del Ministro Rauch c’è, pertanto, il superamento di quest’impasse attraverso un miglioramento dell’accesso alle diagnosi e ai farmaci prescritti, seguendo il modello di digitalizzazione già applicato dalla Finlandia. “Ogni austriaco dovrebbe avere una panoramica dei propri dati sanitari premendo un pulsante” ha affermato il Sottosegretario alla Digitalizzazione, Florian Tursky, aggiungendo che occorre eliminare “i doppioni nel sistema sanitario” e “ridurre l’onere amministrativo per i medici”. Questo proposito ha, però, incontrato qualche preoccupazione da parte degli attivisti per la protezione dei dati personali che hanno sottolineato la particolare natura dei dati sanitari e delle conseguenze negative nel caso in cui “finiscano nelle mani sbagliate”. Gli attivisti rivendicano inoltre che i pazienti dovrebbero “poter decidere autonomamente e in qualsiasi momento con chi condividere i propri dati sanitari e per quanto tempo le istituzioni sanitarie interessate potranno accedervi”.

La Munster Technological University (MTU) si prepara a riaprire dopo il pesante attacco hacker subito. Il personale e gli studenti sono stati esortati a essere vigili dopo l’accesso abusivo ai dati contenuti nei suoi sistemi informatici, che sono stati poi copiati e condivisi sul dark web. Intanto, l’MTU sta collaborando con il National Cyber Security Centre per indagare sull’attacco, che si ritiene sia stato condotto da un collettivo di hacker con sede in Russia noto come Blackcat o APLHV. Ancora non è chiaro quali informazioni siano state diffuse, secondo il direttore del National Cyber Security Centre, Richard Browne. “Purtroppo è una conseguenza di ciò che accade in questi casi”, ha dichiarato, aggiungendo che: “gli aggressori hanno fatto quello che dovevano fare. Si tratta di un gruppo estremamente prolifico”. Anche la Data Protection Commission è stata informata della violazione. Agli studenti e al personale è stato peraltro raccomandato di prestare attenzione a potenziali attacchi via e-mail o SMS. Perfino la Student Union (il sindacato studentesco) dell’Università ha condiviso informazioni su come riconoscere una “e-mail di phishing” o, comunque, quando un’e-mail contiene link dannosi.

English version

The US Supreme Court could revolutionise the functioning of online platforms. On 21 February, in fact, the case Gonzalez v. Google will be discussed, in which it will rule on ‘recommendation algorithms’, i.e. the mechanism that orders most online content and determines the priority of posts, news items and accounts on digital platforms. The present case concerns allegations of an alleged violation of the Anti-Terrorism Act committed by Google, due to the recommendation of ISIS content by YouTube’s algorithms. Thus, Section 230 of Title 47 of the U.S. Code comes into play, i.e. the legal foundation on which, for decades, all large Internet companies with user-generated content have built their policies and activities. In particular, the Supreme Court is called upon to resolve the following question: does recommending content amount to showing it? To answer this not easy question, the judges will have to determine where the dividing line between hosting content and recommending algorithms, which sort them according to chronology, geographical location or other criteria, falls. In short, the algorithms that manage the display of most content are called into question. If Section 230 is repealed or widely reinterpreted, Big Tech could be forced to transform not only their approach to content moderation, but the entire architecture of the platforms. Some experts argue that the damage inflicted by algorithms on individuals and society has reached an unacceptable level and that, although legislative intervention would be preferable, the Supreme Court could seize this opportunity to change the rules on the Internet, eroding one of the basic elements of so-called ‘surveillance capitalism’.

Austria wants to facilitate access to patients’ health data. After the introduction of the Gesundheitsakte (Austria’s version of the electronic health record) and the vaccination passport on the smartphone, Health Minister Johannes Rauch wants to take this further step with the aim of improving patient care and saving the administration money. At the moment, Austria is grappling with a number of problems relating to different ways of recording patient data by hospitals, general practitioners and social insurance companies. In Minister Rauch’s plans, therefore, is to overcome this impasse by improving access to diagnoses and prescribed drugs, following the digitisation model already applied by Finland. “Every Austrian should have an overview of their health data at the push of a button,” said the Undersecretary for Digitalisation, Florian Tursky, adding that “duplication in the health system” should be eliminated and “the administrative burden on doctors should be reduced”. This has, however, met with some concern from data protection activists, who have emphasised the special nature of health data and the negative consequences if they ‘fall into the wrong hands’. The activists also claim that patients should ‘be able to decide for themselves at any time with whom they want to share their health data and for how long the health institutions concerned will have access to it’.

Munster Technological University (MTU) is preparing to reopen after the heavy hacking attack it suffered. Staff and students have been urged to be vigilant after data was ‘accessed and copied’ from its computer systems during the attack and shared on the dark web. Meanwhile, MTU is working with the National Cyber Security Centre to investigate the attack, which is believed to have been conducted by a Russian-based hacker collective known as Blackcat or APLHV. It is still unclear what information was leaked, according to National Cyber Security Centre director Richard Browne. “Unfortunately it is a consequence of what happens in these cases,” he said, adding that: “the attackers did what they had to do. This is an extremely prolific group”. The Data Protection Commission was also informed of the breach. Students and staff were also advised to watch out for potential attacks via e-mail or SMS. Even the university’s Student Union has shared information on how to recognise a ‘phishing e-mail’ or, in any case, when an e-mail contains malicious links.