PRIVACY DAILY 62/2023

La Corte europea dei diritti dell’uomo ha condannato la Turchia per non aver protetto la vita privata di un’importante attrice. Un bacio sulla terrazza di casa filmato e trasmesso in televisione: questa la pietra dello scandalo che ha condotto l’attrice di cinema e soap opera turca Birsen Berrak Tuzunatac a intentare una maratona di azioni legali, culminate nella decisione dei Giudici di Strasburgo che ha sancito la violazione della Convenzione europea dei diritti dell’uomo da parte della Turchia. L’attrice nel 2010 aveva fatto causa contro la società proprietaria del canale televisivo turco che aveva realizzato il filmato, sostenendo di essere stata ripresa a sua insaputa, in violazione del suo diritto alla privacy. Tuttavia, nel 2013 il tribunale regionale di Istanbul ha respinto la sua richiesta di risarcimento sostenendo che la ripresa era stata realizzata dalla strada senza alcuna intrusione in casa sua. La sentenza è stata poi confermata dalla Corte di cassazione e dalla Corte costituzionale della Turchia. Perciò Birsen Berrak Tuzunatac si è rivolta alla Corte Europea dei Diritti dell’Uomo. Nella sua sentenza, la Corte di Strasburgo ha affermato che, nonostante la fama, “la vita sentimentale di una persona è in linea di principio di natura strettamente privata”, mentre il video in questione “sembra avere avuto il solo scopo di soddisfare la curiosità di un certo pubblico”. La Corte ha aggiunto inoltre che il reportage non ha rispettato gli “standard di un giornalismo responsabile”; infatti, i tribunali nazionali turchi “avrebbero dovuto mostrare un maggior rigore nel soppesare i vari interessi in gioco”. La Corte ha così stabilito che la Turchia ha violato l’articolo 8 della Convenzione europea dei diritti dell’uomo, il quale sancisce il rispetto della vita privata di una persona.

Una nuova legge per mettere al bando TikTok è stata presentata al Senato degli Stati Uniti. La proposta proviene da un gruppo di 12 senatori – 6 democratici e 6 repubblicani – e mira ad attribuire al Commerce Secretary nuovi poteri per vietare l’applicazione video di proprietà cinese e altre tecnologie straniere, qualora venisse appurato che esse rappresentino una minaccia per la sicurezza nazionale. Ipotesi sposata da diversi esponenti politici. Il senatore Mark Warner, che insieme al repubblicano John Thune capeggia il gruppo, ha dichiarato che ritiene TikTok una minaccia per la sicurezza nazionale, specificando che il disegno di legge darebbe al Commerce Secretary “la capacità di porre una serie di limitazioni fino a vietare TikTok e altre tecnologie che pongono rischi per la sicurezza nazionale”. Warner ha aggiunto che la proposta si applicherebbe anche alle tecnologie straniere provenienti da sei nazioni: Cina, Russia, Corea del Nord, Iran, Venezuela e Cuba. Nonostante l’ottimismo dei senatori proponenti, la Casa Bianca non ha ancora chiarito se appoggerà la proposta. Ad ogni modo, questa proposta è l’ennesima prova che TikTok, utilizzata da oltre 100 milioni di americani, è sempre più osteggiata dalla politica statunitense, la quale seguita a nutrire il timore che i dati degli utenti possano finire nelle mani del governo cinese. L’amministratore delegato di TikTok, Shou Zi Chew, dovrà presentarsi al Congresso il 23 marzo. Inoltre, la settimana scorsa la Commissione Affari Esteri della Camera dei Rappresentanti ha votato a maggioranza una proposta di legge per dare a Biden il potere di vietare TikTok. Proposta che, però, sembra non entusiasmare i democratici.

I trasferimenti di dati transatlantici navigano in acque molto agitate. Helen Dixon, a capo della Data Protection Commission (DPC) irlandese, ha dichiarato in un’intervista che le clausole contrattuali standard utilizzate da Meta per trasferire i dati negli Stati Uniti potrebbero essere messo al bando prima dell’approvazione definitiva del EU-US Data Privacy Framework. Già a luglio la DPC aveva emesso una bozza, ad oggi in attesa del pronunciamento delle altre Autorità garanti della privacy europee, che potrebbe arrivare entro la metà di aprile. A seguire, l’Autorità irlandese avrebbe un altro mese per implementare definitivamente la decisione. E così, entro la metà di maggio, Meta si ritroverebbe scoperta e, come dichiarato già da diverso tempo, potrebbe decidere di sospendere i suoi servizi in Europa. Nel frattempo, la Commissione Europea punta a finalizzare il nuovo accordo sui dati con gli Stati Uniti, dopo che la Corte di giustizia dell’UE ha annullato due precedenti accordi per i timori relativi alla sorveglianza da parte delle agenzie di intelligence americane. Ma difficilmente esso potrà vedere la luce prima di luglio. Di recente Meta aveva dichiarato che “se la Commissione europea non adotterà una decisione di adeguatezza e non potremo continuare a fare affidamento su [clausole contrattuali standard] o su altri mezzi alternativi per il trasferimento di dati dall’Unione europea agli Stati Uniti, probabilmente non saremo in grado di offrire alcuni dei nostri prodotti e servizi più importanti, tra cui Facebook e Instagram, in Europa”. Ma la Dixon afferma di non avere intenzione di fare marcia indietro nell’applicazione del GDPR. “Porteremo avanti le azioni di enforcement che abbiamo stabilito”, ha dichiarato nell’intervista. Cionondimeno, Meta spera nella conclusione dell’accordo sul Data Privacy Framework in tempo utile. “Accogliamo con favore i progressi compiuti dai responsabili politici per garantire la continuità del trasferimento dei dati attraverso le frontiere e attendiamo la decisione finale dell’autorità di regolamentazione su questa questione” ha dichiarato un portavoce della società.

English version

The European Court of Human Rights has condemned Turkey for failing to protect the private life of a prominent actress. A kiss on the terrace of her home filmed and broadcast on television: this was the scandal that led Turkish film and soap opera actress Birsen Berrak Tuzunatac to file a marathon of lawsuits, culminating in the decision of the Strasbourg judges that Turkey violated the European Convention on Human Rights. The actress had filed a lawsuit in 2010 against the company that owned the Turkish TV channel that had made the footage, claiming that she had been filmed without her knowledge, in violation of her right to privacy. However, in 2013, the Istanbul Regional Court rejected her claim on the grounds that the footage had been filmed from the street without any intrusion into her home. The ruling was later upheld by the Court of Cassation and the Constitutional Court of Turkey. Therefore, Birsen Berrak Tuzunatac turned to the European Court of Human Rights. In its ruling, the Strasbourg Court stated that, despite its fame, ‘a person’s love life is in principle of a strictly private nature’, whereas the video in question ‘appears to have had the sole purpose of satisfying the curiosity of a certain public’. The Court also added that the reportage did not meet the “standards of responsible journalism”; indeed, the Turkish national courts “should have shown greater rigour in weighing the various interests at stake”. The Court thus ruled that Turkey had violated Article 8 of the European Convention on Human Rights, which stipulates respect for a person’s private life.

A new bill to ban TikTok has been introduced in the US Senate. The proposal comes from a group of 12 senators – 6 Democrats and 6 Republicans – and aims to give the Commerce Secretary new powers to ban Chinese-owned video applications and other foreign technologies if they are found to pose a threat to national security. An assumption espoused by several politicians. Senator Mark Warner, who along with Republican John Thune heads the group, stated that he considers TikTok a threat to national security, specifying that the bill would give the Commerce Secretary ‘the ability to place a series of restrictions up to and including banning TikTok and other technologies that pose national security risks’. Warner added that the proposal would also apply to foreign technologies from six nations: China, Russia, North Korea, Iran, Venezuela and Cuba. Despite the optimism of the proposing senators, the White House has not yet clarified whether it will support the proposal. In any case, this proposal is yet more proof that TikTok, used by over 100 million Americans, is increasingly opposed by US policymakers, who continue to harbour fears that user data could end up in the hands of the Chinese government. The CEO of TikTok, Shou Zi Chew, is due to appear before Congress on 23 March. Moreover, last week, the Foreign Affairs Committee of the House of Representatives voted by a majority a bill to give Biden the power to ban TikTok. A proposal that, however, does not seem to excite the Democrats.

Transatlantic data transfers are navigating very rough waters. Helen Dixon, head of Ireland’s Data Protection Commission (DPC), said in an interview that the standard contractual clauses used by Meta to transfer data to the US could be outlawed before final approval of the EU-US Data Privacy Framework. Already in July, the DPC had issued a draft, which is now awaiting the pronouncement of the other European privacy authorities, which could arrive by mid-April. After that, the Irish Authority would have another month to definitively implement the decision. And so, by mid-May, Meta would find itself uncovered and, as it has already stated for some time, could decide to suspend its services in Europe. In the meantime, the European Commission aims to finalise the new data agreement with the United States, after the EU Court of Justice annulled two previous agreements over concerns about surveillance by US intelligence agencies. But it is unlikely to see the light of day before July. Meta had recently stated that ‘if the European Commission does not take an adequacy decision and we cannot continue to rely on [standard contractual clauses] or other alternative means of transferring data from the EU to the US, we will probably not be able to offer some of our most important products and services, including Facebook and Instagram, in Europe’. But Dixon says it has no plans to backtrack on GDPR enforcement. ‘We will pursue the enforcement actions we have established,’ she said in the interview. Nevertheless, Meta hopes for the conclusion of the Data Privacy Framework agreement in time. “We welcome the progress made by policymakers to ensure the continuity of data transfers across borders and look forward to the regulator’s final decision on this issue,” a company spokesperson said.

PRIVACY DAILY 57/2023

L’EDPB ha adottato il suo parere sulla bozza di decisione di adeguatezza relativa al Data Privacy Framework UE-USA pubblicata dalla Commissione Europea lo scorso 13 dicembre. Ad annunciarlo è il Board stesso, il quale comunica che accoglie con favore i miglioramenti sostanziali apportati, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE. Allo stesso tempo, però, l’EDPB esprime preoccupazioni e chiede chiarimenti su diversi punti. In particolare, le perplessità concernono alcuni diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea dei bulk data e il funzionamento pratico del meccanismo di ricorso. L’EDPB sarebbe favorevole a subordinare non solo l’entrata in vigore ma anche l’adozione della decisione all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 del Presidente degli Stati Uniti da parte di tutte le agenzie di intelligence statunitensi. L’EDPB raccomanda alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’EDPB. Il presidente dell’EDPB Andrea Jelinek ha dichiarato: “Un elevato livello di protezione dei dati è essenziale per salvaguardare i diritti e le libertà delle persone dell’UE. Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di affrontare le preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire la validità della decisione di adeguatezza. Per lo stesso motivo, riteniamo che dopo la prima revisione della decisione di adeguatezza, le revisioni successive debbano avvenire almeno ogni tre anni e ci impegniamo a contribuirvi”.

Il governo indiano ha annunciato un audit esterno su Diksha, app educativa che utilizza per fornire istruzione online agli studenti. Lo riporta Human Rights Watch (HRW), aggiungendo che il governo si è impegnato a proteggere meglio i dati dei bambini e degli insegnanti che utilizzano l’applicazione. La notizia arriva dopo che a gennaio HRW aveva denunciato la pubblicazione dei dati personali di milioni di studenti e insegnanti per oltre un anno da parte dell’applicazione. I dati non protetti includevano i nomi dei bambini, le scuole, lo stato, il distretto e l’isolato in cui vivono, i punteggi dei test e i numeri di telefono e gli indirizzi e-mail, parzialmente ridimensionati. Human Rights Watch ha anche documentato come l’applicazione fosse in grado di raccogliere i dati precisi sulla posizione dei bambini e che trasmettesse i loro dati a una società terza utilizzando un tracker progettato per la pubblicità. Il gruppo per i diritti digitali Internet Freedom Foundation, ha chiesto alla Commissione nazionale per la protezione dei diritti dell’infanzia di avviare un’indagine sulle violazioni della privacy dei bambini da parte del governo. Il governo indiano ha negato che Diksha raccolga dati precisi sulla posizione, ma ha ammesso di aver raccolto dati su Stai e distretto di residenza. L’esecutivo non ha, però, risposto sul perché l’applicazione sia stata costruita con la capacità di raccogliere dati precisi sulla posizione degli utenti, né sul perché l’applicazione trasmetta i dati dei bambini a una società terza che utilizza un tracker pubblicitario. Peraltro, HRW ritiene che la proposta di legge in materia protezione dei dati ad oggi in discussione non impedirà che tali violazioni si ripetano.

L’Autorità Garante privacy turca (KVKK) ha inflitto una sanzione da 175 milioni di lire turche (circa 8,5 milioni di euro) a TikTok. La violazione contestata riguarda il trattamento illecito di dati personali dei minori e la raccolta di dati senza valido consenso. L’istruttoria del KVKK era stata avviata sulla base dell’art. 15 del Kişisel Verilerin Korunması Kanunu (Legge sulla protezione dei dati personali turca), a seguito di varie notizie e reclami. Dalle verifiche effettuate è emerso che l’informativa privacy di TikTok era stata modificata nel gennaio 2021 e che, a seguito dell’aggiornamento, l’impostazione predefinita della privacy per gli account degli utenti di età compresa tra i 13 e i 15 anni era stata modificata in “privata”, in modo che potevano essere visualizzati solo i video condivisi con i follower approvati. Tuttavia, è emerso anche che prima di gennaio 2021, venivano visualizzate informazioni e contenuti relativi a minori di età inferiore ai 13 anni che utilizzavano l’applicazione e sono stati raccolti dati sui bambini senza un adeguato consenso dei genitori. Peraltro, è stato anche appurato che il testo dei Termini di servizio non è disponibile in turco e, dunque, il contenuto non viene presentato agli utenti in una forma facile da capire ed è verosimile ritenere che i termini vengano spesso accettati senza essere compresi appieno. Inoltre, sempre da quanto ricostruito dall’Autorità, non viene ottenuto un consenso esplicito durante la creazione di un account sulla piattaforma né viene in merito all’attività di trattamento dei dati personali effettuata mediante l’utilizzo di cookie per finalità di profilazione. Così la società è stata sanzionata per 175 milioni di lire turche ed è stata invitata, tra l’altro, ad aggiornarne l’informativa privacy e a tradurre i termini di servizio in turco.

English version

The EDPB adopted its opinion on the draft adequacy decision on the EU-US Data Privacy Framework published by the European Commission on 13 December. This was announced by the Board itself, which states that it welcomes the substantial improvements made, such as the introduction of requirements incorporating the principles of necessity and proportionality for US intelligence collection and the new redress mechanism for EU data subjects. At the same time, however, the EDPB expresses concerns and seeks clarification on several points. In particular, concerns relate to certain data subject rights, onward transfers, the scope of exemptions, the temporary collection of bulk data and the practical functioning of the redress mechanism. The EDPB would favour making not only the entry into force but also the adoption of the decision conditional on the adoption of updated policies and procedures for the implementation of US President’s Executive Order 14086 by all US intelligence agencies. The EDPB recommends that the Commission assess these updated policies and procedures and share its assessment with the EDPB. EDPB Chairman Andrea Jelinek said: ‘A high level of data protection is essential to safeguard the rights and freedoms of EU individuals. While recognising that the improvements made to the US legal framework are significant, we recommend addressing the concerns expressed and providing the clarifications required to ensure the validity of the adequacy decision. For the same reason, we believe that after the first review of the Adequacy Decision, subsequent reviews should take place at least every three years and we are committed to contributing to this.

The Indian government announced an external audit of Diksha, an educational app it uses to provide online education to students. This was reported by Human Rights Watch (HRW), adding that the government has pledged to better protect the data of children and teachers using the app. The news comes after HRW reported in January that the app had been publishing the personal data of millions of students and teachers for over a year. The unprotected data included children’s names, schools, the state, district and block where they live, test scores, and partially redacted phone numbers and email addresses. Human Rights Watch also documented how the app was able to collect the precise location data of the children and that it transmitted their data to a third-party company using a tracker designed for advertising. The digital rights group Internet Freedom Foundation asked the National Commission for the Protection of Children’s Rights to launch an investigation into the government’s violation of children’s privacy. The Indian government has denied that Diksha collects precise location data, but admitted that it has collected data on state and district of residence. The executive did not, however, answer why the app was built with the capacity to collect precise location data from users, nor why the app transmits children’s data to a third-party company using an advertising tracker. Moreover, HRW believes that the proposed data protection law currently under discussion will not prevent such violations from happening again.

The Turkish Privacy Authority (KVKK) imposed a fine of 175 million Turkish Liras (approximately EUR 8.5 million) on TikTok. The alleged violation concerns the unlawful processing of personal data of minors and the collection of data without valid consent. The KVKK investigation had been initiated on the basis of Article 15 of the Kişisel Verilerin Korunması Kanunu (Turkish Personal Data Protection Law), following various reports and complaints. Checks revealed that TikTok’s privacy policy had been changed in January 2021 and that, following the update, the default privacy setting for accounts of users aged between 13 and 15 had been changed to ‘private’, so that only videos shared with approved followers could be viewed. However, it was also found that prior to January 2021, information and content related to children under the age of 13 using the app was displayed and data on children was collected without proper parental consent. Moreover, it was also found that the text of the Terms of Service is not available in Turkish and, therefore, the content is not presented to users in an easy-to-understand form and it is likely that the terms are often accepted without being fully understood. Moreover, again according to the Authority’s reconstruction, explicit consent is not obtained when creating an account on the platform, nor is it given when personal data is processed through the use of cookies for profiling purposes. Thus, the company was fined 175 million Turkish liras and asked, among other things, to update its privacy policy and translate its terms of service into Turkish.