PRIVACY DAILY 99/2023

Helen Dixon (Data Protection Commissioner della Repubblica d’Irlanda) ha risposto ai critici che accusano il suo ufficio di impiegare troppo tempo ad emettere provvedimenti contro le aziende della Silicon Valley. “Alcune delle persone che commentano di fretta capiscono ben poco del processo di conduzione di un’istruttoria, della complessità dell’accertamento dei fatti, dell’attuazione di procedure corrette nel processo”, ha detto la Dixon in un panel all’evento Bloomberg New Economy Gateway Europe. Dall’approvazione del GDPR, le tensioni sono cresciute rapidamente, poiché l’autorità garante irlandese si è trasformata da un giorno all’altro nel principale supervisore dell’UE per le aziende tecnologiche globali con sede nel Paese, come Apple e Meta Platforms. “Queste cose richiedono tempo per essere fatte correttamente”, ha detto Dixon. “E se qualcuno ha letto le 200 pagine di decisioni che l’ufficio produce per motivare il tipo di misure che stiamo attuando, può capire un po’ i dettagli”. La Dixon ha anche segnalato un progresso nella lunga saga sulla validità dei trasferimenti di dati transatlantici per il timore che le agenzie di sicurezza statunitensi possano accedere ai dati dell’UE. Ha dichiarato che il suo ufficio emetterà una decisione finale di un’indagine sulla questione di Facebook entro il 12 maggio. Meta potrebbe trovarsi di fronte a un imminente divieto di flusso di dati nell’ambito dei trasferimenti di dati tra l’UE e gli USA in base alle cosiddette clausole contrattuali standard. Non è chiaro cosa significherebbe in pratica un tale ordine per Meta e forse per migliaia di altre aziende che dipendono da flussi di dati simili. Questo perché arriverà solo pochi mesi prima dell’entrata in vigore di un nuovo patto UE-USA sui dati.

Il Governo svizzero ha preso atto del rapporto della Commissione sulla gestione istituita dal Consiglio Nazionale sulla fondazione «lemievaccinazioni.ch». Il rapporto contiene una serie di raccomandazioni sull’impegno della Confederazione nei confronti di beneficiari di sovvenzioni federali organizzati secondo il diritto privato e sulla partecipazione ai consigli di fondazione. La Commissione sulla gestione del Consiglio nazionale (CdG-N) si è occupata della vigilanza esercitata dall’Ufficio federale della sanità pubblica (UFSP) sulla fondazione «lemievaccinazioni.ch», la quale gestiva un libretto di vaccinazione elettronico. La Confederazione ha sostenuto finanziariamente la fondazione per svariati anni. Nella primavera del 2021 sono state constatate gravi falle nella protezione dei dati e nella sicurezza del libretto di vaccinazione elettronico. Poco dopo la piattaforma è stata disattivata. Nel corso delle sue indagini la CdG-N si è concentrata sul modo in cui il Dipartimento federale dell’interno e l’UFSP hanno esercitato le loro funzioni di vigilanza, sull’appropriatezza delle misure prese e sugli insegnamenti generali che si possono trarre da questo caso. La CdG-N è giunta alla conclusione che l’UFSP ha agito in maniera adeguata per quanto concerne la sicurezza dei dati presso la fondazione «lemievaccinazioni.ch» e ha prestato sufficiente attenzione all’aspetto della protezione dei dati. Alla fondazione «lemievaccinazioni.ch» sono stati concessi aiuti finanziari da parte della Confederazione e l’UFSP aveva il compito di vigilare sul loro corretto impiego. La CdG-N è giunta alla conclusione che la vigilanza esercitata dall’UFSP sulla fondazione è stata, invece, troppo blanda dal punto di vista finanziario. Il Consiglio federale ha concordato con questa conclusione.

Da venerdì la polizia francese potrà utilizzare droni dotati di telecamere per un’ampia gamma di compiti, tra cui il monitoraggio della folla e il controllo delle frontiere, a seguito della pubblicazione di un decreto sulla Gazzetta Ufficiale di giovedì. La mossa arriva a poco più di un anno dalle Olimpiadi di Parigi 2024 e in un momento in cui l’opposizione alla riforma delle pensioni del presidente Emmanuel Macron ha scatenato enormi proteste che a volte sono diventate violente. Il decreto consente alla polizia, alle dogane o ai militari di utilizzare i droni per prevenire attacchi a persone o cose, garantire la sicurezza degli assembramenti in luoghi pubblici e mantenere o ripristinare l’ordine pubblico quando questi assembramenti possono turbarlo gravemente. I droni possono essere utilizzati anche per la prevenzione di atti terroristici, la regolazione dei flussi di trasporto, la sorveglianza delle frontiere e il salvataggio di persone. Il decreto dettaglia e attua in pratica una legge sulla sicurezza votata dal Parlamento lo scorso anno. L’Autorità garante francese (CNIL) aveva chiesto a marzo la pubblicazione di una politica dettagliata di utilizzo, che includesse le informazioni del pubblico interessato dall’uso dei droni.

English version

Helen Dixon (Data Protection Commissioner of the Republic of Ireland) has responded to critics who accuse her office of taking too long to issue orders against Silicon Valley companies. “Some of the people who comment in haste understand very little about the process of conducting an investigation, the complexity of fact-finding, the implementation of proper procedures in the process,” Dixon said in a panel at the Bloomberg New Economy Gateway Europe event. Since the approval of the GDPR, tensions have risen rapidly as the Irish regulator has overnight become the EU’s main supervisor for global technology companies based in the country, such as Apple and Meta Platforms. “These things take time to be done properly,” Dixon said. “And if anyone has read the 200 pages of decisions that the office produces to justify the kind of measures we are implementing, they can understand a little bit of the detail.” Dixon also signalled progress in the long-running saga over the validity of transatlantic data transfers over fears that US security agencies could access EU data. She said her office will issue a final decision on an investigation into the Facebook issue by 12 May. Meta could face an impending ban on data flows as part of data transfers between the EU and the US under so-called standard contractual clauses. It is unclear what such an order would mean in practice for Meta and perhaps thousands of other companies that depend on similar data flows. This is because it will come only a few months before a new EU-US data pact comes into force.

The Swiss government has taken note of the report of the Management Commission established by the National Council on the “lemievaccinations.ch” foundation. The report contains a number of recommendations on the federal government’s involvement with federal grant recipients organised under private law and on participation in foundation boards. The National Council’s Commission on Management (CdG-N) dealt with the supervision exercised by the Federal Office of Public Health (FOPH) over the ‘lemievaccination.ch’ foundation, which operated an electronic vaccination booklet. The federal government supported the foundation financially for several years. In spring 2021, serious flaws were discovered in the data protection and security of the electronic vaccination booklet. Shortly afterwards, the platform was deactivated. In the course of its investigations, the CoJ-N focused on the way in which the Federal Department of Home Affairs and the FOPH had exercised their supervisory functions, on the appropriateness of the measures taken and on the general lessons that can be drawn from this case. The CoJ-N came to the conclusion that the FOPH had acted appropriately with regard to data security at the ‘lemievaccination.ch’ foundation and had paid sufficient attention to the data protection aspect. The ‘lemievaccinations.ch’ foundation was granted financial support by the federal government, and the FOPH was responsible for ensuring that it was used correctly. The CoJ-N came to the conclusion that the FOPH’s supervision of the foundation was, on the other hand, too lax from a financial point of view. The Federal Council agreed with this conclusion.

From Friday, French police will be able to use drones equipped with cameras for a wide range of tasks, including crowd monitoring and border control, following the publication of a decree in Thursday’s Official Journal. The move comes just over a year before the Paris 2024 Olympics and at a time when opposition to President Emmanuel Macron’s pension reform has sparked huge protests that have at times turned violent. The decree allows police, customs or the military to use drones to prevent attacks on people or property, ensure the security of gatherings in public places, and maintain or restore public order when these gatherings may seriously disturb it. Drones can also be used for preventing terrorist acts, regulating transport flows, border surveillance and rescuing people. The decree details and implements in practice a security law voted by parliament last year. The French Supervisory Authority (CNIL) had called in March for the publication of a detailed usage policy, including information from the public affected by the use of drones.

PRIVACY DAILY 90/2023

La collaborazione tra Unione Europea e Corea del Sud in materia di privacy è sempre più stretta. Nel loro ultimo incontro, il presidente della Commissione per la protezione dei dati personali coreana Haksoo Ko e il commissario europeo per la Giustizia Didier Reynders hanno accolto con favore il forte partenariato tra la Repubblica di Corea e l’UE in materia di privacy e flussi di dati personali e hanno esplorato le possibili vie per un’ulteriore cooperazione. Sulla base dell’elevato grado di convergenza tra i regimi di protezione dei dati della Corea e dell’UE, la Commissione europea ha adottato una decisione di adeguatezza per il trasferimento di dati personali dall’Unione europea alla Repubblica di Corea nel dicembre 2021. Su questa base, i dati personali viaggiano in modo sicuro dall’UE alla Corea del Sud, senza bisogno di ulteriori autorizzazioni o meccanismi di trasferimento aggiuntivi. Grazie al suo ampio campo di applicazione – che copre sia il settore privato che quello pubblico – la decisione sostiene i flussi di dati transfrontalieri tra le imprese e facilita la cooperazione normativa. La recente riforma della legge sulla protezione dei dati personali ha ulteriormente aumentato le sinergie tra i quadri normativi della Repubblica di Corea e dell’UE in materia di protezione dei dati. Entrambe le parti hanno convenuto che ciò apre nuove possibilità per una cooperazione ancora più stretta in materia di privacy e flussi di dati. Hanno inoltre concordato di esplorare i modi per sviluppare ulteriormente il quadro per i flussi di dati Corea-UE.

Un errore informatico mette a rischio decine di migliaia di mutuatari in Irlanda. Nel corso della vendita dei prestiti da KBC Bank Ireland a Bank of Ireland, si è verificato un errore che ha fatto sì che il mutuante non inviasse gli aggiornamenti mensili sull’andamento dei prestiti al Central Credit Register (CCR). I dati mancanti da febbraio possono influire sulla capacità dei mutuatari di ottenere prestiti o credito altrove, benché la banca si dimostri scettica in tal senso. La Bank of Ireland ha comunicato ai suoi nuovi clienti, con lettere inviate di recente, che il problema si è verificato al momento del trasferimento, dove la “data di inizio” del prestito è stata inserita in modo errato nei suoi sistemi. Un portavoce della banca ha dichiarato che il problema riguardava circa 35.000 conti ipotecari, ovvero circa la metà dei prestiti KBC acquisiti. La notizia dell’errore nei dati arriva un anno dopo che la Bank of Ireland è stata multata per 463.000 euro dalla Data Protection Commission (DPC), dopo che un’indagine ha rilevato che 47.000 conti di clienti sono stati accidentalmente alterati in modo tale da danneggiare il loro rating creditizio e impedire loro di ottenere prestiti. Tra novembre 2018 e giugno 2019, la DPC ha ricevuto 22 notifiche di data breach da parte della Bank of Ireland in relazione a dati errati che la banca inviava al Central Credit Register. In totale, 19 di questi incidenti rispondevano alla definizione di “violazione dei dati personali”.

La legge sulla privacy indiana sembra ormai in dirittura d’arrivo. Il governo dell’Unione ha informato la Corte Suprema che è “pronta” una nuova legge, il Digital Personal Data Protection Bill 2022, per far rispettare la privacy individuale nello spazio online. Il nuovo disegno di legge, se approvato dal Parlamento, sostituirà l’attuale Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, adottato nel 2011. Nel 2017 la Corte Suprema ha riconosciuto la privacy come diritto fondamentale e ha sottolineato la necessità di proteggere i dati personali online. A gennaio, in una dichiarazione giurata depositata in tribunale, il governo aveva affermato che il Ministero delle tecnologie dell’informazione aveva avviato una consultazione delle parti interessate sulla bozza di legge. Il Ministero aveva poi informato la Corte che stava “raccogliendo e analizzando i feedback e i suggerimenti ricevuti, al fine di portare avanti il progetto di legge”. Aveva assicurato alla Corte che il disegno di legge sarebbe stato presentato in Parlamento al più presto. Lo scopo del disegno di legge 2022 è quello di “prevedere il trattamento dei dati personali digitali in modo da riconoscere sia il diritto delle persone a proteggere i propri dati personali sia la necessità di trattare i dati personali per scopi leciti”. Il nuovo disegno di legge definisce i “dati” come una “rappresentazione di informazioni, fatti, concetti, opinioni o istruzioni in un modo adatto alla comunicazione, all’interpretazione o all’elaborazione da parte di esseri umani o di mezzi automatizzati”.

English version

Collaboration between the European Union and South Korea on privacy issues is growing closer. In their latest meeting, Korean Data Protection Commission Chairman Haksoo Ko and European Commissioner for Justice Didier Reynders welcomed the strong partnership between the Republic of Korea and the EU on privacy and personal data flows and explored possible avenues for further cooperation. Based on the high degree of convergence between the data protection regimes of Korea and the EU, the European Commission adopted an adequacy decision for the transfer of personal data from the EU to the Republic of Korea in December 2021. On this basis, personal data travel securely from the EU to South Korea, without the need for additional authorizations or transfer mechanisms. With its broad scope-covering both the private and public sectors-the decision supports cross-border data flows between businesses and facilitates regulatory cooperation. The recent reform of the Personal Data Protection Act has further increased synergies between the Republic of Korea and EU data protection regulatory frameworks. Both sides agreed that this opens up new possibilities for even closer cooperation on privacy and data flows. They also agreed to explore ways to further develop the framework for Korea-EU data flows.

A computer error puts tens of thousands of borrowers in Ireland at risk. During the sale of loans from KBC Bank Ireland to Bank of Ireland, an error occurred that caused the lender not to send monthly updates on loan performance to the Central Credit Register (CCR). The missing data since February may affect borrowers’ ability to obtain loans or credit elsewhere, although the bank is skeptical of this. Bank of Ireland told its new customers in letters sent recently that the problem occurred at the time of transfer, where the “start date” of the loan was entered incorrectly into its systems. A spokesman for the bank said the problem affected about 35,000 mortgage accounts, or about half of the KBC loans acquired. The news of the data error comes a year after Bank of Ireland was fined 463,000 euros by the Data Protection Commission (DPC) after an investigation found that 47,000 customer accounts were accidentally altered in a way that damaged their credit rating and prevented them from obtaining loans. Between November 2018 and June 2019, DPC received 22 data breach notifications from Bank of Ireland related to incorrect data the bank was sending to the Central Credit Register. In total, 19 of these incidents met the definition of “personal data breach.”

India’s privacy law now seems to be in the home stretch. The Union government has informed the Supreme Court that a new law, the Digital Personal Data Protection Bill 2022, is “ready” to enforce individual privacy in the online space. The new bill, if passed by Parliament, will replace the current Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, adopted in 2011. In 2017, the Supreme Court recognized privacy as a fundamental right and stressed the need to protect personal data online. In January, in an affidavit filed with the court, the government had said that the Ministry of Information Technology had initiated a stakeholder consultation on the draft law. The ministry had then informed the court that it was “collecting and analyzing the feedback and suggestions received in order to move the draft law forward.” It had assured the Court that the draft law would be submitted to Parliament as soon as possible. The purpose of Bill 2022 is to “provide for the processing of personal digital data in a manner that recognizes both the right of individuals to protect their personal data and the need to process personal data for lawful purposes.” The new bill defines “data” as a “representation of information, facts, concepts, opinions or instructions in a manner suitable for communication, interpretation or processing by human beings or automated means.”

PRIVACY DAILY 49/2023

L’accordo transatlantico sui dati personali naviga in acque cattive. Contro il patto concordato dal Governo degli Stati Uniti e dalla Commissione Europea si è sollevata, infatti, una fronda parlamentare in seno all’Eurocamera. Così, secondo quanto rivelato dal quotidiano tedesco Die Welt, dopo tre anni di negoziati il “Trans-Atlantic Data Privacy Framework” (TADPF) rischia di subire un’importante battuta di arresto. Lo dimostrerebbe una prima bozza della relazione della Commissione libertà civili, giustizia e affari interni del Parlamento Europeo, di cui sarebbe entrato in possesso il giornale. Juan Fernando Lòpez Aguillar, presidente della Commissione, avrebbe affermato che non può essere adottata la decisione di “adeguatezza” agli Stati Uniti, in quanto il livello di protezione dei dati personali offerto sarebbe inferiore agli standard dell’Unione Europea. Il patto, che dovrebbe garantire i flussi di dati degli utenti europei al di là dell’Atlantico, aveva riscosso il consenso delle aziende, ma è incorsa nelle resistenze dei legislatori. “Il previsto accordo sulla protezione dei dati tra l’UE e gli USA è vino vecchio in botti nuove”, rincara la dose l’eurodeputato Moritz Körner, aggiungendo che “la nuova decisione di adeguatezza della Commissione non reggerà al controllo della Corte di giustizia dell’Unione Europea”. Il nuovo accordo consentirebbe, infatti, alle autorità statunitensi di monitorare gli europei, critica ancora Körner. Il rischio è, dunque quello che anche il TADPF finisca come il Safe Harbour e il Privacy Shield. Il prossimo passo è l’approvazione dell’accordo da parte degli Stati dell’UE, ma questa è considerata una formalità. Il Parlamento può solo formulare una raccomandazione, ma avrà il suo peso.

I dati generati dagli studenti durante la pandemia da Covid-19 torneranno in Spagna. Questo l’accordo concluso dal Governo spagnolo con Microsoft, il quale stabilisce il rimpatrio dei dati degli istituti di istruzione affinché vengano conservati nel Paese. Come riportato dal Ministero degli Affari Economici e della Trasformazione Digitale in un comunicato, tutti i dati dei minori forniti a Microsoft per l’utilizzo di Teams sono attualmente elaborati e conservati nei centri dati dell’azienda nell’Unione Europea. Tuttavia, la multinazionale statunitense si è impegnata a offrire la possibilità di restituirli al territorio nazionale una volta che la sua regione di dati in Spagna sarà operativa. Il progetto, denominato Operazione Guernica, è stato promosso dal Segretario di Stato per la Digitalizzazione e l’Intelligenza Artificiale a seguito della “preoccupazione generata dal trattamento dei dati degli studenti durante la pandemia”. In una dichiarazione, il primo vicepresidente e ministro per gli Affari economici e la trasformazione digitale, Nadia Calviño, ha sottolineato l’importanza di collaborare con le aziende tecnologiche per garantire “un’adeguata protezione dei dati nella nuova realtà digitale” e ha affermato che la sovranità dei dati “è essenziale per il futuro economico”. L’amministratore delegato di Microsoft Brad Smith aveva già confermato lo scorso maggio che l’azienda prevedeva di lanciare la sua regione di dati in Spagna “nei prossimi mesi”, per cui aprirà altri “centri di elaborazione dati” nella Comunità di Madrid.

La Nigeria si impegna a rispettare il benchmark globale sulle normative sulla privacy dei dati. Il National Commissioner del Nigeria Data Protection Bureau (NDPB), Vincent Olatunji, ha constatato l’impegno del governo a garantire che la Nigeria soddisfi i parametri di riferimento globali per le normative sulla privacy. Olatunji è intervenuto al recente evento Nigeria’s Top 50 Digital Economy Enablers, tenutosi a Lagos, dove è stato premiato come uno degli Eminent Digital Economy Enablers della Nigeria. Nell’illustrare la portata del Nigeria Data Protection Bill, Olatunji ha ribadito l’approccio allo sviluppo adottato dalla Nigeria per salvaguardare il diritto alla privacy e la sovranità dei dati e promuovere una crescita sostenibile dell’economia digitale nigeriana attraverso flussi di dati transfrontalieri equi. Il Commissioner ha affermato che la protezione della privacy è diventata patrimonio di tutti, sia come individui sia come aziende, ed ha elogiato il Ministro delle Comunicazioni e dell’Economia Digitale, Isa Pantami, per la sua lungimiranza nello “spingere ufficialmente l’agenda per l’economia digitale nigeriana e i suoi impatti concomitanti, compresa la creazione dell’Ufficio per la privacy dei dati”. Olatunji è stato premiato insieme ad altri importanti nigeriani, tra cui il vicepresidente esecutivo della Commissione nigeriana per le comunicazioni (NCC), Umar Danbatta, e il direttore generale dell’Agenzia nazionale per lo sviluppo delle tecnologie dell’informazione (NITDA), Kashifu Inuwa.

English version

The transatlantic agreement on personal data is sailing in bad waters. Against the pact agreed by the US government and the European Commission, a parliamentary faction has risen up in the Euro Chamber. According to the German newspaper Die Welt, after three years of negotiations the ‘Trans-Atlantic Data Privacy Framework’ (TADPF) is in danger of suffering a major setback. A first draft of the report of the Commission for Civil Liberties, Justice and Home Affairs of the European Parliament, which the newspaper has reportedly received, would show this. Juan Fernando Lòpez Aguillar, president of the Commission, is said to have stated that the decision of ‘adequacy’ for the United States could not be adopted, as the level of personal data protection offered would be lower than EU standards. The pact, which is supposed to guarantee the flow of European users’ data across the Atlantic, had won the approval of companies, but ran into resistance from lawmakers. “The envisaged data protection agreement between the EU and the US is old wine in new barrels,” adds MEP Moritz Körner, adding that “the Commission’s new adequacy decision will not stand up to scrutiny by the Court of Justice of the European Union”. The new agreement would, in fact, allow the US authorities to monitor Europeans, Körner again criticises. The risk is, therefore, that also the TADPF will end up like the Safe Harbour and the Privacy Shield. The next step is the approval of the agreement by the EU states, but this is considered a formality. The Parliament can only make a recommendation, but it will carry its weight.

The data generated by students during the Covid-19 pandemic will return to Spain. This is the agreement concluded by the Spanish government with Microsoft, which stipulates the repatriation of data from educational institutions to be kept in the country. As reported by the Ministry of Economic Affairs and Digital Transformation in a statement, all children’s data provided to Microsoft for use with Teams are currently processed and stored in the company’s data centres in the European Union. However, the US multinational has pledged to offer to return them to the national territory once its data region in Spain is operational. The project, called Operation Guernica, was promoted by the Secretary of State for Digitalisation and Artificial Intelligence following the ‘concern generated by the handling of student data during the pandemic’. In a statement, First Vice-President and Minister for Economic Affairs and Digital Transformation, Nadia Calviño, emphasised the importance of collaborating with technology companies to ensure ‘adequate data protection in the new digital reality’ and said that data sovereignty ‘is essential for the economic future’. Microsoft CEO Brad Smith had already confirmed last May that the company planned to launch its data region in Spain ‘in the coming months’, whereby it will open more ‘data centres’ in the Madrid Community.

Nigeria is committed to meeting the global benchmark on data privacy regulations. The National Commissioner of the Nigeria Data Protection Bureau (NDPB), Vincent Olatunji, has noted the government’s commitment to ensuring that Nigeria meets global benchmarks for privacy regulations. Olatunji was speaking at the recent Nigeria’s Top 50 Digital Economy Enablers event, held in Lagos, where he was honoured as one of Nigeria’s Eminent Digital Economy Enablers. Outlining the scope of the Nigeria Data Protection Bill, Olatunji reiterated the developmental approach adopted by Nigeria to safeguard the right to privacy and data sovereignty and promote sustainable growth of Nigeria’s digital economy through equitable cross-border data flows. The Commissioner said that privacy protection has become everyone’s heritage, both as individuals and businesses, and commended the Minister of Communications and Digital Economy, Isa Pantami, for her foresight in “officially pushing the agenda for Nigeria’s digital economy and its concomitant impacts, including the establishment of the Data Privacy Office.” Olatunji was honoured alongside other prominent Nigerians, including the Executive Vice-Chairman of the Nigerian Communications Commission (NCC), Umar Danbatta, and the Director General of the National Information Technology Development Agency (NITDA), Kashifu Inuwa.

PRIVACY DAILY 44/2023

Secondo Human Rights Watch sono stati fatti passi significativi nell’assicurare la privacy per milioni di bambini che apprendono online. Diversi governi e aziende hanno preso provvedimenti (o almeno li hanno annunciati) per proteggere gli studenti nelle loro classi online. Queste misure arrivano dopo la scoperta di numerose violazioni in tutto il mondo, avvenute per via dell’impiego durante la pandemia di prodotti di apprendimento online non sicuri, che sono destinati a rimanere anche quando la questione pandemica sarà definitivamente superata. Sarebbe, quindi, auspicabile un maggior dinamismo delle istituzioni dei vari Paesi, nonostante qualcosa si stia già muovendo. Il ministero dell’Istruzione francese ha rimosso il tracciamento degli annunci pubblicitari dai siti web costruiti per aiutare i bambini dagli otto agli undici anni a imparare l’inglese e il tedesco. Il ministero dell’Istruzione indonesiano ha rimosso il tracciamento degli annunci dal sito web progettato per fornire servizi di apprendimento ai bambini durante la chiusura delle scuole. I governi degli stati australiani di New South Wales e Victoria, insieme all’Ecuador e alla comunità autonoma spagnola della Catalogna, hanno informato Human Rights Watch di aver avviato indagini sulle loro piattaforme di apprendimento. In India un deputato ha chiesto al governo di proteggere i bambini nell’istruzione online, dopo che diverse denunce avevano evidenziato che una delle app di apprendimento aveva esposto a violazioni i dati di quasi 600mila bambini. Alcune aziende del settore hanno deciso di riprogettare i loro prodotti per evitare abusi in futuro. Altre hanno addirittura ritirato i loro prodotti dal mercato. Questi cambiamenti stanno dimostrando che è possibile fornire istruzione online ai bambini senza costringerli a rinunciare alla loro privacy. Si tratta di sviluppi positivi, ma non si può fare affidamento solo sulla buona volontà dei singoli attori per migliorare. Tanti dispositivi e tante app continuano a sorvegliare i bambini online, dal momento che le società produttrici si giustificano adducendo la mancanza di leggi che li obblighino a fare altrimenti.

Secondo indiscrezioni, l’European Data Protection Board (EDPB) emetterà una decisione vincolante sui trasferimenti di dati verso gli Stati Uniti entro il 14 aprile. Il nuovo accordo transatlantico sui dati è in fase di definizione e dovrebbe arrivare entro l’estate, ma c’è chi teme che, nelle more della sua adozione, l’EDPB potrebbe decidere di interrompere i flussi di dati. Al riguardo, Meta ha già dichiarato che potrebbero esserci problemi per i suoi servizi in Europa qualora la base giuridica per il trasferimento dei dati venisse dichiarata definitivamente illecita. Ciò vorrebbe dire che Facebook e Instagram potrebbero dover interrompere l’invio dei dati degli utenti europei agli Stati Uniti nei prossimi mesi per problemi legati alla privacy. La questione è ancora aperta. Il caso su cui è stato chiamato ad esprimersi l’EDPB nasce (ancora una volta) da un reclamo presentato dall’attivista austriaco Max Schrems. Nel luglio 2022 la Data Protection Commission irlandese aveva già proposto – per la prima volta – di vietare a Meta l’utilizzo delle “clausole contrattuali standard” come base giuridica per inviare i dati degli utenti negli Stati Uniti. La decisione è stata presa a valle della notissima sentenza della Corte di Giustizia dell’UE che aveva annullato il Privacy Shield. Alla fine di gennaio, l’Autorità garante irlandese ha attivato il meccanismo di risoluzione delle controversie – noto come articolo 65 – dopo non essere riuscita a risolvere le obiezioni sollevate da altre autorità europee di protezione dei dati in merito alla sua decisione. Secondo quanto riportato da alcune testate giornalistiche, un portavoce dell’EDPB ha dichiarato che la procedura ufficiale per la preparazione di una decisione vincolante ha preso formalmente il via oggi e avrà la sua deadline tra due mesi.

Una recente ricerca ha svelato preoccupanti dettagli sul traffico di dati relativi alla salute mentale. Secondo questo studio, condotto dalla Sanford School of Public Policy della Duke University, i dati relativi alla salute mentale sono venduti da broker di dati poco conosciuti, a volte per poche centinaia di dollari e con pochi sforzi per nascondere informazioni personali come nomi e indirizzi. Infatti, queste aziende (i cui nomi non sono rivelati nella ricerca) venderebbero informazioni in grado di identificare i soggetti in base ai loro problemi, tra cui depressione, ansia e disturbo bipolare, peraltro classificandole sulla base di dati come l’età, l’appartenenza etnica, il credit score e la posizione geografica. “Sembra che il settore non disponga di buone pratiche per la gestione dei dati sulla salute mentale degli individui, in particolare per quanto riguarda la privacy e il controllo degli acquirenti”, si legge nello studio. I prezzi delle cartelle cliniche variano molto, ma alcune aziende le offrono a basso costo: fino a 275 dollari per informazioni su 5mila persone. Questo fenomeno, già di per sé in crescita, è diventato ancora più significativo con l’avvento della pandemia da Covid-19. I broker di dati, che si occupano dell’acquisto, del riconfezionamento e della vendita di informazioni identificative, sono diventati un’industria fiorente, benché ancora oscura. Le aziende del settore sono raramente nomi noti e spesso dicono poco pubblicamente sulle loro pratiche commerciali. Justin Sherman, senior fellow presso la Sanford School of Public Policy della Duke – che gestisce il progetto di intermediazione dei dati e ha supervisionato la ricerca – ha affermato che le entità che memorizzano dati sanitari, tra cui la maggior parte delle app telefoniche, non sono regolamentate, lasciando ai broker di dati una serie di opzioni per acquistare legalmente tali dati. Al riguardo, forti preoccupazioni sono state espresse anche dal World Privacy Forum, che ha evidenziato come, nel caos normativo relativo a dati e informazioni sanitarie negli Stati Uniti, il settore dell’intermediazione dei dati sia fuori controllo.

English version

According to Human Rights Watch, significant steps have been taken to ensure privacy for millions of children learning online. Several governments and companies have taken steps (or at least announced them) to protect students in their online classrooms. These measures come in the wake of the discovery of numerous breaches worldwide due to the use of unsafe online learning products during the pandemic, which are bound to remain even when the pandemic issue is finally over. Greater dynamism on the part of institutions in the various countries would therefore be desirable, although something is already moving. The French Ministry of Education has removed ad tracking from websites built to help children aged eight to eleven learn English and German. The Indonesian Ministry of Education removed ad tracking from websites designed to provide learning services to children during school closures. The governments of the Australian states of New South Wales and Victoria, along with Ecuador and the Spanish autonomous community of Catalonia, informed Human Rights Watch that they had launched investigations into their learning platforms. In India, an MP called on the government to protect children in online education, after several complaints showed that one of the learning apps had exposed the data of nearly 600,000 children to breaches. Some companies in the industry have decided to redesign their products to avoid abuse in the future. Others have even withdrawn their products from the market. These changes are proving that it is possible to provide online education to children without forcing them to give up their privacy. These are positive developments, but one cannot rely only on the goodwill of individual actors to improve. So many devices and apps continue to monitor children online, as the manufacturers justify themselves by citing the lack of laws forcing them to do otherwise.

According to rumours, the European Data Protection Board (EDPB) will issue a binding decision on data transfers to the US by 14 April. The new transatlantic data agreement is being finalised and is expected to arrive by the summer, but there are those who fear that, pending its adoption, the EDPB might decide to stop data flows. In this regard, Meta has already stated that there could be problems for its services in Europe if the legal basis for data transfer is definitively declared unlawful. This would mean that Facebook and Instagram might have to stop sending European users’ data to the US in the coming months due to privacy concerns. The issue is still open. The case on which the EDPB has been called upon to rule stems (once again) from a complaint filed by Austrian activist Max Schrems. In July 2022, the Irish Data Protection Commission had already proposed – for the first time – to ban Meta from using ‘standard contractual clauses’ as a legal basis for sending user data to the United States. The decision came in the wake of the highly notorious EU Court of Justice ruling that had annulled the Privacy Shield. In late January, the Irish Data Protection Authority activated the dispute resolution mechanism – known as Article 65 – after failing to resolve objections raised by other European data protection authorities to its decision. According to media reports, an EDPB spokesperson said the official procedure for preparing a binding decision formally started today and will have its deadline in two months.

Recent research has revealed worrying details about the trafficking of mental health data. According to this study, conducted by Duke University’s Sanford School of Public Policy, mental health data are sold by little-known data brokers, sometimes for a few hundred dollars and with little effort to hide personal information such as names and addresses. In fact, these companies (whose names are not disclosed in the research) would sell information that identifies individuals based on their problems, including depression, anxiety, and bipolar disorder, while classifying them based on data such as age, ethnicity, credit score, and geographic location. “It appears that the industry lacks good practices for managing individuals’ mental health data, particularly with regard to privacy and buyer control”, the study states. Prices of medical records vary widely, but some companies offer them cheaply: up to $275 for information on 5,000 individuals. This phenomenon, already on the rise, has become even more significant with the advent of the Covid-19 pandemic. Data brokers, who are in the business of buying, repackaging and selling identifying information, have become a thriving, albeit still obscure, industry. Companies in the industry are rarely household names and often say little publicly about their business practices. Justin Sherman, senior fellow at Duke’s Sanford School of Public Policy – which runs the data brokering project and oversaw the research – said that entities that store health data, including most phone apps, are unregulated, leaving data brokers with a range of options to legally purchase that data. In this regard, strong concerns were also expressed by the World Privacy Forum, which pointed out that amid the regulatory chaos surrounding health data and information in the US, the data brokerage industry is out of control.