PRIVACY DAILY 49/2023

L’accordo transatlantico sui dati personali naviga in acque cattive. Contro il patto concordato dal Governo degli Stati Uniti e dalla Commissione Europea si è sollevata, infatti, una fronda parlamentare in seno all’Eurocamera. Così, secondo quanto rivelato dal quotidiano tedesco Die Welt, dopo tre anni di negoziati il “Trans-Atlantic Data Privacy Framework” (TADPF) rischia di subire un’importante battuta di arresto. Lo dimostrerebbe una prima bozza della relazione della Commissione libertà civili, giustizia e affari interni del Parlamento Europeo, di cui sarebbe entrato in possesso il giornale. Juan Fernando Lòpez Aguillar, presidente della Commissione, avrebbe affermato che non può essere adottata la decisione di “adeguatezza” agli Stati Uniti, in quanto il livello di protezione dei dati personali offerto sarebbe inferiore agli standard dell’Unione Europea. Il patto, che dovrebbe garantire i flussi di dati degli utenti europei al di là dell’Atlantico, aveva riscosso il consenso delle aziende, ma è incorsa nelle resistenze dei legislatori. “Il previsto accordo sulla protezione dei dati tra l’UE e gli USA è vino vecchio in botti nuove”, rincara la dose l’eurodeputato Moritz Körner, aggiungendo che “la nuova decisione di adeguatezza della Commissione non reggerà al controllo della Corte di giustizia dell’Unione Europea”. Il nuovo accordo consentirebbe, infatti, alle autorità statunitensi di monitorare gli europei, critica ancora Körner. Il rischio è, dunque quello che anche il TADPF finisca come il Safe Harbour e il Privacy Shield. Il prossimo passo è l’approvazione dell’accordo da parte degli Stati dell’UE, ma questa è considerata una formalità. Il Parlamento può solo formulare una raccomandazione, ma avrà il suo peso.

I dati generati dagli studenti durante la pandemia da Covid-19 torneranno in Spagna. Questo l’accordo concluso dal Governo spagnolo con Microsoft, il quale stabilisce il rimpatrio dei dati degli istituti di istruzione affinché vengano conservati nel Paese. Come riportato dal Ministero degli Affari Economici e della Trasformazione Digitale in un comunicato, tutti i dati dei minori forniti a Microsoft per l’utilizzo di Teams sono attualmente elaborati e conservati nei centri dati dell’azienda nell’Unione Europea. Tuttavia, la multinazionale statunitense si è impegnata a offrire la possibilità di restituirli al territorio nazionale una volta che la sua regione di dati in Spagna sarà operativa. Il progetto, denominato Operazione Guernica, è stato promosso dal Segretario di Stato per la Digitalizzazione e l’Intelligenza Artificiale a seguito della “preoccupazione generata dal trattamento dei dati degli studenti durante la pandemia”. In una dichiarazione, il primo vicepresidente e ministro per gli Affari economici e la trasformazione digitale, Nadia Calviño, ha sottolineato l’importanza di collaborare con le aziende tecnologiche per garantire “un’adeguata protezione dei dati nella nuova realtà digitale” e ha affermato che la sovranità dei dati “è essenziale per il futuro economico”. L’amministratore delegato di Microsoft Brad Smith aveva già confermato lo scorso maggio che l’azienda prevedeva di lanciare la sua regione di dati in Spagna “nei prossimi mesi”, per cui aprirà altri “centri di elaborazione dati” nella Comunità di Madrid.

La Nigeria si impegna a rispettare il benchmark globale sulle normative sulla privacy dei dati. Il National Commissioner del Nigeria Data Protection Bureau (NDPB), Vincent Olatunji, ha constatato l’impegno del governo a garantire che la Nigeria soddisfi i parametri di riferimento globali per le normative sulla privacy. Olatunji è intervenuto al recente evento Nigeria’s Top 50 Digital Economy Enablers, tenutosi a Lagos, dove è stato premiato come uno degli Eminent Digital Economy Enablers della Nigeria. Nell’illustrare la portata del Nigeria Data Protection Bill, Olatunji ha ribadito l’approccio allo sviluppo adottato dalla Nigeria per salvaguardare il diritto alla privacy e la sovranità dei dati e promuovere una crescita sostenibile dell’economia digitale nigeriana attraverso flussi di dati transfrontalieri equi. Il Commissioner ha affermato che la protezione della privacy è diventata patrimonio di tutti, sia come individui sia come aziende, ed ha elogiato il Ministro delle Comunicazioni e dell’Economia Digitale, Isa Pantami, per la sua lungimiranza nello “spingere ufficialmente l’agenda per l’economia digitale nigeriana e i suoi impatti concomitanti, compresa la creazione dell’Ufficio per la privacy dei dati”. Olatunji è stato premiato insieme ad altri importanti nigeriani, tra cui il vicepresidente esecutivo della Commissione nigeriana per le comunicazioni (NCC), Umar Danbatta, e il direttore generale dell’Agenzia nazionale per lo sviluppo delle tecnologie dell’informazione (NITDA), Kashifu Inuwa.

English version

The transatlantic agreement on personal data is sailing in bad waters. Against the pact agreed by the US government and the European Commission, a parliamentary faction has risen up in the Euro Chamber. According to the German newspaper Die Welt, after three years of negotiations the ‘Trans-Atlantic Data Privacy Framework’ (TADPF) is in danger of suffering a major setback. A first draft of the report of the Commission for Civil Liberties, Justice and Home Affairs of the European Parliament, which the newspaper has reportedly received, would show this. Juan Fernando Lòpez Aguillar, president of the Commission, is said to have stated that the decision of ‘adequacy’ for the United States could not be adopted, as the level of personal data protection offered would be lower than EU standards. The pact, which is supposed to guarantee the flow of European users’ data across the Atlantic, had won the approval of companies, but ran into resistance from lawmakers. “The envisaged data protection agreement between the EU and the US is old wine in new barrels,” adds MEP Moritz Körner, adding that “the Commission’s new adequacy decision will not stand up to scrutiny by the Court of Justice of the European Union”. The new agreement would, in fact, allow the US authorities to monitor Europeans, Körner again criticises. The risk is, therefore, that also the TADPF will end up like the Safe Harbour and the Privacy Shield. The next step is the approval of the agreement by the EU states, but this is considered a formality. The Parliament can only make a recommendation, but it will carry its weight.

The data generated by students during the Covid-19 pandemic will return to Spain. This is the agreement concluded by the Spanish government with Microsoft, which stipulates the repatriation of data from educational institutions to be kept in the country. As reported by the Ministry of Economic Affairs and Digital Transformation in a statement, all children’s data provided to Microsoft for use with Teams are currently processed and stored in the company’s data centres in the European Union. However, the US multinational has pledged to offer to return them to the national territory once its data region in Spain is operational. The project, called Operation Guernica, was promoted by the Secretary of State for Digitalisation and Artificial Intelligence following the ‘concern generated by the handling of student data during the pandemic’. In a statement, First Vice-President and Minister for Economic Affairs and Digital Transformation, Nadia Calviño, emphasised the importance of collaborating with technology companies to ensure ‘adequate data protection in the new digital reality’ and said that data sovereignty ‘is essential for the economic future’. Microsoft CEO Brad Smith had already confirmed last May that the company planned to launch its data region in Spain ‘in the coming months’, whereby it will open more ‘data centres’ in the Madrid Community.

Nigeria is committed to meeting the global benchmark on data privacy regulations. The National Commissioner of the Nigeria Data Protection Bureau (NDPB), Vincent Olatunji, has noted the government’s commitment to ensuring that Nigeria meets global benchmarks for privacy regulations. Olatunji was speaking at the recent Nigeria’s Top 50 Digital Economy Enablers event, held in Lagos, where he was honoured as one of Nigeria’s Eminent Digital Economy Enablers. Outlining the scope of the Nigeria Data Protection Bill, Olatunji reiterated the developmental approach adopted by Nigeria to safeguard the right to privacy and data sovereignty and promote sustainable growth of Nigeria’s digital economy through equitable cross-border data flows. The Commissioner said that privacy protection has become everyone’s heritage, both as individuals and businesses, and commended the Minister of Communications and Digital Economy, Isa Pantami, for her foresight in “officially pushing the agenda for Nigeria’s digital economy and its concomitant impacts, including the establishment of the Data Privacy Office.” Olatunji was honoured alongside other prominent Nigerians, including the Executive Vice-Chairman of the Nigerian Communications Commission (NCC), Umar Danbatta, and the Director General of the National Information Technology Development Agency (NITDA), Kashifu Inuwa.

PRIVACY DAILY 44/2023

Secondo Human Rights Watch sono stati fatti passi significativi nell’assicurare la privacy per milioni di bambini che apprendono online. Diversi governi e aziende hanno preso provvedimenti (o almeno li hanno annunciati) per proteggere gli studenti nelle loro classi online. Queste misure arrivano dopo la scoperta di numerose violazioni in tutto il mondo, avvenute per via dell’impiego durante la pandemia di prodotti di apprendimento online non sicuri, che sono destinati a rimanere anche quando la questione pandemica sarà definitivamente superata. Sarebbe, quindi, auspicabile un maggior dinamismo delle istituzioni dei vari Paesi, nonostante qualcosa si stia già muovendo. Il ministero dell’Istruzione francese ha rimosso il tracciamento degli annunci pubblicitari dai siti web costruiti per aiutare i bambini dagli otto agli undici anni a imparare l’inglese e il tedesco. Il ministero dell’Istruzione indonesiano ha rimosso il tracciamento degli annunci dal sito web progettato per fornire servizi di apprendimento ai bambini durante la chiusura delle scuole. I governi degli stati australiani di New South Wales e Victoria, insieme all’Ecuador e alla comunità autonoma spagnola della Catalogna, hanno informato Human Rights Watch di aver avviato indagini sulle loro piattaforme di apprendimento. In India un deputato ha chiesto al governo di proteggere i bambini nell’istruzione online, dopo che diverse denunce avevano evidenziato che una delle app di apprendimento aveva esposto a violazioni i dati di quasi 600mila bambini. Alcune aziende del settore hanno deciso di riprogettare i loro prodotti per evitare abusi in futuro. Altre hanno addirittura ritirato i loro prodotti dal mercato. Questi cambiamenti stanno dimostrando che è possibile fornire istruzione online ai bambini senza costringerli a rinunciare alla loro privacy. Si tratta di sviluppi positivi, ma non si può fare affidamento solo sulla buona volontà dei singoli attori per migliorare. Tanti dispositivi e tante app continuano a sorvegliare i bambini online, dal momento che le società produttrici si giustificano adducendo la mancanza di leggi che li obblighino a fare altrimenti.

Secondo indiscrezioni, l’European Data Protection Board (EDPB) emetterà una decisione vincolante sui trasferimenti di dati verso gli Stati Uniti entro il 14 aprile. Il nuovo accordo transatlantico sui dati è in fase di definizione e dovrebbe arrivare entro l’estate, ma c’è chi teme che, nelle more della sua adozione, l’EDPB potrebbe decidere di interrompere i flussi di dati. Al riguardo, Meta ha già dichiarato che potrebbero esserci problemi per i suoi servizi in Europa qualora la base giuridica per il trasferimento dei dati venisse dichiarata definitivamente illecita. Ciò vorrebbe dire che Facebook e Instagram potrebbero dover interrompere l’invio dei dati degli utenti europei agli Stati Uniti nei prossimi mesi per problemi legati alla privacy. La questione è ancora aperta. Il caso su cui è stato chiamato ad esprimersi l’EDPB nasce (ancora una volta) da un reclamo presentato dall’attivista austriaco Max Schrems. Nel luglio 2022 la Data Protection Commission irlandese aveva già proposto – per la prima volta – di vietare a Meta l’utilizzo delle “clausole contrattuali standard” come base giuridica per inviare i dati degli utenti negli Stati Uniti. La decisione è stata presa a valle della notissima sentenza della Corte di Giustizia dell’UE che aveva annullato il Privacy Shield. Alla fine di gennaio, l’Autorità garante irlandese ha attivato il meccanismo di risoluzione delle controversie – noto come articolo 65 – dopo non essere riuscita a risolvere le obiezioni sollevate da altre autorità europee di protezione dei dati in merito alla sua decisione. Secondo quanto riportato da alcune testate giornalistiche, un portavoce dell’EDPB ha dichiarato che la procedura ufficiale per la preparazione di una decisione vincolante ha preso formalmente il via oggi e avrà la sua deadline tra due mesi.

Una recente ricerca ha svelato preoccupanti dettagli sul traffico di dati relativi alla salute mentale. Secondo questo studio, condotto dalla Sanford School of Public Policy della Duke University, i dati relativi alla salute mentale sono venduti da broker di dati poco conosciuti, a volte per poche centinaia di dollari e con pochi sforzi per nascondere informazioni personali come nomi e indirizzi. Infatti, queste aziende (i cui nomi non sono rivelati nella ricerca) venderebbero informazioni in grado di identificare i soggetti in base ai loro problemi, tra cui depressione, ansia e disturbo bipolare, peraltro classificandole sulla base di dati come l’età, l’appartenenza etnica, il credit score e la posizione geografica. “Sembra che il settore non disponga di buone pratiche per la gestione dei dati sulla salute mentale degli individui, in particolare per quanto riguarda la privacy e il controllo degli acquirenti”, si legge nello studio. I prezzi delle cartelle cliniche variano molto, ma alcune aziende le offrono a basso costo: fino a 275 dollari per informazioni su 5mila persone. Questo fenomeno, già di per sé in crescita, è diventato ancora più significativo con l’avvento della pandemia da Covid-19. I broker di dati, che si occupano dell’acquisto, del riconfezionamento e della vendita di informazioni identificative, sono diventati un’industria fiorente, benché ancora oscura. Le aziende del settore sono raramente nomi noti e spesso dicono poco pubblicamente sulle loro pratiche commerciali. Justin Sherman, senior fellow presso la Sanford School of Public Policy della Duke – che gestisce il progetto di intermediazione dei dati e ha supervisionato la ricerca – ha affermato che le entità che memorizzano dati sanitari, tra cui la maggior parte delle app telefoniche, non sono regolamentate, lasciando ai broker di dati una serie di opzioni per acquistare legalmente tali dati. Al riguardo, forti preoccupazioni sono state espresse anche dal World Privacy Forum, che ha evidenziato come, nel caos normativo relativo a dati e informazioni sanitarie negli Stati Uniti, il settore dell’intermediazione dei dati sia fuori controllo.

English version

According to Human Rights Watch, significant steps have been taken to ensure privacy for millions of children learning online. Several governments and companies have taken steps (or at least announced them) to protect students in their online classrooms. These measures come in the wake of the discovery of numerous breaches worldwide due to the use of unsafe online learning products during the pandemic, which are bound to remain even when the pandemic issue is finally over. Greater dynamism on the part of institutions in the various countries would therefore be desirable, although something is already moving. The French Ministry of Education has removed ad tracking from websites built to help children aged eight to eleven learn English and German. The Indonesian Ministry of Education removed ad tracking from websites designed to provide learning services to children during school closures. The governments of the Australian states of New South Wales and Victoria, along with Ecuador and the Spanish autonomous community of Catalonia, informed Human Rights Watch that they had launched investigations into their learning platforms. In India, an MP called on the government to protect children in online education, after several complaints showed that one of the learning apps had exposed the data of nearly 600,000 children to breaches. Some companies in the industry have decided to redesign their products to avoid abuse in the future. Others have even withdrawn their products from the market. These changes are proving that it is possible to provide online education to children without forcing them to give up their privacy. These are positive developments, but one cannot rely only on the goodwill of individual actors to improve. So many devices and apps continue to monitor children online, as the manufacturers justify themselves by citing the lack of laws forcing them to do otherwise.

According to rumours, the European Data Protection Board (EDPB) will issue a binding decision on data transfers to the US by 14 April. The new transatlantic data agreement is being finalised and is expected to arrive by the summer, but there are those who fear that, pending its adoption, the EDPB might decide to stop data flows. In this regard, Meta has already stated that there could be problems for its services in Europe if the legal basis for data transfer is definitively declared unlawful. This would mean that Facebook and Instagram might have to stop sending European users’ data to the US in the coming months due to privacy concerns. The issue is still open. The case on which the EDPB has been called upon to rule stems (once again) from a complaint filed by Austrian activist Max Schrems. In July 2022, the Irish Data Protection Commission had already proposed – for the first time – to ban Meta from using ‘standard contractual clauses’ as a legal basis for sending user data to the United States. The decision came in the wake of the highly notorious EU Court of Justice ruling that had annulled the Privacy Shield. In late January, the Irish Data Protection Authority activated the dispute resolution mechanism – known as Article 65 – after failing to resolve objections raised by other European data protection authorities to its decision. According to media reports, an EDPB spokesperson said the official procedure for preparing a binding decision formally started today and will have its deadline in two months.

Recent research has revealed worrying details about the trafficking of mental health data. According to this study, conducted by Duke University’s Sanford School of Public Policy, mental health data are sold by little-known data brokers, sometimes for a few hundred dollars and with little effort to hide personal information such as names and addresses. In fact, these companies (whose names are not disclosed in the research) would sell information that identifies individuals based on their problems, including depression, anxiety, and bipolar disorder, while classifying them based on data such as age, ethnicity, credit score, and geographic location. “It appears that the industry lacks good practices for managing individuals’ mental health data, particularly with regard to privacy and buyer control”, the study states. Prices of medical records vary widely, but some companies offer them cheaply: up to $275 for information on 5,000 individuals. This phenomenon, already on the rise, has become even more significant with the advent of the Covid-19 pandemic. Data brokers, who are in the business of buying, repackaging and selling identifying information, have become a thriving, albeit still obscure, industry. Companies in the industry are rarely household names and often say little publicly about their business practices. Justin Sherman, senior fellow at Duke’s Sanford School of Public Policy – which runs the data brokering project and oversaw the research – said that entities that store health data, including most phone apps, are unregulated, leaving data brokers with a range of options to legally purchase that data. In this regard, strong concerns were also expressed by the World Privacy Forum, which pointed out that amid the regulatory chaos surrounding health data and information in the US, the data brokerage industry is out of control.