PRIVACY DAILY 72/2023

Gli Stati Uniti stanno valutando la possibilità di vietare completamente l’uso di TikTok, ma è improbabile che l’Europa segua la stessa strada. Così ha dichiarato Theo Bertram, vicepresidente delle relazioni governative e delle politiche pubbliche per l’Europa di TikTok. “Quando si parla di libertà di parola per il pubblico, credo che le regole siano chiare. Dovreste avere una base legale molto forte per vietare qualsiasi app in qualsiasi Paese d’Europa”. Bertram ha detto che “c’è una chiara comprensione” tra i responsabili, gli esperti e i politici con cui ha parlato nelle ultime settimane e che un divieto generale dell’app di social media nei Paesi europei sarebbe “un livello di scala completamente diverso”. Negli Stati Uniti, l’amministrazione Biden ha vietato l’applicazione dai dispositivi del governo federale. Proprio questa settimana, inoltre, ha ordinato al proprietario cinese di TikTok, ByteDance, di disinvestire dall’applicazione o di affrontare un possibile divieto negli Stati Uniti, ricordando una minaccia simile sotto la precedente amministrazione guidata da Donald Trump. Questo mese l’azienda ha lanciato un’offensiva di charme con i governi europei, denominata Project Clover, incentrata sul mantenimento di un maggior numero di dati degli utenti su server in Europa e sull’individuazione di una società europea per la verifica dei controlli sulla sicurezza informatica e sulla protezione dei dati. Bertram ha dichiarato che l’amministratore delegato dell’azienda, Shou Zi Chew, ha inviato una lettera alla Commissione Europea chiedendo un’udienza e che esponenti dell’azienda responsabili degli affari legali, della sicurezza e della privacy europea si sono recati a Bruxelles per cercare di incontrare il dipartimento IT della Commissione. Un portavoce della Commissione avrebbe dichiarato di essere disponibile a incontrare TikTok e di dover fissare una data.

Hunter Biden ha citato in giudizio un riparatore di computer del Delaware per violazione della privacy e pubblicazione di informazioni private. Questa azione legale risponde alla causa per diffamazione intentata dallo stesso riparatore, John Mac Isaac, il quale avrebbe violato privacy del figlio del Presidente degli Stati Uniti accedendo e condividendo indebitamente i suoi dati personali con diversi soggetti nel 2019. Mac Isaac ha dichiarato di aver ottenuto le informazioni dal computer portatile di Hunter Biden in modo legale e ha affermato che egli stesso lo ha lasciato nell’aprile 2019 e non è mai tornato a reclamarlo. Dopo aver atteso 90 giorni, ha considerato il computer abbandonato. I legali di Biden sostengono però che la clausola di abbandono di 90 giorni inserita da Mac Isaac nel contratto di riparazione non è conforme alla legge del Delaware, in quanto essa stabilisce che la proprietà materiale non va considerata abbandonata fino a quando non sia trascorso un anno intero, e prima che un’altra parte ne prenda possesso, un tribunale deve inviare un avviso al proprietario e affiggere l’avviso “in cinque o più luoghi pubblici” e “in un giornale”. L’azione legale è l’ultima mossa di un cambiamento strategico da parte del figlio del presidente, mirato a respingere in modo deciso gli attacchi feroci da parte di alleati e collaboratori dell’ex presidente Donald Trump. La causa arriva infatti in un momento in cui i repubblicani al Congresso stanno intensificando le indagini sugli affari all’estero che Hunter Biden ha intrapreso quando suo padre Joe era vicepresidente. Gli avvocati di Biden sostengono che nel settembre 2019, Mac Isaac scrisse all’avvocato di Trump, Rudy Giuliani, e “pianificò di creare una pen drive con i dati in suo possesso che consistevano in documenti chiave” . Giuliani avrebbe poi fornito una copia all’ex stratega della Casa Bianca Stephen Bannon, che a sua volta li avrebbe consegnati al magnate cinese Guo Wengui per far diffondere le informazioni ai suoi seguaci su WhatsApp. 

Niente più controlli biometrici negli stadi spagnoli. Nelle ultime settimane, migliaia di tifosi hanno ricevuto dai loro club l’invito a presentarsi allo stadio con la carta d’identità e l’abbonamento per poter accedere agli spalti. Questo passo ha fatto seguito alla protesta avviata dai tifosi del Burgos. Con lo slogan “No all’impronta digitale”, hanno decretato uno sciopero del tifo e invitato gli spalti dello stadio El Plantío a non fornire i propri dati. Finora si entrava attraverso dei tornelli con controllo biometrico o identificandosi con l’impronta digitale, misura adottata dal Ministero degli Interni e dal Consejo Superior de Deportes per aumentare la sicurezza quasi un decennio fa, dopo l’omicidio di un tifoso del Deportivo de La Coruña in una rissa. Ma adesso tutto è stato congelato per volere dell’Agenzia spagnola per la protezione dei dati (AEPD). Vari gruppi di tifosi stanno festeggiando, poiché ritenevano che questi controlli una violazione dei loro diritti. Il presidente della Liga, Javier Tebas, però, chiede al governo di avviare una modifica della normativa per ripristinare la misura. Il sistema si basava su un accordo della Commissione statale contro la violenza, il razzismo, la xenofobia e l’intolleranza, ai sensi della legge contro la violenza nello sport approvata nel 2007 dal governo Zapatero. La Liga si è appellata anche al GPDR, sostenendo che  sussistesse un “interesse pubblico” da individuare nella prevenzione dei “crimini d’odio”. La AEPD però ha concluso che “l’installazione di sistemi biometrici per il controllo di tutti gli accessi alle tribune dei tifosi che consentono l’identificazione univoca dei tifosi che vi accedono non è conforme alle norme sulla protezione dei dati”. 

English version

The US is considering a complete ban on the use of the TikTok social media application, but Europe is unlikely to follow suit. So said Theo Bertram, vice president of government relations and public policy for Europe at TikTok. “When it comes to free speech for the public, I think the rules are clear. You should have a very strong legal basis to ban any app in any country in Europe.” Bertram said that “there is a clear understanding” among policymakers, experts and politicians he has spoken to in recent weeks that a blanket ban on social media app use in European countries would be “a completely different level of scale”. In the US, the Biden administration banned the app from federal government devices in December. This week, the administration ordered TikTok’s Chinese owner, ByteDance, to divest from the app or face a possible ban in the US, recalling a similar threat under the previous Donald Trump-led administration. This month, the company launched a charm offensive with European governments, dubbed Project Clover, focused on keeping more user data on servers in Europe and granting far-reaching access to a European security firm to audit cybersecurity and data protection controls. Bertram said that the company’s CEO, Shou Zi Chew, had sent a letter to the Commission requesting a hearing and that the company’s CEOs in charge of European legal, security and privacy affairs had travelled to Brussels to try to meet with the Commission’s IT department. A spokesperson for the Commission reportedly said they were willing to meet with TikTok and would have to set a date.

Hunter Biden has sued a Delaware computer repairman for invasion of privacy and publishing private information. This is in response to a defamation lawsuit filed by the same repairman, John Mac Isaac, who allegedly violated his privacy by improperly accessing and sharing his personal information with several individuals in 2019. Mac Isaac claimed that he obtained the information from Hunter Biden’s laptop in a legal manner and claimed that he himself left it in April 2019 and never returned to claim it. After waiting 90 days, he considered the computer abandoned. Biden’s attorneys argue, however, that the 90-day abandonment clause inserted by Mac Isaac in the repair agreement does not comply with Delaware law, as it states that tangible property is not to be considered abandoned until one full year has passed, and before another party takes possession, a court must send notice to the owner and post the notice “in five or more public places” and “in a newspaper.” The lawsuit is the latest move in a strategic shift by the president’s son, aimed at decisively fending off vicious attacks from allies and associates of former President Donald Trump. Indeed, the lawsuit comes at a time when Republicans in Congress are stepping up investigations into the foreign dealings Hunter Biden undertook when his father Joe was vice president. Biden’s lawyers claim that in September 2019, Mac Isaac wrote to Trump’s lawyer, Rudy Giuliani, and “planned to create a pen drive with data in his possession that consisted of key documents”. Giuliani would then provide a copy to former White House strategist Stephen Bannon, who in turn would hand it over to Chinese tycoon Guo Wengui to spread the information to his followers on WhatsApp.

No more biometric controls in Spanish stadiums. In recent weeks, thousands of fans have been asked by their clubs to present themselves at the stadium with their identity card and season ticket in order to enter the stands. This step followed the protest initiated by the Burgos fans. With the slogan ‘No to fingerprinting’, they declared a supporters’ strike and invited the stands of the El Plantío stadium not to provide their data. Until now, one entered through turnstiles with biometric control or by identifying oneself with a fingerprint, a measure adopted by the Ministry of the Interior and the Consejo Superior de Deportes to increase security almost a decade ago, after the murder of a Deportivo de La Coruña fan in a brawl. But now everything has been frozen at the behest of the Spanish Data Protection Agency (AEPD). Various fan groups are celebrating, as they considered these controls a violation of their rights. The president of La Liga, Javier Tebas, however, is asking the government to initiate a change in the legislation to reinstate the measure. The system was based on an agreement of the State Commission against Violence, Racism, Xenophobia and Intolerance, under the law against violence in sport approved in 2007 by the Zapatero government. La Liga also appealed to the GPDR, arguing that there was a ‘public interest’ to be found in the prevention of ‘hate crimes’. The AEPD, however, concluded that ‘the installation of biometric systems to control all access to the supporters’ stands that allow the unambiguous identification of fans accessing them does not comply with data protection regulations’.

PRIVACY DAILY 48/2023

Continuano le battaglie legali per i dati biometrici davanti alla Corte Suprema dell’Illinois. Due settimane dopo essersi pronunciata in favore dell’estensione dei termini di prescrizione a cinque anni per tutte le violazioni del Biometric Information Privacy Act (BIPA), la Corte ritorna sull’argomento. È stata una decisione sofferta (passata per 4 voti contro 3), ma alla fine la i giudici della Corte hanno sentenziato che la catena di fast food White Castle System Inc deve rispondere di aver ripetutamente scansionato le impronte digitali di quasi 9.500 dipendenti senza il loro consenso. Ciò potrebbe costare alla società la colossale cifra di 17 miliardi di dollari. Infatti, il BIPA prevede sanzioni di 1.000 dollari per ogni violazione e di 5.000 dollari per le violazioni “intenzionali” o “sconsiderate”. L’azienda, stando a quanto previsto dalle legge, avrebbe dovuto chiedere il consenso ogni volta prima di raccogliere impronte digitali, scansioni della retina e altre informazioni biometriche di lavoratori e consumatori. Nel difendersi, White Castle aveva sostenuto di poter essere citata in giudizio solo per la prima raccolta senza valido presupposto di legittimità delle impronte digitali di ciascun lavoratore, e non ogni volta che queste venivano scansionate per accedere a un sistema informatico aziendale. Ma la Corte ha dichiarato che il BIPA proibisce ampiamente di “raccogliere” o “catturare” informazioni biometriche senza consenso, e White Castle avrebbe dovuto raccogliere il consenso dei lavoratori ogni volta che utilizzavano il sistema informatico. L’entità del risarcimento dovrà ora essere decisa dalla Corte d’Appello di Chicago. Forti critiche sono arrivate sia da White Castle che dalla Camera di Commercio degli Stati Uniti, che ha paventato un rischio contenzioso tale da provocare forti danni finanziari ad alcune aziende. Dal 2017 sono state intentate quasi 2.000 cause per violazioni del BIPA, che hanno dato luogo a una serie di accordi e sentenze di notevole entità.

Manipolare le informazioni online per conto di una serie di clienti a livello globale. Secondo un’inchiesta pubblicata dal Washington Post, sarebbe questo il fruttuoso business della società Eliminalia. L’azienda, con sede in Spagna, gestisce siti web disponibili in 6 lingue diverse. A prima vista sembrerebbero normali organi di informazione che offrono titoli da tutto il mondo, ma queste centinaia di siti hanno un obiettivo comune: ospitare storie sui clienti della società per migliorarne l’immagine online. Così, la rete di siti di notizie false è parte di un complesso apparato che Eliminalia utlizza per manipolare le informazioni online. Stando alla ricostruzione del noto quotidiano americano, l’azienda, facendosi scudo anche della privacy e del diritto all’oblio, impiegherebbe tattiche elaborate e ingannevoli per rimuovere o oscurare notizie poco lusinghiere relative ai suoi clienti. Tra questi vi sono aziende, celebrità minori, ma anche sospettati o criminali condannati. L’inchiesta giornalistica si è basata su quasi 50.000 documenti interni all’azienda al fine di dimostrare che la società ha guadagnato milioni di dollari vendendo questi servizi di disinformazione. Dall’indagine emerge anche come le leggi destinate a proteggere la proprietà intellettuale e la privacy vengano utilizzate in modo improprio per distorcere il discorso online, sforzi che a volte le aziende tecnologiche non riescono a individuare. I metodi di Eliminalia sono stati messi a nudo in documenti trapelati a Forbidden Stories, un’organizzazione giornalistica no-profit con sede a Parigi che ha condiviso i documenti con il Washington Post e altri media partner per un progetto chiamato “Story Killers”. I documenti includono e-mail, nomi di clienti, contratti parziali e altri documenti legali. Più di 600 siti web di notizie false sono stati collegati a Eliminalia dai ricercatori di un’organizzazione svedese senza scopo di lucro chiamata Qurium, che fornisce servizi di web hosting e sicurezza digitale a giornalisti investigativi e organizzazioni per i diritti umani. Viene, tra l’altro, denunciato che tra il 2015 e il 2021, Eliminalia avrebbe inviato migliaia di reclami fasulli ai motori di ricerca e alle società di web hosting, sostenendo falsamente che gli articoli negativi sui suoi clienti erano stati precedentemente pubblicati altrove e rubati, e che quindi dovevano essere rimossi o nascosti – così risulterebbe dai registri aziendali, secondo quanto ricostruito -. 

A Firenze quasi un medico su due utilizza Whatsapp per mandare prescrizioni, esami e consigli terapeutici, nonostante i rischi per la privacy. Questi e altri risultati, emersi da un sondaggio condotto nel 2022 dal laboratorio universitario DataLifeLab dell’Università degli studi di Firenze e dagli esperti della cooperativa Retesviluppo per conto dell’Ordine dei Medici chirurghi e odontoiatri di Firenze, sono stati presentati durante l’evento “La Messaggistica Istantanea nell’esercizio della Professione Medica”. Il presidente dell’Ordine Pietro Dattolo ha affermato che: “La messaggistica tramite cellulare permette di dare in tanti casi risposte rapide e tempestive ai pazienti, sciogliendo dubbi e timori, andando incontro alle esigenze più varie”, rimarcando però che: “È importante tuttavia non perdere di vista il confronto umano, di persona, che resta il centro di questa professione. Occorre anche porre attenzione al tema della privacy e restare aggiornati sulle nuove opportunità di comunicazione che si presenteranno nei prossimi anni per essere sempre al fianco della popolazione e nei loro bisogni di cura”. Oggi 8 dottori su 10 hanno un contatto con gli assistiti tramite smartphone, ma in pochi usano la mail. Addirittura, secondo l’indagine ormai appena lo 0,6% dei medici comunica con i pazienti solo verbalmente. Dal sondaggio risulta invece che Whatsapp viene sfruttato per comunicare con i pazienti dal 53,9% dei medici, per fissare appuntamenti dal 39,8%, per inviare prescrizioni dal 20,7%, per valutare esami e dare consigli terapeutici a pazienti dal 42% e per scambiare informazioni cliniche dei pazienti con i colleghi dal 56,1%. Il 7,8% dei medici ha scoperto le app durante l’emergenza pandemica.Ma da molti la messaggistica istantanea viene percepita come invasiva della privacy e della sfera privata. Ad avvertire molto questa invasione sono soprattutto chirurghi, ematologi, endocrinologi, geriatri, ginecologi, medici legali, dello sport, del lavoro, nefrologi, neurologi, pediatri e psichiatri. Dal sondaggio appaiono anche delle lacune sulle conoscenze in tema di privacy: quasi la metà dei medici (47,7%), negli ultimi 3 anni non ha partecipato ad un corso di formazione sul trattamento/consenso dei dati.

English version

The legal battles over biometric data continue before the Illinois Supreme Court. Two weeks after ruling in favour of extending the statute of limitations to five years for all violations of the Biometric Information Privacy Act (BIPA), the Court returned to the subject. It was a hard-fought decision (passed by 4 votes to 3), but in the end the Court judges ruled that fast food chain White Castle System Inc faces charges of repeatedly scanning the fingerprints of nearly 9,500 employees without their consent. This could cost the company the colossal sum of $17 billion. In fact, BIPA provides for penalties of $1,000 per violation and $5,000 for ‘willful’ or ‘reckless’ violations. The company, according to the law, would have to ask for consent each time before collecting fingerprints, retinal scans and other biometric information from workers and consumers. In defending itself, White Castle had argued that it could only be sued for the first collection of each worker’s fingerprints without a valid lawful basis, and not every time they were scanned to access a company computer system. But the court held that BIPA broadly prohibits ‘collecting’ or ‘capturing’ biometric information without consent, and White Castle would have to collect workers’ consent every time they used the computer system. The amount of compensation will now have to be decided by the Chicago Court of Appeals. Strong criticism came from both White Castle and the US Chamber of Commerce, which feared litigation risks that could cause severe financial damage to some companies. Since 2017, nearly 2,000 lawsuits have been filed for BIPA violations, resulting in a number of large settlements and judgments.

Manipulating information online on behalf of a number of clients globally. According to an investigation published by the Washington Post, this is the lucrative business of the Eliminalia company. The company, based in Spain, operates websites available in 6 different languages. At first glance, they would appear to be ordinary news organisations offering headlines from around the world, but these hundreds of sites have a common goal: to host stories about the company’s customers in order to improve its online image. Thus, the network of fake news sites is part of a complex apparatus that Eliminalia uses to manipulate information online. According to the reconstruction by the well-known American newspaper, the company, also shielding itself from privacy and the right to be forgotten, would employ elaborate and deceptive tactics to remove or obscure unflattering news about its customers. These include companies, minor celebrities, but also suspects or convicted criminals. The journalistic investigation relied on nearly 50,000 internal company documents to prove that the company made millions of dollars selling these disinformation services. The investigation also shows how laws designed to protect intellectual property and privacy are misused to distort online discourse, efforts that technology companies sometimes fail to detect. Eliminalia’s methods were laid bare in documents leaked to Forbidden Stories, a Paris-based non-profit journalism organisation that shared the documents with the Washington Post and multiple other media partners for a project called ‘Story Killers’. The documents include e-mails, client names, partial contracts and other legal documents. More than 600 fake news websites were linked to Eliminalia by researchers at a Swedish non-profit organisation called Qurium, which provides web hosting and digital security services to investigative journalists and human rights organisations. It is reported, among other things, that between 2015 and 2021, Eliminalia sent thousands of bogus complaints to search engines and web hosting companies, falsely claiming that negative articles about its clients had previously been published elsewhere and stolen, and thus had to be removed or hidden – so the company’s records allegedly show.

In Florence, almost one doctor in two uses Whatsapp to send prescriptions, examinations and treatment advice, despite the risks to privacy. These and other results, which emerged from a survey conducted in 2022 by the DataLifeLab of the University of Florence and experts from the Retesviluppo cooperative on behalf of the Order of Surgeons and Dentists of Florence, were presented during the event “Instant Messaging in the Practice of the Medical Profession”. Order President Pietro Dattolo stated that: “Messaging via mobile phone allows in many cases to give quick and timely answers to patients, dissolving doubts and fears, meeting the most varied needs”, pointing out however that: “It is important, however, not to lose sight of the human, face-to-face confrontation that remains at the heart of this profession. It is also necessary to pay attention to the issue of privacy and to keep abreast of the new communication opportunities that will arise in the coming years in order to be always at the side of the population and their care needs’. Today, 8 out of 10 doctors have contact with their patients via smartphone, but few use email. Even as few as 0.6 per cent of doctors now communicate with patients only verbally, according to the survey. On the other hand, the survey shows that Whatsapp is used to communicate with patients by 53.9 per cent of doctors, to schedule appointments by 39.8 per cent, to send prescriptions by 20.7 per cent, to evaluate examinations and give treatment advice to patients by 42 per cent, and to exchange clinical information of patients with colleagues by 56.1 per cent. 7.8% of doctors discovered the apps during the pandemic emergency. But instant messaging is perceived as invasive of a doctor’s privacy and private sphere. Those who feel this invasion most strongly are surgeons, haematologists, endocrinologists, geriatricians, gynaecologists, forensic, sports and occupational physicians, nephrologists, neurologists, paediatricians and psychiatrists. The survey also reveals gaps in privacy knowledge: almost half of the doctors (47.7%) have not attended a training course on data processing/consent in the last three years.