PRIVACY DAILY 99/2023

Helen Dixon (Data Protection Commissioner della Repubblica d’Irlanda) ha risposto ai critici che accusano il suo ufficio di impiegare troppo tempo ad emettere provvedimenti contro le aziende della Silicon Valley. “Alcune delle persone che commentano di fretta capiscono ben poco del processo di conduzione di un’istruttoria, della complessità dell’accertamento dei fatti, dell’attuazione di procedure corrette nel processo”, ha detto la Dixon in un panel all’evento Bloomberg New Economy Gateway Europe. Dall’approvazione del GDPR, le tensioni sono cresciute rapidamente, poiché l’autorità garante irlandese si è trasformata da un giorno all’altro nel principale supervisore dell’UE per le aziende tecnologiche globali con sede nel Paese, come Apple e Meta Platforms. “Queste cose richiedono tempo per essere fatte correttamente”, ha detto Dixon. “E se qualcuno ha letto le 200 pagine di decisioni che l’ufficio produce per motivare il tipo di misure che stiamo attuando, può capire un po’ i dettagli”. La Dixon ha anche segnalato un progresso nella lunga saga sulla validità dei trasferimenti di dati transatlantici per il timore che le agenzie di sicurezza statunitensi possano accedere ai dati dell’UE. Ha dichiarato che il suo ufficio emetterà una decisione finale di un’indagine sulla questione di Facebook entro il 12 maggio. Meta potrebbe trovarsi di fronte a un imminente divieto di flusso di dati nell’ambito dei trasferimenti di dati tra l’UE e gli USA in base alle cosiddette clausole contrattuali standard. Non è chiaro cosa significherebbe in pratica un tale ordine per Meta e forse per migliaia di altre aziende che dipendono da flussi di dati simili. Questo perché arriverà solo pochi mesi prima dell’entrata in vigore di un nuovo patto UE-USA sui dati.

Il Governo svizzero ha preso atto del rapporto della Commissione sulla gestione istituita dal Consiglio Nazionale sulla fondazione «lemievaccinazioni.ch». Il rapporto contiene una serie di raccomandazioni sull’impegno della Confederazione nei confronti di beneficiari di sovvenzioni federali organizzati secondo il diritto privato e sulla partecipazione ai consigli di fondazione. La Commissione sulla gestione del Consiglio nazionale (CdG-N) si è occupata della vigilanza esercitata dall’Ufficio federale della sanità pubblica (UFSP) sulla fondazione «lemievaccinazioni.ch», la quale gestiva un libretto di vaccinazione elettronico. La Confederazione ha sostenuto finanziariamente la fondazione per svariati anni. Nella primavera del 2021 sono state constatate gravi falle nella protezione dei dati e nella sicurezza del libretto di vaccinazione elettronico. Poco dopo la piattaforma è stata disattivata. Nel corso delle sue indagini la CdG-N si è concentrata sul modo in cui il Dipartimento federale dell’interno e l’UFSP hanno esercitato le loro funzioni di vigilanza, sull’appropriatezza delle misure prese e sugli insegnamenti generali che si possono trarre da questo caso. La CdG-N è giunta alla conclusione che l’UFSP ha agito in maniera adeguata per quanto concerne la sicurezza dei dati presso la fondazione «lemievaccinazioni.ch» e ha prestato sufficiente attenzione all’aspetto della protezione dei dati. Alla fondazione «lemievaccinazioni.ch» sono stati concessi aiuti finanziari da parte della Confederazione e l’UFSP aveva il compito di vigilare sul loro corretto impiego. La CdG-N è giunta alla conclusione che la vigilanza esercitata dall’UFSP sulla fondazione è stata, invece, troppo blanda dal punto di vista finanziario. Il Consiglio federale ha concordato con questa conclusione.

Da venerdì la polizia francese potrà utilizzare droni dotati di telecamere per un’ampia gamma di compiti, tra cui il monitoraggio della folla e il controllo delle frontiere, a seguito della pubblicazione di un decreto sulla Gazzetta Ufficiale di giovedì. La mossa arriva a poco più di un anno dalle Olimpiadi di Parigi 2024 e in un momento in cui l’opposizione alla riforma delle pensioni del presidente Emmanuel Macron ha scatenato enormi proteste che a volte sono diventate violente. Il decreto consente alla polizia, alle dogane o ai militari di utilizzare i droni per prevenire attacchi a persone o cose, garantire la sicurezza degli assembramenti in luoghi pubblici e mantenere o ripristinare l’ordine pubblico quando questi assembramenti possono turbarlo gravemente. I droni possono essere utilizzati anche per la prevenzione di atti terroristici, la regolazione dei flussi di trasporto, la sorveglianza delle frontiere e il salvataggio di persone. Il decreto dettaglia e attua in pratica una legge sulla sicurezza votata dal Parlamento lo scorso anno. L’Autorità garante francese (CNIL) aveva chiesto a marzo la pubblicazione di una politica dettagliata di utilizzo, che includesse le informazioni del pubblico interessato dall’uso dei droni.

English version

Helen Dixon (Data Protection Commissioner of the Republic of Ireland) has responded to critics who accuse her office of taking too long to issue orders against Silicon Valley companies. “Some of the people who comment in haste understand very little about the process of conducting an investigation, the complexity of fact-finding, the implementation of proper procedures in the process,” Dixon said in a panel at the Bloomberg New Economy Gateway Europe event. Since the approval of the GDPR, tensions have risen rapidly as the Irish regulator has overnight become the EU’s main supervisor for global technology companies based in the country, such as Apple and Meta Platforms. “These things take time to be done properly,” Dixon said. “And if anyone has read the 200 pages of decisions that the office produces to justify the kind of measures we are implementing, they can understand a little bit of the detail.” Dixon also signalled progress in the long-running saga over the validity of transatlantic data transfers over fears that US security agencies could access EU data. She said her office will issue a final decision on an investigation into the Facebook issue by 12 May. Meta could face an impending ban on data flows as part of data transfers between the EU and the US under so-called standard contractual clauses. It is unclear what such an order would mean in practice for Meta and perhaps thousands of other companies that depend on similar data flows. This is because it will come only a few months before a new EU-US data pact comes into force.

The Swiss government has taken note of the report of the Management Commission established by the National Council on the “lemievaccinations.ch” foundation. The report contains a number of recommendations on the federal government’s involvement with federal grant recipients organised under private law and on participation in foundation boards. The National Council’s Commission on Management (CdG-N) dealt with the supervision exercised by the Federal Office of Public Health (FOPH) over the ‘lemievaccination.ch’ foundation, which operated an electronic vaccination booklet. The federal government supported the foundation financially for several years. In spring 2021, serious flaws were discovered in the data protection and security of the electronic vaccination booklet. Shortly afterwards, the platform was deactivated. In the course of its investigations, the CoJ-N focused on the way in which the Federal Department of Home Affairs and the FOPH had exercised their supervisory functions, on the appropriateness of the measures taken and on the general lessons that can be drawn from this case. The CoJ-N came to the conclusion that the FOPH had acted appropriately with regard to data security at the ‘lemievaccination.ch’ foundation and had paid sufficient attention to the data protection aspect. The ‘lemievaccinations.ch’ foundation was granted financial support by the federal government, and the FOPH was responsible for ensuring that it was used correctly. The CoJ-N came to the conclusion that the FOPH’s supervision of the foundation was, on the other hand, too lax from a financial point of view. The Federal Council agreed with this conclusion.

From Friday, French police will be able to use drones equipped with cameras for a wide range of tasks, including crowd monitoring and border control, following the publication of a decree in Thursday’s Official Journal. The move comes just over a year before the Paris 2024 Olympics and at a time when opposition to President Emmanuel Macron’s pension reform has sparked huge protests that have at times turned violent. The decree allows police, customs or the military to use drones to prevent attacks on people or property, ensure the security of gatherings in public places, and maintain or restore public order when these gatherings may seriously disturb it. Drones can also be used for preventing terrorist acts, regulating transport flows, border surveillance and rescuing people. The decree details and implements in practice a security law voted by parliament last year. The French Supervisory Authority (CNIL) had called in March for the publication of a detailed usage policy, including information from the public affected by the use of drones.

PRIVACY DAILY 79/2023

Negli Stati Uniti, le domande del 2022 Economic Census impensieriscono i soggetti a cui vengono sottoposte. È un problema sempre maggiore per il Census Bureau e le altre agenzie federali, appurato il forte aumento delle preoccupazioni per la privacy e per la proliferazione delle truffe online, che hanno ridotto i tassi di risposta ai sondaggi nell’ultimo decennio. La pandemia ha esacerbato il problema interrompendo le visite di follow-up svolte dal vivo. I bassi tassi di risposta comportano dei bias perché le famiglie più ricche e istruite sono più propense a rispondere ai sondaggi, il che influisce sull’accuratezza dei dati su cui si basano demografi, pianificatori, aziende e dirigenti pubblici per allocare le risorse. Lo scetticismo nei confronti dei sondaggi è cresciuto a tal punto che la Federal Trade Commission ha pubblicato questo mese un avviso ai consumatori per rassicurare il pubblico sulla legittimità dell’American Community Survey, uno degli strumenti più importanti del Census Bureau. L’ACS è il più grande sondaggio dell’ufficio e chiede informazioni su oltre 40 argomenti che vanno dal reddito, all’accesso a Internet, all’affitto, alle disabilità e alla lingua parlata in casa. Insieme al censimento, aiuta a determinare come vengono distribuiti ogni anno 1.500 miliardi di dollari di spesa federale, dove vengono costruite le scuole e l’ubicazione di nuovi insediamenti abitativi, tra le altre cose. Nonostante sia considerato la spina dorsale dei dati sugli Stati Uniti, il tasso di risposta del sondaggio è sceso all’85,3% nel 2021 dal 97,6% del 2011, mentre altri questionari federali sono andati anche peggio. La diffidenza è comprensibile, si legge nell’avviso della FTC, ma le informazioni richieste hanno uno scopo pubblico vitale. I sondaggi raggiungono un numero minore di persone anche a causa dei filtri antispam, dell’ID del chiamante e delle telecamere del campanello, ha dichiarato il Bureau of Labor Statistics degli Stati Uniti. I funzionari stanno cercando fonti di dati alternative, come i registri amministrativi raccolti da agenzie governative (es. la Social Security Administration e l’Internal Revenue Servicei. I dettagli sono ancora in fase di definizione, ma includeranno misure di protezione della privacy che impediranno di associare un particolare acquisto a un singolo consumatore.

Come evitare che i droni violino la privacy dei residenti mentre se ne stanno a casa loro? Il City Council ha approvato in prima lettura un’ordinanza che regola il sorvolo dei droni sulle proprietà pubbliche e private entro i confini di Panama City Beach. “Per me questo punto è positivo”, ha dichiarato il sindaco Mark Sheldon. “È arrivato direttamente da persone preoccupate della comunità, quindi penso che sia una buona ordinanza. Penso che dia al dipartimento di polizia una buona opportunità di assicurarsi che le persone possano avere privacy nelle loro case e nelle loro proprietà”. L’ordinanza vieta ai droni di volare entro un’altezza di 500 piedi sopra una proprietà privata senza il permesso del proprietario, così come di volare entro la stessa altezza sopra la proprietà pubblica per sorvegliare la proprietà privata di qualcuno. L’ordinanza è stata promossa dai residenti che hanno segnalato ai membri del Consiglio che la loro privacy veniva invasa dal volo dei droni vicino alle loro case. Chi viola l’ordinanza rischia una sanzione pari a 250 dollari. La multa sale a 500 dollari se si commette una seconda violazione entro sei mesi e a 1.000 dollari se si commette una terza violazione entro un anno.La seconda lettura dell’ordinanza è prevista per la prossima riunione del Consiglio comunale, il 13 aprile. Il consigliere Mary Coburn ha dichiarato che, anche se l’ordinanza sarà finalizzata, i residenti potranno comunque far volare i droni nelle zone di volo designate. “Ho avuto personalmente lamentele da parte di persone che hanno un vicino che sembra essere un po’ troppo interessato a sorvolare il proprio cortile e cose del genere”, ha detto Coburn. “Lo capisco. Neanche a me piacerebbe, quindi questo darà una certa protezione ai proprietari di case private per evitare che sorvolino la loro proprietà privata”.

Il panorama digitale del Nepal si sta evolvendo rapidamente, con la popolazione che si affida sempre più alle tecnologie dei media digitali per accedere a servizi che vanno dall’istruzione all’assistenza sanitaria. Tuttavia, mentre avviene questa trasformazione, sia lo Stato che le aziende private raccolgono grandi quantità di dati personali e li elaborano per vari scopi. Spesso è difficile per le persone sapere quali dati vengono raccolti e come vengono utilizzati. Per affrontare questo problema, lo Stato deve svolgere un ruolo di primo piano nella creazione di meccanismi di governance per la protezione dei dati personali in Nepal. Data la mancanza di politiche chiare, è fondamentale formulare una legge completa sulla protezione dei dati in Nepal. Cresce la preoccupazione che le organizzazioni che elaborano i dati possano raccogliere anche informazioni non essenziali. Inoltre, quando i dati personali vengono utilizzati per scopi diversi da quelli per cui sono stati forniti, come ad esempio per la pubblicità, ci si chiede se tali dati vengano comprati e venduti. L’esposizione di dati personali in diversi settori potrebbe violare la privacy degli individui e creare difficoltà nella loro vita. Esiste una legge sulla privacy del 2018, che non solo specifica come raccogliere le informazioni personali, ma le classifica anche. Ad esempio, questa legge definisce come informazioni personali la casta, la religione, l’istruzione, il numero di telefono, il numero di passaporto/cittadino, i dati della carta d’identità degli elettori, le informazioni biometriche e i dati relativi ai reati penali. Tuttavia non sembra sufficiente e si sta considerando l’idea di intervenire. Un approccio consiste nell’emendare la legge esistente, aggiungendo le disposizioni necessarie. In alternativa, si valuta se formulare e attuare una legge separata, per coprire le questioni relative alla protezione dei dati in vari settori e stabilire linee guida per la raccolta, l’uso e l’archiviazione dei dati.

English version

In the United States, the 2022 Economic Census questions worry those to whom they are submitted. It is a growing problem for the Census Bureau and other federal agencies, as privacy concerns and the proliferation of online scams have reduced survey response rates over the past decade. The pandemic has exacerbated the problem by disrupting live follow-up visits. Low response rates lead to bias because wealthier and more educated households are more likely to respond to surveys, which affects the accuracy of the data on which demographers, planners, companies and public managers rely to allocate resources. Scepticism about surveys has grown to such an extent that the Federal Trade Commission issued a consumer alert this month to reassure the public about the legitimacy of the American Community Survey, one of the Census Bureau’s most important tools. The ACS is the bureau’s largest survey and asks about more than 40 topics ranging from income, Internet access, rent, disabilities and language spoken in the home. Along with the census, it helps determine how $1.5 trillion in federal spending is distributed each year, where schools are built and the location of new housing developments, among other things. Despite being considered the backbone of US data, the survey’s response rate dropped to 85.3% in 2021 from 97.6% in 2011, while other federal questionnaires fared even worse. The distrust is understandable, the FTC notice says, but the information requested serves a vital public purpose. The surveys also reach fewer people because of spam filters, caller ID and doorbell cameras, the US Bureau of Labor Statistics said. Officials are seeking alternative data sources, such as administrative records collected by government agencies (e.g., the Social Security Administration and the Internal Revenue Servicei. The details are still being worked out, but will include privacy safeguards that will prevent a particular purchase from being associated with an individual consumer.

How to prevent drones from violating residents’ privacy while they are sitting in their homes? The City Council approved on first reading an ordinance regulating drone overflight of public and private property within the boundaries of Panama City Beach. “To me this item is positive,” said Mayor Mark Sheldon. “It came directly from concerned people in the community, so I think it’s a good ordinance. I think it gives the police department a good opportunity to make sure that people can have privacy in their homes and on their property.” The ordinance prohibits drones from flying within a height of 500 feet above private property without the owner’s permission, as well as flying within the same height above public property to survey someone’s private property. The ordinance was initiated by residents who reported to council members that their privacy was being invaded by the flying of drones near their homes. Violators of the ordinance face a fine of $250. The fine rises to $500 if a second violation is committed within six months and $1,000 if a third violation is committed within a year.The second reading of the ordinance is scheduled for the next City Council meeting on 13 April. Councillor Mary Coburn said that even if the ordinance is finalised, residents will still be able to fly drones in designated flying zones. “I’ve personally had complaints from people who have a neighbour who seems to be a little too interested in flying over their yard and things like that,” Coburn said. “I understand that. I wouldn’t like it either, so this will give some protection to private homeowners from flying over their private property.”

Nepal’s digital landscape is evolving rapidly, with the population increasingly relying on digital media technologies to access services ranging from education to healthcare. However, while this transformation is taking place, both the state and private companies are collecting large amounts of personal data and processing it for various purposes. It is often difficult for people to know what data is being collected and how it is being used. To address this problem, the state must play a leading role in creating governance mechanisms for the protection of personal data in Nepal. Given the lack of clear policies, it is crucial to formulate a comprehensive data protection law in Nepal. There is growing concern that organisations that process data may also collect non-essential information. In addition, when personal data is used for purposes other than those for which it was provided, such as for advertising, there are questions about whether such data is bought and sold. The exposure of personal data in different sectors could violate the privacy of individuals and create difficulties in their lives. There is a Privacy Act of 2018, which not only specifies how to collect personal information, but also classifies it. For example, this law defines caste, religion, education, telephone number, passport/citizen number, voter ID card data, biometric information and criminal offence data as personal information. However, this does not seem to be sufficient and action is being considered. One approach is to amend the existing law, adding the necessary provisions. Alternatively, consideration is being given to formulating and implementing a separate law to cover data protection issues in various areas and to establish guidelines for the collection, use and storage of data.