N. 163/2023
LE TRE NEWS DI OGGI:
- UK, GOVERNO E FACEBOOK SI SCONTRANO SUI MESSAGGI CRIPTATI
- USA, LA NUOVA LEGGE SULLA PRIVACY DEI MINORI DEL DELAWARE
- INDIA, ENTRO 30 GIORNI VERRA’ ISTITUITA L’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI
Meta, il proprietario di Facebook, ha risposto a una campagna governativa fortemente critica nei confronti dei suoi piani di crittografia dei messaggi. Proteggere i messaggi con la crittografia end-to-end significa che possono essere letti solo dal mittente e dal destinatario. Il ministro dell’Interno Suella Braverman ha dichiarato che la crittografia non può andare a scapito della sicurezza dei bambini, tra i timori che possa essere usata per nascondere abusi su minori. Meta sostiene che la crittografia protegge gli utenti dall’invasione della privacy. “La stragrande maggioranza dei britannici si affida già ad applicazioni che utilizzano la crittografia per proteggersi da hacker, truffatori e criminali”, ha aggiunto l’azienda. La signora Braverman ha esposto le sue preoccupazioni a Meta in una lettera firmata da esperti di tecnologia, forze dell’ordine, familiari di sopravvissuti e associazioni per la sicurezza dei bambini. Ma mercoledì ha dichiarato che: “Meta non è riuscita a fornire garanzie sul fatto che manterrà le sue piattaforme al sicuro da abusatori malati. Devono sviluppare adeguate misure di salvaguardia da affiancare ai loro piani per la crittografia end-to-end”. Meta contesta questa affermazione. Secondo la BBC, l’azienda tecnologica sostiene di aver fornito queste informazioni a luglio. Molte di queste informazioni sono state pubblicate online. Meta ha dichiarato di aver trascorso gli ultimi cinque anni a sviluppare solide misure di sicurezza per prevenire, individuare e combattere gli abusi mantenendo la sicurezza online. “Con l’introduzione della crittografia end-to-end, ci aspettiamo di continuare a fornire alle forze dell’ordine un numero maggiore di segnalazioni rispetto ai nostri colleghi, grazie al nostro lavoro leader nel settore per mantenere le persone al sicuro”, ha dichiarato. Secondo il Ministro degli Interni, però, i piani prevedono che centinaia di abusatori di minori possano sfuggire alla punizione. Il direttore delle minacce generali della National Crime Agency (NCA), James Babbage, ha dichiarato che se la piattaforma introdurrà la crittografia end-to-end, “ridurrà in modo massiccio la nostra capacità collettiva” di proteggere i bambini.
La nuova legge sulla privacy dei consumatori del Delaware aggiunge requisiti di conformità a livello statale per le aziende, con un’ampia interpretazione dei dati sensibili che include lo status di transgender e maggiori tutele per gli utenti di età inferiore ai 18 anni.La legge sulla privacy dei dati personali del Delaware, promulgata la scorsa settimana, entrerà in vigore il 1° gennaio 2025. Si aggiunge a un mosaico di leggi statali in rapida evoluzione che offrono ai residenti il diritto di conoscere i dati raccolti da un’azienda e di limitarne alcuni usi.”Non si tratta assolutamente di una normativa unica”, ha dichiarato Robert Braun, partner di Jeffer Mangels Butler & Mitchell LLP, a proposito delle varie leggi statali.La legge del Delaware si applica alle aziende che svolgono attività commerciali nello Stato o che si rivolgono ai suoi residenti e che controllano o elaborano i dati personali di almeno 35.000 consumatori all’anno. Questa soglia scende a 10.000 consumatori se la vendita di dati personali costituisce più del 20% del fatturato lordo.Secondo Consumer Reports, gli individui hanno un maggiore controllo sui propri dati in base alla legge del Delaware rispetto alle leggi di altri Stati. Ciò include una definizione più ampia di dati sensibili, che le aziende devono ottenere il consenso a trattare.Come una legge emanata in precedenza in Oregon, la definizione di dati sensibili del Delaware include lo status di transgender o non binario. La maggior parte delle organizzazioni non profit sono coperte dalla legge, così come lo sono dalle leggi emanate in precedenza in Oregon e Colorado. Altre leggi statali sulla privacy le esentano.”Lavoriamo con parecchie organizzazioni non profit che in precedenza non si erano preoccupate e concentrate sulla conformità a queste leggi sulla privacy, ma sembra che questo non continuerà, almeno se operano in Colorado, Oregon e Delaware”, ha dichiarato Sarah Rugnetta, partner di Constangy, Brooks, Smith & Prophete, LLP.
Rajeev Chandrasekhar, ministro di Stato per l’elettronica e le tecnologie dell’informazione, ha dichiarato che entro i prossimi 30 giorni il governo istituirà il Comitato per la protezione dei dati (DPB), l’autorità d’appello per la risoluzione dei reclami ai sensi della legge sulla protezione dei dati personali digitali. La prima serie di “norme necessarie” ai sensi della legge sarà emanata entro lo stesso termine. “Il DPB sarà notificato nei prossimi 30 giorni e anche tutte le norme pertinenti saranno notificate nei prossimi 30 giorni. Il periodo che intercorre tra l’11 agosto, data di notifica della legge, e la costituzione del DPB non deve essere considerato un porto sicuro o un periodo di immunità per le aziende. Parlando della consultazione sui tempi necessari all’industria per la transizione al DPDPA, il ministro ha detto che probabilmente ci saranno tre categorie di fiduciari dei dati a cui sarà data una tempistica graduata per la transizione per la conformità alle disposizioni della legge. La prima categoria, che comprende gli enti governativi del Centro o dello Stato, i panchayat o le PMI che non hanno la preparazione digitale per l’archiviazione o l’elaborazione dei dati, avrà probabilmente il tempo maggiore per la transizione, seguita dalle piccole entità private e dalle start-up. Tuttavia, le grandi aziende tecnologiche come Google, Meta, Apple e altre, che già rispettano le leggi globali sulla protezione dei dati o sulla privacy come il GDPR, dovrebbero adeguarsi al più presto.
English version
- UK, GOVERNMENT AND FACEBOOK CLASH ON ENCRYPTED MESSAGES
- USA, THE NEW PRIVACY LAW FOR DEAWARE MINORS
- INDIA, DATA PROTECTION AUTHORITY TO BE ESTABLISHED WITHIN 30 DAYS
Facebook’s owner Meta has hit back at a government campaign strongly critical of its plans to encrypt messages. Protecting messages with end-to-end-encryption would mean that they could only be read by sender and recipient. Home Secretary Suella Braverman said encryption could not come at the cost of children’s safety, amid fears it can be used to conceal child abuse. Meta argues that encryption protects users from invasion of privacy. “We don’t think people want us reading their private messages”, the firm said.”The overwhelming majority of Brits already rely on apps that use encryption to keep them safe from hackers, fraudsters and criminals”, it added. Ms Braverman set out her concerns to Meta in a letter co-signed by technology experts, law enforcement, survivors and leading child safety charities in July. But on Wednesday she said: “Meta has failed to provide assurances that they will keep their platforms safe from sickening abusers. They must develop appropriate safeguards to sit alongside their plans for end-to-end encryption.” This is something Meta disputes. The BBC understands that the tech firm maintains it supplied that information in July. Much of that information has now been published online. Meta said that it had spent the last five years developing robust safety measures to prevent, detect and combat abuse while maintaining online security. “As we roll out end-to-end encryption, we expect to continue providing more reports to law enforcement than our peers due to our industry leading work on keeping people safe”, it said. But the plans mean hundreds of child abusers could escape punishment, according to the home secretary. The National Crime Agency’s (NCA) director of general threats, James Babbage, said if the platform introduces end-to-end encryption it will “massively reduce our collective ability” to protect children.
Delaware’s new consumer privacy law adds to state-level compliance requirements for companies, with a broad definition of sensitive data that includes transgender status and heightened protections for users under the age of 18.The Delaware Personal Data Privacy Act, which was enacted last week, takes effect Jan. 1, 2025. It joins a rapidly evolving patchwork of state laws that provide residents the right to know what data a business collects, and limit certain uses.“It definitely is not a one size fits all,” said Robert Braun, partner at Jeffer Mangels Butler & Mitchell LLP, about the various state laws.The Delaware law applies to entities that do business in the state or target its residents, and control or process the personal data of at least 35,000 consumers per year. That threshold drops to 10,000 consumers if the sale of personal data makes up more than 20% of gross revenue.Individuals have more control over their data under the Delaware law than under laws in some other states, according to Consumer Reports. That includes a broader definition of sensitive data—which companies must obtain consent to process.Like a law enacted earlier in Oregon, Delaware’s definition of sensitive data includes transgender or nonbinary status. It also includes health conditions such as pregnancy.Most nonprofits are covered under the law, as they are under laws enacted earlier in Oregon and Colorado. Other state privacy laws exempt them.“We do work with quite a few nonprofits who had previously not been as concerned and focused on compliance with these data privacy laws, but it seems like that is not going to be continuing, at least if they’re doing business in Colorado, Oregon, and Delaware,” said Sarah Rugnetta, partner at Constangy, Brooks, Smith & Prophete, LLP.
The government will set up the data protection board (DPB), the appellate authority for grievance redressal under the Digital Personal Data Protection Act, within the next 30 days, Rajeev Chandrasekhar, minister of state for electronics and information technology said on Wednesday. The first set of ‘necessary rules’ under the Act will also be issued within the same time frame.“The DPB will be notified in the next 30 days and all the relevant rules will also be notified in the next 30 days. The time between 11 August when the Act was notified and when the DPB is constituted, should not be considered a safe harbour or immunity period for companies. If there’s a data breach during this time, the DPB will take it up once it is operational,” the minister clarified.Speaking at the consultation for timeframes needed by the industry to transition to the DPDPA, the minister said that there are likely to be three categories of data fiduciaries that will be given a graded timeline for transition for compliance to the provisions in the Act.The first category comprising government entities at the Centre or state, panchayats or MSMEs that do not have the digital readiness for storing or processing data, are likely to get the most time for transition, followed by smaller private entities and start-ups. However, big tech or companies like Google, Meta, Apple and others that would already be complying with global data protection or privacy laws such as the GDPR, would be expected to comply at the earliest.
