PRIVACYDAILY

N. 156/2023

LE TRE NEWS DI OGGI:

  • EUROPARLAMENTARE FRANCESE CONTESTA L’ACCORDO TRANSATLANTICO SUI DATI DAVANTI ALLA CGUE
  • USA RECORD DI RICHIESTE DI RISARCIMENTO SULLA BASE DELL’ACCORDO CON FACEBOOK, 17 MILIONI DI PERSONE AMMESSE A RICEVERLO
  • USA, CLASS ACTION CONTRO TESLA PER IL DATA BREACH DI MAGGIO

Il deputato francese Philippe Latombe ha annunciato giovedì scorso di voler impugnare davanti al Tribunale dell’Unione Europea un nuovo accordo transatlantico che consente alle aziende di trasferire liberamente i dati tra l’UE e gli Stati Uniti, aprendo potenzialmente la porta ad anni di controversie legali.La mossa arriva meno di due mesi dopo che la Commissione europea e il governo degli Stati Uniti hanno presumibilmente posto fine ad anni di limbo legale per le aziende. A luglio, Bruxelles e Washington hanno approvato un accordo, noto come EU-U.S. Data Privacy Framework, dopo che nel 2020 la Corte Suprema dell’UE aveva bocciato il suo antecedente, noto come Privacy Shield. La Corte di giustizia dell’UE aveva annullato il sistema per i dubbi che le agenzie di intelligence statunitensi potessero facilmente spiare i cittadini europei.”Il testo risultante da questi negoziati viola la Carta dei diritti fondamentali dell’Unione, a causa delle insufficienti garanzie di rispetto della vita privata e familiare in relazione alla raccolta massiva di dati personali, e il Regolamento generale sulla protezione dei dati (GDPR)”, ha scritto Latombe, membro del partito alleato del Presidente Emmanuel Macron, , nella sua dichiarazione.Latombe ha presentato due ricorsi, ha dichiarato a POLITICO: uno per sospendere immediatamente l’accordo e un altro sul contenuto del testo.Oltre alle preoccupazioni per la sorveglianza di massa degli Stati Uniti, il Data Privacy Framework è stato notificato ai Paesi dell’UE solo in inglese e non è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, il che potrebbe non rispettare le regole procedurali, ha sostenuto Latombe. Latombe ha informato il governo francese e l’autorità per la protezione dei dati CNIL della sua contestazione.

Il numero di richieste di risarcimento presentate nell’ambito dell’accordo sulla privacy di Facebook per un valore di 725 milioni di dollari potrebbe costituire la class action più numerosa nella storia degli Stati Uniti, come hanno dichiarato gli avvocati in un tribunale di San Francisco giovedì scorso. L’amministratore incaricato di esaminare le richieste di risarcimento ha ricevuto più di 28 milioni di domande di pagamento, ha dichiarato Lesley Weaver, co-consulente legale dei querelanti nella causa. “Per quanto ne sappiamo, si tratta del maggior numero di richieste di risarcimento mai presentate in una class action negli Stati Uniti”, ha detto Weaver.Dei 28 milioni di richieste presentate, circa 17 milioni sono state convalidate in via preliminare, il che significa che almeno 17 milioni di persone riceveranno una parte dell’enorme accordo se e quando sarà approvato in via definitiva. Circa 2 milioni di richieste erano duplicate, 8 milioni sono state segnalate come potenzialmente fraudolente e ne rimanevano ancora circa 1 milione da esaminare, hanno spiegato gli avvocati. Una volta che il numero totale di persone ammissibili sarà definito, sapremo quante persone si divideranno l’indennizzo di 725 milioni di dollari – ma prima ci sono alcune deduzioni. Gli avvocati del caso chiedono circa 180 milioni di dollari per le spese legali. Questo riduce il fondo di risarcimento a 545 milioni di dollari. La prossima deduzione importante sono le spese amministrative. In sostanza, il tribunale nomina un amministratore per creare il sito web della transazione, controllare le informazioni dei richiedenti, verificare che siano idonei e inviare loro quanto dovuto. Il budget si riduce di altri 120.000 dollari perché ciascuno degli otto querelanti che rappresentavano tutti gli utenti di Facebook nel caso ha diritto a 15.000 dollari. Una volta fatto tutto ciò, la somma finale verrà divisa tra i 17 milioni e più di aventi diritto, ma non in parti uguali. Coloro che hanno avuto un periodo di tempo più lungo su Facebook riceveranno una somma maggiore. Per questo motivo è difficile prevedere in anticipo l’importo esatto che riceverete, ma il legale della classe ha stimato un pagamento mediano di 30 dollari quando ha parlato in tribunale giovedì.

Tesla Inc. avrebbe omesso di proteggere le informazioni personali di 75.000 dipendenti attuali ed ex che sono state esposte in una violazione di dati avvenuta a maggio da parte di ex dipendenti dell’azienda, secondo quanto riportato in una proposta di azione collettiva federale.Benson Pai ha affermato che Tesla non ha implementato o seguito ragionevoli procedure di sicurezza dei dati come richiesto dalla legge e non ha protetto le informazioni sensibili dei membri della classe da accessi non autorizzati.Tesla è venuta a conoscenza della violazione a maggio, quando è stata informata da un servizio giornalistico in lingua tedesca, Handelsblatt, che due ex dipendenti di Tesla le avevano fornito informazioni prelevate dalla rete di Tesla, secondo la denuncia depositata il 5 settembre presso il tribunale distrettuale degli Stati Uniti per il distretto settentrionale della California.Tra le informazioni esposte nella violazione vi erano nomi, indirizzi, numeri di telefono, indirizzi e-mail, date di nascita e numeri di previdenza sociale dei dipendenti, si legge nella denuncia.Tesla non ha risposto immediatamente a una richiesta di commento.Pai vuole rappresentare una classe nazionale e una sottoclasse californiana di persone le cui informazioni personali sono state esposte nella violazione.Le vittime hanno subito danni sotto forma di violazione della privacy, aumento del rischio di furto d’identità e di frode, perdita di tempo e spese vive sostenute per rispondere alla violazione, ansia e riduzione del valore delle loro informazioni personali, si legge nella denuncia.L’azione legale prevede richieste di risarcimento per negligenza, violazione della privacy, violazione del contratto implicito, violazione del dovere fiduciario, violazione della fiducia e violazione della legge californiana sulla concorrenza sleale, del Customer Records Act e del Consumer Privacy Act.Pai chiede danni compensativi, danni legali, danni nominali, restituzione, sgravio, provvedimenti ingiuntivi, spese legali e costi.

English version

  • FRENCH MEP CHALLENGES TRANSATLANTIC DATA AGREEMENT BEFORE THE CJEU
  • USA RECORD NUMBER OF CLAIMS BASED ON FACEBOOK AGREEMENT, 17 MILLION PEOPLE ALLOWED TO RECEIVE IT
  • USA, CLASS ACTION AGAINST TESLA FOR MAY’S DATA BREACH

French lawmaker Philippe Latombe, a member of parliament, announced Thursday he is challenging before the European Union’s General Court a new transatlantic deal allowing companies to freely transfer data between the EU and the United States — potentially opening the door to years of legal wrangling.The move comes less than two months after the European Commission and the U.S. government supposedly ended years of legal limbo for companies.In July, Brussels and Washington rubber-stamped an agreement, known as the EU-U.S. Data Privacy Framework, after the EU’s top court in 2020 struck down its predecessor, known as Privacy Shield. The Court of Justice of the EU had annulled the scheme over concerns U.S. intelligence agencies could easily snoop on European citizens.”The text resulting from these negotiations violates the Union’s Charter of Fundamental Rights, due to insufficient guarantees of respect for private and family life with regard to bulk collection of personal data, and the General Data Protection Regulation (GDPR),” Latombe, a member of President Emmanuel Macron’s allied party Modem, wrote in his statement.Latombe filed two challenges, he told POLITICO: one to suspend the agreement immediately and another on the text’s content.Besides worries about U.S. mass surveillance, the Data Privacy Framework was notified to EU countries in English only, and was not published in the EU’s Official Journal, which could fall short of procedural rules, Latombe argued. He has informed the French government and the data protection authority CNIL of his challenge.

The number of claims filed in the $725 million Facebook privacy settlement may constitute the largest class in a lawsuit in U.S. history, lawyers said in a San Francisco court Thursday.The administrator in charge of vetting claims has received more than 28 million applications for a payment, said Lesley Weaver, co-lead counsel for the plaintiffs in the case.“As far as we can tell that’s the largest number of claims ever filed in a class action in the United States,” Weaver said.Of the 28 million filed, about 17 million have been preliminarily validated, meaning at least 17 million people will be getting a piece of the massive settlement if and when it’s given final approval.About 2 million claims were duplicates, 8 million were flagged as potentially fraudulent, and there were still about 1 million left to review, the lawyers explained.Once the total number of eligible people is finalized, we’ll know how many people will be sharing the $725 million settlement – but first there are some deductions.The lawyers in the case are requesting about $180 million in attorneys’ fees. That chops down the settlement fund to $545 million.The next major deduction are administrative fees. Essentially, an administrator is appointed by the court to set up the settlement website, look at claimants’ information, verify they’re eligible, and send them what they’re due. At this point, it’s not clear how much the administrator is charging.The pot shrinks by another $120,000 because each of the eight plaintiffs who represented all Facebook users in the case is entitled to $15,000. Once all that happens, the final pot of money will be divvied up between the 17 million or more eligible recipients – but not equally. Those who had a Facebook period for longer will get a larger sum. That makes predicting the exact amount you’ll receive difficult to do in advance, but class counsel estimated a median payment size of $30 when speaking in court on Thursday.

Tesla Inc. allegedly failed to protect the personal information of 75,000 current and former employees that was exposed in a May data breach carried out by former employees of the company, a proposed federal class action said.Benson Pai alleged that Tesla failed to implement or follow reasonable data security procedures as required by law and failed to protect the sensitive information of class members from unauthorized access.Tesla learned of the breach in May, when it was informed by a German-language news service, Handelsblatt, that two former Tesla employees had provided it with information taken from Tesla’s network, according to a complaint filed Sept. 5 in the US District Court for the Northern District of California.Information exposed in the breach included employees’ names, addresses, phone numbers, email addresses, dates of birth, and Social Security numbers, the complaint said.Tesla didn’t respond immediately to a request for comment.Pai seeks to represent a nationwide class and a California subclass of people whose personal information was exposed in the breach.Victims have suffered damages in the form of invasion of privacy, increased risk of identity theft and fraud, lost time and out-of-pocket costs incurred responding to the breach, anxiety, and reduced value of their personal information, the complaint said.The lawsuit brings claims of negligence, invasion of privacy, breach of implied contract, breach of fiduciary duty, breach of confidence, and violation of the California Unfair Competition Law, the Customer Records Act, and the Consumer Privacy Act.Pai is seeking compensatory damages, statutory damages, nominal damages, restitution, disgorgement, injunctive relief, and attorneys’ fees and costs.

Le iniziative delle altre Autorità

Il piano d’azione della CNIL per l’Intelligenza artificiale

La CNIL ha pubblicato un piano d’azione per proteggere la privacy nell’ambito dei sistemi di intelligenza artificiale (IA), in particolare dell’IA generativa come ChatGPT.
Il piano si concentra su quattro punti chiave:
– Comprendere il funzionamento dei sistemi di IA e il loro impatto sulle persone.
– Consentire e supervisionare lo sviluppo dell’IA nel rispetto del diritto alla protezione dei dati personali.
– Federare e sostenere gli “attori innovativi” dell’ecosistema dell’IA in Francia e in Europa.
– Verificare e controllare i sistemi di IA e proteggere le persone
Con riguardo al primo profilo, la CNIL intende comprendere il funzionamento e l’impatto dei sistemi di IA sulle persone. In particolare, si propone di approfondire temi come la “lealtà” e la trasparenza nel trattamento dei dati, la protezione dei dati pubblici e degli utenti, l’impatto sui diritti delle persone, la prevenzione dei bias e delle discriminazioni, nonché le sfide sul fronte della sicurezza. Questi aspetti saranno le priorità del lavoro del Servizio di Intelligenza Artificiale e del Laboratorio di Innovazione Digitale (LINC) della CNIL.
In secondo luogo, la CNIL pianifica di supervisionare lo sviluppo di sistemi di IA rispettosi della privacy. Molti operatori hanno, infatti, segnalato alla CNIL le incertezze relative all’applicazione del GDPR all’IA, soprattutto per quanto riguarda i profili legati al training dell’IA generativa. La CNIL sta quindi lavorando per supportare gli operatori del settore e prepararsi all’entrata in vigore del regolamento europeo sull’IA. A tal riguardo, sono già state pubblicate delle schede informative nel 2022, comprendenti contenuti educativi e una guida. La CNIL pubblicherà presto una guida sulle regole per la condivisione e il riutilizzo dei dati, incluso il riutilizzo dei dati pubblicamente accessibili per l’addestramento di modelli di IA. L’Autorità continuerà, inoltre, a lavorare sulla progettazione di sistemi di IA e sulla creazione di database per l’apprendimento automatico, con l’obiettivo di fornire raccomandazioni concrete. Verranno affrontate questioni come la ricerca scientifica per la creazione di database, l’applicazione del principio di finalità all’IA generativa, la divisione delle responsabilità, le regole per la selezione dei dati, la gestione dei diritti delle persone e le regole per la conservazione dei dati.
Rispetto al terzo punto invece la CNIL si sta attivando per regolamentare l’IA al fine di sostenere gli attori del settore, promuovendo i valori di tutela dei diritti e delle libertà fondamentali. Questa attività di supporto si manifesta attraverso tre iniziative: 1) lo sviluppo di una “sandbox”, avviato ormai due anni fa per sostenere progetti e attori innovativi nel campo dell’IA, offrendo consulenza su misura (dopo le sandbox specifiche per la salute del 2021 e per l’istruzione del 2022, verrà presto lanciata un’edizione del 2023, focalizzata sull’uso dell’IA nel settore pubblico); 2) un programma di sostegno specifico per i fornitori di videosorveglianza “aumentata” nell’ambito delle sperimentazioni previste per i Giochi Olimpici e Paralimpici del 2024; 3) un programma di “sostegno rafforzato” per aiutare le imprese innovative a conformarsi al GDPR, con un focus sulle imprese innovative nel campo dell’IA. In generale, la CNIL desidera stabilire un dialogo costante con gruppi di ricerca, centri di R&S e aziende francesi che sviluppano o desiderano sviluppare sistemi di IA al fine di garantire la conformità alle norme sulla protezione dei dati personali e a tal fine ha messo a disposizione uno specifico indirizzo (ia@cnil.fr) al quale essere contattata al riguardo –.
Con riferimento al quarto e ultimo punto, la CNIL è impegnata nella definizione di un quadro regolamentare per lo sviluppo dei sistemi di intelligenza artificiale che rispetti i diritti e le libertà individuali. A tal fine, progetta di svolgere attività di controllo per verificare la conformità dei sistemi di intelligenza artificiale, sia prima che dopo il loro utilizzo. Nel 2023, i controlli si concentreranno sull’uso della videosorveglianza “aumentata” da parte di attori pubblici e privati, sull’utilizzo dell’IA nella lotta contro le frodi e sulle istruttorie relative ai reclami presentati alla CNIL. Una particolare attenzione verrà dedicata agli attori che trattano dati personali per sviluppare o utilizzare l’IA affinché svolgano valutazioni d’impatto sulla protezione dei dati, informino le persone interessate e mettano in atto misure per garantire l’esercizio dei diritti delle persone.
L’obiettivo finale è stabilire regole chiare che proteggano i dati personali dei cittadini europei e promuovano lo sviluppo di sistemi di intelligenza artificiale rispettosi della privacy.

“Il trojan 2.0 che attiva la fotocamera da remoto. La legge francese figlia di un processo lungo un secolo”

Ne scrivo oggi su HuffingtonPost Italia nella rubrica Governare il Futuro

Qui il testo completo https://www.huffingtonpost.it/rubriche/governare-il-futuro/2023/07/08/news/francia_polizia_accesso_smartphone-12609002/?ref=HHTP-BR-I0-P10-S1-T1

PRIVACY DAILY 37/2023

La Francia introdurrà un sistema di certificazione dell’età per bloccare l’accesso dei minori ai siti web pornografici. Lo ha annunciato Jean-Noël Barrot, ministro con delega al digitale, in un’intervista esclusiva a Le Parisien. “Sarà la fine dell’accesso ai siti pornografici per i nostri bambini”, ha dichiarato il ministro: tutti i siti web per adulti “dovranno adeguarsi, altrimenti sarà vietata loro la trasmissione sul territorio nazionale”. I dettagli di questa misura saranno presentati in settimana, secondo il quotidiano parigino, e troveranno attuazione a partire da settembre. La certificazione dell’età deve avvenire attraverso un “attestato digitale”, i cui dettagli tecnici non sono ancora stati definiti, ma che avrà anche l’obiettivo di preservare l’anonimato dell’utente di Internet. Attualmente, i siti pornografici chiedono agli utenti di certificare la loro età inserendo la data di nascita o, più semplicemente, premendo una casella per dire “sono maggiorenne”.

Negli ultimi decenni, il settore dei servizi finanziari di prestito al consumo si è affidato in larga misura a “fonti di dati non autorizzate”. Una soluzione a questo problema potrebbe essere il confidential computing: una tecnologia che consente di elaborare i dati in un ambiente sicuro e isolato, definito trusted execution environment. Il confidential computing impedisce l’accesso non autorizzato e garantisce un elevato livello di esattezza dei dati e integrità degli algoritmi. Questa tecnologia consente, peraltro, di elaborare i dati degli interessati nel formato più riservato possibile Già ci sono diverse ricerche in corso, anche approfondite, in materia, non ultimo il progetto Rally di Mozilla. Il concetto a cui si vuole arrivare è quello di una monetizzazione reciprocamente vantaggiosa dei dati dei motori di ricerca e il tempo ci dirà quali saranno le modalità tecniche più corrette per rafforzare il controllo degli utenti sui propri dati. Il confidential computing potrebbe essere un modo sicuro ed etico di utilizzare i dati personali, traendone il valore e rispettando le norme sulla privacy.

I dati degli utenti molesti delle app di dating potrebbero non essere più “al sicuro”. L’eSafety Commissioner australiano (ente federale che si occupa della sicurezza online) ha infatti dichiarato che le app di incontri potrebbero presto essere obbligate a fornire informazioni su coloro che usano l’app per molestare altri utenti e le ha esortate a semplificare i propri meccanismi di reclamo per cattiva condotta. Una ricerca dell’eSafety Commission basata su un campione 4783 persone e pubblicata in occasione dell’annuale Safer Internet Day, ha mostrato come nel 2022 quasi un terzo degli australiani abbia ricevuto online contenuti inappropriati e indesiderati, come pornografia o materiale violento, che il 30% è stato chiamato con nomi offensivi e che il 25% ha subito trattamenti illeciti delle proprie informazioni personali, ad esempio la condivisione di foto senza consenso. Gli intervistati si sono detti preoccupati per la proliferazione di account falsi o impostori online, anche su app di incontri, siti di gioco e piattaforme di social media e, complessivamente, i tre quarti degli adulti australiani hanno riportato almeno un’esperienza negativa online nell’ultimo anno.

English version

France will introduce an age verification system to block minors’ access to pornographic websites. This was announced by Jean-Noël Barrot, minister in charge of digital, in an exclusive interview with Le Parisien. ‘It will be the end of access to pornographic websites for our children,’ said the minister: all adult websites ‘will have to adapt, otherwise they will be banned from broadcasting on national territory’. The details of this measure will be presented this week, according to the Paris newspaper, and will be implemented from September. Age verification is to take place through a ‘digital certificate’, the technical details of which have yet to be finalised, but which will also aim to preserve the anonymity of the Internet user. Currently, pornographic sites ask users to certify their age by entering their date of birth or, more simply, by pressing a box to say ‘I am of age’.

In recent decades, the consumer financial services sector has relied heavily on ‘unauthorised data sources’. One solution to this problem could be confidential computing: a technology that allows data to be processed in a secure and isolated environment, called a trusted execution environment. Confidential computing prevents unauthorised access and guarantees a high level of data accuracy and algorithm integrity. Moreover, this technology allows the data of those concerned to be processed in the most confidential format possible. Already, there is a lot of ongoing research, even extensive, on this subject, not least Mozilla’s Rally project. The concept one wants to arrive at is that of a mutually beneficial monetisation of search engine data, and time will tell what will be the most correct technical ways to strengthen users’ control over their own data. Confidential computing could be a safe and ethical way of using personal data, extracting value from it and respecting privacy rules.

The data of harassing users of dating apps may no longer be ‘safe’. In fact, Australia’s eSafety Commissioner (a federal body that deals with online safety) has stated that dating apps may soon be required to provide information about users who use the app to harass other users, and urged them to simplify their misconduct complaint mechanisms. Research by the eSafety Commission based on a sample of 4783 people and released on the annual Safer Internet Day, showed that in 2022 almost a third of Australians had received inappropriate and unwanted content online, such as pornography or violent material, that 30 per cent had been called offensive names, and that 25 per cent had experienced unlawful processing of their personal information, such as sharing photos without consent. Respondents were concerned about the proliferation of fake or imposter accounts online, including on dating apps, gaming sites and social media platforms, and overall, three-quarters of Australian adults reported at least one negative online experience in the past year.