Secondo Human Rights Watch sono stati fatti passi significativi nell’assicurare la privacy per milioni di bambini che apprendono online. Diversi governi e aziende hanno preso provvedimenti (o almeno li hanno annunciati) per proteggere gli studenti nelle loro classi online. Queste misure arrivano dopo la scoperta di numerose violazioni in tutto il mondo, avvenute per via dell’impiego durante la pandemia di prodotti di apprendimento online non sicuri, che sono destinati a rimanere anche quando la questione pandemica sarà definitivamente superata. Sarebbe, quindi, auspicabile un maggior dinamismo delle istituzioni dei vari Paesi, nonostante qualcosa si stia già muovendo. Il ministero dell’Istruzione francese ha rimosso il tracciamento degli annunci pubblicitari dai siti web costruiti per aiutare i bambini dagli otto agli undici anni a imparare l’inglese e il tedesco. Il ministero dell’Istruzione indonesiano ha rimosso il tracciamento degli annunci dal sito web progettato per fornire servizi di apprendimento ai bambini durante la chiusura delle scuole. I governi degli stati australiani di New South Wales e Victoria, insieme all’Ecuador e alla comunità autonoma spagnola della Catalogna, hanno informato Human Rights Watch di aver avviato indagini sulle loro piattaforme di apprendimento. In India un deputato ha chiesto al governo di proteggere i bambini nell’istruzione online, dopo che diverse denunce avevano evidenziato che una delle app di apprendimento aveva esposto a violazioni i dati di quasi 600mila bambini. Alcune aziende del settore hanno deciso di riprogettare i loro prodotti per evitare abusi in futuro. Altre hanno addirittura ritirato i loro prodotti dal mercato. Questi cambiamenti stanno dimostrando che è possibile fornire istruzione online ai bambini senza costringerli a rinunciare alla loro privacy. Si tratta di sviluppi positivi, ma non si può fare affidamento solo sulla buona volontà dei singoli attori per migliorare. Tanti dispositivi e tante app continuano a sorvegliare i bambini online, dal momento che le società produttrici si giustificano adducendo la mancanza di leggi che li obblighino a fare altrimenti.

Secondo indiscrezioni, l’European Data Protection Board (EDPB) emetterà una decisione vincolante sui trasferimenti di dati verso gli Stati Uniti entro il 14 aprile. Il nuovo accordo transatlantico sui dati è in fase di definizione e dovrebbe arrivare entro l’estate, ma c’è chi teme che, nelle more della sua adozione, l’EDPB potrebbe decidere di interrompere i flussi di dati. Al riguardo, Meta ha già dichiarato che potrebbero esserci problemi per i suoi servizi in Europa qualora la base giuridica per il trasferimento dei dati venisse dichiarata definitivamente illecita. Ciò vorrebbe dire che Facebook e Instagram potrebbero dover interrompere l’invio dei dati degli utenti europei agli Stati Uniti nei prossimi mesi per problemi legati alla privacy. La questione è ancora aperta. Il caso su cui è stato chiamato ad esprimersi l’EDPB nasce (ancora una volta) da un reclamo presentato dall’attivista austriaco Max Schrems. Nel luglio 2022 la Data Protection Commission irlandese aveva già proposto – per la prima volta – di vietare a Meta l’utilizzo delle “clausole contrattuali standard” come base giuridica per inviare i dati degli utenti negli Stati Uniti. La decisione è stata presa a valle della notissima sentenza della Corte di Giustizia dell’UE che aveva annullato il Privacy Shield. Alla fine di gennaio, l’Autorità garante irlandese ha attivato il meccanismo di risoluzione delle controversie – noto come articolo 65 – dopo non essere riuscita a risolvere le obiezioni sollevate da altre autorità europee di protezione dei dati in merito alla sua decisione. Secondo quanto riportato da alcune testate giornalistiche, un portavoce dell’EDPB ha dichiarato che la procedura ufficiale per la preparazione di una decisione vincolante ha preso formalmente il via oggi e avrà la sua deadline tra due mesi.

Una recente ricerca ha svelato preoccupanti dettagli sul traffico di dati relativi alla salute mentale. Secondo questo studio, condotto dalla Sanford School of Public Policy della Duke University, i dati relativi alla salute mentale sono venduti da broker di dati poco conosciuti, a volte per poche centinaia di dollari e con pochi sforzi per nascondere informazioni personali come nomi e indirizzi. Infatti, queste aziende (i cui nomi non sono rivelati nella ricerca) venderebbero informazioni in grado di identificare i soggetti in base ai loro problemi, tra cui depressione, ansia e disturbo bipolare, peraltro classificandole sulla base di dati come l’età, l’appartenenza etnica, il credit score e la posizione geografica. “Sembra che il settore non disponga di buone pratiche per la gestione dei dati sulla salute mentale degli individui, in particolare per quanto riguarda la privacy e il controllo degli acquirenti”, si legge nello studio. I prezzi delle cartelle cliniche variano molto, ma alcune aziende le offrono a basso costo: fino a 275 dollari per informazioni su 5mila persone. Questo fenomeno, già di per sé in crescita, è diventato ancora più significativo con l’avvento della pandemia da Covid-19. I broker di dati, che si occupano dell’acquisto, del riconfezionamento e della vendita di informazioni identificative, sono diventati un’industria fiorente, benché ancora oscura. Le aziende del settore sono raramente nomi noti e spesso dicono poco pubblicamente sulle loro pratiche commerciali. Justin Sherman, senior fellow presso la Sanford School of Public Policy della Duke – che gestisce il progetto di intermediazione dei dati e ha supervisionato la ricerca – ha affermato che le entità che memorizzano dati sanitari, tra cui la maggior parte delle app telefoniche, non sono regolamentate, lasciando ai broker di dati una serie di opzioni per acquistare legalmente tali dati. Al riguardo, forti preoccupazioni sono state espresse anche dal World Privacy Forum, che ha evidenziato come, nel caos normativo relativo a dati e informazioni sanitarie negli Stati Uniti, il settore dell’intermediazione dei dati sia fuori controllo.

English version

According to Human Rights Watch, significant steps have been taken to ensure privacy for millions of children learning online. Several governments and companies have taken steps (or at least announced them) to protect students in their online classrooms. These measures come in the wake of the discovery of numerous breaches worldwide due to the use of unsafe online learning products during the pandemic, which are bound to remain even when the pandemic issue is finally over. Greater dynamism on the part of institutions in the various countries would therefore be desirable, although something is already moving. The French Ministry of Education has removed ad tracking from websites built to help children aged eight to eleven learn English and German. The Indonesian Ministry of Education removed ad tracking from websites designed to provide learning services to children during school closures. The governments of the Australian states of New South Wales and Victoria, along with Ecuador and the Spanish autonomous community of Catalonia, informed Human Rights Watch that they had launched investigations into their learning platforms. In India, an MP called on the government to protect children in online education, after several complaints showed that one of the learning apps had exposed the data of nearly 600,000 children to breaches. Some companies in the industry have decided to redesign their products to avoid abuse in the future. Others have even withdrawn their products from the market. These changes are proving that it is possible to provide online education to children without forcing them to give up their privacy. These are positive developments, but one cannot rely only on the goodwill of individual actors to improve. So many devices and apps continue to monitor children online, as the manufacturers justify themselves by citing the lack of laws forcing them to do otherwise.

According to rumours, the European Data Protection Board (EDPB) will issue a binding decision on data transfers to the US by 14 April. The new transatlantic data agreement is being finalised and is expected to arrive by the summer, but there are those who fear that, pending its adoption, the EDPB might decide to stop data flows. In this regard, Meta has already stated that there could be problems for its services in Europe if the legal basis for data transfer is definitively declared unlawful. This would mean that Facebook and Instagram might have to stop sending European users’ data to the US in the coming months due to privacy concerns. The issue is still open. The case on which the EDPB has been called upon to rule stems (once again) from a complaint filed by Austrian activist Max Schrems. In July 2022, the Irish Data Protection Commission had already proposed – for the first time – to ban Meta from using ‘standard contractual clauses’ as a legal basis for sending user data to the United States. The decision came in the wake of the highly notorious EU Court of Justice ruling that had annulled the Privacy Shield. In late January, the Irish Data Protection Authority activated the dispute resolution mechanism – known as Article 65 – after failing to resolve objections raised by other European data protection authorities to its decision. According to media reports, an EDPB spokesperson said the official procedure for preparing a binding decision formally started today and will have its deadline in two months.

Recent research has revealed worrying details about the trafficking of mental health data. According to this study, conducted by Duke University’s Sanford School of Public Policy, mental health data are sold by little-known data brokers, sometimes for a few hundred dollars and with little effort to hide personal information such as names and addresses. In fact, these companies (whose names are not disclosed in the research) would sell information that identifies individuals based on their problems, including depression, anxiety, and bipolar disorder, while classifying them based on data such as age, ethnicity, credit score, and geographic location. “It appears that the industry lacks good practices for managing individuals’ mental health data, particularly with regard to privacy and buyer control”, the study states. Prices of medical records vary widely, but some companies offer them cheaply: up to $275 for information on 5,000 individuals. This phenomenon, already on the rise, has become even more significant with the advent of the Covid-19 pandemic. Data brokers, who are in the business of buying, repackaging and selling identifying information, have become a thriving, albeit still obscure, industry. Companies in the industry are rarely household names and often say little publicly about their business practices. Justin Sherman, senior fellow at Duke’s Sanford School of Public Policy – which runs the data brokering project and oversaw the research – said that entities that store health data, including most phone apps, are unregulated, leaving data brokers with a range of options to legally purchase that data. In this regard, strong concerns were also expressed by the World Privacy Forum, which pointed out that amid the regulatory chaos surrounding health data and information in the US, the data brokerage industry is out of control.