Privacy Daily 23/2023

Per imparare a distinguere un semaforo, un algoritmo di deep learning deve passare in rassegna centinaia di migliaia di immagini in cui è segnalata la presenza di semafori finché non è in grado di riconoscerle in autonomia. Ma chi è che etichetta in primo luogo le immagini utilizzate per l’addestramento, indicando quali figure – semafori, gatti, persone, ponti e quant’altro – sono presenti al loro interno? Benvenuti nel mondo dei data labeler, gli etichettatori di dati: lavoratori umani al livello base della progettazione di software di deep learning e che operano all’interno di quelli che spesso vengono definiti gli “scantinati dell’intelligenza artificiale”. Scantinati che possono avere l’aspetto di fabbriche specializzate nell’etichettatura dei dati (spesso situate in nazioni in via di sviluppo), ma anche essere piattaforme che assoldano lavoratori da remoto o per cui, inconsapevolmente, lavoriamo gratuitamente anche noi (com’è il caso dei Captcha Code). Il ruolo di questi operai del deep learning non è solo di addestrare le intelligenze artificiali a distinguere determinati elementi di ogni tipo, ma anche di insegnare loro quali forme di linguaggio, immagini e situazioni vanno a tutti i costi evitate.

L’ufficio del Commissario per le informazioni del Regno Unito ha pubblicato un avviso con il quale chiede alle aziende di adeguare la privacy al loro sviluppo tecnologico. La posizione dell’ICO si riflette nel “Tech Horizons Report”, il report che descrive gli sviluppi tecnologici dell’immediato futuro che avranno un impatto sulla società. Il rapporto sottolinea che le aziende devono considerare la trasparenza, il controllo che le persone hanno sui loro dati e la quantità di dati raccolti per garantire che i loro servizi siano conformi a principi privacy. Il direttore della tecnologia, dell’innovazione e dell’impresa dell’ICO, Stephen Almond, ha dichiarato: “In qualità di regolatore, parte del nostro ruolo consiste nel promuovere la fiducia nel modo in cui le organizzazioni elaborano le informazioni personali, sostenendo al contempo la crescita e l’innovazione. Stanno emergendo nuove tecnologie che potrebbero rendere le nostre vite più facili, più sicure, più confortevoli, efficienti e divertenti, ma affinché abbiano successo, dobbiamo consentire alle persone di condividere in sicurezza le proprie informazioni ora e in futuro”.

L’autorità per la protezione dei dati della Repubblica ceca, Úřad pro ochranu osobních údajů, ha pubblicato il suo piano d’azione per il 2023. La DPA ha affermato che si concentrerà sul “trattamento dei dati personali quando si utilizzano i social network, nei sistemi di telecamere su larga scala e negli ufficiali giudiziari.” Verificherà inoltre alcuni sistemi informativi della polizia e si concentrerà sul settore del telemarketing con la collaborazione dell’Ufficio delle telecomunicazioni ceco.

English Translation

To learn how to distinguish a traffic light, a deep learning algorithm has to go through hundreds of thousands of traffic light images until it can recognise them on its own. But who is it that labels the images used for training in the first place, indicating which figures – traffic lights, cats, people, bridges and so on – are present in them? Welcome to the world of data labellers: human workers at the base level of deep learning software design and operating within what are often referred to as the ‘basements of artificial intelligence’. Basements that can look like factories specialising in data labelling (often located in developing nations), but also be platforms that hire workers remotely or for which we unwittingly work for free ourselves (as is the case with Captcha Code). The role of these deep learning workers is not only to train artificial intelligences to distinguish certain elements of all kinds, but also to teach them which forms of language, images and situations should be avoided at all costs.

The UK Information Commissioner’s Office has issued a notice asking companies to adapt privacy to their technological development. The ICO’s position is reflected in the ‘Tech Horizons Report’, the report describing technological developments in the near future that will impact society. The report emphasised that companies need to consider transparency, the control people have over their data, and the amount of data collected to ensure their services comply with privacy principles. The ICO’s director of technology, innovation and enterprise, Stephen Almond, said: ‘As a regulator, part of our role is to promote trust in the way organisations process personal information, while supporting growth and innovation. New technologies are emerging that could make our lives easier, safer, more comfortable, efficient and enjoyable, but for them to succeed, we need to enable people to safely share their information now and in the future.

The Czech Republic’s data protection authority, Úřad pro ochranu osobních údajů, published its action plan for 2023. The DPA said it will focus on “the processing of personal data when using social networks, in large-scale camera systems and in judicial officers.” It will also audit some police information systems and focus on the telemarketing sector with the cooperation of the Czech Telecommunications Office.

Le iniziative delle altre Autorità

SANZIONE RECORD AD UN SOGGETTO PUBBLICO:

L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO

L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.

L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.

L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.

All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.

Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.

Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.

Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.

Le iniziative delle altre Autorità

MEZZO MILIONE DI CHIAMATE PER TELEMARKETING ILLECITO IN UK: L’ICO (il Garante inglese) INTERVIENE E SANZIONA CINQUE SOCIETÀ

Nel Regno Unito, cinque società sono state condannate al pagamento di sanzioni del valore complessivo di 435.000 sterline dall’Autorità garante per la privacy (Information Commissioner’s Office, ICO) per aver effettuato quasi mezzo milione di chiamate a persone registrate presso il Telephone Preference Service (TPS) – corrispondente del Registro delle opposizioni italiano –. Secondo la legge britannica, è infatti vietato chiamare per finalità di marketing chiunque sia registrato presso il TPS, a meno che questi non fornisca un’espressa e specifica autorizzazione in tal senso.

In particolare le chiamate avevano lo scopo di convincere i destinatari (tra cui tante persone anziane e vulnerabili) a sottoscrivere contratti di assicurazione sugli elettrodomestici (es. lavatrice, utensili da cucina, caldaie ecc.). Dalle indagini dell’ICO, è emerso che, in alcuni casi, le compagnie si rivolgevano deliberatamente a un gruppo demografico specifico: proprietari di case, over 60, con un telefono fisso. È stato, inoltre, dimostrato che alcune delle società hanno usato evidenti tattiche di pressione al fine di ottenere i dati di pagamento dalle persone.

Secondo quanto riportato dall’ICO, infatti, nei reclami ricevuti veniva lamentato che alcuni operatori delle società sanzionate avessero peraltro atteggiamenti insistenti ed invadenti nel corso delle chiamate illegittime. Ad esempio, ad una signora ultraottantenne veniva detto che occorreva rinnovare l’assicurazione della caldaia – circostanza, tra l’altro, non vera – e, con l’occasione, l’operatore continuava a domandare dati superflui come l’età anagrafica della signora, dove e come facesse la spesa, le modalità di pagamento e perfino i dettagli della carta di credito. Proprio quest’ultima domanda, in più di un caso, ha suscitato allarme nei destinatari delle chiamate, specialmente tra i più anziani, i quali hanno attivato le procedure di reclamo.

L’ICO ha recentemente rilasciato una guida aggiornata sul marketing diretto con l’intenzione di sostenere le imprese decise a conformarsi alla legge. Tuttavia, così come dichiarato anche dal capo del dipartimento Investigations, l’Autorità ribadisce la sua volontà di indagare e di prendere provvedimenti severi laddove vengano riscontrate palesi inosservanze della legge che possano danneggiare le persone. Così come in questo caso, in cui in tanti (specialmente anziani soli) si sono sentiti in dovere di consegnare i propri dati bancari semplicemente per avere qualcuno con cui parlare al telefono.