Le iniziative delle altre Autorità

Come collaborano gli altri: la prima istruttoria congiunta dei Garanti australiano e neozelandese

Il Garante per la privacy austrialiano (OAIC) e quello neozelandese (OPC) hanno avviato, per la prima volta, un un’istruttoria congiunta.

Nel mirino delle due autorità, la gestione di un data breach da parte del gruppo societario Latitude, che si occupa di servizi finanziari.

La decisione di intraprendere un’istruttoria congiunta fa seguito alle indagini preliminari condotte da entrambi gli uffici. Ciò riflette l’impatto della violazione dei dati sulle persone in entrambi i Paesi.

Si è trattato, infatti, di un data breach di grave entità (il più grande verificatosi in Nuova Zelanda) e ha avuto come oggetto i dati di milioni di australiani e neozelandesi, tra cui patenti di guida, passaporti e dati finanziari sensibili,  incluse informazioni sul reddito e sulle spese personali.

Le due autorità intendono, così, fare chiarezza rispetto alla adozione da parte di Latitude di misure ragionevoli per proteggere le informazioni personali in suo possesso da uso improprio, interferenza, perdita, accesso non autorizzato, modifica o divulgazione.

In particolare, OAIC e OPC vogliono verificare come gli hacker si sono introdotti nei sistemi di Latitude Financial, quanto tempo sono rimasti all’interno prima di essere scoperti, cosa ha fatto il personale di Latitude quando ha scoperto l’attacco, come venivano conservati i dati personali in possesso della società, quali erano le misure la sicurezza e le modalità di archiviazione di tali informazioni all’interno dei suoi sistemi informatici.

Rientra negli obiettivi dei due garanti anche valutare se Latitude abbia adottato misure adeguate a eliminare o de-identificare le informazioni personali non più necessarie.

L’istruttoria congiunta consentirà un uso efficiente delle risorse di entrambe le agenzie e ridurrà anche l’eventuale impatto su Latitude.

Tuttavia, non è escluso che l’OAIC e l’OPC possano raggiungere conclusioni differenti o addirittura prendere decisioni separate e diverse all’esito dell’istruttoria.

Le iniziative delle altre Autorità

I consigli dell’ICO per proteggere i dati personali nelle elezioni locali nel Regno Unito

In occasione delle elezioni amministrative del 4 maggio, l’Autorità garante inglese (ICO) ha realizzato una breve guida (completa di video finale) fornendo alcuni consigli agli elettori per aiutarli a proteggere la loro privacy.

I dati personali rappresentano, infatti, una risorsa strategica in una campagna elettorale. Consentono ai partiti politici di trasmettere messaggi importanti e di comprendere come guadagnarsi le simpatie degli elettori, toccando i temi che stanno loro a cuore.

L’ICO ha, quindi, invitato i partiti politici a fornire:

  • Informazioni chiare sulla privacy: dovrebbero essere chiarite fin dall’inizio, con informazioni facili da capire, le modalità con le quali un partito politico utilizza i dati personali.
  • Informazione sulle tecniche di profilazione utilizzate: l’eventualità che un partito utilizzi tecniche di profilazione deve essere spiegata all’utente e a questo deve essere data la possibilità di opporsi.
  • Informazioni chiare sulla pubblicità sui social media: gli elettori devono essere al corrente del fatto che i loro dati personali possono essere utilizzati per l’invio di pubblicità mirata sui social media.
  • Informazioni trasparenti sulle modalità di utilizzo dei dati raccolti con petizioni o sondaggi: in generale, non è opportuno che un partito o un candidato che ha raccolto i dati allo scopo specifico di presentare una petizione o realizzare un sondaggio, li riutilizzi per una campagna politica.

L’ICO ha ricordato, inoltre, che gli elettori hanno il diritto di pretendere che i partiti politici trattino i dati personali in modo responsabile.

In ogni caso, l’Autorità ha messo a disposizione dei votanti un’apposita guida che può essere utile consultare per sapere come chiedere ulteriori informazioni e, al limite, presentare un reclamo.

C’è da aggiungere che questa è la prima volta che gli elettori inglesi hanno dovuto esibire un documento di identità con fotografia per votare (finora non era necessario e la disposizione si applicherà alle elezioni generali solo da ottobre 2023). Al riguardo vi sono state anche polemiche sul fatto di dover esibire il documento di identità al personale del seggio elettorale, nonostante la possibilità di chiedere che tale controllo venisse effettuato in privato.

PRIVACY DAILY 78/2023

Chi è accusato di un reato ha diritto alla privacy? Secondo il College of Policing britannico, no. La dichiarazione è arrivata dopo che le organizzazioni dei media hanno sollevato preoccupazioni per una proposta di modifica alle linee guida del College, secondo la quale le forze di polizia in Inghilterra e Galles non avrebbero più dovuto nominare le persone accusate di reati. Tali modifiche erano state suggerite dall’Autorità garante privacy del Regno Unito (ICO), per tenere conto dell’evoluzione della legge sulla protezione dei dati. La News Media Association e la National Union of Journalists sono state tra le organizzazioni che si sono opposte alle proposte, che sono state condivise con i grandi editori per avere un feedback prima della diffusione alle forze di polizia. Il direttore esecutivo del College of Policing, ha dichiarato: “nel momento in cui un individuo viene accusato di un crimine, non dovrebbe esistere una ragionevole aspettativa di privacy. Riteniamo che ciò sia fortemente nell’interesse pubblico e compatibile con la legge sulla protezione dei dati”. Il College ha tenuto un incontro con l’ICO per capire la sua posizione e sottolineare l’importanza della trasparenza, della giustizia aperta e della possibilità per i media di ottenere le informazioni necessarie per svolgere il loro lavoro. Il College manterrà l’attuale posizione secondo cui “le persone accusate di un reato – comprese quelle che ricevono una citazione in tribunale – dovrebbero essere nominate, a meno che non vi sia uno scopo di polizia eccezionale e legittimo per non farlo o che non si applichino restrizioni di segnalazione”. Un portavoce dell’ICO ha dichiarato che: “La legge sulla protezione dei dati agisce come uno strumento che consente un’efficace divulgazione delle informazioni. Incoraggiamo tutte le organizzazioni a continuare a prendere decisioni basate sull’interesse pubblico, bilanciandole con il diritto alla privacy dell’individuo”.

Grindr ha lanciato un avvertimento ai suoi utenti in Egitto, poiché la polizia continua a prendere di mira e arrestare persone LGBTQ+ attraverso le piattaforme digitali. Gli utenti egiziani vedranno apparire il seguente avviso in arabo e in inglese all’apertura dell’applicazione: “Siamo stati avvisati che la polizia egiziana sta attivamente arrestando persone gay, bisessuali e trans sulle piattaforme digitali. Stanno usando account falsi e hanno anche preso il controllo degli account di membri reali della comunità che sono già stati arrestati e a cui è stato sequestrato il telefono. Vi invitiamo a prestare la massima cautela online e offline, anche con account che in passato potevano sembrare legittimi”. L’Egitto, sebbene tecnicamente non metta fuori legge l’omosessualità, spesso persegue i membri della comunità LGBTQ+ con l’accusa di “dissolutezza” o “violazione della pubblica decenza”. Nel 2017 ha arrestato sette persone per aver issato una bandiera arcobaleno a un concerto rock. Gli arresti di omosessuali rimangono comuni. Un responsabile dei media del governo egiziano non ha risposto a una richiesta di commento sulla nuova misura di Grindr. L’avvertimento agli utenti arriva dopo che i gruppi per i diritti e i media hanno denunciato come le autorità della regione stiano sempre più ricorrendo alle piattaforme digitali per reprimere la comunità LGBTQ+. A febbraio, Human Rights Watch ha pubblicato un rapporto che documenta decine di casi di agenzie di sicurezza in Egitto, Giordania, Libano, Iraq e Tunisia che estorcono, molestano, denunciano pubblicamente e arrestano persone LGBTQ+ in base alle loro attività su Facebook e Instagram, nonché sull’app di incontri Grindr. La pubblicazione ha anche messo in discussione le principali aziende tecnologiche che non investono a sufficienza nella moderazione e nella protezione dei contenuti in lingua araba.

Le forze dell’ordine dell’Ohio hanno fatto causa al rapper Afroman per violazione della privacy. Afroman, il cui vero nome è Joseph Foreman, ha subito un’irruzione in casa sua nell’agosto del 2022 da parte dell’ufficio dello sceriffo della contea di Adam. Gli agenti stavano agendo sulla base di un mandato che asseriva la presenza di stupefacenti nella proprietà. Non sono state trovate prove di attività criminali e non sono state formulate accuse. Foreman ha registrato l’irruzione con una serie di telecamere di sicurezza all’interno della sua casa. I filmati mostrano la polizia che sfonda la porta, fruga nel guardaroba, apre le custodie dei CD e, a un certo punto, dà un’occhiata a un plumcake al limone sul bancone della cucina, un momento a cui Foreman fa ripetutamente riferimento nelle canzoni successive. In seguito ha utilizzato il filmato degli agenti che perquisivano la sua casa in video musicali che prendevano in giro la situazione e mettevano in discussione l’irruzione. Foreman ha dichiarato alla NPR in un’intervista. “L’unica cosa che mi è venuta in mente è stata quella di fare una canzone rap divertente su di loro, fare un po’ di soldi, usare i soldi per pagare i danni che hanno fatto e andare avanti”. E così, quattro agenti, due sergenti e un detective dell’ufficio dello sceriffo hanno intentato una causa contro Foreman per aver usato la loro immagine nei video musicali, sostenendo che si tratta di una violazione della privacy. I sette agenti delle forze dell’ordine chiedono di ottenere tutti i profitti ottenuti con la loro immagine, compresi i proventi delle canzoni, i video musicali, le vendite di merchandising e i biglietti per i concerti. Chiedono inoltre al tribunale di presentare un’ingiunzione per ritirare tutti i media di Foreman con le loro immagini.

English version

Do those accused of a crime have a right to privacy? According to the British College of Policing, no. The statement came after media organisations raised concerns about a proposed change to the College’s guidelines, according to which police forces in England and Wales would no longer have to name people accused of crimes. These changes had been suggested by the UK’s Data Protection Authority (ICO), to take into account developments in data protection law. The News Media Association and the National Union of Journalists were among the organisations opposing the proposals, which were shared with major publishers for feedback before being circulated to the police. The executive director of the College of Policing, said: ‘when an individual is accused of a crime, there should be no reasonable expectation of privacy. We believe this is strongly in the public interest and compatible with the Data Protection Act’. The College held a meeting with the ICO to understand its position and emphasise the importance of transparency, open justice and the ability of the media to obtain the information they need to do their job. The College will maintain its current position that ‘persons charged with an offence – including those receiving a court summons – should be named unless there is an exceptional and legitimate police purpose for not doing so or reporting restrictions apply’. An ICO spokesperson stated that: “The Data Protection Act acts as a tool to enable effective disclosure of information. We encourage all organisations to continue to make decisions based on the public interest, balancing them against the individual’s right to privacy.”

Grindr has issued a warning to its users in Egypt as police continue to target and arrest LGBTQ+ people via digital platforms. Egyptian users will see the following warning appear in Arabic and English when opening the app: ‘We have been warned that Egyptian police are actively arresting gay, bisexual and trans people on digital platforms. They are using fake accounts and have also taken control of the accounts of real members of the community who have already been arrested and had their phones confiscated. We urge you to exercise extreme caution online and offline, even with accounts that may have seemed legitimate in the past’. Egypt, although not technically outlawing homosexuality, often prosecutes members of the LGBTQ+ community on charges of ‘debauchery’ or ‘violation of public decency’. In 2017, it arrested seven people for hoisting a rainbow flag at a rock concert. Arrests of homosexuals remain common. An Egyptian government media officer did not respond to a request for comment on Grindr’s new measure. The warning to users comes after rights and media groups denounced how authorities in the region are increasingly using digital platforms to crack down on the LGBTQ+ community. In February, Human Rights Watch published a report documenting dozens of cases of security agencies in Egypt, Jordan, Lebanon, Iraq, and Tunisia extorting, harassing, publicly denouncing, and arresting LGBTQ+ people based on their activities on Facebook and Instagram, as well as on the dating app Grindr. The publication also questioned major tech companies that do not invest enough in moderating and protecting Arabic-language content.

Ohio law enforcement agencies have sued rapper Afroman for invasion of privacy. Afroman, whose real name is Joseph Foreman, had his home raided in August 2022 by the Adam County Sheriff’s Office. The officers were acting on a warrant alleging the presence of narcotics on the property. No evidence of criminal activity was found and no charges were filed. Foreman recorded the break-in with a series of security cameras inside his home. The footage shows police breaking down the door, rummaging through the wardrobe, opening CD cases and, at one point, glancing at a lemon plumcake on the kitchen counter, a moment Foreman repeatedly refers to in later songs. He later used footage of the officers searching his home in music videos that mocked the situation and questioned the raid. Foreman told NPR in an interview. “The only thing I could think of was to make a funny rap song about them, make some money, use the money to pay for the damage they did and move on.” And so, four officers, two sergeants and a detective from the sheriff’s office filed a lawsuit against Foreman for using their image in the music videos, claiming it was a violation of privacy. The seven law enforcement officers are seeking all profits made from their image, including proceeds from songs, music videos, merchandise sales and concert tickets. They are also asking the court to file an injunction to withdraw all media of Foreman with their images.

Le iniziative delle altre Autorità

La CNIL lancia il “club della conformità” dedicato ai veicoli connessi

La CNIL sta per istituire un “club della conformità” dedicato agli operatori dei veicoli connessi e della mobilità. Questo forum di dialogo privilegiato dovrebbe consentire scambi regolari e incoraggiare un’innovazione rispettosa della loro privacy.

Sono, infatti, numerosi i dati personali generati dagli utenti di auto, scooter, biciclette e altri mezzi di trasporto.

L’accesso a questi dati può essere una fonte di progresso per molti scopi (sicurezza, comfort, manutenzione, ecc.), in particolare per la fornitura di servizi innovativi o nel contesto delle politiche pubbliche sulla mobilità.

Per giunta, questi dati (ad esempio, spostamenti o comportamenti di guida) rivelano ampie porzioni della vita privata degli interessati. Il loro utilizzo solleva quindi questioni fondamentali sulla protezione dei dati personali e sul rispetto dei diritti e delle libertà fondamentali.

La strategia della CNIL si incentra sulla creazione di un “club della conformità” per incoraggiare l’innovazione nel rispetto dei diritti e delle libertà.

In quest’ottica, l’Autorità auspica che le discussioni che si svolgeranno nell’ambito del “club della conformità” possano fornire al maggior numero possibile di attori strumenti pratici e operativi per promuovere un uso responsabile dei dati.

Per sostenere tutti gli operatori dei veicoli connessi e della mobilità (produttori, fornitori di apparecchiature, società di noleggio di veicoli, operatori di servizi di mobilità, ecc.), la CNIL sta creando un club di conformità dedicato alle loro attività. Basandosi sul modello dei “compliance club” già esistenti (nei settori assicurativo e bancario), dovrebbe permettere di instaurare un dialogo regolare con il settore su questioni identificate come prioritarie.

Questo forum di scambio e consultazione dovrebbe far emergere risposte concrete adatte alle sfide giuridiche, tecniche, sociali ed economiche. Questo approccio incoraggerà l’innovazione nel rispetto dei diritti e delle libertà fondamentali degli individui. La costituzione del club di conformità è la continuazione delle scelte adottate dalla CNIL già nel 2016, in consultazione con gli attori dell’industria automobilistica e le aziende di diversi settori (assicurazioni, telecomunicazioni, autorità pubbliche, ecc.), che ha portato alla pubblicazione di un pacchetto di conformità sui “veicoli connessi” nel 2017. Sul punto, si segnalano anche le Linee Guida adottate dall’EPDB nel 2021.

Le iniziative delle altre Autorità

I consigli dell’ICO ai game designers: alcuni “top tips” per rispettare Children’s code

Il 15 febbraio 2023, l’ICO ha pubblicato i “Top Tips” per aiutare i progettisti/sviluppatori di giochi a conformarsi al suo Children’s code (Age appropriate design: a code of practice for online services) – il quale è entrato in vigore il 2 settembre 2020 e contiene un insieme di norme volte alla protezione dei bambini nell’utilizzo dei servizi online-.

Prima di emanare questa serie di consigli, l’ICO ha sottoposto ad un audit le società che progettano videogiochi per meglio comprendere quali possano essere le applicazioni pratiche del Children’s code nel settore del gaming. A seguito di un’ampia riflessione sui rischi da contrastare e sulle misure da adottare per assicurare il rispetto del Codice, l’Autorità ha raccolto i migliori “tips” per garantire ai players un gioco sicuro. L’obiettivo principale per i game designers è quello di garantire la protezione dei bambini attraverso la progettazione dei loro giochi. A tal fine, tra i suoi “suggerimenti”, l’ICO consiglia di:

  • identificare se i giocatori hanno meno di 18 anni con un ragionevole grado di certezza e scoraggiare false dichiarazioni di età;
  • garantire che i giochi non siano dannosi per la salute e il benessere dei bambini, includendo contenuti e tematiche adeguati all’età e promuovendo il monitoraggio dei tempi di gioco;
  • disattivare by default la profilazione comportamentale per il marketing. Se un bambino sceglie di ricevere annunci pubblicitari, è necessario implementare misure per controllare o monitorare l’inserimento di prodotti, la pubblicità o gli accordi di sponsorizzazione, anche qualora gli sia permesso accedere ai server della community dall’interno del gioco.
  • scoraggiare l’uso di tecniche di nudge per spingere i bambini a prendere decisioni superficiali concernenti la privacy, compresa la revisione delle scelte in materia di marketing o la creazione di account sui social media per ottenere ricompense.

Ogni singolo consiglio rimanda a risorse – come, ad esempio, un modello di Data Protection Impact Assessment – o ad altri documenti più dettagliati. Inoltre, i suggerimenti toccano anche le principali preoccupazioni emerse di recente nel settore del gaming, tra cui la necessità di valutare il rischio di ricompense casuali, come le loot box, e di progettare giochi che aiutino i players più giovani a disimpegnarsi da sessioni troppo prolungate.

L’Autorità offre, inoltre, ai produttori di videogiochi l’opportunità di sottoporsi volontariamente ad un audit. Chi decide di ricorrere a questa possibilità può beneficiare delle conoscenze e dell’esperienza in materia di protezione dei dati di un team di audit dell’ICO senza alcuna spesa. Si tratta, peraltro, di un’utile occasione per discutere con i membri del team dell’ICO le questioni relative alla protezione dei dati e per ottenere una valutazione indipendente della conformità dei propri processi alle norme.

PRIVACY DAILY 58/2023

La Commissione Affari Esteri della Camera dei Rappresentanti degli Stati Uniti ha approvato una proposta di legge che conferirebbe al Presidente Biden l’autorità per vietare TikTok. “Le implicazioni sono ottime per chiunque abbia perso quote di mercato a favore di TikTok”, ha dichiarato in un’intervista Laura Martin, analista di Needham, aggiungendo che Snap, Meta e YouTube potrebbero essere “enormi beneficiari” se il divieto dovesse avere luogo. TikTok ha avuto un’ascesa vertiginosa negli Stati Uniti e il suo impatto è stato particolarmente evidente nel 2022, quando un’economia in crisi ha fatto crollare il mercato delle pubblicità online. Nel 2021, TikTok ha superato il miliardo di accessi mensili. Un sondaggio del Pew Research Center di agosto ha rilevato che il 67% degli adolescenti statunitensi utilizza TikTok e il 16% ha dichiarato di utilizzarlo quasi costantemente. Secondo Insider Intelligence, TikTok controlla il 2,3% del mercato mondiale degli annunci digitali, dietro solo a Google (compreso YouTube), Facebook (compreso Instagram), Amazon e Alibaba. Ma le preoccupazioni relative alla protezione dei dati personali sono man mano cresciute. “Un divieto statunitense su TikTok è un divieto all’esportazione della cultura e dei valori americani verso il più di un miliardo di persone che utilizza il nostro servizio in tutto il mondo”, ha dichiarato un portavoce di TikTok. “Siamo delusi di vedere questa legislazione affrettata andare avanti, nonostante il suo considerevole impatto negativo sui diritti di libertà di parola di milioni di americani che usano e amano TikTok”. Tuttavia la strada da percorrere prima che un vero divieto possa essere implementato è ancora lunga. Se la legge dovesse passare alla Camera, controllata dai repubblicani, transiterebbe al Senato, a maggioranza democratica. Ma sarà una sfida, vista l’opposizione già espressa da alcuni esponenti democratici. Inoltre, anche qualora la legge venisse approvata in Senato, Biden dovrebbe decidere se porre il veto o firmare.

Nel Regno Unito, YouTube è stato accusato di raccogliere i dati di visualizzazione di bambini di età inferiore ai 13 anni. Così viene sostenuto in un reclamo presentato all’Autorità garante privacy britannica (Information Commissioner’s Office, ICO) dall’attivista Duncan McCann, appartenente al gruppo 5Rights Foundation. YouTube ha risposto dichiarando di aver investito nella protezione delle famiglie, prevedendo apposite modalità per il trattamento dei contenuti destinati ai bambini. “Continuiamo il nostro engagement con l’ICO su questo tema prioritario e con le altre principali parti interessate, tra cui bambini, genitori ed esperti di protezione dell’infanzia”, ha dichiarato un portavoce di Alphabet, società madre di Google e Youtube. L’azienda ha sempre dichiarato che il suo servizio non è destinato all’uso da parte di bambini di età inferiore ai 13 anni e offre un’applicazione separata per bambini chiamata YouTube Kids, oltre a una “esperienza supervisionata” che richiede il consenso dei genitori. McCann sostiene, però, che molti bambini guardano i contenuti di YouTube sui dispositivi di famiglia, dove questi dati possono essere raccolti per impostazione predefinita perché non sono registrati come account per bambini. Questo reclamo potrebbe essere il primo test del Children’s Code dell’ICO, introdotto nel 2020, quando alle aziende tecnologiche è stato concesso un anno di tempo per conformarsi. All’epoca YouTube aveva dichiarato che avrebbe disattivato la riproduzione automatica predefinita dei video e bloccato il targeting e la personalizzazione degli annunci per tutti i bambini. Secondo l’autorità di regolamentazione Ofcom, nel 2021 l’89% dei bambini nel Regno Unito di età compresa tra i 3 e i 17 anni ha utilizzato la piattaforma video. Le aziende che violano il Codice possono incorrere in multe salate, simili alle sanzioni previste per la violazione delle leggi sulla protezione dei dati. L’ICO ha dichiarato che esaminerà attentamente il reclamo.

Le piccole imprese australiane potrebbero presto essere obbligate a conformarsi al Privacy Act. Fino ad oggi, infatti, le imprese con un fatturato annuo pari o inferiore a 3 milioni di dollari erano rimaste escluse dall’applicazione della disciplina in materia di protezione dei dati. Ma l’ampia revisione del Privacy Act da parte del Dipartimento del Attorney – General ha esposto la necessità di eliminare l’esenzione, che risale a 20 anni fa e che è stata introdotta prima dell’adozione delle piattaforme online da parte delle imprese. L’Autorità garante privacy australiana, Angelene Falk, ha dichiarato che il rischio che le piccole imprese siano vittime di cybercrime è in aumento. “Anche se le piccole imprese potrebbero fare del loro meglio per proteggere le informazioni personali, non esiste alcun obbligo legale in tal senso e quindi non esiste alcuna possibilità di ricorso per gli individui se le loro informazioni personali vengono compromesse”, ha dichiarato la Falk. Qualora le piccole imprese venissero ricomprese nell’ambito di applicazione della legge, dovrebbero dire ai loro clienti come gestiscono le informazioni personali. “Dovrebbero avere una politica sulla privacy, dovrebbero garantire la sicurezza delle informazioni personali e cancellarle o de-identificarle quando non sono più necessarie per i loro scopi”, aggiunge sempre la Falk. La riforma del Privacy Act gode di ampio appoggio, mentre i gruppi imprenditoriali hanno espresso il timore per i costi della compliance, che potrebbero, a loro detta, danneggiare gravemente i 2,5 milioni di piccole imprese presenti in Australia.

English version

The Foreign Affairs Committee of the US House of Representatives has approved a bill that would give President Biden the authority to ban TikTok. “The implications are great for anyone who has lost market share to TikTok,” Needham analyst Laura Martin said in an interview, adding that Snap, Meta and YouTube could be “huge beneficiaries” if the ban were to take place. TikTok has had a meteoric rise in the US and its impact was particularly evident in 2022, when a slumping economy caused the online advertising market to collapse. In 2021, TikTok exceeded one billion monthly hits. A Pew Research Center survey in August found that 67% of US teenagers use TikTok and 16% said they use it almost constantly. According to Insider Intelligence, TikTok controls 2.3% of the global digital ad market, behind only Google (including YouTube), Facebook (including Instagram), Amazon and Alibaba. But concerns about the protection of personal data have gradually grown. “A US ban on TikTok is a ban on exporting American culture and values to the more than one billion people who use our service around the world,” said a TikTok spokesperson. “We are disappointed to see this rushed legislation move forward, despite its considerable negative impact on the free speech rights of millions of Americans who use and love TikTok.” However, there is still a long way to go before a real ban can be implemented. If the bill were to pass the Republican-controlled House, it would pass the Democratic-controlled Senate. But it will be a challenge, given the opposition already expressed by some Democrats. Moreover, even if the bill passes the Senate, Biden would have to decide whether to veto or sign it.

In the UK, YouTube has been accused of collecting viewing data of children under the age of 13. This is alleged in a complaint lodged with the UK’s Information Commissioner’s Office (ICO) by activist Duncan McCann, a member of the group 5Rights Foundation. YouTube responded by stating that it has invested in the protection of families by making special arrangements for the processing of children. “We remain committed to continuing our engagement with the ICO on this priority issue and with other key stakeholders, including children, parents and child protection experts,” said a spokesperson for Alphabet, parent company of Google and YouTube. The company has always stated that its service is not intended for use by children under the age of 13 and offers a separate children’s app called YouTube Kids, as well as a ‘supervised experience’ that requires parental consent. McCann claims, however, that many children watch YouTube content on family devices, where this data can be collected by default because they are not registered as children’s accounts. This complaint could be the first test of the ICO’s Children’s Code, introduced in 2020, when technology companies were given a year to comply. At the time, YouTube said it would disable default autoplay of videos and block targeting and personalisation of ads for all children. According to regulator Ofcom, 89% of children in the UK aged between 3 and 17 used the video platform in 2021. Companies that breach the Code may face steep fines, similar to the penalties for breaching data protection laws. The ICO said it will closely examine the complaint.

Australian small businesses may soon be required to comply with the Privacy Act. Until now, businesses with an annual turnover of $3 million or less were excluded from the data protection regulations. But the Department of the Attorney – General’s extensive review of the Privacy Act has exposed the need to remove the exemption, which dates back 20 years and was introduced before the adoption of online platforms by businesses. Australia’s Privacy Authority, Angelene Falk, said the risk of small businesses falling victim to cybercrime was increasing. “While small businesses might do their best to protect personal information, there is no legal obligation to do so and therefore no recourse for individuals if their personal information is compromised,” Falk said. If small businesses are brought within the scope of the law, they should tell their customers how they handle personal information. “They should have a privacy policy, they should ensure the security of personal information and delete or de-identify it when it is no longer needed for their purposes,” Falk added. While there is broad support for privacy act reform, business groups have expressed concern about the cost of compliance, which they say could severely damage Australia’s 2.5 million small businesses.

Privacy Daily 23/2023

Per imparare a distinguere un semaforo, un algoritmo di deep learning deve passare in rassegna centinaia di migliaia di immagini in cui è segnalata la presenza di semafori finché non è in grado di riconoscerle in autonomia. Ma chi è che etichetta in primo luogo le immagini utilizzate per l’addestramento, indicando quali figure – semafori, gatti, persone, ponti e quant’altro – sono presenti al loro interno? Benvenuti nel mondo dei data labeler, gli etichettatori di dati: lavoratori umani al livello base della progettazione di software di deep learning e che operano all’interno di quelli che spesso vengono definiti gli “scantinati dell’intelligenza artificiale”. Scantinati che possono avere l’aspetto di fabbriche specializzate nell’etichettatura dei dati (spesso situate in nazioni in via di sviluppo), ma anche essere piattaforme che assoldano lavoratori da remoto o per cui, inconsapevolmente, lavoriamo gratuitamente anche noi (com’è il caso dei Captcha Code). Il ruolo di questi operai del deep learning non è solo di addestrare le intelligenze artificiali a distinguere determinati elementi di ogni tipo, ma anche di insegnare loro quali forme di linguaggio, immagini e situazioni vanno a tutti i costi evitate.

L’ufficio del Commissario per le informazioni del Regno Unito ha pubblicato un avviso con il quale chiede alle aziende di adeguare la privacy al loro sviluppo tecnologico. La posizione dell’ICO si riflette nel “Tech Horizons Report”, il report che descrive gli sviluppi tecnologici dell’immediato futuro che avranno un impatto sulla società. Il rapporto sottolinea che le aziende devono considerare la trasparenza, il controllo che le persone hanno sui loro dati e la quantità di dati raccolti per garantire che i loro servizi siano conformi a principi privacy. Il direttore della tecnologia, dell’innovazione e dell’impresa dell’ICO, Stephen Almond, ha dichiarato: “In qualità di regolatore, parte del nostro ruolo consiste nel promuovere la fiducia nel modo in cui le organizzazioni elaborano le informazioni personali, sostenendo al contempo la crescita e l’innovazione. Stanno emergendo nuove tecnologie che potrebbero rendere le nostre vite più facili, più sicure, più confortevoli, efficienti e divertenti, ma affinché abbiano successo, dobbiamo consentire alle persone di condividere in sicurezza le proprie informazioni ora e in futuro”.

L’autorità per la protezione dei dati della Repubblica ceca, Úřad pro ochranu osobních údajů, ha pubblicato il suo piano d’azione per il 2023. La DPA ha affermato che si concentrerà sul “trattamento dei dati personali quando si utilizzano i social network, nei sistemi di telecamere su larga scala e negli ufficiali giudiziari.” Verificherà inoltre alcuni sistemi informativi della polizia e si concentrerà sul settore del telemarketing con la collaborazione dell’Ufficio delle telecomunicazioni ceco.

English Translation

To learn how to distinguish a traffic light, a deep learning algorithm has to go through hundreds of thousands of traffic light images until it can recognise them on its own. But who is it that labels the images used for training in the first place, indicating which figures – traffic lights, cats, people, bridges and so on – are present in them? Welcome to the world of data labellers: human workers at the base level of deep learning software design and operating within what are often referred to as the ‘basements of artificial intelligence’. Basements that can look like factories specialising in data labelling (often located in developing nations), but also be platforms that hire workers remotely or for which we unwittingly work for free ourselves (as is the case with Captcha Code). The role of these deep learning workers is not only to train artificial intelligences to distinguish certain elements of all kinds, but also to teach them which forms of language, images and situations should be avoided at all costs.

The UK Information Commissioner’s Office has issued a notice asking companies to adapt privacy to their technological development. The ICO’s position is reflected in the ‘Tech Horizons Report’, the report describing technological developments in the near future that will impact society. The report emphasised that companies need to consider transparency, the control people have over their data, and the amount of data collected to ensure their services comply with privacy principles. The ICO’s director of technology, innovation and enterprise, Stephen Almond, said: ‘As a regulator, part of our role is to promote trust in the way organisations process personal information, while supporting growth and innovation. New technologies are emerging that could make our lives easier, safer, more comfortable, efficient and enjoyable, but for them to succeed, we need to enable people to safely share their information now and in the future.

The Czech Republic’s data protection authority, Úřad pro ochranu osobních údajů, published its action plan for 2023. The DPA said it will focus on “the processing of personal data when using social networks, in large-scale camera systems and in judicial officers.” It will also audit some police information systems and focus on the telemarketing sector with the cooperation of the Czech Telecommunications Office.

Le iniziative delle altre Autorità

SANZIONE RECORD AD UN SOGGETTO PUBBLICO:

L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO

L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.

L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.

L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.

All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.

Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.

Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.

Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.

Le iniziative delle altre Autorità

MEZZO MILIONE DI CHIAMATE PER TELEMARKETING ILLECITO IN UK: L’ICO (il Garante inglese) INTERVIENE E SANZIONA CINQUE SOCIETÀ

Nel Regno Unito, cinque società sono state condannate al pagamento di sanzioni del valore complessivo di 435.000 sterline dall’Autorità garante per la privacy (Information Commissioner’s Office, ICO) per aver effettuato quasi mezzo milione di chiamate a persone registrate presso il Telephone Preference Service (TPS) – corrispondente del Registro delle opposizioni italiano –. Secondo la legge britannica, è infatti vietato chiamare per finalità di marketing chiunque sia registrato presso il TPS, a meno che questi non fornisca un’espressa e specifica autorizzazione in tal senso.

In particolare le chiamate avevano lo scopo di convincere i destinatari (tra cui tante persone anziane e vulnerabili) a sottoscrivere contratti di assicurazione sugli elettrodomestici (es. lavatrice, utensili da cucina, caldaie ecc.). Dalle indagini dell’ICO, è emerso che, in alcuni casi, le compagnie si rivolgevano deliberatamente a un gruppo demografico specifico: proprietari di case, over 60, con un telefono fisso. È stato, inoltre, dimostrato che alcune delle società hanno usato evidenti tattiche di pressione al fine di ottenere i dati di pagamento dalle persone.

Secondo quanto riportato dall’ICO, infatti, nei reclami ricevuti veniva lamentato che alcuni operatori delle società sanzionate avessero peraltro atteggiamenti insistenti ed invadenti nel corso delle chiamate illegittime. Ad esempio, ad una signora ultraottantenne veniva detto che occorreva rinnovare l’assicurazione della caldaia – circostanza, tra l’altro, non vera – e, con l’occasione, l’operatore continuava a domandare dati superflui come l’età anagrafica della signora, dove e come facesse la spesa, le modalità di pagamento e perfino i dettagli della carta di credito. Proprio quest’ultima domanda, in più di un caso, ha suscitato allarme nei destinatari delle chiamate, specialmente tra i più anziani, i quali hanno attivato le procedure di reclamo.

L’ICO ha recentemente rilasciato una guida aggiornata sul marketing diretto con l’intenzione di sostenere le imprese decise a conformarsi alla legge. Tuttavia, così come dichiarato anche dal capo del dipartimento Investigations, l’Autorità ribadisce la sua volontà di indagare e di prendere provvedimenti severi laddove vengano riscontrate palesi inosservanze della legge che possano danneggiare le persone. Così come in questo caso, in cui in tanti (specialmente anziani soli) si sono sentiti in dovere di consegnare i propri dati bancari semplicemente per avere qualcuno con cui parlare al telefono.