PRIVACY DAILY 48/2023

Continuano le battaglie legali per i dati biometrici davanti alla Corte Suprema dell’Illinois. Due settimane dopo essersi pronunciata in favore dell’estensione dei termini di prescrizione a cinque anni per tutte le violazioni del Biometric Information Privacy Act (BIPA), la Corte ritorna sull’argomento. È stata una decisione sofferta (passata per 4 voti contro 3), ma alla fine la i giudici della Corte hanno sentenziato che la catena di fast food White Castle System Inc deve rispondere di aver ripetutamente scansionato le impronte digitali di quasi 9.500 dipendenti senza il loro consenso. Ciò potrebbe costare alla società la colossale cifra di 17 miliardi di dollari. Infatti, il BIPA prevede sanzioni di 1.000 dollari per ogni violazione e di 5.000 dollari per le violazioni “intenzionali” o “sconsiderate”. L’azienda, stando a quanto previsto dalle legge, avrebbe dovuto chiedere il consenso ogni volta prima di raccogliere impronte digitali, scansioni della retina e altre informazioni biometriche di lavoratori e consumatori. Nel difendersi, White Castle aveva sostenuto di poter essere citata in giudizio solo per la prima raccolta senza valido presupposto di legittimità delle impronte digitali di ciascun lavoratore, e non ogni volta che queste venivano scansionate per accedere a un sistema informatico aziendale. Ma la Corte ha dichiarato che il BIPA proibisce ampiamente di “raccogliere” o “catturare” informazioni biometriche senza consenso, e White Castle avrebbe dovuto raccogliere il consenso dei lavoratori ogni volta che utilizzavano il sistema informatico. L’entità del risarcimento dovrà ora essere decisa dalla Corte d’Appello di Chicago. Forti critiche sono arrivate sia da White Castle che dalla Camera di Commercio degli Stati Uniti, che ha paventato un rischio contenzioso tale da provocare forti danni finanziari ad alcune aziende. Dal 2017 sono state intentate quasi 2.000 cause per violazioni del BIPA, che hanno dato luogo a una serie di accordi e sentenze di notevole entità.

Manipolare le informazioni online per conto di una serie di clienti a livello globale. Secondo un’inchiesta pubblicata dal Washington Post, sarebbe questo il fruttuoso business della società Eliminalia. L’azienda, con sede in Spagna, gestisce siti web disponibili in 6 lingue diverse. A prima vista sembrerebbero normali organi di informazione che offrono titoli da tutto il mondo, ma queste centinaia di siti hanno un obiettivo comune: ospitare storie sui clienti della società per migliorarne l’immagine online. Così, la rete di siti di notizie false è parte di un complesso apparato che Eliminalia utlizza per manipolare le informazioni online. Stando alla ricostruzione del noto quotidiano americano, l’azienda, facendosi scudo anche della privacy e del diritto all’oblio, impiegherebbe tattiche elaborate e ingannevoli per rimuovere o oscurare notizie poco lusinghiere relative ai suoi clienti. Tra questi vi sono aziende, celebrità minori, ma anche sospettati o criminali condannati. L’inchiesta giornalistica si è basata su quasi 50.000 documenti interni all’azienda al fine di dimostrare che la società ha guadagnato milioni di dollari vendendo questi servizi di disinformazione. Dall’indagine emerge anche come le leggi destinate a proteggere la proprietà intellettuale e la privacy vengano utilizzate in modo improprio per distorcere il discorso online, sforzi che a volte le aziende tecnologiche non riescono a individuare. I metodi di Eliminalia sono stati messi a nudo in documenti trapelati a Forbidden Stories, un’organizzazione giornalistica no-profit con sede a Parigi che ha condiviso i documenti con il Washington Post e altri media partner per un progetto chiamato “Story Killers”. I documenti includono e-mail, nomi di clienti, contratti parziali e altri documenti legali. Più di 600 siti web di notizie false sono stati collegati a Eliminalia dai ricercatori di un’organizzazione svedese senza scopo di lucro chiamata Qurium, che fornisce servizi di web hosting e sicurezza digitale a giornalisti investigativi e organizzazioni per i diritti umani. Viene, tra l’altro, denunciato che tra il 2015 e il 2021, Eliminalia avrebbe inviato migliaia di reclami fasulli ai motori di ricerca e alle società di web hosting, sostenendo falsamente che gli articoli negativi sui suoi clienti erano stati precedentemente pubblicati altrove e rubati, e che quindi dovevano essere rimossi o nascosti – così risulterebbe dai registri aziendali, secondo quanto ricostruito -. 

A Firenze quasi un medico su due utilizza Whatsapp per mandare prescrizioni, esami e consigli terapeutici, nonostante i rischi per la privacy. Questi e altri risultati, emersi da un sondaggio condotto nel 2022 dal laboratorio universitario DataLifeLab dell’Università degli studi di Firenze e dagli esperti della cooperativa Retesviluppo per conto dell’Ordine dei Medici chirurghi e odontoiatri di Firenze, sono stati presentati durante l’evento “La Messaggistica Istantanea nell’esercizio della Professione Medica”. Il presidente dell’Ordine Pietro Dattolo ha affermato che: “La messaggistica tramite cellulare permette di dare in tanti casi risposte rapide e tempestive ai pazienti, sciogliendo dubbi e timori, andando incontro alle esigenze più varie”, rimarcando però che: “È importante tuttavia non perdere di vista il confronto umano, di persona, che resta il centro di questa professione. Occorre anche porre attenzione al tema della privacy e restare aggiornati sulle nuove opportunità di comunicazione che si presenteranno nei prossimi anni per essere sempre al fianco della popolazione e nei loro bisogni di cura”. Oggi 8 dottori su 10 hanno un contatto con gli assistiti tramite smartphone, ma in pochi usano la mail. Addirittura, secondo l’indagine ormai appena lo 0,6% dei medici comunica con i pazienti solo verbalmente. Dal sondaggio risulta invece che Whatsapp viene sfruttato per comunicare con i pazienti dal 53,9% dei medici, per fissare appuntamenti dal 39,8%, per inviare prescrizioni dal 20,7%, per valutare esami e dare consigli terapeutici a pazienti dal 42% e per scambiare informazioni cliniche dei pazienti con i colleghi dal 56,1%. Il 7,8% dei medici ha scoperto le app durante l’emergenza pandemica.Ma da molti la messaggistica istantanea viene percepita come invasiva della privacy e della sfera privata. Ad avvertire molto questa invasione sono soprattutto chirurghi, ematologi, endocrinologi, geriatri, ginecologi, medici legali, dello sport, del lavoro, nefrologi, neurologi, pediatri e psichiatri. Dal sondaggio appaiono anche delle lacune sulle conoscenze in tema di privacy: quasi la metà dei medici (47,7%), negli ultimi 3 anni non ha partecipato ad un corso di formazione sul trattamento/consenso dei dati.

English version

The legal battles over biometric data continue before the Illinois Supreme Court. Two weeks after ruling in favour of extending the statute of limitations to five years for all violations of the Biometric Information Privacy Act (BIPA), the Court returned to the subject. It was a hard-fought decision (passed by 4 votes to 3), but in the end the Court judges ruled that fast food chain White Castle System Inc faces charges of repeatedly scanning the fingerprints of nearly 9,500 employees without their consent. This could cost the company the colossal sum of $17 billion. In fact, BIPA provides for penalties of $1,000 per violation and $5,000 for ‘willful’ or ‘reckless’ violations. The company, according to the law, would have to ask for consent each time before collecting fingerprints, retinal scans and other biometric information from workers and consumers. In defending itself, White Castle had argued that it could only be sued for the first collection of each worker’s fingerprints without a valid lawful basis, and not every time they were scanned to access a company computer system. But the court held that BIPA broadly prohibits ‘collecting’ or ‘capturing’ biometric information without consent, and White Castle would have to collect workers’ consent every time they used the computer system. The amount of compensation will now have to be decided by the Chicago Court of Appeals. Strong criticism came from both White Castle and the US Chamber of Commerce, which feared litigation risks that could cause severe financial damage to some companies. Since 2017, nearly 2,000 lawsuits have been filed for BIPA violations, resulting in a number of large settlements and judgments.

Manipulating information online on behalf of a number of clients globally. According to an investigation published by the Washington Post, this is the lucrative business of the Eliminalia company. The company, based in Spain, operates websites available in 6 different languages. At first glance, they would appear to be ordinary news organisations offering headlines from around the world, but these hundreds of sites have a common goal: to host stories about the company’s customers in order to improve its online image. Thus, the network of fake news sites is part of a complex apparatus that Eliminalia uses to manipulate information online. According to the reconstruction by the well-known American newspaper, the company, also shielding itself from privacy and the right to be forgotten, would employ elaborate and deceptive tactics to remove or obscure unflattering news about its customers. These include companies, minor celebrities, but also suspects or convicted criminals. The journalistic investigation relied on nearly 50,000 internal company documents to prove that the company made millions of dollars selling these disinformation services. The investigation also shows how laws designed to protect intellectual property and privacy are misused to distort online discourse, efforts that technology companies sometimes fail to detect. Eliminalia’s methods were laid bare in documents leaked to Forbidden Stories, a Paris-based non-profit journalism organisation that shared the documents with the Washington Post and multiple other media partners for a project called ‘Story Killers’. The documents include e-mails, client names, partial contracts and other legal documents. More than 600 fake news websites were linked to Eliminalia by researchers at a Swedish non-profit organisation called Qurium, which provides web hosting and digital security services to investigative journalists and human rights organisations. It is reported, among other things, that between 2015 and 2021, Eliminalia sent thousands of bogus complaints to search engines and web hosting companies, falsely claiming that negative articles about its clients had previously been published elsewhere and stolen, and thus had to be removed or hidden – so the company’s records allegedly show.

In Florence, almost one doctor in two uses Whatsapp to send prescriptions, examinations and treatment advice, despite the risks to privacy. These and other results, which emerged from a survey conducted in 2022 by the DataLifeLab of the University of Florence and experts from the Retesviluppo cooperative on behalf of the Order of Surgeons and Dentists of Florence, were presented during the event “Instant Messaging in the Practice of the Medical Profession”. Order President Pietro Dattolo stated that: “Messaging via mobile phone allows in many cases to give quick and timely answers to patients, dissolving doubts and fears, meeting the most varied needs”, pointing out however that: “It is important, however, not to lose sight of the human, face-to-face confrontation that remains at the heart of this profession. It is also necessary to pay attention to the issue of privacy and to keep abreast of the new communication opportunities that will arise in the coming years in order to be always at the side of the population and their care needs’. Today, 8 out of 10 doctors have contact with their patients via smartphone, but few use email. Even as few as 0.6 per cent of doctors now communicate with patients only verbally, according to the survey. On the other hand, the survey shows that Whatsapp is used to communicate with patients by 53.9 per cent of doctors, to schedule appointments by 39.8 per cent, to send prescriptions by 20.7 per cent, to evaluate examinations and give treatment advice to patients by 42 per cent, and to exchange clinical information of patients with colleagues by 56.1 per cent. 7.8% of doctors discovered the apps during the pandemic emergency. But instant messaging is perceived as invasive of a doctor’s privacy and private sphere. Those who feel this invasion most strongly are surgeons, haematologists, endocrinologists, geriatricians, gynaecologists, forensic, sports and occupational physicians, nephrologists, neurologists, paediatricians and psychiatrists. The survey also reveals gaps in privacy knowledge: almost half of the doctors (47.7%) have not attended a training course on data processing/consent in the last three years.

PRIVACY DAILY 35/2023

In Illinois si potranno presentare ricorsi contro le violazioni della privacy fino a cinque anni dai fatti. Lo ha stabilito la Corte Suprema dello Stato emettendo la prima di due sentenze molto attese sulla portata della responsabilità per gli enti che utilizzano la tecnologia biometrica ai sensi dell’Illinois Biometric Information Privacy Act. È stata così ribaltata la decisione presa in appello, che prevedeva un periodo di prescrizione di un anno per alcune richieste e un periodo di cinque anni per altre. Sul punto, il giudice P. Scott Neville ha affermato che l’applicazione di due diversi termini di prescrizione a diverse sezioni della legge “creerebbe un regime poco chiaro, scomodo, incoerente e potenzialmente inattuabile per quanto riguarda l’amministrazione della giustizia relativamente alle richieste di risarcimento”. A breve, però, la Corte si pronuncerà anche sul caso Cothron v. White Castle System Inc. e deciderà se i lavoratori hanno diritto a richieste di risarcimento separate per ogni strisciata delle loro impronte digitali nel sistema di rilevazione dell’azienda o se hanno diritto a un’unica richiesta di risarcimento per la scansione iniziale.

L’EDBP invita la BCE a progettare un futuro euro digitale con garanzie simili a quelle del contante per proteggere la privacy. Il 2023 sarà un anno fondamentale per il progetto dell’euro digitale. L’obiettivo è quello di avere una proposta legislativa da parte della Commissione europea entro l’estate, dopo la fase di indagine della BCE. Rimangono quindi sei mesi per progettare un euro digitale rispettoso della privacy by design. Nella consultazione pubblica preparatoria della BCE, gli intervistati hanno ritenuto che la riservatezza delle transazioni sia il parametro più importante nella progettazione dell’euro digitale (43%). La riservatezza delle transazioni rappresenta quindi una delle condizioni per il successo della futura moneta digitale. Affinché tale nuovo mezzo di pagamento riesca ad affermarsi nell’ambito di un ecosistema di pagamenti europeo già altamente efficiente e competitivo, dovrà dimostrare un valore aggiunto in termini di protezione dei dati.

Il Paraguay sta per adottare la sua legge sulla privacy. La Commissione Affari Costituzionali della Cámara de Diputados assicura che lo studio del progetto di legge intitolato “Sulla protezione dei diritti e dei dati personali nella Repubblica del Paraguay” sta facendo progressi. L’obiettivo è quello di colmare un vuoto normativo attraverso l’adozione di regole precise per i soggetti coinvolti, nonché la creazione di un’agenzia incaricata della supervisione e dell’esecuzione delle nuove disposizioni. L’attuale bozza legislativa è composta da 88 articoli che riguardano questioni come l’accuratezza dei dati, i principi di correttezza, trasparenza, responsabilità e riservatezza. Sono inclusi anche il termine per la conservazione dei dati, il consenso di adulti, bambini e adolescenti, il legittimo interesse, il trattamento di dati sensibili e creditizi, la videosorveglianza, i dati della pubblica amministrazione. È importante sottolineare che questo progetto di legge è il frutto di un ampio lavoro svolto dalla “Coalizione per i dati personali”, che ha riunito diversi rappresentanti sia del settore pubblico sia di quello privato ed esperti internazionali, al fine raggiungere il più ampio consenso possibile.

English version

In Illinois, claims against privacy violations can be brought up to five years after the fact. This was decided by the State Supreme Court in issuing the first of two highly anticipated rulings on the scope of liability for entities using biometric technology under the Illinois Biometric Information Privacy Act. This overturned the decision made on appeal, which provided for a one-year statute of limitations for some claims and a five-year period for others. On this point, Justice P. Scott Neville stated that the application of two different limitation periods to different sections of the Act ‘would create an unclear, inconvenient, inconsistent, and potentially unworkable regime with respect to the administration of justice with respect to claims’. Soon, however, the Court will also rule on the case of Cothron v. White Castle System Inc. and decide whether workers are entitled to separate claims for each swipe of their fingerprints in the company’s detection system or whether they are entitled to a single claim for the initial scan.

The EDBP calls on the ECB to design a future digital euro with cash-like safeguards to protect privacy. 2023 will be a key year for the digital euro project. The goal is to have a legislative proposal from the European Commission by the summer, after the ECB’s investigation phase. This leaves six months to design a digital euro that respects privacy by design. In the ECB’s preparatory public consultation, respondents considered transaction privacy to be the most important parameter in the design of the digital euro (43%). Transaction privacy is therefore one of the conditions for the success of the future digital currency. For this new means of payment to succeed in an already highly efficient and competitive European payments ecosystem, it will have to demonstrate added value in terms of data protection.

Paraguay is about to adopt its privacy law. The Constitutional Affairs Committee of the Cámara de Diputados assures that the study of the draft law entitled ‘On the Protection of Personal Rights and Data in the Republic of Paraguay’ is making progress. The aim is to fill a regulatory gap by adopting precise rules for those involved, as well as the creation of an agency in charge of supervising and enforcing the new provisions. The current draft legislation consists of 88 articles covering issues such as data accuracy, principles of fairness, transparency, accountability and confidentiality. Also included are the data retention period, consent of adults, children and adolescents, legitimate interest, processing of sensitive and credit data, video surveillance, and public administration data. It is important to emphasise that this draft law is the result of extensive work by the ‘Coalition for Personal Data’, which brought together various representatives of both the public and private sectors and international experts in order to reach the broadest possible consensus.