PRIVACYDAILY

N. 148/2023

LE TRE NEWS DI OGGI:

  • USA, LA CINA PUBBLICA LE REGOLE PER RAFFORZARE LA SICUREZZA DEI DATI NEI SERVIZI DI INTERMEDIAZIONE FINANZIARIA
  • LO STATO DELLA CALIFORNIA FA CAUSA AD UN DISTRETTO SCOLASTICO CHE SPINGE GLI STUDENTI TRANSGENDER A FARE OUTING
  • INDIA, I FLUSSI DI DATI PERSONALI NELLE RETI DI COMUNICAZIONE ATTIRANO LE SOCIETA’ CHE SI OCCUPANO DI MONITORAGGIO E SORVEGLIANZA

In Cina mercoledì scorso sono state pubblicate delle regole finalizzate a rafforzare la sicurezza dei dati nel settore dell’intermediazione finanziaria, cinque mesi dopo che il disservizio che  ha causato due giorni di caos nel mercato obbligazionario del Paese da 21.000 miliardi di dollari. Cinque autorità di vigilanza finanziaria, tra cui la banca centrale e le autorità di regolamentazione del mercato forex e dei titoli, hanno esortato i broker intermediari a migliorare la gestione dei dati e dei rischi e a salvaguardare la sicurezza dei dati.I broker intermediari, nell’offrire servizi di dati, “non devono mettere a repentaglio la sicurezza nazionale, la sicurezza finanziaria e l’interesse pubblico”, hanno dichiarato in una dichiarazione congiunta. I regolatori hanno anche fornito un elenco di oltre 70 fornitori di servizi di informazione finanziaria autorizzati a collaborare con i broker finanziari. Tra questi fornitori figurano China Foreign Exchange Trade System, Shanghai Stock Exchange, Wind Information Co Ltd, Refinitiv Information Services (China) Co Ltd e Bloomberg L.P..Refinitiv, un tempo divisione di Thomson Reuters, fa ora parte del London Stock Exchange Group (LSEG). LSEG paga Thomson Reuters per le notizie che diffonde sui terminali Refinitiv. Thomson Reuters, che possiede Reuters News, detiene una partecipazione di minoranza in LSEG.A marzo le autorità di regolamentazione cinesi hanno sospeso l’attività di trasferimento dei dati dei broker monetari, citando problemi di sicurezza dei dati, innescando un crollo del fatturato delle negoziazioni obbligazionarie, poiché molti operatori hanno perso l’accesso immediato ai dati in tempo reale. Il caos è terminato dopo che la Cina ha permesso la ripresa delle attività.Negli ultimi anni la Cina si è preoccupata maggiormente della sicurezza dei dati e ha introdotto nuove leggi e requisiti di conformità per le aziende.I money broker agiscono come intermediari tra i dealer. Tra i broker interdealer in Cina vi sono le joint venture di Tullett Prebon, NEX International Ltd, BGC Partners, Central Tanshi e Compagnie Financiere Tradition. Tali broker possono fornire dati sulle quotazioni al mercato dopo l’autorizzazione della borsa, ma devono proteggere la privacy dei clienti, hanno dichiarato mercoledì le autorità di regolamentazione cinesi.Secondo le regole, i broker devono controllare con maggiore attenzione le qualifiche dei trader e presentare alle autorità di regolamentazione i dati aziendali pertinenti.Tra le agenzie che hanno pubblicato le norme figurano anche la National Administration of Financial Regulation e la Cyberspace Administration of China.

Il procuratore generale della California Rob Bonta ha intentato una causa per cercare di fermare le iniziative di un distretto scolastico che ha una “politica di outing forzato” nei confronti degli studenti transgender.Il Consiglio d’istruzione del distretto scolastico unificato di Chino Valley, che serve circa 26.000 studenti, ha recentemente adottato una politica di divulgazione obbligatoria dell’identità di genere che impone alle scuole di informare i genitori se uno studente chiede di usare un nome o un pronome diverso da quello riportato sul certificato di nascita o su altri documenti ufficiali.La politica richiede anche la notifica ai genitori se uno studente chiede di utilizzare strutture o accedere a programmi che non corrispondono al suo sesso, come risulta dai documenti ufficiali.”Ogni studente ha il diritto di imparare e crescere in un ambiente scolastico che promuova la sicurezza, la privacy e l’inclusione, indipendentemente dalla sua identità di genere”, ha dichiarato Bonta in una dichiarazione di lunedì scorso che annunciava la causa.Le scuole con politiche inclusive che proteggono e affermano l’identità dei giovani transgender sono “associate a risultati accademici e di salute mentale positivi”, secondo una ricerca pubblicata dalla Society for Research in Child Development. I giovani transgender, spesso a causa della discriminazione e dello stigma legati al genere, hanno maggiori probabilità di sperimentare ansia, umore depresso e pensieri e tentativi di suicidio, come ha rilevato la National Alliance on Mental Illness.Le persone transgender rappresentano lo 0,5% della popolazione adulta in California e l’1,93% degli adolescenti tra i 13 e i 17 anni, secondo una ricerca dell’Università della California di Los Angeles.In California, il 17% di tutti gli studenti gender non-conforming di età compresa tra i 12 e i 17 anni ha riferito di aver sperimentato un grave disagio psicologico, secondo quanto riportato dall’UCLA Center for Health Policy.In un’udienza di luglio, un membro del consiglio ha definito l’essere transgender una “malattia mentale”: “Ci sono sempre stati l’uomo e la donna, poi c’è il transgender e la cosa non si fermerà qui… è una malattia mentale”, ha detto il segretario e membro del consiglio Andrew Cruz. Ha anche affermato che “le donne vengono cancellate”.Nella stessa riunione, la presidente del consiglio, Sonja Shaw, ha anche affermato che le persone transgender e di genere non binario hanno bisogno di genitori “non affermativi” per “stare meglio”.Il regolamento è passato con un voto di 4-1, con il membro Donald L. Bridge come unico voto contrario.”Quello che dovremmo discutere è ciò che c’è nel quadro normativo e ricevere un rapporto del personale mentre entriamo nel nuovo anno scolastico – è questo che vorrei discutere e non le guerre culturali”, ha detto Bridge nell’udienza di luglio.

Ogni giorno, una quantità di dati personali passa attraverso le piattaforme dei cavi sottomarini che hanno proliferato intorno alla costa indiana, collegando le comunicazioni del Paese più popoloso del mondo al resto del mondo. In ognuna di queste postazioni è installato un hardware dall’aspetto inoffensivo che cerca, copia e trasmette su richiesta i dati alle agenzie di sicurezza indiane, con l’aiuto dell’intelligenza artificiale e dell’analisi dei dati. Questi dispositivi di monitoraggio, detti di intercettazione legale, contribuiscono a creare quella che un insider del settore definisce la “porta di accesso” che consente al governo del primo ministro Narendra Modi di spiare i suoi 1,4 miliardi di cittadini, nell’ambito del crescente regime di sorveglianza del Paese. La velocità di crescita del mercato indiano delle comunicazioni ha alimentato una fiorente industria di aziende in lizza per vendere potenti strumenti di sorveglianza. Tra queste ci sono fornitori locali come Vehere, ma anche gruppi israeliani meno noti come Cognyte o Septier. Alcuni di questi collegamenti hanno destato allarme. Septier è stata anche una delle decine di aziende ritenute dal Consiglio Atlantico nel 2021 un “proliferatore potenzialmente irresponsabile”, definito dal think tank statunitense come un’azienda “disposta ad accettare o ignorare il rischio che i suoi prodotti rafforzino le capacità di governi clienti che potrebbero voler minacciare la sicurezza nazionale degli Stati Uniti e della NATO o danneggiare popolazioni emarginate”. Septier ha liquidato il “dito puntato” del Consiglio Atlantico come “pura speculazione”. Quattro persone che hanno lavorato a progetti di cavi sottomarini in paesi di tutto il mondo hanno affermato che l’India è insolita in quanto richiede apertamente alle società di telecomunicazioni di installare apparecchiature di sorveglianza presso le piattaforme e i centri dati dei cavi sottomarini, approvate dal governo come condizione di funzionamento. Nuova Delhi ha dichiarato che questa sorveglianza è strettamente controllata e che tutte le richieste di monitoraggio sono approvate dal Ministro degli Interni del Paese. Tuttavia, secondo i critici, queste protezioni equivalgono a “timbri di controllo” che fanno ben poco per prevenire gli abusi. Sebbene le norme sulle intercettazioni legali siano precedenti a Modi, il suo governo ha aumentato con convinzione i poteri di spionaggio dell’India. Sebbene non sia mai stato ufficialmente riconosciuto, l’India ha utilizzato il software di spionaggio Pegasus del gruppo israeliano NSO, scatenando uno scandalo politico quando lo strumento di hacking è stato trovato nei telefoni di giornalisti e attivisti nel 2019 e nel 2021. Una legge sulla protezione dei dati personali approvata questo mese conferisce inoltre alle autorità ampi poteri per aggirare le salvaguardie della privacy, che secondo i critici legifera “carta bianca” per la sorveglianza governativa, in contrasto con gli approcci alla sorveglianza adottati altrove. Un decennio fa, le fughe di notizie di Snowden hanno rivelato che le agenzie di intelligence statunitensi e britanniche erano impegnate in una sorveglianza di massa attraverso accordi con le società di telecomunicazioni che prevedevano la porta d’accesso, la raccolta e la ricerca per parole chiave di una grande quantità di dati sulle comunicazioni civili, piuttosto che solo su quelle dei sospetti. Da allora le società di telecomunicazioni occidentali hanno ampiamente resistito alle pressioni governative per l’installazione di porte di accesso ufficiali che fornissero un accesso illimitato ai dati dei clienti, chiedendo invece alle agenzie investigative di fornire un mandato approvato dal tribunale per l’intercettazione mirata. In India, le agenzie di sicurezza e le forze dell’ordine devono richiedere al Ministro degli Interni l’autorizzazione ad accedere ai dati attraverso le apparecchiature di monitoraggio, ma non devono passare attraverso i tribunali. Gli attivisti per le libertà civili sostengono che queste norme sono inadeguate e mancano di controllo giudiziario, poiché il quadro giuridico si basa in parte sul Telegraph Act del 1885, di epoca coloniale.

English version

  • USA, CHINA PUBLISHES RULES TO STRENGTHEN DATA SECURITY IN FINANCIAL INTERMEDIATION SERVICES
  • THE STATE OF CALIFORNIA SUES A SCHOOL DISTRICT THAT PUSHES TRANSGENDER STUDENTS TO COME OUT
  • INDIA: PERSONAL DATA FLOWS IN COMMUNICATIONS NETWORKS ATTRACTING MONITORING AND SURVEILLANCE COMPANIES

China published rules on Wednesday aimed at boosting data security in the money brokering industry, five months after a disruption in data services caused two days of chaos in the country’s $21 trillion bond market.Five financial watchdogs, including the central bank as well as forex and securities regulators, urged interdealer brokers to improve data and risk management, and safeguard data security.Interdealer brokers, when offering data services, “must not endanger national security, financial safety and public interest,” the regulators said in a joint statement.The regulators also provided a list of over 70 financial information service providers that are approved to collaborate with money brokers. These providers include China Foreign Exchange Trade System, Shanghai Stock Exchange, Wind Information Co Ltd, Refinitiv Information Services (China) Co Ltd, and Bloomberg L.P..Refinitiv, formerly a division of Thomson Reuters, is now part of the London Stock Exchange Group (LSEG). LSEG pays Thomson Reuters for news it distributes on Refinitiv terminals. Thomson Reuters, which owns Reuters News, holds a minority stake in LSEG.Chinese regulators in March suspended the data feed business of money brokers, citing data security concerns, triggering a slump in bond trading turnover as many traders lost immediate access to real-time data. The chaos ended after China allowed business resumption.China has in recent years grown more concerned over data security and rolled out new laws and compliance requirements for companies.Money brokers act as middlemen between dealers. Interdealer brokers in China include the joint ventures of Tullett Prebon, NEX International Ltd, BGC Partners, Central Tanshi and Compagnie Financiere Tradition.Such brokers can provide price quotation data to the market after exchange authorisation, but must protect client privacy, Chinese regulators said on Wednesday.Brokers must tighten scrutiny over traders’ qualifications, and submit relevant business data to regulators, according to the rules.The National Administration of Financial Regulation and the Cyberspace Administration of China are also among the agencies that published the rules.

The Chino Valley Unified School District Board of Education, which serves about 26,000 students, recently adopted a mandatory gender identity disclosure policy that requires schools to tell parents if a student asks to use a name or pronoun that’s different from what is listed on their birth certificate or other official records.The policy also requires parental notification if a student asks to use facilities or enter programs that don’t align with their sex as it is on official records.”Every student has the right to learn and thrive in a school environment that promotes safety, privacy, and inclusivity – regardless of their gender identity,” Bonta said in a Monday statement announcing the lawsuit.He continued, “The forced outing policy wrongfully endangers the physical, mental, and emotional well-being of non-conforming students who lack an accepting environment in the classroom and at home.”Schools with inclusive policies that protect and affirm transgender youth’s identity are “associated with positive mental health and academic outcomes,” according to research published by the Society for Research in Child Development.Transgender youth, often due to gender-related discrimination and stigma, are more likely to experience anxiety, depressed moods and suicidal thoughts and attempts, the National Alliance on Mental Illness has found.Transgender people make up 0.5% of the adult population in California, and 1.93% of teenagers between the ages of 13 and 17, according to research from the University of California, Los Angeles.In California, 17% of all gender non-conforming students aged 12-17 reported that they experienced severe psychological distress, the UCLA Center for Health Policy reported.The Chino Valley school board held public hearings on the policy throughout the summer, garnering protesters from both sides of the issue.In one July hearing, a board member called being transgender a “mental illness.””There has always been man and woman, and then you have this transgender and it is not going to stop there … it is a mental illness,” board clerk and member Andrew Cruz said. He also claimed “women are being erased.”In that same meeting, the board president, Sonja Shaw, also stated that transgender and gender nonbinary individuals needed “non-affirming” parents to “get better.”The policy passed with a 4-1 vote, with member Donald L. Bridge as the sole vote against the policy.”What we should be discussing is what’s in the framework and getting a staff report as we enter the new school year — that’s what I would like to be discussing and not culture wars,” said Bridge in the July hearing.

Every day, reams of personal data flow through the subsea cable landing stations that have proliferated around India’s coast, connecting the communications of the world’s most populous country to the rest of the globe.In each of these, innocuous-looking hardware is installed to search, copy and pump that data to Indian security agencies on demand, with the help of AI and data analytics.These so-called lawful interception monitoring systems help make up what one industry insider calls the “backdoor” that allow prime minister Narendra Modi’s government to snoop on its 1.4bn citizens, part of the country’s growing surveillance regime.The speed of the growth of India’s communications market has fuelled a thriving industry of companies vying to sell powerful surveillance tools. These include homegrown providers such as Vehere, as well as less well known Israeli groups like Cognyte or Septier.Some of those links have raised alarms. Septier was also one of dozens of companies deemed a “potentially irresponsible proliferator” by the Atlantic Council in 2021, which the US think-tank defined as companies “willing to accept or ignore the risk that their products will bolster the capabilities of client governments that might wish to threaten US/Nato national security or harm marginalised populations”. Septier dismissed the Atlantic Council’s “finger-pointing” as “pure speculation”.Four people who have worked on submarine cable projects in countries all over the world said that India is unusual in that it openly requires telecom companies to install surveillance equipment at subsea cable landing stations and data centres that is approved by the government as a condition of operation.New Delhi has said this surveillance is strictly controlled, with all monitoring requests approved by the country’s home secretary. Yet critics said these protections amount to “rubber stamping” that do little to prevent abuse.While the lawful interception rules predate Modi, his government has enthusiastically scaled up India’s snooping powers.Though never officially acknowledged, India has deployed the Pegasus spyware of Israeli group NSO, triggering a political scandal when the hacking tool was found on the phones of journalists and activists in 2019 and 2021. A personal data protection bill passed this month also gives authorities broad powers to bypass privacy safeguards that critics say legislates “carte blanche” for government surveillance.This contrasts with the approaches to surveillance elsewhere. A decade ago the Snowden leaks revealed US and UK intelligence agencies were engaged in mass surveillance via backdoor arrangements with telecoms companies — collecting and keyword searching bulk civilian communications data, rather than just that of suspects.Since then western telecoms companies have largely resisted government pressure to install official backdoors providing unfettered access to customer data, instead asking investigative agencies to provide a court-approved warrant for targeted interception.In India, security and law enforcement agencies must request permission on a case-by-case basis from the home secretary to access data via the monitoring equipment — but do not have to go through the courts. Civil liberties campaigners argue that these regulations are inadequate and lack judicial oversight, with the legal framework based in part on the colonial-era Telegraph Act of 1885.In 2011 the Indian home affairs ministry said central government was issuing 7,500 to 9,000 orders every month for phone interception. Udbhav Tiwari, head of global product policy at the Mozilla Foundation, called this process “rubber-stamping exercises”.

PRIVACYDAILY

N. 141/2023

LE TRE NEWS DI OGGI:

  • SHANGAI, L’AUTORITA’ DI CONTROLLO SANZIONA DUE CENTRI COMMERCIALI PER LA RACCOLTA ECCESSIVA DEI DATI PERSONALI
  •  INDIA, I PARTITI POLITICI CHIEDONO PIU’ PRIVACY PER I VOTANTI QUANDO SONO ALL’OPPOSIZIONE
  • IL LEGISLATORE DI ONDO SOTTO ACCUSA PER IL VIDEO CON IL GOVERNATORE MALATO 

L’autorità di vigilanza sul mercato e sulla sicurezza informatica di Shanghai ha ordinato venerdì scorso a due centri commerciali di smettere di raccogliere un numero spropositato di informazioni personali dei consumatori durante il pagamento del parcheggio.Il Consiglio dei consumatori di Shanghai ha dichiarato che quasi la metà dei 140 centri commerciali della città presentava problemi di privacy quando i consumatori scansionavano i codici QR per pagare il parcheggio.Durante un’ispezione, è stato scoperto che il centro commerciale Bailian Youyicheng di Wujiaochang, nel distretto di Yangpu, invitava i consumatori a registrarsi per l’iscrizione, a seguire il suo account ufficiale su WeChat e ad accettare la politica sulla privacy di una terza parte quando pagavano il parcheggio.Hopson One, un altro centro commerciale locale, ha invece convinto i clienti a seguire il suo account WeChat e ad iscriversi.Ai due centri commerciali è stato ordinato di modificare la raccolta dei dati personali dei consumatori, di conformarsi alla legislazione e di prevenire la fuga di informazioni.Le autorità di Shanghai preposte alla sicurezza informatica affermano che ingannare i consumatori affinché si iscrivano o seguano gli account WeChat per ottenere il pagamento di un parcheggio viola le leggi sulla protezione dei dati personali.Hanno ordinato ai centri commerciali e ai proprietari di parcheggi di emettere codici QR per il pagamento diretto e di smettere di raccogliere dati personali. Verrà condotta un’ispezione in tutta la città per risolvere il problema e si consiglia ai cittadini di informare le autorità chiamando i numeri 12315 e 12345 se notano irregolarità.Un’indagine sotto copertura del Consiglio dei consumatori di Shanghai ha scoperto che 27 centri commerciali obbligavano gli utenti a registrarsi per l’iscrizione obbligatoria e richiedevano informazioni personali come il nome e il numero di telefono cellulare quando scansionavano un codice per pagare le tasse.Tra i trasgressori dell’elenco figurano SML Center, BFC, Aegean Place, Super Brand Mall, Longemont Shopping Mall e Huaihai 755.Il Consiglio ha dichiarato che altri 33 centri commerciali, tra cui iapm, Réel Mall e Shanghai IFC, stanno ingannando i consumatori per indurli a seguire i loro account WeChat come requisito per pagare i costi del parcheggio.L’elenco comprende anche Fengshengli, Pudong Kerry Parkside e Changning Raffles.

È stato il partito YSR Congress (YSRC) a chiedere per primo la protezione della privacy degli elettori in Andhra Pradesh durante le elezioni del 2019. La richiesta è stata avanzata a seguito della denuncia di alcuni membri del Telugu Desam Party (TDP) sorpresi con l’app Seva Mitra, contenente foto a colori e profili a 360 gradi degli elettori. Ora il partito Jana Sena rivendica “I miei dati, i miei diritti”, protestando contro la raccolta di dati personali da parte dei volontari dei villaggi del governo di Jagan Mohan Reddy. Anche il TDP si è unito, chiedendo la fine della profilazione a 360 gradi. Allora qual è il problema della privacy degli elettori? È stato il governo del TDP, dal 2014 al 2019, a fare da apripista alla profilazione a 360 gradi in Andhra Pradesh. Il funzionario burocratico in pensione J. Satyanarayana, che è stato presidente della Unique Identification Authority of India (UIDAI) e consulente informatico del governo dell’Andhra Pradesh, ha sostenuto la causa della governance in tempo reale e della profilazione a 360 gradi nello Stato.Ma l’Andhra Pradesh è stato il secondo Stato a realizzare la profilazione.Il Telangana aveva già iniziato a implementarlo prima dell’Andhra Pradesh con il Samagra Kutumba Survey e l’Integrated People Information Hub. Sia il Telangana che l’Andhra Pradesh sono stati il punto di partenza di questi nuovi esperimenti di profilazione a 360 gradi basata su Aadhaar. Questo modello di governance e di spinta verso Aadhaar non è originario dell’India. Questo modello di governance e di spinta all’Aadhaar non è originario dell’India, ma è stato sperimentato principalmente in Estonia, in Europa, e successivamente suggerito ai nostri funzionari burocratici per essere adottato. L’esperimento iniziale del progetto AP Smart Card nel 2006 sotto Y.S. Rajasekhara Reddy è stato il precursore del progetto Aadhaar, anche prima che Nandan Nilekani lo adottasse per essere applicato in tutto il Paese.L’Andhra Pradesh unito è stato il laboratorio per sperimentare l’implementazione di nuovi modelli e tecnologie di governance grazie alla globalizzazione e al ruolo del suo settore informatico nel commercio mondiale. La burocrazia era pronta a sperimentare qualsiasi novità nella popolazione per essere all’avanguardia nelle catene di fornitura globali.Ci sono molti problemi con la profilazione a 360 gradi basata su Aadhaar e c’è stata un’opposizione su larga scala, che ha portato la Corte Suprema dell’India a riconoscere il diritto fondamentale alla privacy.

Il leader della maggioranza della Camera dell’Assemblea dello Stato di Ondo, Oluwole Ogunmolasuyi, è finito sotto accusa per aver condiviso un video della sua visita al governatore Rotimi Akeredolu in un ospedale.Il video condiviso su Instagram mostrava il legislatore che salutava il governatore e gli augurava buon compleanno.Ma i critici hanno criticato l’azione di Ogunmolasuyi, affermando che ha violato la privacy del governatore, che nel video appariva malfermo.Un avvocato senior di Ondo, Kayode Ajulo,ha dichiarato venerdì scorso che la clip è una violazione della privacy del governatore in quanto lo ritrae in uno stato di vulnerabilità.La condivisione di un video del governatore in condizioni di debolezza è altamente insensibile e fuori luogo”, ha dichiarato Ajulo.”A prescindere dalle voci che circolano, la sua privacy e la sua integrità devono essere rispettate, soprattutto in questo periodo di difficoltà di salute”.Ajulo ha inoltre osservato che si sarebbe potuto adottare un approccio più rispettoso, come organizzare un incontro privato o una videochiamata personale per portare i saluti degli stimati benefattori, in particolare del governatore in carica, del Deji di Akure, dell’Olowo del Regno di Owo e di altri dignitari. “Ritengo che si sia trattato di una totale invasione della privacy del governatore e di un atto di insensibilità nei confronti del suo benessere”, ha affermato.”Come cittadini preoccupati, dobbiamo sostenerlo e pregare di più per la sua rapida guarigione, senza sfruttare il suo stato di fragilità per alcuno scopo”. Ha detto che una foto del governatore e di sua moglie era sufficiente per assicurare il pubblico del suo benessere, osservando che le questioni cruciali di salute sono personali e non dovrebbero essere sfruttate per scopi politici o di altro tipo.Ma Ogunmolasuyi, in un’intervista rilasciata sabato a TENET, ha affermato che la sua azione è stata fatta in buona fede e a beneficio dei cittadini.”Oggi ho ribadito che il video virale che mostra il governatore Oluwarotimi Akeredolu in ospedale è stato diffuso in buona fede, senza alcuna intenzione di danneggiare il governatore o la sua famiglia”, ha dichiarato il legislatore.La dichiarazione di Ogunmolasuyi è stata una reazione ai colpi di Ajulo.

English version

  •  SHANGAI, CONTROL AUTHORITY SANCTIONS TWO SHOPPING CENTERS FOR EXCESSIVE COLLECTION OF PERSONAL DATA
  • INDIA, POLITICAL PARTIES DEMAND MORE PRIVACY FOR VOTERS WHEN IN OPPOSITION
  • ONDO LAWMAKER UNDER FIRE OVER VIDEO OF ALLING GOVERNOR AKEREDOLU

 Cybersecurity and market regulator on Friday ordered two shopping malls to stop collecting excessive amounts of consumers’ personal information during parking charge payments.The Shanghai Consumer Council said that nearly half of the 140 shopping malls in the city had privacy issues when consumers scanned QR codes to pay parking fees.During an inspection, Bailian Youyicheng in Wujiaochang, Yangpu District, was found tricking consumers into registering for membership, following its official WeChat account, and agreeing to the third party’s privacy policy when they paid parking fees.Hopson One, another local mall, tricked customers into following its WeChat account and joining.The two shopping malls were ordered to rectify the collection of consumers’ personal information, comply with legislation, and prevent leakage of information.Shanghai’s cybersecurity authorities say misleading consumers into joining or following WeChat accounts for parking fees violates personal information protection laws.They have ordered malls and parking lot owners to issue direct payment QR codes and stop collecting personal data.A citywide inspection will be conducted to address the issue, and netizens are advised to notify authorities by calling 12315 and 12345 if they notice any irregularities.A Shanghai Consumer Council undercover investigation found that 27 shopping malls compelled users to register for mandatory membership and requested personal information like their name and mobile phone numbers when they scanned a code to pay the fees.Some of the offenders on the list included SML Center, BFC, Aegean Place, Super Brand Mall, Longemont Shopping Mall, and Huaihai 755.The council said another 33 shopping malls, including iapm, Réel Mall, and Shanghai IFC, are tricking consumers into following their WeChat accounts as a requirement to pay parking costs.The list also includes Fengshengli, Pudong Kerry Parkside, and Changning Raffles.

It was the YSR Congress (YSRC) Party that first demanded the protection of voters’ privacy in Andhra Pradesh during the 2019 elections. The demand was made in the backdrop of Telugu Desam Party (TDP) members getting caught with the Seva Mitra app, containing colour photos and 360-degree profiles of voters.The political tides have changed. Now, the Jana Sena Party is demanding “My Data, My Right”, protesting against the Jagan Mohan Reddy government’s village volunteers collecting personal data. The TDP, too, has joined in, demanding an end to 360-degree profiling. Then what is the problem with the voters’ privacy?It was the TDP government from 2014 to 2019 that pioneered 360-degree profiling in Andhra Pradesh.Retired bureaucrat J. Satyanarayana, who was the Unique Identification Authority of India (UIDAI) chairman and IT advisor to the Andhra Pradesh government, championed the cause of real-time governance and 360-degree profiling in the state.But Andhra Pradesh was the second state to do the profiling.Telangana had already started implementing it before Andhra Pradesh did with its Samagra Kutumba Survey and Integrated People Information Hub. Both Telangana and Andhra Pradesh were the ground zero of these new experiments of pushing Aadhaar-based 360-degree profiling.This model of governance and push for Aadhaar is not native to India. It was primarily experimented in Estonia in Europe and later suggested to our bureaucrats to be adopted. The early experiment of the AP Smart Card project in 2006 under Y.S. Rajasekhara Reddy was the precursor to the Aadhaar project, even before Nandan Nilekani adopted it to be enforced across the country.United Andhra Pradesh was the laboratory to experiment with the implementation of new governance models and technologies because of globalisation and its IT sector’s place in global trade. The bureaucracy was open to experimenting with anything new in the population to be ahead in global supply chains.There are many problems with Aadhaar-based 360-degree profiling and there has been large-scale opposition to it, resulting in the Supreme Court of India recognising the fundamental right to privacy.

The Majority Leader of the Ondo State House of Assembly, Oluwole Ogunmolasuyi, has come under fire for sharing a video of his visit to Governor Rotimi Akeredolu in a hospital.The video clip shared on Instagram showed the lawmaker greeting the governor and wishing him a happy birthday.But critics faulted the action of Mr Ogunmolasuyi, saying it violated the governor’s privacy, who looked frail in the video.An Ondo-born senior lawyer, Kayode Ajulo said on Friday that the clip was a violation of the privacy of the governor as it portrayed him in a vulnerable state.He said it is essential to prioritise the privacy and dignity of people facing health challenges.“Sharing such a video of the governor in a weakened condition is highly insensitive and uncalled for,” Mr Ajulo said.“Irrespective of the rumour making the rounds, his privacy and integrity must be respected, especially during this time of health struggles.”Mr Ajulo further noted that a more respectful approach could have been taken, such as arranging a private meeting or a personal video call to convey greetings from the esteemed well-wishers, particularly the acting governor, the Deji of Akure, the Olowo of Owo Kingdom and other dignitaries.“I maintain that it was a total invasion of the Governor’s privacy and an act of insensitivity towards his well-being,” he said.“As concerned citizens, we must support him and pray more for his speedy recovery, not exploit his vulnerable state for any purpose.”He said a picture of the governor and his wife was sufficient to assure the public of his well-being, noting that crucial health matters are personal and should not be exploited for political and other purposes.He stressed the need to maintain ethical standards in public disclosure of information and images.But Mr Ogunmolasuyi, in an interview with TENET on Saturday, said his action was done in good faith and for the benefit of the citizenry.“I today insisted that the viral video showing Governor Oluwarotimi Akeredolu in the hospital was released in good faith without any intention of harming the governor or his family,” the lawmaker said.Mr Ogunmolasuyi’s statement was a reaction to Mr Ajulo’s knocks.

 

PRIVACYDAILY

N. 162/2023

LE TRE NEWS DI OGGI:

  • USA, LE MISURE DI SICUREZZA ON LINE PER BAMBINI INCONTRANO UN’AMPIA OPPOSIZIONE DA PARTE DELLE LOBBY
  • UK, DA VENERDI’ SI E’ DIFFUSA LA NOTIZIA CHE UNA STAR MASCHILE DELLA BBC AVREBBE CHIESTO FOTO ESPLICITE AD UN ADOLESCENTE IN CAMBIO DI DENARO, L’IDENTITA’ PER LA PRIVACY NON E’ STATA RIVELATA
  • PERCHE’ LA LEGGE SULLA PROTEZIONE DEI DATI PERSONALI NON FERMERA’ LA PROLIFERAZIONE DEI DATI NELL’INDIA DIGITALE

Gli sforzi del Congresso per rafforzare la sicurezza e la privacy dei bambini online, in un contesto di crisi della salute mentale giovanile, si scontrano con l’opposizione dei lobbisti che sostengono che le proposte legislative sarebbero controproducenti. “Ciò che è così frustrante è che gli interessi specifici di queste grandi piattaforme tecnologiche hanno un’influenza enorme, mentre i genitori e i ragazzi sono lasciati là fuori a confrontarsi con i danni della salute mentale e dell’ansia”, ha dichiarato la rappresentante Kathy Castor (D-Fla.), che ha presentato una proposta di legge sulla privacy dei bambini (H.R. 2801). “È un’azione che il Congresso deve fare da tempo”.I sostenitori della salute mentale dei bambini hanno denunciato gli algoritmi dei social media che, a loro dire, promuovono i disturbi alimentari, l’autolesionismo e l’abuso di sostanze. Famiglie e scuole hanno fatto causa alle principali piattaforme, tra cui Snapchat di Snap Inc., Instagram di Meta Platforms Inc. e TikTok Inc. per presunti danni al benessere degli adolescenti.Una nutrita schiera di sostenitori delle persone LGBTQ+, di sostenitori della libertà di parola e di organizzazioni non profit operanti nel settore tecnologico sostiene che la legislazione, pur essendo lodevole, rischia di creare una maggiore sorveglianza e censura online che minaccia la privacy e la sicurezza di tutti gli utenti di Internet.”Dietro le quinte, le recenti rivelazioni delle lobby federali dei giganti dei social media mostrano un’intensa attività di spesa per le preoccupazioni relative alla privacy e alla sicurezza. I legislatori si stanno opponendo alle critiche – e all’industria tecnologica – nella speranza di approvare una legge nei prossimi mesi, soprattutto dopo i fallimenti passati nell’affrontare il problema.”La crisi della salute mentale dei giovani è così grande che il Congresso commetterebbe un errore storico se non agisse – e agisse ora”, ha dichiarato il senatore Ed Markey (D-Mass.), sponsor di una delle principali proposte di legge sulla privacy dei minori (S. 1418). “Continuerò a lanciare questo messaggio finché non sarà approvato entro la fine dell’anno”.

Da quando venerdì scorso è stata diffusa la notizia che una star maschile della BBC avrebbe chiesto foto esplicite a un’allora adolescente in cambio di denaro, molte persone hanno chiesto pubblicamente perché il suo nome non sia stato reso noto.La risposta è complessa e solleva questioni legali ed editoriali per gli organi di informazione nel Regno Unito.Una delle considerazioni principali è che le accuse fatte dal giornale The Sun sono solo questo: accuse.Non è chiaro se il Sun abbia visto delle prove e, in caso affermativo, quali siano e chi le abbia fornite.Anche in questo caso, altre testate, tra cui Sky News, non hanno visto alcuna prova e si baserebbero su quanto riportato dal Sun.Inoltre, non è chiaro se siano state violate delle leggi, senza conoscere il contenuto delle presunte fotografie e quando esattamente siano state inviate.Per quanto riguarda la BBC, i capi sapranno ovviamente chi è l’uomo al centro di questa vicenda, dal momento che lo hanno sospeso, ma vorranno comunque indagare a fondo sulle accuse prima di rendere pubblico il suo nome.Ha aggiunto: “Per legge, gli individui hanno diritto a una ragionevole aspettativa di privacy, il che rende questa situazione più complessa.”Per quanto riguarda le altre testate, il Regno Unito ha leggi piuttosto severe sulla diffamazione, che proteggono gli individui dai danni, reputazionali o di altro tipo, causati da cose dette su di loro che si rivelano false.Sbagliare può rovinare la carriera, la vita personale e le relazioni di una persona, per cui è molto rischioso fare il nome dell’uomo coinvolto in questo scandalo, dal punto di vista etico, editoriale e legale.Anche le illazioni o le insinuazioni, intenzionali o meno, potrebbero causare problemi.

L’India si sta rapidamente digitalizzando. Ci sono cose positive e negative, ostacoli sulla strada e accorgimenti da tenere in considerazione. La rubrica settimanale Terminal si concentra su tutto ciò che è connesso e non lo è – su questioni digitali, politiche, idee e temi che caratterizzano la conversazione in India e nel mondo. Il Digital Personal Data Protection Bill 2022 dovrebbe finalmente essere approvato dal Parlamento in questa sessione. La bozza finale del disegno di legge ignora anche gli anni di consultazioni pubbliche, non tenendo conto del ruolo degli indiani nel darsi un modo adeguato per essere al sicuro nell’India digitale. È innanzitutto inadeguata ad affrontare le minacce poste nell’era del capitalismo della sorveglianza. Il disegno di legge è più che altro un timbro di garanzia che arriva alla fine di un processo di digitalizzazione che è stato lasciato andare avanti ininterrottamente senza alcuna salvaguardia in nessuna fase. Avevamo bisogno di una legge sulla privacy un decennio fa, ma non è mai stata una priorità e ora che abbiamo una legge, sarà una legge che minaccia di minare i nostri diritti costituzionali. L’idea stessa dell’India digitale è stata quella di promuovere un’economia dei dati in cui i dati sono alla base di tutte le forme di transazioni economiche – una caratteristica primaria del capitalismo della sorveglianza. Ogni progetto di infrastruttura digitale, da Aadhaar, UPI e Digital Locker a CoWIN e Aarogya Setu, ha promosso questa proliferazione fornendo al settore privato interfacce di programmazione di applicazioni per la costruzione di un’economia dei dati. È questa proliferazione che sta causando tutti i problemi, poiché non prevede alcun controllo su chi utilizza i nostri dati personali. Nessuna legge può cambiare la situazione se i sistemi rimangono gli stessi.

English version

  • USA, ONLINE SAFETY MEASURES FOR CHILDREN MEET WIDE OPPOSITION FROM LOBBY
  • UK, SINCE FRIDAY, NEWS HAS BEEN DISSEMINATED THAT A MALE BBC STAR WOULD ASK FOR EXPLETIVE PHOTOS FROM A TEENAGE IN CHANGE FOR MONEY, THE IDENTITY FOR PRIVACY HAS NOT BEEN DISCLOSED
  • WHY THE PERSONAL DATA PROTECTION BILL WON’T STOP DATA PROLIFERATION

Congressional efforts to strengthen children’s safety and privacy online amid a youth mental health crisis are running into opposition from lobbyists who warn legislative proposals would be counterproductive.“What is so frustrating here is that the special interests, these big tech platforms, have outsized influence, and parents and kids are just kind of left out there to grapple with the harms of mental health concerns and anxiety,” said Rep. Kathy Castor (D-Fla.), who’s introduced a child privacy bill (H.R. 2801). “It’s just so overdue for some action by the Congress.”Advocates for kids’ mental health have decried social media algorithms that they say promote eating disorders, self-harm, and substance abuse. Families and schools have sued major platforms, including Snap Inc.’s Snapchat, Meta Platforms Inc.’s Instagram and TikTok Inc., over alleged harm to teens’ well-being.A motley collection of LGBTQ+ advocates, free speech crusaders, and technology nonprofits maintain that the legislation, while laudable, risks creating more online surveillance and censorship that threaten the privacy and safety of all internet users.“The bills are, on balance, gonna hurt more people than they’re gonna help,” said India McKinney, director of federal affairs at the Electronic Frontier Foundation, a digital rights group that’s urged Congress to block legislation.Behind the scenes, social media giants’ recent federal lobbying disclosures show a spending blitz over privacy and safety concerns. Lawmakers are digging in against the criticisms — and the tech industry — in hopes of approving legislation in the coming months, especially after past failures to address the problem.“The crisis in mental health for young people is so great that Congress would have made an historic mistake if it did not act — and act now,” said Sen. Ed Markey (D-Mass.), a sponsor of one major child privacy bill (S. 1418). “I’m going to continue to drive this message until we get it passed before the end of this year.”

Since the news broke on Friday that a male BBC star had allegedly requested explicit pictures from a then teenager in return for cash, many people have asked publicly, why his name has not been released.The answer is complex, and invokes legal and editorial issues for news outlets in the UK.One of the key considerations is that the allegations made in The Sun newspaper are just that – allegations.It is not clear whether evidence has been seen by The Sun, and if it has, what that evidence is and who has supplied it.Even then, other outlets, including Sky News, have not seen any evidence and would be relying on The Sun’s reporting.It is also unclear if any laws have been broken, without knowing the content of the alleged photographs, and when exactly they were sent.And for the BBC, bosses will obviously know who the man at the centre of this is, as they have suspended him, but even still, they will want to thoroughly investigate the allegations before releasing his name.In an email to staff, director-general Tim Davie said the BBC was taking the allegations “incredibly seriously”.He added: “By law, individuals are entitled to a reasonable expectation of privacy, which is making this situation more complex.”I want to assure you that we are working rapidly to establish the facts.”For other outlets, the UK has fairly strict defamation laws, which protect individuals against harm, reputational or otherwise, caused by things that have been said about them which turn out to be false.Getting it wrong could ruin a person’s career, personal life and relationships – so there is significant risk to naming the man involved in this scandal, ethically, editorially and legally.Even inference or innuendo, whether intentional or not, could also cause problems.

India is rapidly digitising. There are good things and bad, speed-bumps on the way and caveats to be mindful of. The weekly column Terminal focuses on all that is connected and is not – on digital issues, policy, ideas and themes dominating the conversation in India and the world. The Digital Personal Data Protection Bill 2022 is finally expected to be pushed through the parliament this Monsoon Session.Nearly five years after the Supreme Court judgement on the right to privacy in Puttaswamy Vs Union of India, this Bill is too late and entirely ignores our fundamental right to privacy in the data economy. The final draft of the Bill also ignores the years of public consultations, disregarding Indians’ roles in giving ourselves a dignified way to be safe in Digital India.Let’s be real about the upcoming Bill. It is, first and foremost, inadequate to address the threats posed in this era of surveillance capitalism. The Bill is more of a rubber stamp that is coming at the end of a digitisation process which has been allowed to run uninterrupted with no safeguards at any stage. We needed a privacy law a decade ago, but it was never a priority and now that we have a law, it will be one that threatens to undermine our constitutional rights.The very idea of Digital India has been to promote a data economy where data is the foundation for all forms of economic transactions – a prime feature of surveillance capitalism.This economic setup, by design, wants proliferation of our personal data through institutions that are controlled by the government.Every digital infrastructure project from Aadhaar, UPI and Digital Locker to CoWIN and Aarogya Setu has promoted this proliferation by providing Application Programming Interfaces to the private sector for building a data economy. It is this proliferation that is causing all the problems as it has no controls in place as to who uses our personal data. No law can change this when the systems remain the same.

PRIVACYDAILY

N. 158/2023

LE TRE NEWS DI OGGI:

  • UK, LA QUESTIONE DELLA CRITTOGRAFIA END- TO – END CONTINUA A SOLLEVARE POLEMICHE
  • INDIA, IL DATA PROTECTION BILL ALL’APPROVAZIONE DEL GOVERNO
  • USA, SANTA MONICA SE SI CHIAMA LA POLIZIA IL PRIMO POLIZIOTTO AD ARRIVARE E’ UN DRONE

Mark Zuckerberg di Meta è in rotta di collisione con il governo del Regno Unito per i suoi  continui piani di inserire la messaggistica super-sicura in tutte le sue app, nonostante esista una legge che potrebbe di fatto mettere fuori legge questa tecnologia. In tutto il mondo, i governi che si oppongono a questa tecnologia stanno osservando da vicino la resa dei conti per vedere come finirà. “Crittografia end-to-end”, “backdoor” e “scansione lato client”: la più grande battaglia tecnologica sembra complicarsi. Ma in realtà si riduce a una domanda molto semplice. Le aziende tecnologiche dovrebbero essere in grado di leggere i messaggi delle persone? Questo è il nocciolo della disputa che da anni oppone la Silicon Valley ai governi di almeno una dozzina di Paesi del mondo. WhatsApp, iMessage, Android Messages e Signal utilizzano tutti un sistema super-sicuro chiamato crittografia end-to-end. Questa tecnologia significa che solo il mittente, da una parte, e il destinatario, dall’altra, possono leggere i messaggi, vedere i media o ascoltare le telefonate. WhatsApp, iMessage, Android Messages e Signal utilizzano tutti un sistema chiamato crittografia end-to-end. Negli ultimi 10 anni, le app con crittografia end-to-end sono diventate sempre più popolari, con miliardi di persone che le utilizzano ogni giorno. La maggior parte dei governi e delle agenzie di sicurezza ha accettato con riluttanza l’ascesa di questa tecnologia, fino a quattro anni fa, quando Zuckerberg ha annunciato sul palco che l’app Messenger e poi Instagram sarebbero passate alla crittografia end-to-end come standard. “Permetteremo a più di due miliardi di persone in tutto il mondo di avere le loro conversazioni più personali in privato”, ha dichiarato. Da allora, Zuckerberg e il suo esercito di ingegneri hanno portato avanti il progetto in modo lento e silenzioso. L’azienda si rifiuta di parlare con i giornalisti in via ufficiale di come sta procedendo il mastodontico lavoro o di quando avverrà il grande passaggio. “Entro la fine del 2023”, è tutto ciò che ha detto pubblicamente.

Il disegno di legge è stato criticato dagli attivisti della privacy perché offre ampie deroghe al Centro e alle sue agenzie e indebolisce il ruolo del comitato per la protezione dei dati. Il progetto di legge sulla protezione dei dati dovrebbe essere presentato mercoledì al Consiglio dei Ministri dell’Unione e, dopo l’approvazione del Consiglio dei Ministri, la legge dovrebbe essere presentata nella sessione monsonica del Parlamento. Il progetto di legge è un pilastro fondamentale di un quadro generale di norme sulla tecnologia che il Centro sta costruendo e che comprende anche il Digital India Bill – il testo proposto come successore dell’Information Technology Act del 2000 -, l’Indian Telecommunication Bill del 2022 e una politica per la governance dei dati non personali. La nuova bozza è stata pubblicata dopo che il governo ha ritirato una versione precedente dal Parlamento lo scorso agosto, dopo quasi quattro anni di lavoro, durante i quali è stata oggetto di diverse revisioni, tra cui quella da parte di una commissione parlamentare congiunta (JCP), e ha affrontato le resistenze di una serie di parti interessate, tra cui aziende tecnologiche e attivisti per la privacy. L’Indian Express ha riportato in precedenza che, in una manovra che potrebbe liberalizzare ulteriormente le condizioni per il trasferimento dei dati, la nuova legge proposta potrebbe consentire flussi di dati globali per impostazione predefinita verso tutte le giurisdizioni diverse da una specifica lista nera di Paesi in cui tali trasferimenti sarebbero limitati. La bozza, rilasciata per consultazione pubblica, prevede che il Centro notifichi i Paesi o i territori in cui i dati personali dei cittadini indiani possono essere trasferiti. Questo cambiamento è visto come una mossa per garantire la continuità del business per le imprese e per collocare l’India come parte cruciale della rete globale di trasferimento dei dati – un elemento importante dei negoziati commerciali che il Paese sta attualmente valutando con regioni chiave come l’Unione Europea. La bozza del disegno di legge è stata presentata per la prima volta lo scorso novembre e successivamente è stata sottoposta ad alcuni passaggi di consultazione pubblica. Sulla base degli input ricevuti durante le consultazioni, è stata preparata una seconda bozza che è stata poi sottoposta ad alcuni passaggi di discussione interministeriale. “Si prevede che mercoledì il Consiglio dei Ministri si occupi del Digital Personal Data Protection Bill, 2022 e che, una volta ottenuta l’approvazione, il disegno di legge venga presentato nella prossima sessione del Parlamento”, ha dichiarato un alto funzionario del governo, che ha chiesto l’anonimato.

Quando qualcuno chiama il 911 per chiamare la polizia nella città balneare di Santa Monica, in California, un drone viene inviato dal tetto della stazione di polizia premendo un pulsante. Rispondono anche gli agenti ma, la maggior parte delle volte, è il drone ad arrivare sul posto per primo addirittura in pochi secondi. “È un cambiamento fondamentale nel modo in cui possiamo fornire servizi di polizia alla nostra città”, ha dichiarato Peter Lashley, un veterano della polizia che spesso pilota il drone da un centro di comando pieno di schermi all’interno della stazione di polizia. La potente telecamera del drone è in grado di fornire una visione di diversi isolati, o di zoomare abbastanza vicino da leggere addirittura una targa. A Santa Monica, la telecamera del drone è stata ad esempio  l’unica testimone di una brutale rapina e uno dei due sospetti è stato arrestato e condannato. In almeno tre occasioni, il drone ha fornito agli agenti intervenuti informazioni cruciali, altrimenti impossibili da ottenere: come quando ha scoperto che quelle che sembravano pistole nelle mani dei soggetti non erano vere armi da fuoco. Questa informazione ha permesso agli agenti di reagire in modo molto meno aggressivo. In un momento in cui le forze dell’ordine si trovano ad affrontare una crisi di legittimità a causa di una serie di casi di omicidio , la polizia sostiene che i droni potrebbero avere un impatto significativo, disinnescando situazioni potenzialmente violente. Ma nel sud della California, i funzionari di polizia che hanno attuato il cosiddetto programma “droni come primo soccorritore” dicono che i residenti e i leader politici sono stati favorevoli ma tribunali hanno stabilito che la sorveglianza aerea della polizia su un’intera città è incostituzionale. “Rispondiamo alle chiamate di servizio al 911”, ha detto Lashley, ex direttore artistico di un’agenzia pubblicitaria di Chicago. “Non sorvoliamo a caso la città alla ricerca di persone che fanno qualcosa di sbagliato”. E ha aggiunto: “Questa tecnologia è agli inizi. Si sta sviluppando. È un elemento che cambia le carte in tavola. … Per noi, violare la fiducia, usare la tecnologia in modo irresponsabile – fa in modo che ogni beneficio che otterremmo non supererà mai i benefici che ci offre”.

English version

  • UK, THE ISSUE OF END TO END CRYPTOGRAPHY CONTINUES TO RAISE POLEMICS
  • INDIA, DATA PROTECTION BILL TO GOVERNMENT APPROVAL
  • USA, SANTA MONICA IF YOU CALL THE POLICE THE FIRST POLICE TO ARRIVE IS A DRONE

Meta’s Mark Zuckerberg is on a collision course with the UK government over continued plans to build super-secure messaging into all his apps despite a potential landmark law that could effectively outlaw the technology. Around the world, governments that also oppose the popular technology are watching the showdown closely to see who will blink first.”End-to-end encryption”, “backdoors” and “client-side scanning” – the biggest row in technology sounds very complicated.But really it comes down to a very simple question. Should technology companies be able to read people’s messages?That is the crux of a row that has been brewing for years between Silicon Valley and the governments of at least a dozen countries around the world.WhatsApp, iMessage, Android Messages and Signal all use the super-secure system called end-to-end encryption.The technology means only the sender, at one end, and the receiver, at the other, can read messages, see media or hear phone calls. Even the app makers cannot access the content.WhatsApp, iMessage, Android Messages and Signal all use the super-secure system called end-to-end encryption.The technology means only the sender, at one end, and the receiver, at the other, can read messages, see media or hear phone calls. Even the app makers cannot access the content.In the past 10 years, end-to-end encrypted apps have become increasingly popular, with billions of people using them every day.Most governments and security agencies reluctantly accepted the technology’s rise – until four years ago, when Mr Zuckerberg announced on stage the Messenger app and then Instagram would move to end-to-end encryption as standard.”We’re going to enable more than two billion people around the world to have their most personal conversations with each other privately,” he said.Since then, Mr Zuckerberg and his army of engineers have slowly and quietly been cracking on with the project. The company is refusing to speak to reporters on the record about how the mammoth task is going or when the big switchover will be. “By the end of 2023,” is all it will say publicly.

The Bill has been criticised by privacy activists for offering wide-ranging exemptions to the Centre and its agencies, and diluting the role of the data protection board. Listen to this articleThe draft data protection Bill is expected to come up before the Union Cabinet today (Wednesday), with the legislation expected to be tabled in the Monsoon session of Parliament after Cabinet approval, The Indian Express has learnt.The Bill is a key pillar of an overarching framework of technology regulations the Centre is building which also includes the Digital India Bill — the proposed successor to the Information Technology Act, 2000; Indian Telecommunication Bill, 2022; and a policy for non-personal data governance.The fresh draft was released after the government withdrew an earlier version from Parliament last August after nearly four years of being in the works, where it went through multiple iterations including a review by a Joint Committee of Parliament (JCP), and faced pushback from a range of stakeholders including tech companies and privacy activists.The Indian Express earlier reported that in a move that could further liberalise conditions for data transfer, the proposed new law could allow global data flows by default to all jurisdictions other than a specified negative list of countries where such transfers would be restricted.The draft which was released for public consultation said that the Centre will notify countries or territories where personal data of Indian citizens can be transferred. Sources said this is likely to be amended with the Bill allowing cross-border data flows to all geographies with an official blacklist — of countries where transfers would be restricted.This change is seen as a move to ensure business continuity for enterprises and to place India as a crucial part of the global data transfer network – an important element of trade negotiations the country is currently exploring with key regions such as the European Union. A draft of the Bill was first floated last November, following which it underwent a few rounds of public consultation. Based on the inputs received during the consultations, a second draft was readied which then underwent some rounds of inter-ministerial discussions.“The Cabinet is expected to take up the Digital Personal Data Protection Bill, 2022 on Wednesday and once it gets the approval, the Bill will be tabled in the upcoming Parliament session,” a senior government official said, requesting anonymity.

When someone calls 911 for police in the upscale beach town of Santa Monica, California, a drone is dispatched from the roof of the station with a push of a button.Officers respond, as well. But most of the time, the drone gets there first — rushing to a set of GPS coordinates punched in by the controller. Sometimes it is there in as fast as 30 seconds.“It’s a fundamental change in the way that we can bring policing services to our city,” said Peter Lashley, a veteran of the force who often pilots the drone from a screen-filled command center inside the police station.The drone’s powerful camera can provide a view of several square blocks, or it can zoom in close enough to read a license plate. In Santa Monica, the drone camera was the only witness to a brutal robbery, and one of two suspects was apprehended and convicted. On at least three occasions, it provided responding officers with critical, otherwise unobtainable information — that what looked like guns in the hands of subjects were not real firearms. That insight allowed officers to respond much less aggressively.At a time when law enforcement agencies face a crisis of legitimacy amid a series of high-profile murder cases against officers, police say drones could make a huge impact by defusing potentially violent situations. Their proliferation is also likely to prompt fears about risks to privacy and a renewed debate about the balance of power between ordinary people and their government.But in Southern California, the police officials who have implemented what is known as the “drones as first responder” program say residents and political leaders have been supportive, because they do not use the drones to hover over neighborhoods, hunting for crime. The courts have found that blanket aerial police surveillance over an entire city is unconstitutional.“We respond to 911 calls for service,” said Lashley, a former art director at a Chicago advertising agency. “We don’t randomly fly over the city looking for people doing anything wrong.”He added: “This technology is in its infancy. It is developing. It’s such a game changer. … For us, breaking the faith, using it irresponsibly — any benefit that we would get will never outweigh the benefits that it gives us.”

PRIVACY DAILY 90/2023

La collaborazione tra Unione Europea e Corea del Sud in materia di privacy è sempre più stretta. Nel loro ultimo incontro, il presidente della Commissione per la protezione dei dati personali coreana Haksoo Ko e il commissario europeo per la Giustizia Didier Reynders hanno accolto con favore il forte partenariato tra la Repubblica di Corea e l’UE in materia di privacy e flussi di dati personali e hanno esplorato le possibili vie per un’ulteriore cooperazione. Sulla base dell’elevato grado di convergenza tra i regimi di protezione dei dati della Corea e dell’UE, la Commissione europea ha adottato una decisione di adeguatezza per il trasferimento di dati personali dall’Unione europea alla Repubblica di Corea nel dicembre 2021. Su questa base, i dati personali viaggiano in modo sicuro dall’UE alla Corea del Sud, senza bisogno di ulteriori autorizzazioni o meccanismi di trasferimento aggiuntivi. Grazie al suo ampio campo di applicazione – che copre sia il settore privato che quello pubblico – la decisione sostiene i flussi di dati transfrontalieri tra le imprese e facilita la cooperazione normativa. La recente riforma della legge sulla protezione dei dati personali ha ulteriormente aumentato le sinergie tra i quadri normativi della Repubblica di Corea e dell’UE in materia di protezione dei dati. Entrambe le parti hanno convenuto che ciò apre nuove possibilità per una cooperazione ancora più stretta in materia di privacy e flussi di dati. Hanno inoltre concordato di esplorare i modi per sviluppare ulteriormente il quadro per i flussi di dati Corea-UE.

Un errore informatico mette a rischio decine di migliaia di mutuatari in Irlanda. Nel corso della vendita dei prestiti da KBC Bank Ireland a Bank of Ireland, si è verificato un errore che ha fatto sì che il mutuante non inviasse gli aggiornamenti mensili sull’andamento dei prestiti al Central Credit Register (CCR). I dati mancanti da febbraio possono influire sulla capacità dei mutuatari di ottenere prestiti o credito altrove, benché la banca si dimostri scettica in tal senso. La Bank of Ireland ha comunicato ai suoi nuovi clienti, con lettere inviate di recente, che il problema si è verificato al momento del trasferimento, dove la “data di inizio” del prestito è stata inserita in modo errato nei suoi sistemi. Un portavoce della banca ha dichiarato che il problema riguardava circa 35.000 conti ipotecari, ovvero circa la metà dei prestiti KBC acquisiti. La notizia dell’errore nei dati arriva un anno dopo che la Bank of Ireland è stata multata per 463.000 euro dalla Data Protection Commission (DPC), dopo che un’indagine ha rilevato che 47.000 conti di clienti sono stati accidentalmente alterati in modo tale da danneggiare il loro rating creditizio e impedire loro di ottenere prestiti. Tra novembre 2018 e giugno 2019, la DPC ha ricevuto 22 notifiche di data breach da parte della Bank of Ireland in relazione a dati errati che la banca inviava al Central Credit Register. In totale, 19 di questi incidenti rispondevano alla definizione di “violazione dei dati personali”.

La legge sulla privacy indiana sembra ormai in dirittura d’arrivo. Il governo dell’Unione ha informato la Corte Suprema che è “pronta” una nuova legge, il Digital Personal Data Protection Bill 2022, per far rispettare la privacy individuale nello spazio online. Il nuovo disegno di legge, se approvato dal Parlamento, sostituirà l’attuale Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, adottato nel 2011. Nel 2017 la Corte Suprema ha riconosciuto la privacy come diritto fondamentale e ha sottolineato la necessità di proteggere i dati personali online. A gennaio, in una dichiarazione giurata depositata in tribunale, il governo aveva affermato che il Ministero delle tecnologie dell’informazione aveva avviato una consultazione delle parti interessate sulla bozza di legge. Il Ministero aveva poi informato la Corte che stava “raccogliendo e analizzando i feedback e i suggerimenti ricevuti, al fine di portare avanti il progetto di legge”. Aveva assicurato alla Corte che il disegno di legge sarebbe stato presentato in Parlamento al più presto. Lo scopo del disegno di legge 2022 è quello di “prevedere il trattamento dei dati personali digitali in modo da riconoscere sia il diritto delle persone a proteggere i propri dati personali sia la necessità di trattare i dati personali per scopi leciti”. Il nuovo disegno di legge definisce i “dati” come una “rappresentazione di informazioni, fatti, concetti, opinioni o istruzioni in un modo adatto alla comunicazione, all’interpretazione o all’elaborazione da parte di esseri umani o di mezzi automatizzati”.

English version

Collaboration between the European Union and South Korea on privacy issues is growing closer. In their latest meeting, Korean Data Protection Commission Chairman Haksoo Ko and European Commissioner for Justice Didier Reynders welcomed the strong partnership between the Republic of Korea and the EU on privacy and personal data flows and explored possible avenues for further cooperation. Based on the high degree of convergence between the data protection regimes of Korea and the EU, the European Commission adopted an adequacy decision for the transfer of personal data from the EU to the Republic of Korea in December 2021. On this basis, personal data travel securely from the EU to South Korea, without the need for additional authorizations or transfer mechanisms. With its broad scope-covering both the private and public sectors-the decision supports cross-border data flows between businesses and facilitates regulatory cooperation. The recent reform of the Personal Data Protection Act has further increased synergies between the Republic of Korea and EU data protection regulatory frameworks. Both sides agreed that this opens up new possibilities for even closer cooperation on privacy and data flows. They also agreed to explore ways to further develop the framework for Korea-EU data flows.

A computer error puts tens of thousands of borrowers in Ireland at risk. During the sale of loans from KBC Bank Ireland to Bank of Ireland, an error occurred that caused the lender not to send monthly updates on loan performance to the Central Credit Register (CCR). The missing data since February may affect borrowers’ ability to obtain loans or credit elsewhere, although the bank is skeptical of this. Bank of Ireland told its new customers in letters sent recently that the problem occurred at the time of transfer, where the “start date” of the loan was entered incorrectly into its systems. A spokesman for the bank said the problem affected about 35,000 mortgage accounts, or about half of the KBC loans acquired. The news of the data error comes a year after Bank of Ireland was fined 463,000 euros by the Data Protection Commission (DPC) after an investigation found that 47,000 customer accounts were accidentally altered in a way that damaged their credit rating and prevented them from obtaining loans. Between November 2018 and June 2019, DPC received 22 data breach notifications from Bank of Ireland related to incorrect data the bank was sending to the Central Credit Register. In total, 19 of these incidents met the definition of “personal data breach.”

India’s privacy law now seems to be in the home stretch. The Union government has informed the Supreme Court that a new law, the Digital Personal Data Protection Bill 2022, is “ready” to enforce individual privacy in the online space. The new bill, if passed by Parliament, will replace the current Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, adopted in 2011. In 2017, the Supreme Court recognized privacy as a fundamental right and stressed the need to protect personal data online. In January, in an affidavit filed with the court, the government had said that the Ministry of Information Technology had initiated a stakeholder consultation on the draft law. The ministry had then informed the court that it was “collecting and analyzing the feedback and suggestions received in order to move the draft law forward.” It had assured the Court that the draft law would be submitted to Parliament as soon as possible. The purpose of Bill 2022 is to “provide for the processing of personal digital data in a manner that recognizes both the right of individuals to protect their personal data and the need to process personal data for lawful purposes.” The new bill defines “data” as a “representation of information, facts, concepts, opinions or instructions in a manner suitable for communication, interpretation or processing by human beings or automated means.”

PRIVACY DAILY 83/2023

Secondo alcune fonti, la Federal Trade Commission intende avviare un’azione contro Amazon per presunte violazioni della privacy derivanti dall’utilizzo dei dati dei bambini mediante l’assistente vocale Alexa dell’azienda. L’agenzia antitrust e per la tutela dei consumatori sta indagando su Amazon da diversi anni, anche per possibili violazioni del Children’s Online Privacy Protection Act, che potrebbero comportare ingenti sanzioni pecuniarie civili. Prima di intentare una causa, la FTC deve presentare un reclamo alla sezione competente in materia di protezione dei consumatori presso il Dipartimento di Giustizia, cosa che si prevede farà presto, secondo quanto dichiarato dalle fonti, anche se non si conoscono i tempi esatti del rinvio e fino ad allora i piani dell’agenzia potrebbero cambiare. Il Dipartimento di Giustizia ha 45 giorni di tempo per intentare una causa una volta che questa è stata rinviata. Se rifiuta, la FTC può procedere da sola. La FTC ha rifiutato di commentare, come pure l’azienda, che in precedenza aveva dichiarato di essere conforme al COPPA e che la sua offerta Amazon Kids per Alexa richiede il consenso dei genitori e dà loro il pieno controllo sull’uso del prodotto da parte dei figli. La FTC ha condotto per anni indagini, oggetto di grande attenzione, nei confronti di Amazon su aspetti antitrust e ne ha in corso diverse sulla tutela dei consumatori, anche in relazione a potenziali violazioni della privacy e della sicurezza dei dati nel settore delle telecamere Ring e della sicurezza domestica. Le sanzioni pecuniarie previste dal COPPA sono limitate a poco più di 50.000 dollari per ogni violazione, anche se ogni persona interessata è considerata una violazione separata e il numero totale può salire rapidamente per un’azienda delle dimensioni di Amazon.

In occasione del secondo Summit per la Democrazia, il Regno Unito e gli Stati Uniti hanno annunciato i vincitori delle sfide a premi per promuovere le Privacy Enhancing Technology (PET). Innovatori di entrambe le sponde dell’Atlantico erano stati invitati a costruire soluzioni che consentano lo sviluppo collaborativo di nuove tecnologie, mantenendo al contempo la riservatezza delle informazioni sensibili. In particolare, le sfide si sono concentrate sullo sviluppo di soluzioni PET per due scenari: la previsione di infezioni pandemiche e l’individuazione di crimini finanziari. Esperti di fama mondiale provenienti da istituzioni accademiche, aziende tecnologiche globali e start-up operanti nel settore della privacy si sono contesi i premi in denaro di un montepremi combinato tra Regno Unito e Stati Uniti di 1,6 milioni di dollari. Le soluzioni vincenti hanno combinato diverse PET per consentire ai modelli di intelligenza artificiale di imparare a fare previsioni migliori senza mettere a rischio alcun dato sensibile. Questa attenzione alla combinazione di approcci alla privacy ha incoraggiato lo sviluppo di soluzioni innovative che affrontano problemi pratici di privacy dei dati in scenari reali. Nella fase finale delle sfide, le PET sono state messe alla prova di tentativi, da parte di appositi “red teams”, di rivelare i dati originali utilizzati per l’addestramento dei modelli. La resistenza delle soluzioni a questi attacchi ha determinato i vincitori finali. I partecipanti del Regno Unito hanno ricevuto anche il supporto dell’Information Commissioner’s Office (ICO) per aiutarli a valutare come le loro soluzioni possano. John Edwards, Commissario per l’Informazione del Regno Unito, ha dichiarato:  “Le tecnologie che migliorano la privacy possono aiutare ad analizzare i dati in modo responsabile, legale e sicuro e sarà importante che le autorità di regolamentazione e l’industria

Gli Indiani amano la videosorveglianza? Secondo una società di ricerca sulla sicurezza informatica e sulla privacy con sede nel Regno Unito, ci sono più di 1,5 milioni di telecamere di sicurezza in 15 città indiane. Una popolazione complessiva di 135,8 milioni di abitanti in queste città corrisponde a una media di 11 telecamere ogni 1.000 persone. I cittadini credono che aiutino a ridurre la criminalità – anche se alcuni studi dimostrano che sono più utili per risolvere i crimini che per prevenirli – ma i gruppi per le libertà civili mettono in guardia dai pericoli della sorveglianza di massa. Alcune città indiane sono piene di telecamere rispetto ad altre. Hyderabad ha quasi 42 telecamere ogni 1.000 persone. Indore è la città con il numero più alto: 63 per 1.000 abitanti. Queste due città, insieme a Delhi (26,7 telecamere) e a Chennai (24,53 telecamere), sarebbero tra le città più sorvegliate al mondo, secondo Comparitech. Anche la domanda di telecamere a circuito chiuso è in aumento. Lo scorso luglio, la società Godrej Security Solution ha registrato un aumento delle vendite del 40% rispetto al 2022. Di recente, guidando nelle campagne dello stato settentrionale del Bihar, ho trovato telecamere posizionate su cumuli di mattoni in forni carichi di fuliggine che sputavano fumo e alimentavano il boom edilizio del Paese. Tenevano d’occhio i contadini poveri che producevano mattoni. Grazie al crollo dei prezzi, anche alcune case avevano telecamere fuori dalla porta principale. “È uno status symbol” afferma qualcuno. Un nuovo rapporto di Common Cause, un gruppo no-profit, in collaborazione con Lokniti-CSDS, un gruppo di sondaggi, sembra confermare questo entusiasmo per la sorveglianza tra gli indiani. Lo studio – basato su interviste a più di 9.700 persone in 12 Stati – rileva un “alto livello di sostegno pubblico per alcune forme di sorveglianza governativa”.

English version

According to sources, the Federal Trade Commission intends to soon file a lawsuit against Amazon for alleged privacy violations stemming from the use of children’s data with the company’s Alexa voice assistant. The antitrust and consumer protection agency has been investigating Amazon for several years, including for possible violations of the Children’s Online Privacy Protection Act, which could result in large civil fines. Before filing a lawsuit, the FTC must file a complaint with the relevant consumer protection section at the Justice Department, which it is expected to do soon, sources said, although the exact timing of the referral is unknown and until then the agency’s plans could change. The Justice Department has 45 days to file a lawsuit once it has been deferred. If it refuses, the FTC can proceed on its own. The FTC declined to comment, as did the company, which had previously stated that it complies with COPPA and that its Amazon Kids offering for Alexa requires parental consent and gives parents full control over their children’s use of the product. The FTC has been investigating Amazon on antitrust issues for years and has several ongoing consumer protection investigations, including into potential privacy and data security breaches in the ring camera and home security sectors. The fines under COPPA are limited to just over $50,000 per violation, although each affected person is considered a separate violation and the total number can quickly rise for a company of Amazon’s size.

At the second Democracy Summit, the United Kingdom and the United States announced the winners of prize-winning challenges to promote Privacy Enhancing Technology (PET). Innovators from both sides of the Atlantic were invited to build solutions that enable the collaborative development of new technologies while maintaining the privacy of sensitive information. In particular, the challenges focused on the development of PET solutions for two scenarios: the prediction of pandemic infections and the detection of financial crimes. World-renowned experts from academic institutions, global technology companies and privacy start-ups competed for cash prizes from a combined UK-US prize pool of $1.6 million. The winning solutions combined several PETs to enable artificial intelligence models to learn how to make better predictions without putting any sensitive data at risk. This focus on combining privacy approaches encouraged the development of innovative solutions that address practical data privacy issues in real-world scenarios. In the final phase of the challenges, PETs were tested by attempts by ‘red teams’ to reveal the original data used for training the models. The resistance of the solutions to these attacks determined the final winners. The UK participants also received support from the Information Commissioner’s Office (ICO) to help them assess how their solutions could. John Edwards, UK Information Commissioner, said: ‘Privacy-enhancing technologies can help analyse data in a responsible, legal and secure way and it will be important that regulators and industry

Do Indians love video surveillance? According to a UK-based computer security and privacy research company, there are more than 1.5 million security cameras in 15 Indian cities. A total population of 135.8 million in these cities corresponds to an average of 11 cameras per 1,000 people. Citizens believe they help reduce crime – although some studies show they are more helpful in solving crimes than preventing them – but civil liberties groups warn of the dangers of mass surveillance. Some Indian cities are full of cameras compared to others. Hyderabad has almost 42 cameras for every 1,000 people. Indore is the city with the highest number: 63 per 1,000 inhabitants. These two cities, along with Delhi (26.7 cameras) and Chennai (24.53 cameras), would be among the most surveilled cities in the world, according to Comparitech. The demand for CCTV cameras is also on the rise. Last July, the company Godrej Security Solution reported a 40 per cent increase in sales over 2022. Recently, driving through the countryside of the northern state of Bihar, I found cameras placed on piles of bricks in soot-laden furnaces spewing smoke and fuelling the country’s building boom. They were keeping an eye on poor farmers producing bricks. Thanks to falling prices, even some houses had cameras outside the front door. ‘It’s a status symbol,’ some say. A new report by Common Cause, a non-profit group, in collaboration with Lokniti-CSDS, a survey group, seems to confirm this enthusiasm for surveillance among Indians. The study – based on interviews with more than 9,700 people in 12 states – finds a ‘high level of public support for some forms of government surveillance’.

PRIVACY DAILY 68/2023

Le ferrovie svizzere (FFS) hanno deciso di non adottare sensori aumentati per analizzare il flusso di persone. Si tratta di un’importante vittoria per i sostenitori della privacy in Svizzera. Le FFS abbandoneranno l’analisi del flusso di persone nelle stazioni in base all’età, all’altezza e al sesso. La decisione, annunciata durante la conferenza stampa annuale dell’azienda, è stata motivata dalle preoccupazioni dell’opinione pubblica in seguito alla pubblicazione di un articolo sulla rivista K-Tipp. Questa rivista di lingua tedesca aveva rivelato l’esistenza di una gara d’appalto indetta dalle FFS per un nuovo sistema di analisi dei flussi di passeggeri di cui si sarebbero dovute dotare una cinquantina di stazioni nei prossimi anni. Secondo K-Tipp, le FFS volevano utilizzare telecamere aumentate da un software di riconoscimento facciale, cosa che l’azienda ha poi formalmente smentito. Sebbene l’intenzione delle FFS di ottenere dati biometrici sui passeggeri nelle stazioni non sia provata, il bando di gara privilegiava i sensori di conteggio per ottenere informazioni come età, sesso e altezza delle persone. Si tratta di dati che appartengono al campo della “biometria soft”, cioè di caratteristiche che, prese singolarmente, non permettono di identificare una persona. Ma se incrociati con altri elementi, possono essere utilizzati per affinare tale profilazione. Dopo settimane di polemiche, la direzione delle FFS ha finalmente deciso di analizzare la gara d’appalto ed è giunta alla conclusione che questi requisiti non sono necessari per misurare il numero di passeggeri. L’obiettivo è rendere le stazioni più confortevoli e sicure. La gara d’appalto sarà modificata di conseguenza e l’assegnazione del contratto non avverrà prima del primo trimestre del 2024, mentre era prevista per giugno 2023. Il sistema sarà implementato probabilmente a partire dal 2025. Le offerte già ricevute saranno sottoposte a una valutazione dell’impatto sulla protezione dei dati. La scelta sarà effettuata dopo l’esame dell’Incaricato federale per la protezione dei dati.

Rendere l’Intelligenza artificiale a prova di bias: questa la difficile sfida in cui sono impegnati sia i fornitori di IA che i datori di lavoro. Secondo Bloomberg, infatti, le aziende dipendono sempre più dall’IA per prendere decisioni in materia di occupazione. Un sondaggio della Society for Human Resource Management del febbraio 2022 ha mostrato che il 79% dei datori di lavoro utilizza l’IA per il reclutamento e l’assunzione. Ora, però, si profilano all’orizzonte requisiti di compliance più stingenti in luoghi come New York City o (ancora di più) l’Unione Europea. Le normative che cercano di prevenire i bias dell’IA in genere richiedono che la tecnologia sia sottoposta a qualche forma di audit. Ma il settore dell’audit dell’IA è nascente e gli standard e le best practice del settore sono ancora in fase di sviluppo. Con l’aumentare del controllo pubblico, i fornitori e i revisori di IA affermano che la divulgazione dei loro metodi ha contribuito a placare le preoccupazioni dell’opinione pubblica. Ma alcuni c’è anche dello scettismo. HireVue è stata criticata per il presunto “audit-washing” o per aver descritto in modo errato i risultati di una verifica dei suoi prodotti condotta nel 2021 da O’Neil Risk Consulting & Algorithmic Auditing. L’azienda è stata criticata anche per i suoi strumenti di analisi facciale utilizzati per le assunzioni, che sono stati interrotti nel gennaio 2021 poco dopo che l’Electronic Privacy Information Center ha presentato un reclamo alla Federal Trade Commission, sostenendo che si trattava di una violazione della privacy, oltre che di bias. Lindsey Zuloaga, chief data scientist di HireVue, ha dichiarato che la trasparenza è la risposta. Anche se non è obbligatorio, HireVue e altre importanti società di tecnologia delle risorse umane pubblicano sul loro sito web dichiarazioni etiche e altri documenti che spiegano il funzionamento dei loro sistemi.

In India, il Ministero della Salute dell’Unione è preoccupato per i trattamenti di dati effettuati dalle farmacie elettroniche. Negli ultimi due anni, la consegna di farmaci online è aumentata e con essa le aziende che offrono questi servizi. Mg, NetMeds e PharmEasy sono solo alcuni dei grandi nomi del settore delle farmacie online. Tuttavia, sembra che il Governo stia per portare cattive notizie a queste aziende. Secondo un rapporto, l’esecutivo sarebbe preoccupato per la privacy, per alcune pratiche scorrette nel settore e persino per la vendita “irrazionale” di farmaci. Il ministero ha inviato una bozza rivista del New Drugs, Medical Devices and Cosmetics Bill, 2023 per una consultazione interministeriale. A quanto si apprende, il disegno di legge afferma: “il governo centrale può regolare, limitare o proibire la vendita o la distribuzione di qualsiasi farmaco in modalità online, mediante notifica”. Peraltro, stando sempre a fonti governative, i dati e la privacy dei pazienti sono una delle principali aree di interesse. Le farmacie elettroniche sono, infatti, note per la raccolta indiscriminata di dati relativi al consumo di farmaci. Secondo quanto riferito, un gruppo di ministri si sarebbe detto addirittura favorevole a un divieto totale delle farmacie online. Il governo ha chiesto un feedback a tutte le parti interessate in merito all’ottenimento dei permessi per la gestione delle farmacie elettroniche. Il mese scorso, il Drugs Controller General of India (DCGIl) ha inviato notifiche a circa 20 farmacie online, contestando la presunta violazione delle norme sulla vendita di farmaci online.

English version

The Swiss Railways (FFS) has decided not to adopt augmented sensors to analyse the flow of people. This is a major victory for privacy advocates in Switzerland. SBB will abandon the analysis of the flow of people at stations based on age, height and gender. The decision, announced at the company’s annual press conference, was prompted by public concern following the publication of an article in the magazine K-Tipp. This German-language magazine had revealed the existence of a tender launched by the SBB for a new passenger flow analysis system that was to be equipped at around fifty stations over the next few years. According to K-Tipp, FFS wanted to use cameras augmented by facial recognition software, which the company later formally denied. Although FFS’s intention to obtain biometric data on passengers at stations is not proven, the tender favoured counting sensors to obtain information such as people’s age, sex and height. These data belong to the field of ‘soft biometrics’, i.e. characteristics that, taken individually, do not allow a person to be identified. But when crossed with other elements, they can be used to refine such profiling. After weeks of controversy, the SBB management finally decided to analyse the tender and came to the conclusion that these requirements are not necessary to measure the number of passengers. The aim is to make stations more comfortable and safer. The tender will be amended accordingly and the awarding of the contract will not take place before the first quarter of 2024, whereas it was planned for June 2023. The system will probably be implemented from 2025. Tenders already received will be subject to a data protection impact assessment. The choice will be made after examination by the Federal Data Protection Commissioner.

Making artificial intelligence bias-proof: this is the difficult challenge in which both AI providers and employers are engaged. Indeed, according to Bloomberg, companies are increasingly dependent on AI to make employment decisions. A survey by the Society for Human Resource Management in February 2022 showed that 79 per cent of employers use AI for recruitment and hiring. Now, however, stingier compliance requirements are on the horizon in places like New York City or (even more so) the European Union. Regulations that seek to prevent AI bias generally require the technology to be audited in some form. But the field of AI auditing is nascent and industry standards and best practices are still being developed. As public scrutiny increases, AI vendors and auditors claim that the disclosure of their methods has helped allay public concerns. But some are also sceptical. HireVue has been criticised for alleged ‘audit-washing’ or mischaracterising the results of an audit of its products conducted in 2021 by O’Neil Risk Consulting & Algorithmic Auditing. The company has also been criticised for its facial analysis tools used for recruitment, which were discontinued in January 2021 shortly after the Electronic Privacy Information Center filed a complaint with the Federal Trade Commission, alleging privacy violations as well as bias. Lindsey Zuloaga, chief data scientist at HireVue, said that transparency is the answer. Although it is not mandatory, HireVue and other major HR technology companies publish ethical statements and other documents on their website explaining how their systems work.

In India, the Union Ministry of Health is concerned about data processing by electronic pharmacies. Over the past two years, online drug delivery has increased and with it the companies offering these services. Mg, NetMeds and PharmEasy are just some of the big names in the online pharmacy sector. However, it seems that the government is about to bring bad news to these companies. According to a report, the executive is concerned about privacy, some unfair practices in the sector and even the ‘irrational’ sale of drugs. The ministry sent a revised draft of the New Drugs, Medical Devices and Cosmetics Bill, 2023 for inter-ministerial consultation. The bill reportedly states: ‘the central government may regulate, restrict or prohibit the sale or distribution of any drug in an online mode, by notification’. Moreover, according to government sources, patients’ data and privacy are one of the main areas of concern. Electronic pharmacies are, in fact, known to indiscriminately collect data on drug consumption. Reportedly, a group of ministers even favoured a total ban on online pharmacies. The government has asked for feedback from all stakeholders on obtaining permits to operate electronic pharmacies. Last month, the Drugs Controller General of India (DCGIl) sent notices to about 20 online pharmacies, alleging violation of regulations on the sale of drugs online.

PRIVACY DAILY 60/2023

La Federal Trade Commission (FTC) vieta al servizio di consulenza psicologica online BetterHelp Inc. di condividere i dati sanitari dei suoi utenti, comprese le informazioni sui problemi di salute mentale, a scopo pubblicitario. La proposta di ordinanza prevede anche che l’azienda paghi 7,8 milioni di dollari di risarcimento agli utenti per aver rivelato i loro dati a terzi, come Facebook e Snapchat. BetterHelp offre servizi di consulenza online con questo nome e con versioni specializzate per un pubblico particolare – i.e. Pride Counseling per i membri della comunità LGBTQ, Faithful Counseling per le persone di fede cristiana, Terappeuta per i clienti di lingua spagnola e Teen Counseling per gli adolescenti che si iscrivono con il permesso dei genitori -. I consumatori interessati ai servizi di BetterHelp devono compilare un questionario che chiede dati relativi alla salute mentale, come ad esempio se hanno sofferto di depressione o pensieri suicidi e se stanno assumendo farmaci. Inoltre forniscono il loro nome, l’indirizzo e-mail, la data di nascita e altre informazioni personali. I consumatori vengono poi abbinati a un consulente e pagano tra i 60 e i 90 dollari a settimana per la consulenza. In diversi punti del processo di iscrizione, BetterHelp ha promesso ai consumatori che non avrebbe utilizzato o divulgato i loro dati sanitari personali se non per scopi limitati, come la fornitura di servizi di consulenza. Ma così non è stato nella pratica, stando alle valutazioni della FTC. Così, a BetterHelp sarà vietato di condividere i dati personali dei consumatori con alcune terze parti per il re-targeting. La FTC pubblicherà a breve una descrizione del consent agreement package nel Federal Register. L’accordo sarà soggetto a commenti pubblici per 30 giorni dopo la pubblicazione nel Federal Register, dopodiché la Commissione deciderà se renderlo definitivo. 

Nel Regno Unito, una madre ha dichiarato di essere stata lasciata sola “nel deserto” mentre tentava di ottenere informazioni dalle tech companies sulla morte di sua figlia adolescente. La ragazza si era suicidata circa cinque anni or sono, dopo aver visto materiale autolesionistico online. La famiglia ha cercato più volte di ottenere informazioni e si è trovata “assolutamente in difficoltà”. Perciò, insieme ad altre famiglie, stanno conducendo una campagna per cambiare le cose. In particolare, vogliono un emendamento all’Online Safety Bill, al momento in corso di approvazione in Parlamento, che consenta alle famiglie e ai medici legali di ottenere il supporto delle authorities (una su tutte, dell’Ofcom) per ottenere dalle piattaforme informazioni sul materiale a cui i loro figli accedevano prima della loro morte. Il gruppo ha scritto al Primo Ministro, al Ministro della Giustizia e al Segretario di Stato per la Scienza e la Tecnologia, chiedendo che la legge venga modificata. Nella lettera inviata al Governo – e citata parzialmente dalla BBC – si legge: “Ognuno di noi ha perso un figlio in circostanze legate al mondo digitale, e ognuno di noi ha lottato per ottenere le informazioni necessarie a comprendere meglio la sua morte. Purtroppo, ogni anno, ci sono centinaia di famiglie che si trovano in circostanze altrettanto dolorose. Il processo di accesso ai dati è stato disumano. In alcuni casi, ci sono voluti anni e siamo stati lasciati in loop automatici, parlando con bot online, come se stessimo contattando oggetti smarriti”.

Il cammino verso l’introduzione del Data Protection Bill in India non è certo privo di colpi di scena. L’ultimo è stata la smentita da parte del deputato Lok Sabha della dichiarazione del ministro dell’Elettronica e della Tecnologia dell’Informazione Ashwini Vaishnaw, secondo cui la Commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato un “grande pollice in su” alla proposta legislativa del Governo. Dal 2017, quando la Corte Suprema indiana con la storica sentenza Puttaswamy, ha stabilito all’unanimità che la privacy è un diritto fondamentale dei cittadini indiani, si sono già avvicendate quattro versioni della legge sulla protezione dei dati. L’ultima è il Digital Personal Data Protection (DPDP) Bill, pubblicato dal Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) per la consultazione pubblica il 18 novembre 2022. In una recente dichiarazione, il ministro Ashwini Vaishnaw ha affermato che la commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato parere favorevole al progetto di legge. Ma forse si è trattato di eccessivo ottimismo. Nel corso della seduta dello scorso dicembre, la Commissione aveva, infatti, invitato i rappresentanti del MeitY per ascoltare il loro punto di vista sulla “sicurezza dei dati dei cittadini e la privacy” (in una sorta di discussione preliminare sulla proposta di DPDP), ma i membri della Commissione avevano, però, sollevato diverse questioni. Soprattutto, dal momento che la proposta non è stata inviata formalmente alla commissione, l’approvazione o la disapprovazione del Data Protection Bill in questa fase non risulta all’ordine del giorno. Peraltro, vengono sollevate aspre critiche sotto vari profili giuridici. In particolare, viene affermato che il disegno di legge sul DPDP non riuscirebbe a soddisfare il quadruplice test sulla privacy, (legalità, finalità proporzionalità e garanzie procedurali) stabilito dalla Corte Suprema nella sentenza Puttaswamy.

English version

The Federal Trade Commission (FTC) issued a proposed order prohibiting the online psychological counselling service BetterHelp Inc. from sharing its users’ health data, including information about mental health problems, for advertising purposes. The proposed order also requires the company to pay $7.8 million to compensate users for disclosing their data to third parties, such as Facebook and Snapchat. BetterHelp offers online counselling services under this name and with specialised versions for particular audiences – i.e. Pride Counseling for members of the LGBTQ community, Faithful Counseling for people of the Christian faith, Terappeuta for Spanish-speaking clients, and Teen Counseling for teenagers who sign up with parental permission -. Consumers interested in BetterHelp’s services must fill out a questionnaire that asks for mental health data, such as whether they have suffered from depression or suicidal thoughts and whether they are taking medication. They also provide their name, e-mail address, date of birth and other personal information. Consumers are then matched with a counsellor and pay between $60 and $90 per week for counselling. At several points in the sign-up process, BetterHelp promised consumers that it would not use or disclose their personal health data except for limited purposes, such as providing counselling services. But this has not been the case in practice, according to the FTC’s assessments. Thus, BetterHelp will be prohibited from sharing consumers’ personal data with certain third parties for re-targeting purposes. The FTC will shortly publish a description of the consent agreement package in the Federal Register. The agreement will be subject to public comment for 30 days after publication in the Federal Register, after which the Commission will decide whether to make it final.

In the UK, a mother claimed to have been left ‘in the wilderness’ while trying to get information from tech companies about the death of her teenage daughter. The girl had died by suicide about five years ago after seeing self-harming material online. The family tried several times to obtain information and found themselves ‘absolutely at a loss’. Therefore, together with other families, they are campaigning to change this. In particular, they want an amendment to the Online Safety Bill, currently pending in Parliament, which would allow families and forensic scientists to get support from the authorities (particularly Ofcom) to obtain information from platforms about the material their children accessed before their death. The group has written to the Prime Minister, the Minister of Justice and the Secretary of State for Science and Technology, requesting that the law be amended. The letter sent to the government – and viewed by the BBC – reads: ‘Each of us has lost a child in circumstances related to the digital world, and each of us has struggled to get the information we need to better understand their death. Sadly, every year, there are hundreds of families who find themselves in similarly painful circumstances. The process of accessing data has been inhuman. In some cases, it took years and we were left in automated loops, talking to online bots, as if we were contacting lost and found’.

The path towards the introduction of the Data Protection Bill in India has certainly not been without its twists and turns. The latest was MP Lok Sabha’s denial of Electronics and Information Technology Minister Ashwini Vaishnaw’s statement that the Parliamentary Standing Committee on Communications and Information Technology had given a ‘big thumbs up’ to the government’s legislative proposal. Since 2017, when the Indian Supreme Court in its landmark Puttaswamy judgment unanimously ruled that privacy is a fundamental right of Indian citizens, there have already been four versions of the Data Protection Act. The latest is the Digital Personal Data Protection (DPDP) Bill, published by the Ministry of Electronics and Information Technology (MeitY) for public consultation on 18 November 2022. In a recent statement, Minister Ashwini Vaishnaw said that the Parliamentary Standing Committee on Communications and Information Technology would give the bill a favourable opinion. But this may have been over-optimism. At its meeting last December, the commission had, in fact, invited representatives of MeitY to hear their views on ‘citizen data security and privacy’ (in a kind of preliminary discussion on the DPDP proposal), but the members of the commission had, however, raised several questions. Above all, since the proposal has not been formally sent to the commission, approval or disapproval of the Data Protection Bill is not on the agenda at this stage. Moreover, sharp criticism is raised in various legal respects. In particular, it is argued that the DPDP Bill would fail to meet the fourfold privacy test (legality, purpose, proportionality and procedural safeguards) established by the Supreme Court in the Puttaswamy judgment.