PRIVACY DAILY 68/2023

Le ferrovie svizzere (FFS) hanno deciso di non adottare sensori aumentati per analizzare il flusso di persone. Si tratta di un’importante vittoria per i sostenitori della privacy in Svizzera. Le FFS abbandoneranno l’analisi del flusso di persone nelle stazioni in base all’età, all’altezza e al sesso. La decisione, annunciata durante la conferenza stampa annuale dell’azienda, è stata motivata dalle preoccupazioni dell’opinione pubblica in seguito alla pubblicazione di un articolo sulla rivista K-Tipp. Questa rivista di lingua tedesca aveva rivelato l’esistenza di una gara d’appalto indetta dalle FFS per un nuovo sistema di analisi dei flussi di passeggeri di cui si sarebbero dovute dotare una cinquantina di stazioni nei prossimi anni. Secondo K-Tipp, le FFS volevano utilizzare telecamere aumentate da un software di riconoscimento facciale, cosa che l’azienda ha poi formalmente smentito. Sebbene l’intenzione delle FFS di ottenere dati biometrici sui passeggeri nelle stazioni non sia provata, il bando di gara privilegiava i sensori di conteggio per ottenere informazioni come età, sesso e altezza delle persone. Si tratta di dati che appartengono al campo della “biometria soft”, cioè di caratteristiche che, prese singolarmente, non permettono di identificare una persona. Ma se incrociati con altri elementi, possono essere utilizzati per affinare tale profilazione. Dopo settimane di polemiche, la direzione delle FFS ha finalmente deciso di analizzare la gara d’appalto ed è giunta alla conclusione che questi requisiti non sono necessari per misurare il numero di passeggeri. L’obiettivo è rendere le stazioni più confortevoli e sicure. La gara d’appalto sarà modificata di conseguenza e l’assegnazione del contratto non avverrà prima del primo trimestre del 2024, mentre era prevista per giugno 2023. Il sistema sarà implementato probabilmente a partire dal 2025. Le offerte già ricevute saranno sottoposte a una valutazione dell’impatto sulla protezione dei dati. La scelta sarà effettuata dopo l’esame dell’Incaricato federale per la protezione dei dati.

Rendere l’Intelligenza artificiale a prova di bias: questa la difficile sfida in cui sono impegnati sia i fornitori di IA che i datori di lavoro. Secondo Bloomberg, infatti, le aziende dipendono sempre più dall’IA per prendere decisioni in materia di occupazione. Un sondaggio della Society for Human Resource Management del febbraio 2022 ha mostrato che il 79% dei datori di lavoro utilizza l’IA per il reclutamento e l’assunzione. Ora, però, si profilano all’orizzonte requisiti di compliance più stingenti in luoghi come New York City o (ancora di più) l’Unione Europea. Le normative che cercano di prevenire i bias dell’IA in genere richiedono che la tecnologia sia sottoposta a qualche forma di audit. Ma il settore dell’audit dell’IA è nascente e gli standard e le best practice del settore sono ancora in fase di sviluppo. Con l’aumentare del controllo pubblico, i fornitori e i revisori di IA affermano che la divulgazione dei loro metodi ha contribuito a placare le preoccupazioni dell’opinione pubblica. Ma alcuni c’è anche dello scettismo. HireVue è stata criticata per il presunto “audit-washing” o per aver descritto in modo errato i risultati di una verifica dei suoi prodotti condotta nel 2021 da O’Neil Risk Consulting & Algorithmic Auditing. L’azienda è stata criticata anche per i suoi strumenti di analisi facciale utilizzati per le assunzioni, che sono stati interrotti nel gennaio 2021 poco dopo che l’Electronic Privacy Information Center ha presentato un reclamo alla Federal Trade Commission, sostenendo che si trattava di una violazione della privacy, oltre che di bias. Lindsey Zuloaga, chief data scientist di HireVue, ha dichiarato che la trasparenza è la risposta. Anche se non è obbligatorio, HireVue e altre importanti società di tecnologia delle risorse umane pubblicano sul loro sito web dichiarazioni etiche e altri documenti che spiegano il funzionamento dei loro sistemi.

In India, il Ministero della Salute dell’Unione è preoccupato per i trattamenti di dati effettuati dalle farmacie elettroniche. Negli ultimi due anni, la consegna di farmaci online è aumentata e con essa le aziende che offrono questi servizi. Mg, NetMeds e PharmEasy sono solo alcuni dei grandi nomi del settore delle farmacie online. Tuttavia, sembra che il Governo stia per portare cattive notizie a queste aziende. Secondo un rapporto, l’esecutivo sarebbe preoccupato per la privacy, per alcune pratiche scorrette nel settore e persino per la vendita “irrazionale” di farmaci. Il ministero ha inviato una bozza rivista del New Drugs, Medical Devices and Cosmetics Bill, 2023 per una consultazione interministeriale. A quanto si apprende, il disegno di legge afferma: “il governo centrale può regolare, limitare o proibire la vendita o la distribuzione di qualsiasi farmaco in modalità online, mediante notifica”. Peraltro, stando sempre a fonti governative, i dati e la privacy dei pazienti sono una delle principali aree di interesse. Le farmacie elettroniche sono, infatti, note per la raccolta indiscriminata di dati relativi al consumo di farmaci. Secondo quanto riferito, un gruppo di ministri si sarebbe detto addirittura favorevole a un divieto totale delle farmacie online. Il governo ha chiesto un feedback a tutte le parti interessate in merito all’ottenimento dei permessi per la gestione delle farmacie elettroniche. Il mese scorso, il Drugs Controller General of India (DCGIl) ha inviato notifiche a circa 20 farmacie online, contestando la presunta violazione delle norme sulla vendita di farmaci online.

English version

The Swiss Railways (FFS) has decided not to adopt augmented sensors to analyse the flow of people. This is a major victory for privacy advocates in Switzerland. SBB will abandon the analysis of the flow of people at stations based on age, height and gender. The decision, announced at the company’s annual press conference, was prompted by public concern following the publication of an article in the magazine K-Tipp. This German-language magazine had revealed the existence of a tender launched by the SBB for a new passenger flow analysis system that was to be equipped at around fifty stations over the next few years. According to K-Tipp, FFS wanted to use cameras augmented by facial recognition software, which the company later formally denied. Although FFS’s intention to obtain biometric data on passengers at stations is not proven, the tender favoured counting sensors to obtain information such as people’s age, sex and height. These data belong to the field of ‘soft biometrics’, i.e. characteristics that, taken individually, do not allow a person to be identified. But when crossed with other elements, they can be used to refine such profiling. After weeks of controversy, the SBB management finally decided to analyse the tender and came to the conclusion that these requirements are not necessary to measure the number of passengers. The aim is to make stations more comfortable and safer. The tender will be amended accordingly and the awarding of the contract will not take place before the first quarter of 2024, whereas it was planned for June 2023. The system will probably be implemented from 2025. Tenders already received will be subject to a data protection impact assessment. The choice will be made after examination by the Federal Data Protection Commissioner.

Making artificial intelligence bias-proof: this is the difficult challenge in which both AI providers and employers are engaged. Indeed, according to Bloomberg, companies are increasingly dependent on AI to make employment decisions. A survey by the Society for Human Resource Management in February 2022 showed that 79 per cent of employers use AI for recruitment and hiring. Now, however, stingier compliance requirements are on the horizon in places like New York City or (even more so) the European Union. Regulations that seek to prevent AI bias generally require the technology to be audited in some form. But the field of AI auditing is nascent and industry standards and best practices are still being developed. As public scrutiny increases, AI vendors and auditors claim that the disclosure of their methods has helped allay public concerns. But some are also sceptical. HireVue has been criticised for alleged ‘audit-washing’ or mischaracterising the results of an audit of its products conducted in 2021 by O’Neil Risk Consulting & Algorithmic Auditing. The company has also been criticised for its facial analysis tools used for recruitment, which were discontinued in January 2021 shortly after the Electronic Privacy Information Center filed a complaint with the Federal Trade Commission, alleging privacy violations as well as bias. Lindsey Zuloaga, chief data scientist at HireVue, said that transparency is the answer. Although it is not mandatory, HireVue and other major HR technology companies publish ethical statements and other documents on their website explaining how their systems work.

In India, the Union Ministry of Health is concerned about data processing by electronic pharmacies. Over the past two years, online drug delivery has increased and with it the companies offering these services. Mg, NetMeds and PharmEasy are just some of the big names in the online pharmacy sector. However, it seems that the government is about to bring bad news to these companies. According to a report, the executive is concerned about privacy, some unfair practices in the sector and even the ‘irrational’ sale of drugs. The ministry sent a revised draft of the New Drugs, Medical Devices and Cosmetics Bill, 2023 for inter-ministerial consultation. The bill reportedly states: ‘the central government may regulate, restrict or prohibit the sale or distribution of any drug in an online mode, by notification’. Moreover, according to government sources, patients’ data and privacy are one of the main areas of concern. Electronic pharmacies are, in fact, known to indiscriminately collect data on drug consumption. Reportedly, a group of ministers even favoured a total ban on online pharmacies. The government has asked for feedback from all stakeholders on obtaining permits to operate electronic pharmacies. Last month, the Drugs Controller General of India (DCGIl) sent notices to about 20 online pharmacies, alleging violation of regulations on the sale of drugs online.

PRIVACY DAILY 60/2023

La Federal Trade Commission (FTC) vieta al servizio di consulenza psicologica online BetterHelp Inc. di condividere i dati sanitari dei suoi utenti, comprese le informazioni sui problemi di salute mentale, a scopo pubblicitario. La proposta di ordinanza prevede anche che l’azienda paghi 7,8 milioni di dollari di risarcimento agli utenti per aver rivelato i loro dati a terzi, come Facebook e Snapchat. BetterHelp offre servizi di consulenza online con questo nome e con versioni specializzate per un pubblico particolare – i.e. Pride Counseling per i membri della comunità LGBTQ, Faithful Counseling per le persone di fede cristiana, Terappeuta per i clienti di lingua spagnola e Teen Counseling per gli adolescenti che si iscrivono con il permesso dei genitori -. I consumatori interessati ai servizi di BetterHelp devono compilare un questionario che chiede dati relativi alla salute mentale, come ad esempio se hanno sofferto di depressione o pensieri suicidi e se stanno assumendo farmaci. Inoltre forniscono il loro nome, l’indirizzo e-mail, la data di nascita e altre informazioni personali. I consumatori vengono poi abbinati a un consulente e pagano tra i 60 e i 90 dollari a settimana per la consulenza. In diversi punti del processo di iscrizione, BetterHelp ha promesso ai consumatori che non avrebbe utilizzato o divulgato i loro dati sanitari personali se non per scopi limitati, come la fornitura di servizi di consulenza. Ma così non è stato nella pratica, stando alle valutazioni della FTC. Così, a BetterHelp sarà vietato di condividere i dati personali dei consumatori con alcune terze parti per il re-targeting. La FTC pubblicherà a breve una descrizione del consent agreement package nel Federal Register. L’accordo sarà soggetto a commenti pubblici per 30 giorni dopo la pubblicazione nel Federal Register, dopodiché la Commissione deciderà se renderlo definitivo.

Nel Regno Unito, una madre ha dichiarato di essere stata lasciata sola “nel deserto” mentre tentava di ottenere informazioni dalle tech companies sulla morte di sua figlia adolescente. La ragazza si era suicidata circa cinque anni or sono, dopo aver visto materiale autolesionistico online. La famiglia ha cercato più volte di ottenere informazioni e si è trovata “assolutamente in difficoltà”. Perciò, insieme ad altre famiglie, stanno conducendo una campagna per cambiare le cose. In particolare, vogliono un emendamento all’Online Safety Bill, al momento in corso di approvazione in Parlamento, che consenta alle famiglie e ai medici legali di ottenere il supporto delle authorities (una su tutte, dell’Ofcom) per ottenere dalle piattaforme informazioni sul materiale a cui i loro figli accedevano prima della loro morte. Il gruppo ha scritto al Primo Ministro, al Ministro della Giustizia e al Segretario di Stato per la Scienza e la Tecnologia, chiedendo che la legge venga modificata. Nella lettera inviata al Governo – e citata parzialmente dalla BBC – si legge: “Ognuno di noi ha perso un figlio in circostanze legate al mondo digitale, e ognuno di noi ha lottato per ottenere le informazioni necessarie a comprendere meglio la sua morte. Purtroppo, ogni anno, ci sono centinaia di famiglie che si trovano in circostanze altrettanto dolorose. Il processo di accesso ai dati è stato disumano. In alcuni casi, ci sono voluti anni e siamo stati lasciati in loop automatici, parlando con bot online, come se stessimo contattando oggetti smarriti”.

Il cammino verso l’introduzione del Data Protection Bill in India non è certo privo di colpi di scena. L’ultimo è stata la smentita da parte del deputato Lok Sabha della dichiarazione del ministro dell’Elettronica e della Tecnologia dell’Informazione Ashwini Vaishnaw, secondo cui la Commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato un “grande pollice in su” alla proposta legislativa del Governo. Dal 2017, quando la Corte Suprema indiana con la storica sentenza Puttaswamy, ha stabilito all’unanimità che la privacy è un diritto fondamentale dei cittadini indiani, si sono già avvicendate quattro versioni della legge sulla protezione dei dati. L’ultima è il Digital Personal Data Protection (DPDP) Bill, pubblicato dal Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) per la consultazione pubblica il 18 novembre 2022. In una recente dichiarazione, il ministro Ashwini Vaishnaw ha affermato che la commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato parere favorevole al progetto di legge. Ma forse si è trattato di eccessivo ottimismo. Nel corso della seduta dello scorso dicembre, la Commissione aveva, infatti, invitato i rappresentanti del MeitY per ascoltare il loro punto di vista sulla “sicurezza dei dati dei cittadini e la privacy” (in una sorta di discussione preliminare sulla proposta di DPDP), ma i membri della Commissione avevano, però, sollevato diverse questioni. Soprattutto, dal momento che la proposta non è stata inviata formalmente alla commissione, l’approvazione o la disapprovazione del Data Protection Bill in questa fase non risulta all’ordine del giorno. Peraltro, vengono sollevate aspre critiche sotto vari profili giuridici. In particolare, viene affermato che il disegno di legge sul DPDP non riuscirebbe a soddisfare il quadruplice test sulla privacy, (legalità, finalità proporzionalità e garanzie procedurali) stabilito dalla Corte Suprema nella sentenza Puttaswamy.

English version

The Federal Trade Commission (FTC) issued a proposed order prohibiting the online psychological counselling service BetterHelp Inc. from sharing its users’ health data, including information about mental health problems, for advertising purposes. The proposed order also requires the company to pay $7.8 million to compensate users for disclosing their data to third parties, such as Facebook and Snapchat. BetterHelp offers online counselling services under this name and with specialised versions for particular audiences – i.e. Pride Counseling for members of the LGBTQ community, Faithful Counseling for people of the Christian faith, Terappeuta for Spanish-speaking clients, and Teen Counseling for teenagers who sign up with parental permission -. Consumers interested in BetterHelp’s services must fill out a questionnaire that asks for mental health data, such as whether they have suffered from depression or suicidal thoughts and whether they are taking medication. They also provide their name, e-mail address, date of birth and other personal information. Consumers are then matched with a counsellor and pay between $60 and $90 per week for counselling. At several points in the sign-up process, BetterHelp promised consumers that it would not use or disclose their personal health data except for limited purposes, such as providing counselling services. But this has not been the case in practice, according to the FTC’s assessments. Thus, BetterHelp will be prohibited from sharing consumers’ personal data with certain third parties for re-targeting purposes. The FTC will shortly publish a description of the consent agreement package in the Federal Register. The agreement will be subject to public comment for 30 days after publication in the Federal Register, after which the Commission will decide whether to make it final.

In the UK, a mother claimed to have been left ‘in the wilderness’ while trying to get information from tech companies about the death of her teenage daughter. The girl had died by suicide about five years ago after seeing self-harming material online. The family tried several times to obtain information and found themselves ‘absolutely at a loss’. Therefore, together with other families, they are campaigning to change this. In particular, they want an amendment to the Online Safety Bill, currently pending in Parliament, which would allow families and forensic scientists to get support from the authorities (particularly Ofcom) to obtain information from platforms about the material their children accessed before their death. The group has written to the Prime Minister, the Minister of Justice and the Secretary of State for Science and Technology, requesting that the law be amended. The letter sent to the government – and viewed by the BBC – reads: ‘Each of us has lost a child in circumstances related to the digital world, and each of us has struggled to get the information we need to better understand their death. Sadly, every year, there are hundreds of families who find themselves in similarly painful circumstances. The process of accessing data has been inhuman. In some cases, it took years and we were left in automated loops, talking to online bots, as if we were contacting lost and found’.

The path towards the introduction of the Data Protection Bill in India has certainly not been without its twists and turns. The latest was MP Lok Sabha’s denial of Electronics and Information Technology Minister Ashwini Vaishnaw’s statement that the Parliamentary Standing Committee on Communications and Information Technology had given a ‘big thumbs up’ to the government’s legislative proposal. Since 2017, when the Indian Supreme Court in its landmark Puttaswamy judgment unanimously ruled that privacy is a fundamental right of Indian citizens, there have already been four versions of the Data Protection Act. The latest is the Digital Personal Data Protection (DPDP) Bill, published by the Ministry of Electronics and Information Technology (MeitY) for public consultation on 18 November 2022. In a recent statement, Minister Ashwini Vaishnaw said that the Parliamentary Standing Committee on Communications and Information Technology would give the bill a favourable opinion. But this may have been over-optimism. At its meeting last December, the commission had, in fact, invited representatives of MeitY to hear their views on ‘citizen data security and privacy’ (in a kind of preliminary discussion on the DPDP proposal), but the members of the commission had, however, raised several questions. Above all, since the proposal has not been formally sent to the commission, approval or disapproval of the Data Protection Bill is not on the agenda at this stage. Moreover, sharp criticism is raised in various legal respects. In particular, it is argued that the DPDP Bill would fail to meet the fourfold privacy test (legality, purpose, proportionality and procedural safeguards) established by the Supreme Court in the Puttaswamy judgment.