PRIVACYDAILY

N. 140/2023

LE TRE NEWS DI OGGI:

SVEZIA, SPOTIFY SANZIONATA PER CIRCA 5 MILIONI DI EURO
UK, IL GOVERNO VUOLE RICORRERE SEMPRE PIU’ ALL’AI, MA GLI ATTIVISTI PRIVACY INVOCANO CAUTELA
A TOR VERGATA, NASCE L’OSSERVATORIO PER MONITORARE I BREACH SUI DISPOSITIVI MEDICI SVILUPPATI DALL’ATENEO

Spotify ha ricevuto una multa da 5 milioni di euro per violazione del Regolamento generale sulla protezione dei dati dell’Unione europea (Gdpr). La multa è arrivata dopo quattro anni di contenzioso portato avanti da Noyb, organizzazione no profit per i diritti digitali, dopo che l’azienda di streaming musicale svedese non ha rispettato il diritto degli utenti ad avere accesso ai loro dati e alle informazioni relative a come vengono usati. La causa contro Spotify è cominciata nel 2019, quando è stata denunciata per violazione dell’articolo 15 del Gdpr che sancisce il “diritto di accesso dell’interessato”. In base a questa disposizione, gli utenti hanno diritto all’accesso ai propri dati personali forniti, a conoscere le finalità del trattamento dei dati, il periodo di conservazione, la loro destinazione verso terze parti e il diritto a richiedere la loro cancellazione.Avendo Spotify sede in Svezia, la gestione del caso è stata affidata al Garante per la privacy svedese (Imy), ma per quattro anni l’Autorità per la protezione dei dati ha evitato di pronunciarsi, dichiarando addirittura che i titolari dei reclami non avessero diritto a essere parte in causa contro l’azienda. Una impasse già vista in Irlanda tra l’autorità locale e Meta. Così per sbloccare il procedimento, il 22 giugno 2022 Noyb ha fatto causa per inadempienza contro l’Imy presso la corte svedese, che si è schierata a favore del reclamo. E anche se la causa è ancora all’esame della Corte amministrativa suprema della Svezia, il 13 giugno l’Imy ha finalmente emesso la sua sentenza, condannando Spotify a 5 milioni di euro di multa.“Ottenere informazioni complete su come vengono elaborati i propri dati è un diritto fondamentale di ogni utente – ha dichiarato l’avvocato Stefano Rossetti specializzato in privacy di Noyb -. Siamo lieti di vedere che l’autorità svedese abbia finalmente agito, ma sosteniamo che debba assolutamente accelerare le sue procedure”.

Il governo rischia di minare la fiducia nell’IA se non diventa più aperto sul proprio uso della tecnologia, hanno avvertito gli attivisti. Il primo ministro Rishi Sunak ha cercato di posizionare il Regno Unito come leader nella progettazione di nuove regole sull’IA a livello globale. Ma gli attivisti per la privacy sostengono che l’uso che il Regno Unito fa dei sistemi guidati dall’IA è troppo opaco e rischia di essere discriminatorio. Il governo ha dichiarato di essere impegnato a creare “forti barriere” per l’IA. Il rapido sviluppo dell’intelligenza artificiale (IA) ha portato a una raffica di titoli di giornale carichi di sventura sui rischi che potrebbe comportare per l’umanità. Sunak ha dichiarato di volere che il Regno Unito diventi la “patria geografica” delle nuove norme di sicurezza e che in autunno ospiterà un vertice globale sulla regolamentazione. Tuttavia, diversi gruppi di attivisti sostengono che il governo britannico non stia facendo abbastanza per gestire i rischi posti dal crescente uso dell’IA in settori quali il welfare, l’immigrazione e l’edilizia abitativa. In un documento inviato ai parlamentari dei gruppi interpartitici sull’IA e l’analisi dei dati, visionato dalla BBC, si afferma che il pubblico dovrebbe ricevere maggiori informazioni su dove e come vengono utilizzati tali sistemi. Il documento è stato firmato da organizzazioni per le libertà civili, tra cui Liberty, Big Brother Watch, Open Rights Group e Statewatch, oltre che da numerosi gruppi per i diritti dei migranti e avvocati per i diritti digitali. Shameem Ahmad, direttore esecutivo del Public Law Project (PLP), un’associazione di beneficenza legale che ha coordinato la dichiarazione, ha affermato che il governo è “in ritardo” nella gestione dei rischi derivanti dall’uso dell’IA. Ha aggiunto che, mentre il chatbot ChatGPT ha “attirato l’attenzione di tutti”, le autorità pubbliche hanno utilizzato la tecnologia AI per anni, a volte in modo “segreto”. L’attuale strategia del governo per l’AI, definita in una dichiarazione politica di marzo, si è concentrata principalmente sul modo migliore per regolare il suo uso emergente nell’industria. Non ha stabilito nuovi limiti legali al suo utilizzo nel settore pubblico o privato, sostenendo che farlo ora potrebbe soffocare l’innovazione. Le autorità di regolamentazione esistenti elaboreranno invece nuove linee guida per l’industria. Ciò segna un contrasto con l’Unione Europea, che intende vietare alle autorità pubbliche l’uso dell’IA per classificare il comportamento dei cittadini e introdurre limiti severi al riconoscimento facciale alimentato dall’IA per l’applicazione della legge negli spazi pubblici. Anche l’uso di strumenti di IA per la gestione delle frontiere sarebbe soggetto a nuovi controlli, come la registrazione in un registro a livello europeo. Nella loro dichiarazione, i gruppi della campagna hanno affermato che il progetto del Regno Unito ha perso una “opportunità vitale” di rafforzare le salvaguardie sulle modalità di utilizzo dell’IA da parte degli enti governativi.

Pressione, temperatura, presenza di infezioni nel cuore. Sono tante le informazioni che il pace-maker di un paziente cardiopatico può trasmettere al medico, anche a distanza. Basta un piccolo sensore. Stesso discorso per gli infusori utilizzati dai diabetici. All’Università Tor Vergata si lavora per rendere questi strumenti sempre più intelligenti senza però dimenticare la privacy e la sicurezza. I dati dei pazienti potrebbero infatti essere trafugati per carpire preziose informazioni sulla salute. Per questo motivo è nato Cyber4health, il primo osservatorio mondiale sulle vulnerabilità dei dispositivi medicali sviluppato dall’ateneo Tor Vergata all’interno di un consorzio di cui fanno parte le università romane e una serie di aziende del settore. A correre rischi sono soprattutto personaggi in vista come politici o militari possibili bersagli di attacchi hacker. Un ricatto a cui sono esposti anche i produttori dei dispositivi. Tutti gli strumenti connessi alla rete, come i macchinari per le TAC o i robot chirurgici, se non protetti a dovere, potrebbero essere attaccati

English version

SWEDEN, SPOTIFY FINISHED FOR ABOUT 5 MILLION EUROS
UK, GOVERNMENT WANTS TO USE AI MORE AND MORE, BUT PRIVACY ACTIVISTS CALL FOR CAUTION
AT TOR VERGATA, OBSERVATORY IS BORN TO MONITOR BREACHES ON MEDICAL DEVICES DEVELOPED BY THE ATHENAEUM

Spotify has received a €5 million fine for violating the European Union’s General Data Protection Regulation (GDPR). The fine came after four years of litigation brought by Noyb, a nonprofit digital rights organization, after the Swedish music streaming company failed to respect users’ right to access their data and information about how it is used. The lawsuit against Spotify began in 2019, when it was sued for violating Article 15 of the GDPR, which enshrines the “data subject’s right of access.” According to this provision, users have the right to access their personal data provided, to know the purpose of the data processing, the retention period, its destination to third parties, and the right to request its deletion.As Spotify is based in Sweden, the case was handled by the Swedish Data Protection Authority (Imy), but for four years the DPA avoided ruling, even declaring that the holders of the complaints had no right to be a party to the lawsuit against the company. An impasse already seen in Ireland between the local authority and Meta. So to unblock the proceedings, on June 22, 2022, Noyb filed a default suit against Imy in the Swedish court, which sided with the complaint. And although the case is still before the Supreme Administrative Court of Sweden, Imy finally issued its ruling on June 13, condemning Spotify to a €5 million fine. “Getting full information about how your data is processed is a fundamental right of every user,” said Noyb privacy lawyer Stefano Rossetti. “We are glad to see that the Swedish authority has finally acted, but we argue that it absolutely must speed up its procedures.

The government risks undermining faith in AI unless it becomes more open about its own use of the technology, campaigners have warned. Prime Minister Rishi Sunak has sought to position the UK as a leader in designing new AI rules at a global level. But privacy campaigners say its own use of AI-driven systems is too opaque and risks discrimination. The government said it was committed to creating “strong guardrails” for AI. The rapid development of artificial intelligence (AI) has led to a flurry of doom-laden headlines about the risks it could pose to humanity. Mr Sunak has said he wants the UK to become the “geographical home” of new safety rules, and will host a global summit on regulation in the autumn. However, several campaign groups say the UK government is not doing enough to manage the risks posed by its own increasing use of AI in fields such as welfare, immigration and housing. In a document sent to MPs on cross-party groups on AI and data analytics, seen by the BBC, they say the public should be given more information about where and how such systems are used. It has been signed by civil liberties organisations including Liberty, Big Brother Watch, Open Rights Group and Statewatch, as well as a number of migrant rights groups and digital rights lawyers. Shameem Ahmad, chief executive of the Public Law Project (PLP), a legal charity co-ordinating the statement, said the government was “behind the curve” in managing risks from its AI use. She added that whilst AI chatbot ChatGPT had “caught everyone’s attention”, public authorities had been using AI-powered technology for years, sometimes in a “secretive” manner.The government’s current strategy for AI, set out in a policy statement in March, focused mainly on how best to regulate its emerging use in industry. It did not set out any new legal limits on its use in either the private or public sectors, arguing that to do so now could stifle innovation. Instead, existing regulators will come up with new industry guidance. It marks a contrast with the European Union, which is set to ban public authorities using AI to classify citizens’ behaviour, and bring in strict limits on AI-powered facial recognition for law enforcement in public spaces. The use of AI tools for border management would also be subject to new controls, such as being recorded in an EU-wide register. In their statement, the campaign groups said the UK’s own blueprint had missed a “vital opportunity” to beef up safeguards on how government bodies use AI.

Blood pressure, temperature, presence of infection in the heart. There is so much information that a heart patient’s pacemaker can transmit to the doctor, even remotely. All it takes is a small sensor. Same goes for infusers used by diabetics. At Tor Vergata University, work is being done to make these instruments increasingly smart, but without forgetting privacy and security. In fact, patients’ data could be stolen to steal valuable health information. For this reason, Cyber4health, the world’s first observatory on the vulnerabilities of medical devices developed by the Tor Vergata University within a consortium that includes Roman universities and a number of companies in the sector, was born. At risk are mainly prominent figures such as politicians or military personnel who are possible targets of hacker attacks. A blackmail to which the manufacturers of the devices are also exposed. All network-connected instruments, such as CT machines or surgical robots, if not properly protected, could be attacked.

PRIVACY DAILY 48/2023

Continuano le battaglie legali per i dati biometrici davanti alla Corte Suprema dell’Illinois. Due settimane dopo essersi pronunciata in favore dell’estensione dei termini di prescrizione a cinque anni per tutte le violazioni del Biometric Information Privacy Act (BIPA), la Corte ritorna sull’argomento. È stata una decisione sofferta (passata per 4 voti contro 3), ma alla fine la i giudici della Corte hanno sentenziato che la catena di fast food White Castle System Inc deve rispondere di aver ripetutamente scansionato le impronte digitali di quasi 9.500 dipendenti senza il loro consenso. Ciò potrebbe costare alla società la colossale cifra di 17 miliardi di dollari. Infatti, il BIPA prevede sanzioni di 1.000 dollari per ogni violazione e di 5.000 dollari per le violazioni “intenzionali” o “sconsiderate”. L’azienda, stando a quanto previsto dalle legge, avrebbe dovuto chiedere il consenso ogni volta prima di raccogliere impronte digitali, scansioni della retina e altre informazioni biometriche di lavoratori e consumatori. Nel difendersi, White Castle aveva sostenuto di poter essere citata in giudizio solo per la prima raccolta senza valido presupposto di legittimità delle impronte digitali di ciascun lavoratore, e non ogni volta che queste venivano scansionate per accedere a un sistema informatico aziendale. Ma la Corte ha dichiarato che il BIPA proibisce ampiamente di “raccogliere” o “catturare” informazioni biometriche senza consenso, e White Castle avrebbe dovuto raccogliere il consenso dei lavoratori ogni volta che utilizzavano il sistema informatico. L’entità del risarcimento dovrà ora essere decisa dalla Corte d’Appello di Chicago. Forti critiche sono arrivate sia da White Castle che dalla Camera di Commercio degli Stati Uniti, che ha paventato un rischio contenzioso tale da provocare forti danni finanziari ad alcune aziende. Dal 2017 sono state intentate quasi 2.000 cause per violazioni del BIPA, che hanno dato luogo a una serie di accordi e sentenze di notevole entità.

Manipolare le informazioni online per conto di una serie di clienti a livello globale. Secondo un’inchiesta pubblicata dal Washington Post, sarebbe questo il fruttuoso business della società Eliminalia. L’azienda, con sede in Spagna, gestisce siti web disponibili in 6 lingue diverse. A prima vista sembrerebbero normali organi di informazione che offrono titoli da tutto il mondo, ma queste centinaia di siti hanno un obiettivo comune: ospitare storie sui clienti della società per migliorarne l’immagine online. Così, la rete di siti di notizie false è parte di un complesso apparato che Eliminalia utlizza per manipolare le informazioni online. Stando alla ricostruzione del noto quotidiano americano, l’azienda, facendosi scudo anche della privacy e del diritto all’oblio, impiegherebbe tattiche elaborate e ingannevoli per rimuovere o oscurare notizie poco lusinghiere relative ai suoi clienti. Tra questi vi sono aziende, celebrità minori, ma anche sospettati o criminali condannati. L’inchiesta giornalistica si è basata su quasi 50.000 documenti interni all’azienda al fine di dimostrare che la società ha guadagnato milioni di dollari vendendo questi servizi di disinformazione. Dall’indagine emerge anche come le leggi destinate a proteggere la proprietà intellettuale e la privacy vengano utilizzate in modo improprio per distorcere il discorso online, sforzi che a volte le aziende tecnologiche non riescono a individuare. I metodi di Eliminalia sono stati messi a nudo in documenti trapelati a Forbidden Stories, un’organizzazione giornalistica no-profit con sede a Parigi che ha condiviso i documenti con il Washington Post e altri media partner per un progetto chiamato “Story Killers”. I documenti includono e-mail, nomi di clienti, contratti parziali e altri documenti legali. Più di 600 siti web di notizie false sono stati collegati a Eliminalia dai ricercatori di un’organizzazione svedese senza scopo di lucro chiamata Qurium, che fornisce servizi di web hosting e sicurezza digitale a giornalisti investigativi e organizzazioni per i diritti umani. Viene, tra l’altro, denunciato che tra il 2015 e il 2021, Eliminalia avrebbe inviato migliaia di reclami fasulli ai motori di ricerca e alle società di web hosting, sostenendo falsamente che gli articoli negativi sui suoi clienti erano stati precedentemente pubblicati altrove e rubati, e che quindi dovevano essere rimossi o nascosti – così risulterebbe dai registri aziendali, secondo quanto ricostruito -.

A Firenze quasi un medico su due utilizza Whatsapp per mandare prescrizioni, esami e consigli terapeutici, nonostante i rischi per la privacy. Questi e altri risultati, emersi da un sondaggio condotto nel 2022 dal laboratorio universitario DataLifeLab dell’Università degli studi di Firenze e dagli esperti della cooperativa Retesviluppo per conto dell’Ordine dei Medici chirurghi e odontoiatri di Firenze, sono stati presentati durante l’evento “La Messaggistica Istantanea nell’esercizio della Professione Medica”. Il presidente dell’Ordine Pietro Dattolo ha affermato che: “La messaggistica tramite cellulare permette di dare in tanti casi risposte rapide e tempestive ai pazienti, sciogliendo dubbi e timori, andando incontro alle esigenze più varie”, rimarcando però che: “È importante tuttavia non perdere di vista il confronto umano, di persona, che resta il centro di questa professione. Occorre anche porre attenzione al tema della privacy e restare aggiornati sulle nuove opportunità di comunicazione che si presenteranno nei prossimi anni per essere sempre al fianco della popolazione e nei loro bisogni di cura”. Oggi 8 dottori su 10 hanno un contatto con gli assistiti tramite smartphone, ma in pochi usano la mail. Addirittura, secondo l’indagine ormai appena lo 0,6% dei medici comunica con i pazienti solo verbalmente. Dal sondaggio risulta invece che Whatsapp viene sfruttato per comunicare con i pazienti dal 53,9% dei medici, per fissare appuntamenti dal 39,8%, per inviare prescrizioni dal 20,7%, per valutare esami e dare consigli terapeutici a pazienti dal 42% e per scambiare informazioni cliniche dei pazienti con i colleghi dal 56,1%. Il 7,8% dei medici ha scoperto le app durante l’emergenza pandemica.Ma da molti la messaggistica istantanea viene percepita come invasiva della privacy e della sfera privata. Ad avvertire molto questa invasione sono soprattutto chirurghi, ematologi, endocrinologi, geriatri, ginecologi, medici legali, dello sport, del lavoro, nefrologi, neurologi, pediatri e psichiatri. Dal sondaggio appaiono anche delle lacune sulle conoscenze in tema di privacy: quasi la metà dei medici (47,7%), negli ultimi 3 anni non ha partecipato ad un corso di formazione sul trattamento/consenso dei dati.

English version

The legal battles over biometric data continue before the Illinois Supreme Court. Two weeks after ruling in favour of extending the statute of limitations to five years for all violations of the Biometric Information Privacy Act (BIPA), the Court returned to the subject. It was a hard-fought decision (passed by 4 votes to 3), but in the end the Court judges ruled that fast food chain White Castle System Inc faces charges of repeatedly scanning the fingerprints of nearly 9,500 employees without their consent. This could cost the company the colossal sum of $17 billion. In fact, BIPA provides for penalties of $1,000 per violation and $5,000 for ‘willful’ or ‘reckless’ violations. The company, according to the law, would have to ask for consent each time before collecting fingerprints, retinal scans and other biometric information from workers and consumers. In defending itself, White Castle had argued that it could only be sued for the first collection of each worker’s fingerprints without a valid lawful basis, and not every time they were scanned to access a company computer system. But the court held that BIPA broadly prohibits ‘collecting’ or ‘capturing’ biometric information without consent, and White Castle would have to collect workers’ consent every time they used the computer system. The amount of compensation will now have to be decided by the Chicago Court of Appeals. Strong criticism came from both White Castle and the US Chamber of Commerce, which feared litigation risks that could cause severe financial damage to some companies. Since 2017, nearly 2,000 lawsuits have been filed for BIPA violations, resulting in a number of large settlements and judgments.

Manipulating information online on behalf of a number of clients globally. According to an investigation published by the Washington Post, this is the lucrative business of the Eliminalia company. The company, based in Spain, operates websites available in 6 different languages. At first glance, they would appear to be ordinary news organisations offering headlines from around the world, but these hundreds of sites have a common goal: to host stories about the company’s customers in order to improve its online image. Thus, the network of fake news sites is part of a complex apparatus that Eliminalia uses to manipulate information online. According to the reconstruction by the well-known American newspaper, the company, also shielding itself from privacy and the right to be forgotten, would employ elaborate and deceptive tactics to remove or obscure unflattering news about its customers. These include companies, minor celebrities, but also suspects or convicted criminals. The journalistic investigation relied on nearly 50,000 internal company documents to prove that the company made millions of dollars selling these disinformation services. The investigation also shows how laws designed to protect intellectual property and privacy are misused to distort online discourse, efforts that technology companies sometimes fail to detect. Eliminalia’s methods were laid bare in documents leaked to Forbidden Stories, a Paris-based non-profit journalism organisation that shared the documents with the Washington Post and multiple other media partners for a project called ‘Story Killers’. The documents include e-mails, client names, partial contracts and other legal documents. More than 600 fake news websites were linked to Eliminalia by researchers at a Swedish non-profit organisation called Qurium, which provides web hosting and digital security services to investigative journalists and human rights organisations. It is reported, among other things, that between 2015 and 2021, Eliminalia sent thousands of bogus complaints to search engines and web hosting companies, falsely claiming that negative articles about its clients had previously been published elsewhere and stolen, and thus had to be removed or hidden – so the company’s records allegedly show.

In Florence, almost one doctor in two uses Whatsapp to send prescriptions, examinations and treatment advice, despite the risks to privacy. These and other results, which emerged from a survey conducted in 2022 by the DataLifeLab of the University of Florence and experts from the Retesviluppo cooperative on behalf of the Order of Surgeons and Dentists of Florence, were presented during the event “Instant Messaging in the Practice of the Medical Profession”. Order President Pietro Dattolo stated that: “Messaging via mobile phone allows in many cases to give quick and timely answers to patients, dissolving doubts and fears, meeting the most varied needs”, pointing out however that: “It is important, however, not to lose sight of the human, face-to-face confrontation that remains at the heart of this profession. It is also necessary to pay attention to the issue of privacy and to keep abreast of the new communication opportunities that will arise in the coming years in order to be always at the side of the population and their care needs’. Today, 8 out of 10 doctors have contact with their patients via smartphone, but few use email. Even as few as 0.6 per cent of doctors now communicate with patients only verbally, according to the survey. On the other hand, the survey shows that Whatsapp is used to communicate with patients by 53.9 per cent of doctors, to schedule appointments by 39.8 per cent, to send prescriptions by 20.7 per cent, to evaluate examinations and give treatment advice to patients by 42 per cent, and to exchange clinical information of patients with colleagues by 56.1 per cent. 7.8% of doctors discovered the apps during the pandemic emergency. But instant messaging is perceived as invasive of a doctor’s privacy and private sphere. Those who feel this invasion most strongly are surgeons, haematologists, endocrinologists, geriatricians, gynaecologists, forensic, sports and occupational physicians, nephrologists, neurologists, paediatricians and psychiatrists. The survey also reveals gaps in privacy knowledge: almost half of the doctors (47.7%) have not attended a training course on data processing/consent in the last three years.