PRIVACY DAILY 105/2023

I provider di Internet e gli operatori wireless in Brasile sabato hanno smesso di bloccare Telegram, dopo che un giudice federale ha parzialmente rivisto la sentenza che sospendeva il funzionamento dell”app di social media per la mancata consegna di dati sulle attività neonaziste. Secondo un comunicato stampa fornito dalla corte federale che ha emesso la sentenza il giudice ha mantenuto una multa giornaliera di 1 milione di reais (circa 200.000 dollari) per il rifiuto di Telegram di fornire i dati. Nella sua dichiarazione il giudice Flavio Lucas affermato che la sospensione completa “non è ragionevole, dato l’ampio impatto su tutto il territorio nazionale sulla libertà di comunicazione di migliaia di persone che sono assolutamente estranee ai fatti oggetto di indagine”. Telegram era stato temporaneamente sospeso in seguito a un’inchiesta della polizia sulla sparatoria avvenuta a novembre, quando un ex studente armato di pistola semiautomatica e con indosso un giubbotto antiproiettile ha ucciso tre persone e ne ha ferite 13 dopo aver fatto irruzione in due scuole nella cittadina di Aracruz, nello stato di Espirito Santo. Nella dichiarazione del tribunale si legge che si ritiene che il 16enne fosse un membro di canali estremisti su Telegram, dove venivano diffusi tutorial sull’omicidio e sulla fabbricazione di bombe. La polizia federale ha ordinato a Telegram di fornire dettagli su nomi, codici fiscali, foto del profilo, informazioni bancarie e carte di credito registrate dei membri del canale e in seguito ha contestato l’affermazione di Telegram secondo cui non poteva ottemperare perché il canale era stato sospeso, secondo la dichiarazione del tribunale. Il fondatore e amministratore delegato di Telegram, Pavel Durov, ha dichiarato giovedì in un comunicato che l’azienda stava facendo ricorso contro il divieto imposto in Brasile il giorno precedente, sostenendo che l’adempimento era “tecnologicamente impossibile” e che la missione di Telegram è proteggere la privacy e la libertà di parola.

La diciassettenne Julienne Pagulayan ha iniziato a usare i social media quando era in quinta elementare. A CBS News ha dichiarato “Mi piaceva e mi piaceva vedere cosa facevano gli altri”, Tuttavia, secondo una proposta di legge bipartisan presentata questa settimana, ai bambini di età inferiore ai 13 anni verrebbe impedito di utilizzare i social media, mentre quelli di età compresa tra i 13 e i 17 anni avrebbero bisogno del consenso dei genitori per creare un account. Alle aziende di social media verrebbe inoltre proibito di raccomandare contenuti, utilizzando algoritmi, agli utenti di età inferiore ai 18 anni. Il Protecting Kids on Social Media Act è sostenuto sia dal senatore repubblicano Tom Cotton dell’Arkansas e che dal senatore democratico Brian Schatz delle Hawaii, entrambi genitori. Tom Cotton ha dichiarato a CBS News “I miei figli sono abbastanza piccoli da non essere ancora interessati dal problema, ma la cosa mi preoccupa molto”. Sia Cotton che Schatz ritengono che una legge del genere potrebbe essere applicata con successo. Cotton ha sottolineato “Ci sono molti meccanismi per un sistema di verifica dell’età più accurato”. La verifica dell’età che stanno facendo in questo momento consiste semplicemente nel chiedere a un dodicenne di dichiarare: “Hai 18 anni?”. E loro cliccando su ‘Ho 18 anni’ sono già online”. Schatz sostiene che il disegno di legge darebbe alla Federal Trade Commission e ai procuratori generali dei singoli Stati l’autorità di far rispettare il limite d’età. “Abbiamo deciso, come società, che si debba aspettare una certa età per acquistare alcolici o tabacco”, ha detto Schatz. “Non siamo così ingenui da pensare che gli adolescenti non abbiano mai fumato una sigaretta o bevuto una birra. Ma questo non significa che ci si debba buttare giù le mani, che non ci sia alcuna soluzione”. I due senatori citano diversi studi che suggeriscono un potenziale legame tra i social media e la salute mentale, tra cui un sondaggio pubblicato a febbraio dai Centri statunitensi per il controllo e la prevenzione delle malattie, secondo cui il 57% delle ragazze delle scuole superiori e il 29% dei ragazzi delle scuole superiori si sentono persistentemente tristi. L’indagine ha anche rilevato che il 22% di tutti i liceali ha dichiarato di aver seriamente pensato al suicidio.

Il 5G è la più recente e avanzata tecnologia di comunicazione wireless e si prevede che rivoluzionerà il modo in cui comunichiamo e interagiamo, ma nel sistema giuridico della Giordania manca ancora una legislazione in materia. I governi di tutto il mondo infatti consci della rivoluzione che la connettività ad alta velocità del 5G che con la sua la bassa latenza e la capacità massiccia rendere possibile un’ampia gamma di nuove applicazioni e servizi prima impossibili o impraticabili, hanno provveduto ad emanare leggi e regolamenti per proteggere il diritto alla privacy. I problemi di privacy sono una delle maggiori implicazioni legali della rete 5G. Grazie alla sua capacità di connettere miliardi di dispositivi e sensori, il 5G genererà enormi dati sul comportamento e sulle attività degli individui. Questi dati potranno essere utilizzati per vari scopi, come pubblicità mirata, servizi personalizzati e sorveglianza. Questo scenario solleva interrogativi sulle modalità di raccolta, archiviazione e utilizzo dei dati. In Europa intanto il Regolamento generale sulla protezione dei dati stabilisce regole severe per la raccolta, l’elaborazione e la conservazione dei dati personali. Analogamente, negli Stati Uniti, diversi Stati hanno emanato proprie leggi sulla privacy, come il California Consumer Privacy Act. Un’altra implicazione legale della rete 5G è rappresentata dai diritti di proprietà intellettuale. Lo sviluppo della tecnologia 5G richiede investimenti significativi in ricerca e sviluppo. Di conseguenza, le aziende che sviluppano la tecnologia 5G vorranno proteggere i loro diritti di proprietà intellettuale, come i brevetti. Tuttavia, si teme che alcune aziende possano abusare dei loro diritti di proprietà intellettuale, usandoli per soffocare la concorrenza o per addebitare costi di licenza eccessivi. Per rispondere a queste preoccupazioni, i governi di tutto il mondo stanno emanando leggi e regolamenti per garantire una concorrenza leale per la tecnologia 5G. Su questo fronte invece il governo giordano ha già approvato una legge di completamento per affrontare questo problema legale.

English version

Internet providers and wireless operators in Brazil saturday stopped blocking Telegram after a federal judge partially revised a ruling suspending the social media outlet’s application for failing to hand over data on neo-Nazi activities. According to a press release provided by the federal court that issued the ruling, the judge upheld a daily fine of 1 million reais (about $200,000) for Telegram’s refusal to provide the data. In his statement, Judge Flavio Lucas said the full suspension “is not reasonable, given the broad nationwide impact on the freedom of communication of thousands of people who are completely unrelated to the facts under investigation.” Telegram had been temporarily suspended following a police investigation into a school shooting in November, when a former student armed with a semiautomatic pistol and wearing a bulletproof vest killed three people and wounded 13 after breaking into two schools in the town of Aracruz, Espirito Santo state. The court statement said the 16-year-old is believed to have been a member of extremist channels on Telegram, where tutorials on murder and bomb-making were disseminated. Federal police ordered Telegram to provide details of names, social security numbers, profile photos, bank information, and registered credit cards of channel members and later disputed Telegram’s claim that it could not comply because the channel had been suspended, according to the court statement. Telegram founder and CEO Pavel Durov said Thursday in a statement that the company was appealing the ban imposed in Brazil the previous day, arguing that compliance was “technologically impossible” and that Telegram’s mission is to protect privacy and free speech.

Seventeen-year-old Julienne Pagulayan started using social media when she was in the fifth grade. “It was getting on and it was, like, seeing what other people are doing,” Pagulayan told CBS News. However, under a bipartisan bill introduced this week, children under the age of 13 would be barred from using social media, while those between the ages of 13 and 17 would need parental consent to create an account. Social media companies would also be prohibited from recommending content using algorithms to users under 18. The Protecting Kids on Social Media Act is co-sponsored by Republican Sen. Tom Cotton of Arkansas and Democratic Sen. Brian Schatz of Hawaii, both of whom are parents. “My kids are young enough that it’s not a concern yet, but I do worry very much about it,” Cotton told CBS News.  Both Cotton and Schatz believe such a bill could be successfully enforced.  “There are lots of mechanisms for a more robust age verification system,” Cotton said. “The age verification that they’re doing now is essentially asking a 12-year-old to say, ‘Are you 18?’ And they click, ‘I’m 18,’ and now they’re online.”Schatz argues that the bill would give the Federal Trade Commission and individual states attorney generals the authority to enforce the age limit.”We’ve made a decision, as a society, that you should have to wait to a certain age to say, buy alcohol or buy tobacco,” Schatz said. “We’re not so naive that we don’t think teenagers have never smoked a cigarette or never drank a beer. But that doesn’t mean you should just throw up your hands, that there’s no solution at all.” The two senators point to several studies that suggest a potential link between social media and mental health, including a survey released in February by the U.S. Centers for Disease Control and Prevention which found that 57% of high school girls, and 29% of high school boys, feel persistently sad. The survey also found that 22% of all high schoolers reporting they had seriously considered suicide.

5G is the latest and most advanced wireless communication technology and is expected to revolutionize the way we communicate and interact, but Jordan’s legal system still lacks legislation on the subject. In fact, governments around the world aware of the revolution that 5G’s high-speed connectivity, which with its low latency and massive capacity make possible a wide range of new applications and services that were previously impossible or impractical, have taken steps to enact laws and regulations to protect the right to privacy. Privacy issues are one of the biggest legal implications of the 5G network. With its ability to connect billions of devices and sensors, 5G will generate enormous data on the behavior and activities of individuals. This data could be used for various purposes, such as targeted advertising, personalized services and surveillance. This scenario raises questions about how data will be collected, stored and used. Meanwhile, in Europe, the General Data Protection Regulation sets strict rules for the collection, processing and storage of personal data. Similarly, in the United States, several states have enacted their own privacy laws, such as the California Consumer Privacy Act. Another legal implication of the 5G network is intellectual property rights. The development of 5G technology requires significant investment in research and development. As a result, companies developing 5G technology will want to protect their intellectual property rights, such as patents. However, there are concerns that some companies may abuse their intellectual property rights, using them to stifle competition or charge excessive licensing fees. To address these concerns, governments around the world are enacting laws and regulations to ensure fair competition for 5G technology. On this front, however, the Jordanian government has already passed a completion law to address this legal issue.

PRIVACY DAILY 97/2023

Il governo egiziano e una società privata britannica, la Academic Assessment Ltd., hanno esposto per mesi online una grande quantità di informazioni personali su decine di migliaia di minori. Così secondo quanto dichiarato da Human Rights Watch. I dati pubblicati comprendevano oltre 72.000 registrazioni di nomi, date di nascita, sesso, indirizzi di casa, indirizzi e-mail, numeri di telefono, scuole frequentate, livello di istruzione, foto del profilo personale e copie del passaporto o della carta d’identità nazionale dei ragazzi. I dati sono stati lasciati senza protezione sul web per almeno otto mesi. Peraltro, i documenti identificavano anche 110 minori con una qualche forma di disabilità. I ragazzi avevano sostenuto l’Egyptian Scholastic Test (EST), richiesto dalle università egiziane per gli studenti della scuola secondaria che studiano con l’American Diploma, un programma di studi superiori in lingua inglese in Egitto. I dati non protetti contenevano 356.797 file e comprendevano ragazzi che avevano fatto domanda per sostenere l’EST tra settembre 2020 e dicembre 2022. I dati non protetti includevano anche i nomi e le sedi delle università a cui gli studenti avevano fatto domanda, i punteggi ottenuti nei test e l’eventuale pagamento delle tasse di iscrizione al test. I registri includevano note dettagliate sugli studenti prese dal proctor che controllava il loro esame, comprese le accuse di “comportamento non etico”, “non smette di parlare gli abbiamo dato molti avvertimenti e ha tentato di imbrogliare così tante volte” e “ritardo nel ritardo”. Pertanto HRW ha denunciato il rischio di un uso improprio e di sfruttamento dei dati che espone i ragazzi a gravi danni, tra cui il furto di identità, il ricatto e lo sfruttamento sessuale, e può avere conseguenze a lungo termine sulle loro opportunità.

Facebook potrebbe pagare una somma alle decine di milioni di utenti che si sono serviti del social negli Stati Uniti negli ultimi 16 anni. Così secondo la notizia rilanciata dal Washington Post, che riprende un sito web recentemente istituito. Gli attuali o ex utenti di Facebook possono ora presentare domanda di risarcimento come parte dell’accordo da 725 milioni di dollari raggiunto in una causa che sosteneva che la società di social media, di proprietà di Meta, condividesse i dati degli utenti senza il loro consenso La controversia era sorta in occasione del caso Cambridge Analytica. La causa è cresciuta fino a ricomprendere diversi procedimenti – incardinati presso la Corte distrettuale degli Stati Uniti per il Distretto settentrionale della California – e ad affrontare preoccupazioni più ampie. Chi ha intentato l’azione sosteneva che Facebook avesse concesso a terzi l’accesso ai contenuti e alle informazioni degli utenti senza il loro consenso e non avesse monitorato il loro utilizzo. Meta ha negato di aver commesso illeciti, ma a dicembre ha accettato l’accordo per evitare i costi e i rischi legati al proseguimento della causa. L’accordo è stato approvato in via preliminare da un giudice federale alla fine di marzo. L’udienza per l’approvazione definitiva è fissata per settembre. Il numero di persone che possono essere pagate nell’ambito di questo accordo comprende coloro che risiedono negli Stati Uniti e hanno utilizzato la piattaforma in qualsiasi momento dal 24 maggio 2007 al 22 dicembre 2022. Le richieste di risarcimento possono essere presentate sul sito web dell’accordo o per posta. Il termine ultimo per presentare una richiesta di risarcimento è il 25 agosto, mentre il termine ultimo per rinunciare o opporsi all’accordo è il 26 luglio. È difficile dire con esattezza quanto denaro riceveranno gli utenti; dipenderà da una serie di fattori, tra cui le spese legali e amministrative, il numero di richieste ricevute da Meta e il tempo trascorso da un determinato utente su Facebook.

In Messico, l’Istituto Nazionale per la Trasparenza, l’Accesso all’Informazione e la Protezione dei dati (INAI) è paralizzato. Attualmente, infatti, risultano in carica solo quattro dei suoi sette membri e non può riunirsi. La maggioranza dei senatori appartenenti alla formazione politica Morena ha respinto la proposta del coordinatore del partito, Ricardo Monreal, di nominare almeno uno dei tre commissari mancanti prima della fine della sessione. In mattinata, Monreal ha inviato un documento ai suoi colleghi di Morena, in cui chiede loro di avere una “visione di Stato” e “pur conoscendo la posizione dell’esecutivo federale”, di riconsiderare la necessità dell’integrazione dell’INAI. In un lungo documento, Monreal ha insistito sul fatto che “il problema della squalifica dell’INAI deve essere analizzato dal punto di vista del suo impatto sullo Stato messicano”, avvertendo che la Corte Suprema potrebbe risolvere la controversia costituzionale presentata dall’INAI, in modo che possa riunirsi anche solo con la presenza di quattro dei suoi membri. Ma questo, sempre secondo Monreal, “avverrebbe nel mezzo di uno scenario internazionale rarefatto, in cui altri Stati hanno espresso la loro preoccupazione per le violazioni dei diritti umani nel nostro Paese”. La maggioranza dei Morenistas ha risposto che non intende cedere alle richieste delle formazioni che chiedono la nomina dei commissari. Di fronte al coordinatore, hanno ribadito che in ogni caso devono realizzare tutte le nomine di cariche pubbliche in sospeso, che sono più di 80, tra cui quelle di 42 magistrati di tribunali elettorali statali, cinque magistrati regionali del Tribunale Elettorale della Magistratura Federale e dei Tribunali Agrari.

English version

The Egyptian government and a private British company, Academic Assessment Ltd., have been exposing vast amounts of personal information on tens of thousands of minors online for months. This is according to Human Rights Watch. The published data included more than 72,000 records of names, dates of birth, gender, home addresses, email addresses, phone numbers, schools attended, education level, personal profile photos and copies of the children’s passports or national identity cards. The data were left unprotected on the web for at least eight months. The documents also identified 110 minors with some form of disability. The boys had taken the Egyptian Scholastic Test (EST), required by Egyptian universities for secondary school students studying with the American Diploma, an English-language higher education programme in Egypt. The unprotected data contained 356,797 files and included children who had applied to take the EST between September 2020 and December 2022. The unprotected data also included the names and locations of the universities to which the students had applied, their test scores, and whether they had paid any test fees. The records included detailed notes about the students taken by the proctor who controlled their examination, including allegations of ‘unethical behaviour’, ‘he doesn’t stop talking we gave him many warnings and he tried to cheat so many times’ and ‘tardiness in delay’. HRW therefore denounced the risk of misuse and exploitation of data that exposes children to serious harm, including identity theft, blackmail and sexual exploitation, and may have long-term consequences on their opportunities.

Facebook could pay a sum to the tens of millions of users who have used the social network in the United States over the past 16 years. So according to the Washington Post, which reports on a website recently set up to launch a class action lawsuit. Current or former Facebook users can now file claims as part of the $725 million settlement reached in a lawsuit that alleged the social media company, owned by Meta, shared users’ data without their consent The dispute had arisen over the Cambridge Analytica case. The case has grown to encompass several proceedings – filed in the US District Court for the Northern District of California – and address broader concerns about data protection practices. The plaintiffs allege that Facebook granted third parties access to users’ content and information without their consent and failed to monitor their use. Meta denied wrongdoing, but agreed to the settlement in December to avoid the costs and risks of pursuing the lawsuit. The settlement was preliminarily approved by a federal judge at the end of March. A hearing for final approval is scheduled for September. The number of people who can be paid under the privacy settlement includes those who reside in the United States and used the platform at any time from 24 May 2007 to 22 December 2022. Claims can be submitted on the agreement website or by mail. The deadline to file a claim is 25 August, and the deadline to opt out or oppose the settlement is 26 July. It is difficult to say exactly how much money users will receive; it will depend on a number of factors, including legal and administrative costs, the number of claims received by Meta, and the amount of time a given user spends on Facebook.

In Mexico, the National Institute for Transparency, Access to Information and Data Protection (INAI) is paralysed. Currently, only four of its seven members are in office and it cannot meet. The majority of senators belonging to the Morena political formation rejected the proposal of the party coordinator, Ricardo Monreal, to appoint at least one of the three missing commissioners before the end of the session. In the morning, Monreal sent a document to his Morena colleagues, in which he asked them to have a ‘state vision’ and ‘while knowing the position of the federal executive’, to reconsider the need for INAI integration. In a lengthy document, Monreal insisted that ‘the problem of the disqualification of INAI must be analysed from the point of view of its impact on the Mexican state’, warning that the Supreme Court could resolve the constitutional dispute presented by INAI, so that it could meet even with only four of its members present. But this, again according to Monreal, ‘would take place in the midst of a rarefied international scenario, in which other states have expressed their concern about human rights violations in our country’. The majority of the Morenistas replied that they would not give in to the demands of the formations calling for the appointment of commissioners. In front of the coordinator, they reiterated that in any case they must realise all pending public office appointments, of which there are more than 80, including those of 42 state electoral tribunal magistrates, five regional magistrates of the Federal Electoral Tribunal and the Agrarian Tribunals.

PRIVACY DAILY 93/2023

Negli Stati Uniti, il panorama legislativo relativo alla privacy dei minori sta diventando sempre più protettivo. La recente tendenza mira a regolamentare l’uso dei social media da parte dei minori e a fornire ai genitori un maggiore controllo sulle attività dei loro figli sui social media. Questa ondata legislativa si sta sviluppando parallelamente alle preoccupazioni per l’impatto dei social media sulla salute mentale degli adolescenti e per le lacune percepite nella protezione dei diritti alla privacy dei minori sui social media. Il 23 marzo, lo Utah è stato il primo Stato ad adottare una normativa sui social media con il Social Media Regulation Act. La legge si applica alle aziende di social media con più di 5 milioni di utenti in tutto il mondo ed entrerà in vigore il 3 maggio, benché diverse norme resteranno sospese fino al 1° marzo 2024. Numerosi Stati hanno proposto o stanno valutando leggi simili in nome della protezione dei minori da potenziali danni online, molte delle quali sarebbero probabilmente destinate ad affrontare sfide legali. Il 10 aprile, l’Arkansas ha approvato la legge sulla sicurezza dei social media, che entrerà in vigore il 1° settembre ed è in attesa della firma del governatore. La normativa impone alle società di social media di ottenere il consenso esplicito di un genitore o di un tutore prima di consentire agli utenti di età inferiore ai 18 anni di aprire un account. Le aziende di social media sono tenute a verificare l’età degli utenti dell’Arkansas incaricando un fornitore terzo di eseguire una “ragionevole verifica dell’età”. Nel gennaio del 2023, in New Jersey è stata una legge che proibisce alle società di social media di utilizzare qualsiasi pratica, design o funzione che possa causare dipendenza dalla loro piattaforma agli utenti di età inferiore ai 18 anni. Il Connecticut e l’Ohio hanno recentemente introdotto proposte di legge che richiedono alle società di social media di ottenere il consenso dei genitori prima di consentire agli utenti di età inferiore ai 16 anni di aprire un account. Nel dicembre 2022, il Texas ha presentato una proposta di legge che vieta ai residenti del Texas di età inferiore ai 18 anni di creare un account sui social media e richiede alle società di social media di verificare l’età degli utenti attraverso una serie di metodi, tra cui un meccanismo di identificazione fotografica, e di fornire ai genitori percorsi per richiedere la rimozione degli account dei loro figli.

La proposta della Commissione Europea per combattere la diffusione di contenuti pedopornografici ha incontrato una forte opposizione in Parlamento a causa delle sue implicazioni sulla privacy. Nella sua forma attuale, la proposta autorizzerebbe le autorità giudiziarie a emettere ordini di individuazione di app di messaggistica o servizi di mailing considerati a rischio significativo di diffusione di questo tipo di contenuti illegali. Il Parlamento europeo ha commissionato un’ulteriore valutazione d’impatto, secondo quanto riportato da Euractiv, per valutare queste preoccupazioni sulla proposta, presentata alla Commissione parlamentare per le libertà civili, la giustizia e gli affari interni. Il risultato più rilevante dello studio è che l’attuale tecnologia non è abbastanza avanzata per rilevare nuovi abusi sessuali senza che ciò comporti un alto tasso di errore. Il tasso di errore sarebbe particolarmente significativo poiché potenzialmente tutti i messaggi di una piattaforma potrebbero essere scansionati. Un’altra preoccupazione legata alla proposta dell’UE è che sarebbe in contrasto con la crittografia end-to-end. Secondo lo studio commissionato dal Parlamento, attualmente non esiste una soluzione tecnologica che consenta la scansione delle comunicazioni private richieste da ordini di rilevamento senza compromettere la crittografia end-to-end. La valutazione d’impatto afferma inoltre che è improbabile che tali soluzioni tecniche vengano sviluppate prima dell’entrata in vigore del nuovo regolamento. Peraltro, la proposta di legge assegna a un nuovo Centro dell’UE il ruolo di eliminare i “falsi positivi”. La valutazione d’impatto sostiene che è improbabile che il previsto Centro dell’UE “migliori sostanzialmente la qualità del rilevamento, considerando che decenni di ricerca e sviluppo non hanno finora portato a livelli di accuratezza elevati per il rilevamento di nuovi abusi”. In altre parole, il nuovo materiale sarebbe più difficile da rilevare e anche quello noto potrebbe essere alterato in modo da sfuggire agli algoritmi di rilevamento. Secondo lo studio, una soluzione con maggiore potenziale a questo punto sarebbe l’analisi del comportamento degli utenti e dei metadati, come i segnali di rete.

Le imprese potrebbero essere multate fino a 10 milioni di dollari taiwanesi (327.912 dollari USA) per non aver adottato misure adeguate per salvaguardare la sicurezza dei dati personali. Lo ha dichiarato il Governo taiwanese. L’emendamento alla legge sulla protezione dei dati personali è stato proposto dopo che sono state segnalate violazioni di dati personali presso China Airlines, Breeze Center e l’operatore di servizi di condivisione di veicoli iRent. “Attualmente, le aziende private devono prima essere invitate ad affrontare le violazioni dei dati e verrebbero multate solo se le violazioni persistono. L’emendamento autorizzerebbe il governo a imporre multe direttamente e ad aumentare la sanzione fino a 10 milioni di dollari taiwanesi”, ha dichiarato il direttore del Dipartimento per la riforma della regolamentazione presso il Consiglio nazionale per lo sviluppo. L’emendamento prevede che le organizzazioni o le imprese private vengano multate con multe da 20.000 a 2 milioni di dollari taiwanesi nel caso in cui la loro negligenza porti a violazioni dei dati e che venga loro ordinato di risolvere le violazioni entro un determinato periodo. Coloro che non riusciranno a risolvere i problemi di sicurezza dei dati entro la scadenza potranno essere sanzionati consecutivamente, con un aumento della multa da 100.000 a 10 milioni di dollari taiwanesi per ogni violazione dei dati. Tuttavia, l’emendamento prevede che la multa iniziale per una grave violazione dei dati sia compresa tra 100.000 e 10 milioni di dollari taiwanesi. Le aziende private verrebbero multate fino a quando le violazioni non saranno risolte. L’emendamento autorizza inoltre il governo a istituire una commissione per la protezione dei dati personali per far rispettare la legge sulla protezione dei dati personali. “Verrà innanzitutto istituito un ufficio preparatorio per la commissione, per stipulare regole temporanee che la aiutino a gestire i casi di violazione dei dati e per redigere una legge organica della commissione per la protezione dei dati personali”, ha dichiarato un esponente del Governo, aggiungendo “Speriamo che il progetto di legge organica venga deliberato durante la prima sessione legislativa del prossimo anno”.

English version

In the United States, the legislative landscape regarding children’s privacy is becoming increasingly protective. The recent trend aims to regulate minors’ use of social media and provide parents with greater control over their children’s social media activities. This legislative wave is developing in parallel with concerns about the impact of social media on adolescents’ mental health and perceived gaps in the protection of minors’ privacy rights on social media. On 23 March, Utah became the first state to adopt social media legislation with the Social Media Regulation Act. The law applies to social media companies with more than 5 million users worldwide and will go into effect on 3 May, although several regulations will remain suspended until 1 March 2024. Several states have proposed or are considering similar laws in the name of protecting minors from potential harm online, many of which would likely face legal challenges. On 10 April, Arkansas passed the Social Media Safety Act, which will take effect on 1 September and is awaiting the governor’s signature. The legislation requires social media companies to obtain explicit consent from a parent or guardian before allowing users under the age of 18 to open an account. Social media companies are required to verify the age of Arkansas users by engaging a third-party vendor to perform a ‘reasonable age verification’. In January 2023, a law was passed in New Jersey prohibiting social media companies from using any practice, design or function that could cause users under the age of 18 to be addicted to their platform. Connecticut and Ohio recently introduced bills requiring social media companies to obtain parental consent before allowing users under the age of 16 to open an account. In December 2022, Texas introduced a bill that would prohibit Texas residents under the age of 18 from creating a social media account and require social media companies to verify the age of users through a variety of methods, including a photo identification mechanism, and to provide avenues for parents to request the removal of their children’s accounts.

The European Commission’s proposal to combat the dissemination of child pornography content has met with strong opposition in Parliament due to its privacy implications. In its current form, the proposal would authorise judicial authorities to issue detection orders to messaging apps or mailing services considered to be at significant risk of spreading this type of illegal content. The European Parliament commissioned a further impact assessment, Euractiv reported, to evaluate these concerns on the proposal, which was submitted to the Parliamentary Committee on Civil Liberties, Justice and Home Affairs. The most relevant finding of the study is that current technology is not advanced enough to detect new sexual abuse without a high error rate. The error rate would be particularly significant since potentially all messages on a platform could be scanned. Another concern with the EU proposal is that it would conflict with end-to-end encryption. According to the study commissioned by the Parliament, there is currently no technological solution that would allow the scanning of private communications required by discovery orders without compromising end-to-end encryption. The impact assessment also states that it is unlikely that such technical solutions will be developed before the new regulation comes into force. Moreover, the bill assigns a new EU Centre the role of eliminating ‘false positives’. The impact assessment argues that the planned EU Centre is unlikely to ‘substantially improve the quality of detection, considering that decades of research and development have so far not led to high levels of accuracy for the detection of new abuses’. In other words, new material would be more difficult to detect and even known material could be altered so as to escape detection algorithms. According to the study, a solution with greater potential at this point would be the analysis of user behaviour and metadata, such as network signals.

Companies could be fined up to NT$ 10 million (USD 327,912) for failing to take adequate measures to safeguard personal data security. This was stated by the Taiwanese government. The amendment to the Personal Data Protection Act was proposed after personal data breaches were reported at China Airlines, Breeze Center and vehicle-sharing services operator iRent. “Currently, private companies must first be asked to address data breaches and would only be fined if the breaches persist. The amendment would authorise the government to impose fines directly and increase the penalty up to NT$10 million,” said the director of the Regulatory Reform Department at the National Development Council. Under the amendment, private organisations or companies will be fined between NT$20,000 and NT$2 million if their negligence leads to data breaches and ordered to resolve the breaches within a specified period. Those who fail to resolve data security issues by the deadline may be sanctioned consecutively, with the fine increasing from NT$100,000 to NT$10 million for each data breach. However, the amendment states that the initial fine for a serious data breach would be between NT$100,000 and NT$10 million. Private companies would be fined until the breaches are resolved. The amendment also authorises the government to set up a data protection commission to enforce the Data Protection Act. “A preparatory office for the commission will first be established to make temporary rules to help it handle data breach cases and to draft an organic law of the personal data protection commission,” said a government official, adding, “We hope the organic bill will be deliberated during the first legislative session next year.

PRIVACY DAILY 87/2023

Tesla avvertirà che la sua “modalità sentinella”, che registra l’ambiente circostante l’auto, rischia di violare le leggi sulla privacy in Germania. L’annuncio segue la citazione in giudizio del produttore di auto da parte del gruppo di consumatori vzbv per non averne fatto menzione nella pubblicità. Il caso è l’ultimo di una serie di controversie in paesi che vanno dalla Cina ai Paesi Bassi in merito alle telecamere presenti nelle auto Tesla, che secondo l’azienda servono a proteggere da furti o atti di vandalismo, ma che le autorità temono portino a filmare senza consenso.La causa intentata da vzbv lo scorso luglio sosteneva che la casa automobilistica ingannava i consumatori non informandoli nella pubblicità che il conducente avrebbe potuto violare la normativa sulla protezione dei dati se la funzione fosse stata utilizzata in spazi pubblici e avesse filmato i passanti a loro insaputa. Dopo un’udienza sul caso a Berlino, l’azienda ha emesso una dichiarazione di cessazione dell’attività, affermando che non avrebbe più fatto pubblicità in quel modo, secondo una dichiarazione di vzbv. Tesla non ha potuto essere raggiunta immediatamente per un commento. Il manuale della casa automobilistica per gli acquirenti negli Stati Uniti afferma che “è vostra esclusiva responsabilità consultare e rispettare tutte le normative locali e le restrizioni di proprietà relative all’uso delle telecamere”. Un portavoce dell’agenzia berlinese per la protezione dei dati ha dichiarato che la persona che guida l’auto è responsabile dello spegnimento delle telecamere negli spazi pubblici. La responsabilità si estenderebbe all’azienda se le immagini venissero trasmesse e memorizzate da Tesla, ha aggiunto il portavoce. L’autorità di controllo dei dati personali nei Paesi Bassi ha tratto una conclusione simile a febbraio, attribuendo la responsabilità delle riprese al conducente.

Dopo il report di Human Rights Watch, Escola Mais, un’azienda educativa brasiliana, ha preso provvedimenti per proteggere la privacy degli studenti. Lo annuncia la stessa HRW, dopo che qualche giorno fa aveva attirato l’attenzione dei media sul fatto che il sito web di Escola Mais, insieme ad altri sette siti web educativi per studenti brasiliani, sorvegliava segretamente i bambini e raccoglieva i loro dati personali. Stando a quanto riportato, prima della pubblicazione del rapporto, Escola Mais non aveva risposto alle richieste di commento, ma dopo che i media hanno iniziato a ribattere la notizia dell’indagine, si è messa in contatto con Human Rights Watch per chiedere come proteggere la privacy dei dati degli studenti. In seguito, l’azienda ha rimosso dal suo sito web tutti i link alla sua piattaforma di apprendimento online rivolti agli studenti. Escola Mais ha affermato che la data surveillance aveva come target i genitori. Ha inoltre dichiarato che avrebbe fornito agli studenti un link diretto alla sua piattaforma online, in modo che potessero evitare di utilizzare il sito web principale, che è sottoposto a sorveglianza attiva dei dati, per accedere alle risorse di apprendimento. Si tratta di uno sviluppo positivo, che dimostra come i provider online possano fornire servizi educativi ai bambini in modo da non compromettere i loro dati e la loro privacy. Ma non basta la volontà dei singoli fornitori. Il governo nazionale dovrebbe modificare la legge brasiliana sulla protezione dei dati (Lei Geral de Proteção de Dados Pessoais) adottando nuove garanzie per fermare la sorveglianza dei bambini online.

Il Presidente Joe Biden ha dichiarato che resta da verificare se l’intelligenza artificiale sia pericolosa, ma nel frattempo le aziende tecnologiche dovrebbero garantire la sicurezza dei loro prodotti prima di rilasciarli al pubblico. Biden ha incontrato il suo council of advisers on science and technology (composto da esperti di scienza, ingegneria, tecnologia e medicina) per discutere sui rischi e le opportunità che i rapidi progressi dell’intelligenza artificiale comportano per i singoli utenti e per la sicurezza nazionale. “L’intelligenza artificiale può aiutare ad affrontare alcune sfide molto difficili come le malattie e il cambiamento climatico, ma deve anche affrontare i potenziali rischi per la nostra società, la nostra economia e la nostra sicurezza nazionale”, ha detto Biden al gruppo, che comprende accademici e dirigenti di Microsoft e Google. Sebbene le aziende tecnologiche debbano sempre essere responsabili della sicurezza dei loro prodotti, il richiamo di Biden riflette una novità: l’emergere di strumenti di IA facili da usare che possono generare contenuti manipolativi e media sintetici dall’aspetto realistico, noti come deepfakes, ha dichiarato Rebecca Finlay, CEO della Partnership on AI. La Casa Bianca ha dichiarato che il presidente democratico ha utilizzato l’incontro sull’IA per “discutere dell’importanza di proteggere i diritti e la sicurezza per garantire un’innovazione responsabile e adeguate salvaguardie” e per ribadire il suo appello al Congresso affinché approvi una legislazione per proteggere i bambini e limitare la raccolta di dati da parte delle aziende tecnologiche. L’anno scorso l’amministrazione Biden ha presentato una serie di obiettivi di ampia portata volti a prevenire i danni causati dall’ascesa dei sistemi di IA, tra cui linee guida per la protezione dei dati personali delle persone e la limitazione della sorveglianza. Il Blueprint for an AI Bill of Rights, in particolare, non prevedeva azioni specifiche di applicazione, ma era invece inteso come una chiamata all’azione per il governo degli Stati Uniti per salvaguardare i diritti digitali e civili in un mondo alimentato dall’IA.

English version

Tesla will warn that its “sentry mode,” which records the car’s surroundings, risks violating privacy laws in Germany. The announcement follows a subpoena to the automaker by consumer group vzbv for failing to mention it in advertisements. The case is the latest in a series of disputes in countries ranging from China to the Netherlands over cameras in Tesla cars, which the company says serve to protect against theft or vandalism, but which authorities fear lead to filming without consent.The lawsuit filed by vzbv last July claimed that the automaker misled consumers by not informing them in its advertising that the driver could violate data protection laws if the feature was used in public spaces and filmed passersby without their knowledge. After a hearing on the case in Berlin, the company issued a cease-and-desist statement saying it would no longer advertise in that way, according to a statement from vzbv. Tesla could not immediately be reached for comment. The automaker’s handbook for buyers in the United States states that “it is your sole responsibility to consult and comply with all local regulations and ownership restrictions related to the use of cameras.” A spokesman for the Berlin-based data protection agency said the person driving the car is responsible for turning off cameras in public spaces. The responsibility would extend to the company if the images were transmitted and stored by Tesla, the spokesman added. The Data Protection Authority in the Netherlands drew a similar conclusion in February, holding the driver responsible for the footage.

After the Human Rights Watch report, Escola Mais, a Brazilian educational company, took steps to protect student privacy. This was announced by HRW itself, after it drew media attention a few days ago to the fact that Escola Mais’ website, along with seven other educational websites for Brazilian students, was secretly surveilling children and collecting their personal data. According to reports, prior to the report’s publication, Escola Mais had not responded to requests for comment, but after the media began to rebuttal the news of the investigation, it contacted Human Rights Watch to ask how to protect the privacy of student data. The company later removed all links to its online learning platform aimed at students from its website. Escola Mais stated that the data surveillance was targeting parents. It also said it would provide students with a direct link to its online platform so they could avoid using the main website, which is under active data surveillance, to access learning resources. This is a positive development, demonstrating how online providers can provide educational services to children in a way that does not compromise their data and privacy. But the will of individual providers is not enough. The national government should amend Brazil’s data protection law (Lei Geral de Proteção de Dados Pessoais) by adopting new safeguards to stop the surveillance of children online.

President Joe Biden said it remains to be seen whether artificial intelligence is dangerous, but in the meantime, technology companies should ensure the safety of their products before releasing them to the public. Biden met with his council of advisers on science and technology (composed of experts in science, engineering, technology and medicine) to discuss the risks and opportunities that rapid advances in artificial intelligence pose for individual users and for national security. “Artificial intelligence can help address some very difficult challenges like disease and climate change, but it must also address potential risks to our society, our economy and our national security,” Biden told the group, which includes academics and executives from Microsoft and Google. Although technology companies should always be responsible for the security of their products, Biden’s reminder reflects a new development: the emergence of easy-to-use AI tools that can generate manipulative content and realistic-looking synthetic media known as deepfakes, said Rebecca Finlay, CEO of the Partnership on AI. The White House said the Democratic president used the meeting on AI to “discuss the importance of protecting rights and safety to ensure responsible innovation and appropriate safeguards” and to reiterate his call for Congress to pass legislation to protect children and limit data collection by tech companies. Last year, the Biden administration unveiled a set of far-reaching goals aimed at preventing harm from the rise of AI systems, including guidelines for protecting people’s personal data and limiting surveillance. The Blueprint for an AI Bill of Rights, in particular, did not include specific enforcement actions, but was instead intended as a call to action for the U.S. government to safeguard digital and civil rights in an AI-powered world.

PRIVACY DAILY 86/2023

L’Autorità garante privacy del Regno Unito (ICO) ha annunciato una sanzione pecuniaria pari a 12,7 milioni di sterline a TikTok per non aver protetto adeguatamente la privacy dei bambini. Secondo un’indagine dell’ICO, il sito di condivisione video ha utilizzato i dati di minori di età inferiore ai 13 anni senza il consenso dei genitori. Secondo le stime, TikTok ha permesso a 1,4 milioni di bambini britannici infra-tredicenni di utilizzare la piattaforma nel 2020. Nonostante le regole di TikTok prevedano che i minori di 13 anni debbano avere il consenso dei genitori per utilizzare la piattaforma, l’ICO ha dichiarato che molti sono riusciti a creare account senza tale consenso. Secondo l’ICO, i dati dei bambini potrebbero essere stati utilizzati per tracciarne il profilo e presentare loro contenuti potenzialmente dannosi o inappropriati. Il commissario per le informazioni John Edwards ha dichiarato: “Ci sono leggi in vigore per garantire che i nostri bambini siano sicuri nel mondo digitale come in quello fisico. TikTok non ha rispettato queste leggi. Di conseguenza, circa un milione di minori di 13 anni ha avuto accesso alla piattaforma in modo inappropriato e TikTok ha raccolto e utilizzato i loro dati personali. Un portavoce di TikTok ha dichiarato alla BBC: “pur non essendo d’accordo con la decisione dell’ICO, che si riferisce al periodo maggio 2018 – luglio 2020, siamo lieti che la multa annunciata oggi sia stata ridotta a meno della metà dell’importo proposto lo scorso anno. Continueremo a rivedere la decisione e stiamo valutando le prossime mosse”. TikTok può fare ricorso contro l’entità della multa e ha 28 giorni di tempo per presentare le proprie osservazioni. In caso di esito positivo, l’ICO potrebbe ridurre l’importo finale. L’autorità ha a disposizione un massimo di 16 settimane, dall’emissione dell’avviso di proposta di multa all’emissione della decisione finale.

L’Unione Europea e il Giappone procedono insieme nell’implementazione della protezione dei dati personali. Didier Reynders, Commissario europeo per la Giustizia, e Mieko Tanno, Presidente della Commissione giapponese per la protezione dei dati personali (PPC), hanno accolto con favore la conclusione positiva della prima revisione dell’accordo di adeguatezza reciproca tra Giappone e UE.  Nel 2019, l’UE e il Giappone hanno riconosciuto i rispettivi sistemi di protezione dei dati come “equivalenti”, consentendo così la libera circolazione dei dati personali. Questo accordo ha creato la più grande area al mondo di flussi di dati liberi e sicuri. In questo modo, integra e amplifica i vantaggi dell’Accordo di partenariato economico Giappone-UE.  L’accordo di adeguatezza reciproca è stato sottoposto a una prima revisione, che si è ora conclusa con l’adozione delle relazioni della Commissione europea e del PPC sul funzionamento delle rispettive decisioni di adeguatezza. Il riesame ha dimostrato che la convergenza tra i quadri normativi dell’UE e del Giappone in materia di protezione dei dati è ulteriormente aumentata negli ultimi anni e che l’accordo di adeguatezza reciproca funziona bene, consentendo la circolazione dei dati con fiducia, con notevoli vantaggi per i cittadini e le imprese. Entrambe le parti riconoscono che la cooperazione sull’accordo di adeguatezza reciproca offre un’opportunità unica per continuare a rafforzare il partenariato tra l’UE e il Giappone in questo settore, anche promuovendo un approccio all’economia digitale incentrato sull’uomo a livello globale. 

La maggior parte dei consumatori irlandesi è preoccupata per la privacy e per l’uso dei propri dati quando si tratta di pubblicità mirata. Lo ha rivelato un’analisi della Commissione europea sulle esperienze dei consumatori in tutto il continente, la quale ha rilevato che il 94% dei consumatori irlandesi ha timori sulla privacy e sulla pubblicità mirata online. Quasi l’80% teme che i dati personali possano essere utilizzati per altri scopi e condivisi con altri, mentre tre quarti temono che venga creato un profilo su di loro senza che ne siano a conoscenza o che venga data loro esplicitamente la possibilità di acconsentire. Circa il 60% è sospettoso dell’installazione di cookie, mentre la metà dichiara di non gradire il fatto che non si possa rinunciare a questo tipo di informazioni.  Il sondaggio condotto su un campione di 1.000 persone mostra che i consumatori irlandesi sono molto più diffidenti rispetto alle loro controparti europee. Quattro quinti sono stati esposti a pubblicità che ritengono sia stata fatta su misura per loro, mentre due terzi hanno ricevuto recensioni che non ritengono autentiche. Più di tre quinti dicono di aver avuto a che fare con i cosiddetti “influencer” dei social media che sembrano essere stati pagati per promuovere determinati prodotti, ma non lo dichiarano chiaramente. Quasi un terzo dei consumatori irlandesi ha avuto difficoltà a cancellare un contratto stipulato online, citando esempi come l’impossibilità di trovare l’opzione di cancellazione sul sito web o sull’app.

English version

The UK Privacy Authority (ICO) announced a £12.7 million fine to TikTok for failing to adequately protect children’s privacy. According to an investigation by the ICO, the video-sharing site used the data of children under the age of 13 without parental consent. According to estimates, TikTok allowed 1.4 million UK children under 13 to use the platform in 2020. Despite the fact that TikTok’s rules state that under-13s must have parental consent to use the platform, the ICO stated that many were able to create accounts without such consent. According to the ICO, children’s data may have been used to profile them and present them with potentially harmful or inappropriate content. Information Commissioner John Edwards said: ‘There are laws in place to ensure that our children are as safe in the digital world as in the physical one. TikTok has failed to comply with these laws. As a result, around one million children under the age of 13 have accessed the platform inappropriately and TikTok has collected and used their personal data. A TikTok spokesperson told the BBC: ‘While we disagree with the ICO’s decision, which covers the period May 2018 – July 2020, we are pleased that the fine announced today has been reduced to less than half of the amount proposed last year. We will continue to review the decision and are considering next steps.” TikTok can appeal the size of the fine and has 28 days to submit its comments. If successful, the ICO could reduce the final amount. The authority has a maximum of 16 weeks from the issuance of the notice of proposed fine to the issuance of the final decision.

The European Union and Japan are moving forward together in the implementation of personal data protection. Didier Reynders, European Commissioner for Justice, and Mieko Tanno, President of the Japanese Personal Data Protection Commission (PPC), welcomed the successful conclusion of the first review of the mutual adequacy agreement between Japan and the EU. In 2019, the EU and Japan recognised each other’s data protection systems as ‘equivalent’, thus enabling the free movement of personal data. This agreement created the world’s largest area of free and secure data flows. In this way, it complements and amplifies the benefits of the Japan-EU Economic Partnership Agreement. The mutual adequacy agreement underwent an initial review, which has now been concluded with the adoption of the European Commission and PPC reports on the functioning of their respective adequacy decisions. The review has shown that convergence between the EU and Japanese data protection regulatory frameworks has further increased in recent years and that the Mutual Adequacy Agreement works well, allowing data to flow with confidence, with significant benefits for citizens and businesses. Both sides recognise that cooperation on the Mutual Adequacy Agreement offers a unique opportunity to continue to strengthen the partnership between the EU and Japan in this area, including by promoting a human-centred approach to the digital economy globally.

The majority of Irish consumers are concerned about privacy and the use of their data when it comes to targeted advertising. This was revealed by a European Commission analysis of consumer experiences across the continent, which found that 94% of Irish consumers have concerns about privacy and targeted advertising online. Almost 80% fear that personal data could be used for other purposes and shared with others, while three quarters fear that a profile will be created about them without their knowledge or explicit consent. Some 60 per cent are suspicious of the installation of cookies, while half say they dislike the fact that they cannot opt out. The survey of 1,000 people shows that Irish consumers are much more wary than their European counterparts. Four-fifths have been exposed to advertising that they believe has been tailored to them, while two-thirds have received reviews that they do not believe to be authentic. More than three-fifths say they have dealt with so-called social media ‘influencers’ who appear to have been paid to promote certain products, but do not state this clearly. Nearly one-third of Irish consumers have experienced difficulties cancelling a contract made online, citing examples such as not being able to find the cancellation option on the website or app.

PRIVACY DAILY 85/2023

I siti web educativi rivolti agli studenti brasiliani sorvegliavano i bambini e raccoglievano i loro dati personali. Lo ha dichiarato Human Rights Watch, affermando che il governo nazionale dovrebbe modificare la legge sulla protezione dei dati aggiungendo nuove garanzie per proteggere i bambini online. L’analisi condotta da HRW nel novembre 2022 e riesaminata nel gennaio 2023 ha rilevato che sette siti web educativi (Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh e Stoodi) hanno estratto e inviato i dati dei bambini a società terze, utilizzando tecnologie di tracciamento progettate per la pubblicità. Un ottavo sito web (Revisa Enem) ha inviato i dati dei bambini a una società terza, senza però utilizzare tracker specifici per gli annunci. Questi siti web non si limitavano a osservare i bambini all’interno delle loro aule online, ma li seguivano anche su Internet, al di fuori dell’orario scolastico e in profondità nella loro vita privata. I segretariati per l’istruzione di Minas Gerais e São Paulo avevano originariamente autorizzato questi siti web per l’uso da parte dei bambini durante la pandemia Covid-19, e sono tuttora in uso. Poiché i siti web offerti temporaneamente erano gratuiti e ampiamente diffusi alle scuole dal governo, molte scuole ne hanno adottato l’uso. Per molti bambini era impossibile rinunciare al monitoraggio senza rinunciare del tutto all’apprendimento formale. E anche quando le scuole hanno riaperto, la diffusione di questi siti web da parte dei governi statali durante la pandemia ha spianato la strada al loro continuo utilizzo da parte di studenti e scuole. Secondo quanto rilevato da HRW, ai bambini continua a essere negata la possibilità di proteggersi adeguatamente da queste invasioni della loro privacy. Peraltro, né le autorità statali né le aziende hanno reso note le loro pratiche di tracciamento, che sono invisibili all’utente. Pertanto, HRW invoca l’intervento dell’autorità brasiliana per la protezione dei dati per fermare queste violazioni della privacy dei bambini. Dovrebbe richiedere a queste aziende e ai governi statali di cancellare i dati dei bambini raccolti dopo la pandemia e impedire loro di utilizzare ulteriormente i dati dei bambini per qualsiasi scopo non legato all’istruzione.

In Germania, le imprese familiari chiedono una migliore protezione dei loro dati depositati nel Transparenzregister, che ha lo scopo di prevenire il riciclaggio di denaro e il finanziamento del terrorismo. In futuro, dovrebbero essere previsti requisiti più severi per la consultazione di queste informazioni. Questa è la conclusione di un parere di esperti pubblicato lunedì dalla Foundation for Family Business and Politics. Secondo il rapporto, è necessario dimostrare un “interesse legittimo” se, ad esempio, giornalisti, organizzazioni non governative o privati vogliono accedere ai dati. Anche questi ultimi dovrebbero registrarsi online e fornire una dichiarazione giurata del loro interesse. Secondo la normativa europea, ogni cittadino che detiene più del 25% di una società deve essere registrato come beneficiario effettivo nel registro della trasparenza. Con questo registro, la Germania attua una direttiva dell’UE per combattere il riciclaggio di denaro e il finanziamento del terrorismo. Nel registro, le società non quotate in borsa devono inserire i loro principali proprietari o titolari di diritti di voto, con tanto di data di nascita, nazionalità e luogo di residenza. Ogni azienda è interessata dall’obbligo di rendicontazione, ha spiegato la Foundation for Family Business and Politics. In Germania, solo un milione di società a responsabilità limitata dovrebbe fornire informazioni sulla proprietà al registro della trasparenza. Tuttavia, la Corte di giustizia europea ha rafforzato la protezione dei dati degli imprenditori con la decisione del novembre 2022. Di conseguenza, il pubblico non dovrebbe più avere accesso illimitato ai dati sensibili dei titolari effettivi. Il parere legale preparato per la fondazione sottolinea che, in combinazione con altri dati che le aziende sono obbligate a pubblicare, gli estranei potrebbero ottenere una visione profonda della gestione aziendale e della vita privata. “In questo caso devono entrare in vigore meccanismi di protezione”, ha dichiarato Rainer Kirchdörfer, presidente della Fondazione.

TikTok è la prima app di proprietà cinese a riscuotere un grande successo nel mercato globale, ma ci sono anche altre app di proprietà cinese che destano sospetti di potenziali violazioni della privacy. TikTok è una delle applicazioni più popolari negli Stati Uniti, anche se negli ultimi tempi ha fatto notizia per le censure ricevute e per l’interrogazione del suo AD davanti al Congresso. Ma la piattaforma non è l’unica applicazione mobile di proprietà cinese a conquistare i mercati occidentali. La società di analisi Apptopia stima che altre tre delle prime 10 applicazioni mobili negli Stati Uniti siano di proprietà di aziende cinesi. Due di esse sono anche tra le più scaricate nel Regno Unito. La prima è CapCut (sempre targata ByteDance), app per l’editing mobile in movimento che offre una serie di funzioni progettate per rendere i video virali, come l’aggiunta di canzoni popolari, filtri ed effetti speciali. La seconda è Shein, un marchio di moda globale fondato nel 2012 e che oggi ha una valutazione di quasi 15 miliardi di dollari. La terza è Temu, che ha debuttato negli USA da meno di un anno, ma già contende la scena ad Amazon e Walmart: un superstore online che vende di tutto, dall’abbigliamento all’elettronica, e consente ai consumatori di acquistare direttamente dal produttore cinese; i prezzi sono così bassi che molti americani hanno cercato “is Temu legit”. Secondo gli esperti, il successo delle app cinesi negli Stati Uniti è in parte dovuto alla forte concorrenza esistente nel loro mercato nazionale, dove le app statunitensi sono vietate. Queste aziende cinesi sono state anche leader nello sviluppo di algoritmi di raccomandazione altamente personalizzati per soddisfare le esigenze degli utenti, come quelli utilizzati da TikTok e dall’app di messaggistica istantanea WeChat. Tuttavia, le aziende tecnologiche statunitensi, come Apple, hanno combattuto lunghe battaglie in tribunale per bloccare le richieste governative dei dati dei loro utenti. Vi sono, però, dei dubbi sul fatto che un’azienda cinese possa fare lo stesso dinanzi ad un ordine del Partito Comunista Cinese.

English version

Educational websites targeting Brazilian students were surveilling children and collecting their personal data. This was stated by Human Rights Watch, saying that the national government should amend the data protection law by adding new safeguards to protect children online. The analysis conducted by HRW in November 2022 and reviewed in January 2023 found that seven educational websites (Estude em Casa, Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Explicaê, MangaHigh and Stoodi) extracted and sent children’s data to third-party companies, using tracking technologies designed for advertising. An eighth website (Revisa Enem) sent children’s data to a third company, but did not use ad-specific trackers. These websites did not only observe children inside their online classrooms, but also followed them on the Internet, outside school hours and deep into their private lives. The education secretariats of Minas Gerais and São Paulo had originally authorised these websites for use by children during the Covid-19 pandemic, and they are still in use today. Since the temporarily offered websites were free and widely disseminated to schools by the government, many schools adopted their use. For many children, it was impossible to give up monitoring without giving up formal learning altogether. And even when schools reopened, the dissemination of these websites by state governments during the pandemic paved the way for their continued use by students and schools. According to HRW, children continue to be denied the opportunity to adequately protect themselves from these invasions of their privacy. Moreover, neither state authorities nor companies have disclosed their tracking practices, which are invisible to the user. Therefore, HRW calls for the intervention of the Brazilian data protection authority to stop these violations of children’s privacy. It should require these companies and state governments to delete children’s data collected after the pandemic and prevent them from further using children’s data for any purpose unrelated to education.

In Germany, family businesses demand better protection of their data deposited in the Transparenzregister, which aims to prevent money laundering and terrorist financing. In future, there should be stricter requirements for consulting this information. This is the conclusion of an expert opinion published on Monday by the Foundation for Family Business and Politics. According to the report, a ‘legitimate interest’ must be demonstrated if, for example, journalists, non-governmental organisations or private individuals want to access the data. The latter should also register online and provide a sworn declaration of their interest. According to European legislation, every citizen who holds more than 25 per cent of a company must be registered as a beneficial owner in the transparency register. With this register, Germany implements an EU directive to combat money laundering and terrorist financing. In the register, unlisted companies must enter their main owners or holders of voting rights, including their date of birth, nationality and place of residence. Every company is affected by the reporting obligation, explained the Foundation for Family Business and Politics. In Germany, only one million limited liability companies are supposed to provide ownership information to the transparency register. However, the European Court of Justice strengthened the data protection of entrepreneurs with its decision of November 2022. Consequently, the public should no longer have unrestricted access to the sensitive data of beneficial owners. The legal opinion prepared for the foundation points out that, in combination with other data that companies are obliged to publish, outsiders could gain an in-depth insight into company management and private life. “In this case, protection mechanisms must come into force,” said Rainer Kirchdörfer, president of the foundation.

TikTok is the first Chinese-owned app to enjoy great success in the global market, but there are also other Chinese-owned apps that raise suspicions of potential privacy violations. TikTok is one of the most popular apps in the US, although it has recently made headlines for the censorship it has received and the questioning of its CEO before Congress. But the platform is not the only Chinese-owned mobile application to conquer Western markets. Analyst firm Apptopia estimates that three more of the top 10 mobile apps in the US are owned by Chinese companies. Two of them are also among the most downloaded in the UK. The first is CapCut (also by ByteDance), a mobile editing app on the go that offers a range of features designed to make videos go viral, such as adding popular songs, filters and special effects. The second is Shein, a global fashion brand founded in 2012 and now valued at nearly $15 billion. The third is Temu, which debuted in the US less than a year ago, but already contends with Amazon and Walmart: an online superstore that sells everything from clothing to electronics, and allows consumers to buy directly from the Chinese manufacturer; prices are so low that many Americans have searched “is Temu legit”. According to experts, the success of Chinese apps in the US is partly due to the strong competition in their home market, where US apps are banned. These Chinese companies have also been leaders in developing highly customised recommendation algorithms to meet users’ needs, such as those used by TikTok and the instant messaging app WeChat. However, US technology companies, such as Apple, have fought long court battles to block government requests for their users’ data. There are, however, doubts as to whether a Chinese company can do the same in the face of an order from the Chinese Communist Party.

PRIVACY DAILY 75/2023

Lo Utah è il primo Stato americano a limitare i trattamenti dei dati degli adolescenti da parte dei social media. Il governatore Spencer Cox sta per firmare due proposte di legge che mirano a proteggere i bambini dalla dipendenza e da altri potenziali danni dei social media. Le piattaforme dovranno ottenere il consenso dei genitori, se un utente di età inferiore ai 18 anni deciderà di aprire un account, e potrebbero incorrere in sanzioni e azioni legali in caso di violazioni. Queste proposte di legge sono tra gli sforzi più importanti che hanno impegnato quest’anno i legislatori statali in tutti gli Stati Uniti per regolamentare la fruizione dei servizi online da parte dei minori. La prima proposta richiede alle piattaforme di social media di verificare l’età degli utenti a partire dal 1° marzo 2024. Agli adolescenti verrebbe impedito, inoltre, di utilizzare i social media durante alcune ore notturne senza che un genitore modifichi le impostazioni dell’account. È inoltre prevista una limitazione della raccolta di informazioni personali dei minori. La seconda misura vieterebbe alle aziende di social media di utilizzare funzioni di design che creano dipendenza per i giovani sotto i 18 anni a partire dal 1° marzo 2024. Le violazioni potrebbero comportare sanzioni di 250.000 dollari per ogni funzione o pratica che crea dipendenza e di 2.500 dollari per ogni minore esposto, a meno che le aziende non verifichino e correggano le loro pratiche entro un determinato periodo di tempo. La misura prevede anche un diritto di azione legale per i danni subiti dal titolare di un account minorenne. Se l’utente ha meno di 16 anni, vi sarebbe una presunzione che il danno si sia verificato, rendendo più facile il successo di una richiesta di risarcimento in tribunale.

Secondo uno studio, alcune delle 12 principali app australiane per la fertilità raccolgono e vendono dati particolari. Lo studio, condotto congiuntamente da Katharine Kemp, researcher in law presso l’Università del New South Wales, e dal gruppo di consumatori Choice, ha valutato le privacy policy delle 12 app per la fertilità più popolari in Australia. Choice ha riscontrato che BabyCenter consentirebbe all’azienda di raccogliere informazioni sui propri utenti attraverso altre aziende e broker di dati, nonché di vendere dati personali ad altre aziende o di fornirli ad aziende che fanno pubblicità all’interno dell’app. Inoltre, permetterebbe alle aziende di tracciare i dati all’interno dell’app, a meno che non si scelga di non farlo, senza peraltro specificare se i dati vengono cancellati dopo un certo periodo di tempo. Choice ha scoperto che le app Glow Fertility, Nurture ed Eve “raccolgono ulteriori informazioni” sugli utenti da altre aziende, descritte solo come fonti di terze parti. Per di più, le app disporrebbero di tecnologie di tracciamento. Stando ai terms of service di Glow, tutti i dati degli utenti potrebbero essere diffusi a un’altra società, qualora l’app o il database venissero venduti. È stato, altresì, riscontrato che le app Ovia Fertility e Pregnancy raccoglierebbero numerosi dati non necessari per l’applicazione, tra cui malattie, situazione finanziaria, abitazione, sicurezza e livello di istruzione. Queste app potrebbero anche condividere la posizione e l’attività all’interno dell’app con gli inserzionisti. Choice ha riferito che l’app What To Expect è in grado di raccogliere informazioni sui suoi utenti da altre aziende, compresi gli intermediari di dati, consente la vendita dei dati degli utenti e permette ad altre aziende di tracciare gli utenti nell’app. Un esponente di Choice ha dichiarato che l’aspetto più preoccupante è la monetizzazione dei dati da parte delle app.

Neanche l’Intelligenza artificiale di ChatGpt è al sicuro da guasti tecnici che potrebbero pregiudicare la privacy. Nelle scorse ore, il software ha smesso di funzionare. A causare il disservizio la decisione dello sviluppatore, OpenAI, di bloccare temporaneamente la piattaforma per un bug, un errore che ha esposto i titoli delle conversazioni degli utenti. Il contenuto delle conversazioni, come ha precisato OpenAI a Bloomberg, non è stato diffuso. Dopo aver intercettato il problema la società, su cui Microsoft ha investito molto nei mesi scorsi, ha bloccato l’accesso alla chatbot per evitare che l’errore di privacy si estendesse ulteriormente. Prima di essere messo offline, sulla pagina principale di ChatGpt, invece di vedere la cronologia dei titoli delle proprie chat con l’AI, si potevano leggere quelli, casuali, di altri navigatori. Per evitare altri problemi, anche dopo la risoluzione, la cronologia degli utenti è rimasta indisponibile, con l’impossibilità di accedere alle domande fatte in precedenza all’intelligenza artificiale. La pagina di stato di ChatGpt ha specificato che OpenAI sta ancora lavorando per ripristinare il tutto.

English version

Utah is the first US state to restrict the processing of teenagers’ data by social media. Governor Spencer Cox is about to sign two bills that aim to protect children from the addiction and other potential harms of social media. Platforms will have to obtain parental consent if a user under the age of 18 decides to open an account, and could face penalties and legal action for violations. These bills are among the most important efforts that have engaged state legislators across the US this year to regulate minors’ use of online services. The first proposal would require social media platforms to verify the age of users as of 1 March 2024. Teenagers would also be prevented from using social media during certain hours at night without a parent changing their account settings. There would also be a restriction on the collection of personal information from minors. The second measure would prohibit social media companies from using addictive design features for young people under the age of 18 from 1 March 2024. Violations could result in penalties of $250,000 for each addictive feature or practice and $2,500 for each exposed minor, unless companies verify and correct their practices within a specified time period. The measure also provides a right of action for damages suffered by a minor account holder. If the user is under 16 years of age, there would be a presumption that the damage has occurred, making it easier to make a successful claim in court.

Some of Australia’s top 12 fertility apps collect and sell special data, according to a study. The study, conducted jointly by Katharine Kemp, a researcher in law at the University of New South Wales, and the consumer group Choice, assessed the privacy policies of the 12 most popular fertility apps in Australia. Choice found that BabyCenter would allow the company to collect information about its users through other companies and data brokers, as well as sell personal data to other companies or provide it to companies that advertise within the app. It would also allow companies to track data within the app unless you choose not to, without specifying whether the data is deleted after a certain period of time. Choice found that the apps Glow Fertility, Nurture and Eve ‘collect additional information’ about users from other companies, described only as third-party sources. What is more, the apps would have tracking technologies. According to Glow’s terms of service, all user data could be disclosed to another company if the app or database were sold. It was also found that the Ovia Fertility and Pregnancy apps would collect a lot of data not needed for the app, including illness, financial situation, housing, security and education level. These apps could also share location and activity within the app with advertisers. Choice reported that the What To Expect app is able to collect information about its users from other companies, including data brokers, allows the sale of user data, and allows other companies to track users in the app. A Choice representative stated that the most worrying aspect is the monetisation of data by apps.

Not even ChatGpt’s artificial intelligence is safe from technical failures that could affect privacy. In recent hours, the software has stopped working. The disruption was caused by the decision of the developer, OpenAI, to temporarily block the platform due to a bug, an error that exposed the titles of users’ conversations. The content of the conversations, as OpenAI clarified to Bloomberg, was not released. After intercepting the problem, the company, in which Microsoft has invested heavily in recent months, blocked access to the chatbot to prevent the privacy error from spreading further. Before being taken offline, on ChatGpt’s main page, instead of seeing the history of one’s chats with the AI, one could read the random ones of other surfers. To avoid other problems, even after the resolution, the users’ history remained unavailable, making it impossible to access the questions previously asked by the artificial intelligence. The ChatGpt status page specified that OpenAI is still working to restore everything.

PRIVACY DAILY 66/2023

È dedicata al tema dei diritti del fanciullo dell’ambiente digitale la riunione annuale sui diritti dell’infanzia e dell’adolescenza del Consiglio dei diritti umani dell’ONU. Incentrata su “Sfide e opportunità per il pieno godimento dei diritti dei minori nell’ambiente digitale”, la prima parte della giornata è iniziata con uno scambio tra l’Alto Commissario per i diritti umani, Volker Türk e attivisti e difensori dei diritti dei minori provenienti da Colombia, Etiopia e India. In particolare, l’Alto Commissario ha sottolineato l’importanza di creare ambienti online che permettano ai bambini di interagire e svilupparsi in modo sicuro, liberi da abitudini online dannose e coinvolgenti o da incessanti e dannosi confronti tra pari. Ha menzionato i rischi per i bambini online, come il bullismo e le molestie. Türk ha inoltre sottolineato l’importanza di regolamentare la raccolta e l’uso dei dati dei bambini, nonché di investire nella formazione di genitori, insegnanti e bambini sulla sicurezza online. A livello giuridico, ha ricordato che il Comitato per i diritti del fanciullo ha adottato la sua Osservazione generale n. 25 nel 2021, che tratta specificamente dei “diritti dei bambini in relazione all’ambiente digitale” e fornisce indicazioni utili sull’equilibrio tra la gestione dei rischi su Internet e il godimento dei suoi benefici. Gli attivisti hanno poi parlato delle esigenze dei giovani in termini di accesso a Internet e di sicurezza online. In particolare, hanno sottolineato che le nuove tecnologie, come l’intelligenza artificiale, sono così avanzate che persino le autorità di regolamentazione hanno difficoltà a tenere traccia di come vengono raccolti i dati degli utenti. I giovani intervenuti ritengono che, oltre ad avere accesso a Internet, i ragazzi debbano anche imparare a usare la tecnologia in modo corretto per identificare quando è dannosa per loro; hanno raccomandato di mettere in atto meccanismi preventivi ben progettati per garantire il benessere dei bambini online. La giornata annuale è poi proseguita con una discussione concentrata  su “come rafforzare i quadri giuridici e politici per sostenere i diritti dei minori nell’ambiente digitale”. 

Nel Regno Unito, gli attivisti della privacy si schierano con Whatsapp sull’Online Safety Bill. In particolare, affermano di apprezzare la scelta della società di non fare marcia indietro nella sua opposizione alle proposte del governo britannico che potrebbero consentire la scansione dei messaggi criptati. La notizia arriva dopo che il responsabile di WhatsApp ha dichiarato che preferirebbe che agli utenti britannici venisse impedito l’uso del servizio piuttosto che permettere al governo di impattare sulla loro privacy. “Non ridurremo la sicurezza di WhatsApp”, ha detto Will Cathcart, “non lo abbiamo mai fatto e abbiamo accettato di essere bloccati in altre parti del mondo”. WhatsApp, come altre applicazioni tra cui Signal (che pure ha mosso forti critiche alla riforma), utilizzano la crittografia end-to-end in modo che nessuno al di fuori di una chat possa vedere i messaggi inviati, nemmeno il fornitore della piattaforma stessa. L’Online Safety Bill, una proposta legislativa di ampio respiro che mira a regolamentare i contenuti di Internet per mantenere la sicurezza delle persone, conferirebbe all’ente britannico di regolazione dei media (Ofcom) il potere di chiedere a tali piattaforme di identificare e rimuovere determinati contenuti (es. materiale pedopornografico). Se si rifiutano di adeguarsi, le aziende potrebbero incorrere in multe salate. La proposta di legge è tornata in parlamento alla fine dello scorso anno, dopo diversi ritardi, e gode del sostegno di alcune importanti associazioni di beneficenza, di attivisti per la sicurezza e, secondo i sondaggi, di un gran numero di adulti britannici. Ma le aziende tecnologiche hanno espresso il timore che il disegno di legge sia di portata troppo ampia e poco chiaro su ciò che sarà loro richiesto di censurare, mentre alcuni parlamentari hanno affermato che potrebbe avere un impatto sulla libertà di espressione.

In occasione delle elezioni, il governo nigeriano è stato richiamato al rispetto dei diritti digitali dei cittadini dalle associazioni attive nel settore. Il Digital Rights and Information Partnership (DRIP), un consorzio di organizzazioni, ha, infatti, esortato l’esecutivo federale ad abbracciare la trasparenza elettorale e a rispettare i diritti digitali dei nigeriani. Il portavoce del gruppo, Edozie Chukwuma, ha dichiarato che i nigeriani dovrebbero essere messi in condizione di votare con la certezza che i loro voti avranno un peso. Alla luce delle elezioni presidenziali e dell’Assemblea nazionale del 25 febbraio, il gruppo ha affermato che i nigeriani meritano di essere protetti contro le interferenze di cui si è parlato durante le elezioni presidenziali. “Internet ha le sue sfide uniche a causa del nostro dinamico panorama politico, come è stato evidente nelle elezioni appena concluse. La Commissione ha investito molto in tecnologia, come i sistemi BVAS e IReV, per garantire la trasparenza e la trasmissione diretta dei risultati elettorali dalle unità elettorali”, ha dichiarato Chukwuma. Tuttavia, ha osservato che i risultati delle unità elettorali sono stati trasmessi manualmente a causa di segnalazioni di interferenze esterne e problemi di connettività, che evidenziano le questioni relative alla protezione dei dati dei cittadini e della governance di Internet. Ha esortato il governo federale a salvaguardare lo spazio civico limitando le interruzioni illegali e garantendo la libertà di espressione e di riunione online per tutti i nigeriani. Chukwuma ha affermato che il Digital Rights and Freedom Bill (DRFB) all’esame dell’Assemblea nazionale, tra le altre cose, mira a vietare indebite interferenze con la privacy digitale dei cittadini nigeriani e a proteggere il diritto di riunione e associazione pacifica di tutti i nigeriani attraverso i social network e le piattaforme.

English version

The UN Human Rights Council’s annual meeting on the rights of the child in the digital environment is dedicated to the theme of the rights of the child. Focusing on “Challenges and opportunities for the full enjoyment of children’s rights in the digital environment”, the first part of the day began with an exchange between the High Commissioner for Human Rights, Volker Türk, and child rights activists and defenders from Colombia, Ethiopia and India. In particular, the High Commissioner emphasised the importance of creating online environments that allow children to interact and develop safely, free from harmful and addictive online habits or incessant and damaging peer comparisons. He mentioned the risks for children online, such as bullying and harassment. Türk also stressed the importance of regulating the collection and use of children’s data, as well as investing in training for parents, teachers and children on online safety. At the legal level, he recalled that the Committee on the Rights of the Child adopted its General Comment No. 25 in 2021, which specifically addresses ‘children’s rights in relation to the digital environment’ and provides useful guidance on the balance between managing risks on the Internet and enjoying its benefits. The activists then spoke about the needs of young people in terms of Internet access and online safety. In particular, they pointed out that new technologies, such as artificial intelligence, are so advanced that even regulators find it difficult to keep track of how user data are collected. The youth speakers believed that, in addition to having access to the Internet, children should also learn how to use technology properly to identify when it is harmful to them; they recommended putting in place well-designed preventive mechanisms to ensure the well-being of children online. The annual day continued with a discussion focused on ‘how to strengthen legal and policy frameworks to uphold children’s rights in the digital environment’.

In the UK, privacy activists are siding with Whatsapp on the Online Safety Bill. In particular, they say they welcome the company’s decision not to back down in its opposition to the UK government’s proposals that could allow the scanning of encrypted messages. The news comes after the head of WhatsApp stated that he would rather UK users be prevented from using the service than allow the government to impact their privacy. “We’re not going to reduce the security of WhatsApp,” said Will Cathcart, “we’ve never done that and we’ve accepted being blocked in other parts of the world.” WhatsApp, like other apps including Signal (which has also been highly critical of the reform), uses end-to-end encryption so that no one outside a chat can see the messages sent, not even the platform provider itself. The Online Safety Bill, a far-reaching legislative proposal that aims to regulate Internet content to keep people safe, would give the UK media regulator (Ofcom) the power to require such platforms to identify and remove certain content (e.g. child pornography). If they refuse to comply, companies could face heavy fines. The bill returned to parliament late last year, after several delays, and has the support of some major charities, security activists and, according to polls, a large number of British adults. But technology companies have expressed fears that the bill is too broad in scope and unclear on what they will be required to censor, while some MPs have said it could impact on freedom of expression.

On the occasion of the elections, the Nigerian government was urged to respect the digital rights of citizens by associations active in the field. The Digital Rights and Information Partnership (DRIP), a consortium of organisations, urged the federal executive to embrace electoral transparency and respect the digital rights of Nigerians. The group’s spokesperson, Edozie Chukwuma, said Nigerians should be enabled to vote with the confidence that their votes will count. In light of the presidential and National Assembly elections on 25 February, the group said Nigerians deserve to be protected against the interference that was talked about during the presidential election. “The Internet has its own unique challenges because of our dynamic political landscape, as was evident in the just concluded elections. The Commission has invested heavily in technology, such as BVAS and IReV systems, to ensure transparency and direct transmission of election results from polling units,” Chukwuma said. However, he noted that results from polling units were being transmitted manually due to reports of external interference and connectivity issues, which highlight issues of citizens’ data protection and Internet governance. He urged the Federal Government to safeguard the civic space by limiting illegal disruptions and ensuring freedom of expression and assembly online for all Nigerians. Chukwuma said the Digital Rights and Freedom Bill (DRFB) before the National Assembly, among other things, aims to prohibit undue interference with the digital privacy of Nigerian citizens and protect the right of peaceful assembly and association of all Nigerians through social networks and platforms.

PRIVACY DAILY 60/2023

La Federal Trade Commission (FTC) vieta al servizio di consulenza psicologica online BetterHelp Inc. di condividere i dati sanitari dei suoi utenti, comprese le informazioni sui problemi di salute mentale, a scopo pubblicitario. La proposta di ordinanza prevede anche che l’azienda paghi 7,8 milioni di dollari di risarcimento agli utenti per aver rivelato i loro dati a terzi, come Facebook e Snapchat. BetterHelp offre servizi di consulenza online con questo nome e con versioni specializzate per un pubblico particolare – i.e. Pride Counseling per i membri della comunità LGBTQ, Faithful Counseling per le persone di fede cristiana, Terappeuta per i clienti di lingua spagnola e Teen Counseling per gli adolescenti che si iscrivono con il permesso dei genitori -. I consumatori interessati ai servizi di BetterHelp devono compilare un questionario che chiede dati relativi alla salute mentale, come ad esempio se hanno sofferto di depressione o pensieri suicidi e se stanno assumendo farmaci. Inoltre forniscono il loro nome, l’indirizzo e-mail, la data di nascita e altre informazioni personali. I consumatori vengono poi abbinati a un consulente e pagano tra i 60 e i 90 dollari a settimana per la consulenza. In diversi punti del processo di iscrizione, BetterHelp ha promesso ai consumatori che non avrebbe utilizzato o divulgato i loro dati sanitari personali se non per scopi limitati, come la fornitura di servizi di consulenza. Ma così non è stato nella pratica, stando alle valutazioni della FTC. Così, a BetterHelp sarà vietato di condividere i dati personali dei consumatori con alcune terze parti per il re-targeting. La FTC pubblicherà a breve una descrizione del consent agreement package nel Federal Register. L’accordo sarà soggetto a commenti pubblici per 30 giorni dopo la pubblicazione nel Federal Register, dopodiché la Commissione deciderà se renderlo definitivo. 

Nel Regno Unito, una madre ha dichiarato di essere stata lasciata sola “nel deserto” mentre tentava di ottenere informazioni dalle tech companies sulla morte di sua figlia adolescente. La ragazza si era suicidata circa cinque anni or sono, dopo aver visto materiale autolesionistico online. La famiglia ha cercato più volte di ottenere informazioni e si è trovata “assolutamente in difficoltà”. Perciò, insieme ad altre famiglie, stanno conducendo una campagna per cambiare le cose. In particolare, vogliono un emendamento all’Online Safety Bill, al momento in corso di approvazione in Parlamento, che consenta alle famiglie e ai medici legali di ottenere il supporto delle authorities (una su tutte, dell’Ofcom) per ottenere dalle piattaforme informazioni sul materiale a cui i loro figli accedevano prima della loro morte. Il gruppo ha scritto al Primo Ministro, al Ministro della Giustizia e al Segretario di Stato per la Scienza e la Tecnologia, chiedendo che la legge venga modificata. Nella lettera inviata al Governo – e citata parzialmente dalla BBC – si legge: “Ognuno di noi ha perso un figlio in circostanze legate al mondo digitale, e ognuno di noi ha lottato per ottenere le informazioni necessarie a comprendere meglio la sua morte. Purtroppo, ogni anno, ci sono centinaia di famiglie che si trovano in circostanze altrettanto dolorose. Il processo di accesso ai dati è stato disumano. In alcuni casi, ci sono voluti anni e siamo stati lasciati in loop automatici, parlando con bot online, come se stessimo contattando oggetti smarriti”.

Il cammino verso l’introduzione del Data Protection Bill in India non è certo privo di colpi di scena. L’ultimo è stata la smentita da parte del deputato Lok Sabha della dichiarazione del ministro dell’Elettronica e della Tecnologia dell’Informazione Ashwini Vaishnaw, secondo cui la Commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato un “grande pollice in su” alla proposta legislativa del Governo. Dal 2017, quando la Corte Suprema indiana con la storica sentenza Puttaswamy, ha stabilito all’unanimità che la privacy è un diritto fondamentale dei cittadini indiani, si sono già avvicendate quattro versioni della legge sulla protezione dei dati. L’ultima è il Digital Personal Data Protection (DPDP) Bill, pubblicato dal Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeitY) per la consultazione pubblica il 18 novembre 2022. In una recente dichiarazione, il ministro Ashwini Vaishnaw ha affermato che la commissione parlamentare permanente per le comunicazioni e l’informatica avrebbe dato parere favorevole al progetto di legge. Ma forse si è trattato di eccessivo ottimismo. Nel corso della seduta dello scorso dicembre, la Commissione aveva, infatti, invitato i rappresentanti del MeitY per ascoltare il loro punto di vista sulla “sicurezza dei dati dei cittadini e la privacy” (in una sorta di discussione preliminare sulla proposta di DPDP), ma i membri della Commissione avevano, però, sollevato diverse questioni. Soprattutto, dal momento che la proposta non è stata inviata formalmente alla commissione, l’approvazione o la disapprovazione del Data Protection Bill in questa fase non risulta all’ordine del giorno. Peraltro, vengono sollevate aspre critiche sotto vari profili giuridici. In particolare, viene affermato che il disegno di legge sul DPDP non riuscirebbe a soddisfare il quadruplice test sulla privacy, (legalità, finalità proporzionalità e garanzie procedurali) stabilito dalla Corte Suprema nella sentenza Puttaswamy.

English version

The Federal Trade Commission (FTC) issued a proposed order prohibiting the online psychological counselling service BetterHelp Inc. from sharing its users’ health data, including information about mental health problems, for advertising purposes. The proposed order also requires the company to pay $7.8 million to compensate users for disclosing their data to third parties, such as Facebook and Snapchat. BetterHelp offers online counselling services under this name and with specialised versions for particular audiences – i.e. Pride Counseling for members of the LGBTQ community, Faithful Counseling for people of the Christian faith, Terappeuta for Spanish-speaking clients, and Teen Counseling for teenagers who sign up with parental permission -. Consumers interested in BetterHelp’s services must fill out a questionnaire that asks for mental health data, such as whether they have suffered from depression or suicidal thoughts and whether they are taking medication. They also provide their name, e-mail address, date of birth and other personal information. Consumers are then matched with a counsellor and pay between $60 and $90 per week for counselling. At several points in the sign-up process, BetterHelp promised consumers that it would not use or disclose their personal health data except for limited purposes, such as providing counselling services. But this has not been the case in practice, according to the FTC’s assessments. Thus, BetterHelp will be prohibited from sharing consumers’ personal data with certain third parties for re-targeting purposes. The FTC will shortly publish a description of the consent agreement package in the Federal Register. The agreement will be subject to public comment for 30 days after publication in the Federal Register, after which the Commission will decide whether to make it final.

In the UK, a mother claimed to have been left ‘in the wilderness’ while trying to get information from tech companies about the death of her teenage daughter. The girl had died by suicide about five years ago after seeing self-harming material online. The family tried several times to obtain information and found themselves ‘absolutely at a loss’. Therefore, together with other families, they are campaigning to change this. In particular, they want an amendment to the Online Safety Bill, currently pending in Parliament, which would allow families and forensic scientists to get support from the authorities (particularly Ofcom) to obtain information from platforms about the material their children accessed before their death. The group has written to the Prime Minister, the Minister of Justice and the Secretary of State for Science and Technology, requesting that the law be amended. The letter sent to the government – and viewed by the BBC – reads: ‘Each of us has lost a child in circumstances related to the digital world, and each of us has struggled to get the information we need to better understand their death. Sadly, every year, there are hundreds of families who find themselves in similarly painful circumstances. The process of accessing data has been inhuman. In some cases, it took years and we were left in automated loops, talking to online bots, as if we were contacting lost and found’.

The path towards the introduction of the Data Protection Bill in India has certainly not been without its twists and turns. The latest was MP Lok Sabha’s denial of Electronics and Information Technology Minister Ashwini Vaishnaw’s statement that the Parliamentary Standing Committee on Communications and Information Technology had given a ‘big thumbs up’ to the government’s legislative proposal. Since 2017, when the Indian Supreme Court in its landmark Puttaswamy judgment unanimously ruled that privacy is a fundamental right of Indian citizens, there have already been four versions of the Data Protection Act. The latest is the Digital Personal Data Protection (DPDP) Bill, published by the Ministry of Electronics and Information Technology (MeitY) for public consultation on 18 November 2022. In a recent statement, Minister Ashwini Vaishnaw said that the Parliamentary Standing Committee on Communications and Information Technology would give the bill a favourable opinion. But this may have been over-optimism. At its meeting last December, the commission had, in fact, invited representatives of MeitY to hear their views on ‘citizen data security and privacy’ (in a kind of preliminary discussion on the DPDP proposal), but the members of the commission had, however, raised several questions. Above all, since the proposal has not been formally sent to the commission, approval or disapproval of the Data Protection Bill is not on the agenda at this stage. Moreover, sharp criticism is raised in various legal respects. In particular, it is argued that the DPDP Bill would fail to meet the fourfold privacy test (legality, purpose, proportionality and procedural safeguards) established by the Supreme Court in the Puttaswamy judgment.

Minori: Garante infanzia, innalzare eta’ minima per accesso ai social

Commenti disabilitati su Minori: Garante infanzia, innalzare eta’ minima per accesso ai social

ZCZC
AGI0458 3 CRO 0 R01 /

(AGI) – Roma, 3 mar. – “A proposito dell’eta’ minima per accedere ai social l’Italia dovrebbe imitare la Francia. L’Assemble’e nationale discutera’ infatti una proposta per innalzare il limite a 15 anni. Nel nostro Paese e’ a 14 e andrebbe alzato a 16, come propone l’Autorita’ garante per l’infanzia e l’adolescenza sin dal 2018”. A sostenerlo e’ Carla Garlatti, titolare dell’Autorita’ garante per l’Infanzia e l’Adolescenza. “E’ opportuno che il legislatore o il governo italiano trovino lo stesso coraggio, presentando una proposta di legge per alzare l’eta’ per il consenso digitale al trattamento dei dati dei minorenni senza l’intervento dei genitori”, aggiunge la Garante, secondo la quale, pero’, “modificare il limite minimo per l’accesso ai social non basta perche’, lo
Sappiamo tutti, esso puo’ essere facilmente aggirato”. Per questo, ricorda, “al termine di un tavolo di lavoro coordinato dal ministero della Giustizia, insieme ad Agcom e Garante privacy abbiamo proposto l’introduzione di una sorta di Spid. Si tratta in pratica di istituire un nuovo sistema per la verifica dell’eta’ dei minorenni che accedono ai servizi digitali, basato sulla certificazione dell’identita’ da parte di terzi, cosi’ da mantenere pienamente tutelato il diritto alla privacy”.
La proposta francese, da quanto emerge dalle notizie di stampa, prevederebbe anche sanzioni per le piattaforme che non accertino l’esattezza dei dati anagrafici dichiarati utilizzando tecniche
certificate da un’autorita’ competente. “Un’ipotesi che va nella direzione giusta, in quanto responsabilizza i provider e li obbliga a verifiche piu’ efficaci”, conclude Garlatti.
(AGI)Red/Oll

031403 MAR 23

NNNN