PRIVACYDAILY

N. 147/2023

LE TRE NEWS DI OGGI:

  • USA, X CHIEDE AD UN GIUDICE DI ACCEDERE ALLE COMUNICAZIONI TRA IL SUO AUDITOR E LA FTC RELATIVAMENTE AI DATI PERSONALI
  • EUROSTAT, CRESCE L’IMPORTANZA DEI DEVICES CONNESSI AD INTERNET, CALANO LE PREOCCUPAZIONI PER LA PRIVACY
  • OLANDA, UN DATA BREACH AL CATASTO HA ESPOSTO GLI INDIRIZZI DI TUTTI I PROPRIETARI DI CASE NEI PAESI BASSI

X Corp., già Twitter, chiede al tribunale di ordinare alla società di consulenza Ernst & Young LLP di consegnare i documenti relativi a una relazione richiesta dalle autorità di regolamentazione sulle pratiche del social network in materia di dati.L’audit è stato richiesto nell’ambito di un accordo sulla privacy stipulato con la Federal Trade Commission, che X sta cercando di risolvere o ridimensionare. X accusa la FTC di aver tentato di influenzare impropriamente la valutazione del consulente come parte di una “campagna di pressione” volta a trovare difetti nella privacy e nella sicurezza dei dati.X chiede alla Corte distrettuale degli Stati Uniti per il Distretto di Columbia di obbligare Ernst & Young, nota come EY, a condividere le registrazioni delle sue comunicazioni con l’agenzia, secondo quanto riportato in un documento legale di venerdì scorso.X ha dichiarato in tribunale che la FTC ha potenziato le indagini su Twitter dopo che il miliardario Elon Musk ha acquistato la piattaforma lo scorso marzo. Dopo l’acquisizione, un’ondata di licenziamenti e dimissioni ha colpito i team di conformità dell’azienda, aumentando le preoccupazioni che le perdite potessero minare la capacità dell’azienda di rispettare le norme volte a proteggere i dati degli utenti. X ha ottenuto un accordo con la FTC in seguito alle precedenti accuse dell’agenzia secondo cui l’azienda, allora nota come Twitter, non è riuscita a proteggere i dati degli utenti dall’accesso e dall’uso non autorizzati. Come parte dell’accordo normativo, l’azienda è stata obbligata ad assumere un revisore per valutare le sue pratiche in materia di privacy.EY ha rassegnato le dimissioni dal suo ruolo di valutatore indipendente di X a febbraio, secondo quanto riportato nella documentazione legale di X.EY non ha risposto immediatamente a una richiesta di commento. La FTC ha rifiutato di commentare.La FTC aveva emesso i propri mandati di comparizione per ottenere documenti e testimonianze da EY. Un dipendente di EY ha dichiarato in una precedente deposizione di ritenere che la Commissione stesse “cercando di influenzare l’esito dell’incarico prima ancora che fosse iniziato”, si legge nella documentazione di X.

L’utilizzo di dispositivi connessi a Internet è aumentato dal 2020 al 2022, a testimonianza della loro crescente importanza nella vita moderna. Nel 2022, più della metà (52%) delle persone nell’UE di età compresa tra i 16 e i 74 anni utilizzerà un televisore connesso a Internet, con un aumento di 9 punti percentuali (pp) rispetto al 2020 (43%). Anche l’uso degli oggetti indossabili intelligenti ha registrato un notevole incremento, con oltre un quarto (26%) delle persone di età compresa tra i 16 e i 74 anni che utilizzano smartwatch, fitness band, occhiali o cuffie connessi, tracker di sicurezza, abiti o scarpe connessi e altri accessori connessi a Internet. Anche questo dato rappresenta un aumento di 9 punti percentuali rispetto al 2020 (17%).Anche le console di gioco connesse a Internet erano molto diffuse nel 2022, dato che il 20% delle persone di età compresa tra 16 e 74 anni le utilizzava. Gli assistenti virtuali, come gli altoparlanti intelligenti o le app, sono stati utilizzati dal 13% delle persone della stessa fascia d’età, mentre il 10% ha utilizzato soluzioni connesse a Internet per la gestione dell’energia, come termostati connessi, contatori, luci o plug-in.Tra i Paesi dell’UE, l’utilizzo di un televisore connesso a Internet è stato particolarmente elevato a Malta, dove quasi 8 persone su 10 hanno utilizzato un televisore connesso a Internet (78%), seguita da Spagna (69%), Svezia e Irlanda (entrambe 68%) e Cipro (66%).Dall’altra parte, Bulgaria (30%), Croazia (35%), Polonia (38%), Grecia (39%) e Romania (40%) sono i Paesi dell’UE con le quote più basse di persone che utilizzano un televisore connesso a Internet. Nonostante l’elevato aumento dell’uso di dispositivi connessi a Internet tra il 2020 e il 2022, un numero considerevole di persone ha dichiarato di non utilizzare questi dispositivi nel 2022. Il 41% delle persone di età compresa tra i 16 e i 74 anni che non hanno mai utilizzato dispositivi connessi a Internet ha citato la mancanza di necessità come motivo principale del mancato utilizzo. Tuttavia, questa percentuale è diminuita di 2 punti percentuali rispetto al 2020.Il motivo più comune per il mancato utilizzo è stato il costo associato. In totale, il 10% delle persone di età compresa tra 16 e 74 anni ha considerato il costo troppo elevato. La quota associata nel 2020 era dell’11%. Segue la percentuale di persone preoccupate per la privacy e la protezione dei dati personali generati da tali dispositivi o sistemi (8%), in calo rispetto all’11% del 2020.

Un’indagine di RTL Nieuws ha evidenziato una violazione dei dati presso il catasto olandese Kadaster che ha reso noti gli indirizzi di tutti i proprietari di case nei Paesi Bassi.Il garante della privacy AP ha chiesto all’agenzia di bloccare la violazione subito dopo che i giornalisti l’hanno scoperta.Il sito web del Kadaster include una funzione di ricerca che consente a chiunque di trovare il proprietario di una proprietà registrata. I proprietari di account professionali possono anche utilizzare il sito web per effettuare ricerche per nome e trovare singoli indirizzi, a pagamento. Il servizio è destinato principalmente ai professionisti del settore immobiliare, come agenti immobiliari e notai.Questo servizio dovrebbe essere limitato alle aziende registrate presso la Camera di Commercio (KvK), ma RTL è riuscita a ottenere un account utilizzando i dati di un’altra azienda, perché le richieste non vengono controllate. La fattura per le ricerche viene poi inviata all’indirizzo commerciale dell’azienda. RTL ha anche pubblicato schermate di chat di Telegram in cui persone si offrivano di cercare un indirizzo di casa nel database del catasto per una tariffa di circa 50 euro. Gli specialisti della privacy affermano che la violazione della sicurezza è aperta all’abuso da parte di criminali, stalker, ricattatori e hacker, nonché di persone che vendono illegalmente i dati personali. “È tipico del governo non avere la minima idea di quanto possano essere pericolose queste informazioni”, ha dichiarato a RTL l’esperto di cybersicurezza Dave Maasland. Stanno gestendo una pagina gialla per i criminali”.”È incredibilmente ingenuo pensare che questa struttura non verrà violata”.Aleid Wolfsen, presidente dell’autorità di regolamentazione della privacy AP, ha dichiarato: “Questa violazione della sicurezza è un rischio enorme per i giornalisti, gli attivisti e i politici che vengono minacciati. Ma anche per chiunque abbia a che fare con un ex partner arrabbiato e molestatore.”Chiunque può presentarsi alla porta di casa e minacciarli o peggio. Abbiamo chiesto al Kadaster di prendere provvedimenti immediati per eliminare questa vulnerabilità”. Il catasto ha dichiarato di aver “rafforzato in modo significativo” i propri sistemi di sicurezza da quando è stata scoperta la violazione. “Il Kadaster prende estremamente sul serio queste segnalazioni di potenziali abusi nell’accesso ai dati personali”, ha aggiunto l’organizzazione.Il catasto non è l’unica agenzia governativa a essere criticata per aver reso troppo facile per persone con intenzioni malevole prendere di mira gli indirizzi di casa.

English version

  • USA, X ASKS A JUDGE TO ACCESS COMMUNICATIONS BETWEEN HIS AUDITOR AND THE FTC RELATED TO PERSONAL DATA
  • EUROSTAT, GROWING IMPORTANCE OF INTERNET-CONNECTED DEVICES, LOWING PRIVACY CONCERNS
  • HOLLAND, A DATA BREACH AT THE LAND REGISTRY EXPOSED THE ADDRESSES OF ALL HOMEOWNERS IN THE NETHERLANDS

X Corp., formerly Twitter, is seeking a court order forcing consulting firm Ernst & Young LLP to turn over documents related to a regulator-required evaluation of the social network’s data practices.The audit was mandated as part of a privacy pact with the Federal Trade Commission that X is trying to terminate or pare back. X accuses the FTC of attempting to improperly influence the consultant’s assessment as part of a “pressure campaign” to find data privacy and security faults.X is asking the US District Court for the District of Columbia to compel Ernst & Young, known as EY, to share records of its communications with the agency, according to a Friday legal filing.X claims in court that the FTC intensified an investigation into Twitter once billionaire Elon Musk bought the platform last March. A post-acquisition wave of layoffs and departures hit the company’s compliance teams, heightening concerns that losses would undermine the company’s ability to comply with rules intended to protect users’ data.X is under a consent order with the FTC following previous agency allegations that the company then known as Twitter failed to protect user data from unauthorized access and use. As part of a regulatory settlement, the company was required to hire an auditor to assess its privacy practices.EY resigned from its role as X’s independent assessor in February, according to X’s legal filing.EY didn’t immediately respond to a request for comment. The FTC declined to comment.The FTC had issued its own subpoenas seeking documents and testimony from EY. An EY employee said in an earlier deposition he believed the commission was “trying to influence the outcome of the engagement before it had started,” X’s filing says.

The usage of internet-connected devices has increased from 2020 to 2022, reflecting their growing importance in modern life. In 2022, more than half (52%) of the people in the EU aged between 16 and 74 years used an internet-connected TV, 9 percentage points (pp) higher than in 2020 (43%). The usage of smart wearables also experienced a notable uptick, with more than one quarter (26%) of people aged 16-74 using smartwatches, fitness bands, connected goggles or headsets, safety trackers, connected clothes or shoes and other internet-connected accessories. This represents an increase of 9 pp as well, compared with 2020 (17%).Internet-connected game consoles were also popular in 2022, as 20% of people aged 16-74 used them. Virtual assistants, such as smart speakers or apps, were used by 13% of people in the same age group, while 10% used internet-connected solutions for energy management, such as connected thermostats, utility meters, lights or plug-ins.Among the EU countries, the usage of an internet-connected TV was notably high in Malta where almost 8 out of 10 people used an internet-connected TV (78%), followed by Spain (69%), Sweden and Ireland (both 68%) and Cyprus (66%).On the opposite side, Bulgaria (30%), Croatia (35%), Poland (38%), Greece (39%) and Romania (40%) were the EU countries with the lowest shares of people using an internet-connected TV.Despite the high increase in the use of internet-connected devices between 2020 and 2022, a considerable number of people reported not using these devices in 2022. 41% of people aged 16-74 who had never used any internet-connected devices cited the lack of necessity as the main reason for their non-use. However, this percentage reflected a 2 pp decrease from 2020.The next most common reason for non-use was the associated cost. In total, 10% of people aged 16-74 considered the cost as being too high. The associated share in 2020 was 11%. This was followed by the share of persons with concerns about the privacy and protection of personal data generated by those devices or systems (8%), down from 11% in 2020.

A data breach at the Dutch land registry Kadaster has exposed the addresses of every homeowner in the Netherlands, an investigation by RTL Nieuws has found.The privacy watchdog AP called for the agency to close the loophole immediately after it was discovered by journalists.The Kadaster’s website includes a search facility that allows anyone to find the owner of a registered property.Owners of professional accounts can also use the website to search by name and find individual addresses, for a payment. The service is primarily meant to be used by real estate professionals, such as estate agents and notaries.This facility is supposed to be limited to companies registered with the Chamber of Commerce (KvK), but RTL was able to obtain an account using another company’s details because applications are not vetted. The bill for the searches is then sent to the company’s business address.RTL also published screenshots from Telegram chats in which people offered to search the land registry’s database for a home address for a fee of around €50.Privacy experts say the security breach is open to abuse by criminals, stalkers, blackmailers and hackers, as well as people who sell personal details illegally.“It’s typical of the government that they don’t have a clue how dangerous this information can be,” cybersecurity expert Dave Maasland told RTL. “They’re operating a Yellow Pages for criminals.“It’s incredibly naïve to think that this facility won’t be abused.”Aleid Wolfsen, chair of the privacy regulator AP, said: “This security breach is a huge risk to journalists, activists and politicians who are being threatened. But also anyone who’s dealing with an angry, stalking ex-partner.“Anyone can turn up on their doorstep and threaten them or worse. We have asked the Kadaster to take immediate steps to close this loophole.”The land registry said it had “significantly strengthened” its security systems since the breach was exposed. “The Kadaster takes these reports of potential abuse of access to personal details extremely seriously,” the organisation added.The land registry is not the only government agency to be criticised for making it too easy for people with malicious intentions to target home addresses.Derk Wiersum, a lawyer defending a key witness in the trial of alleged drugs baron Ridouan Taghi, was shot dead on his doorstep by a gunman who searched the Chamber of Commerce’s database for his details. Wiersum was registered at his home address as an independent legal professional.

PRIVACYDAILY

N. 151/2023

LE TRE NEWS DI OGGI:

  • SVIZZERA, L’INCARICATO FEDERALE PER LA PROTEZIONE DEI DATI PERSONALI STA PER INTENSIFICARE LA SUA AZIONE
  • OLANDA, IN ARRIVO AZIONE DI MASSA CONTRO AMAZON PER VIOLAZIONE DELLA PRIVACY
  • USA, LA SENTENZA SULLA PRIVACY DELLE SCANSIONI FACCIALI RENDE PIU’ ASPRA LA BATTAGLIA LEGALE SULLE ASSICURAZIONI BIOMETRICHE

La revisione della legge sulla protezione dei dati entrerà in vigore in Svizzera il 1° settembre. Di conseguenza, l’incaricato federale per la protezione dei dati intensificherà le sue attività di sorveglianza e aumenterà il numero di indagini. Il volume e la portata del trattamento dei dati personali sono decuplicati, secondo quanto riportato dall’incaricato federale per la protezione dei dati nel suo 30° rapporto annuale 2022/23, pubblicato martedì. Le sviste della piattaforma mesvaccins.ch e del registro delle donazioni di organi di Swisstranplant dimostrano che le regole della nuova legge sono più che mai necessarie.La nuova legge deve fornire nuovi strumenti all’economia per soddisfare le legittime aspettative della popolazione per un’efficace protezione della sfera privata. Il testo introdurrà innovazioni non solo per i responsabili del trattamento dei dati, ma anche per l’incaricato federale per la protezione dei dati. D’ora in poi, quando il trattamento dei dati previsto può comportare un rischio elevato per la personalità o i diritti fondamentali dell’interessato, il responsabile del trattamento dovrà effettuare un’analisi d’impatto. L’incaricato federale per la protezione dei dati esaminerà l’analisi ed emetterà un parere entro due mesi. Le associazioni professionali, settoriali o economiche potranno redigere un proprio codice di condotta e sottoporlo all’IFPD. L’IFPD pubblicherà la sua posizione. In futuro i responsabili del trattamento dei dati saranno tenuti a segnalare le violazioni della sicurezza dei dati. Se l’Incaricato della protezione dei dati riscontrerà delle violazioni, potrà emettere una decisione che potrà essere impugnata davanti al Tribunale amministrativo federale. Tuttavia, a differenza delle autorità di controllo dell’UE, l’Incaricato per la protezione dei dati continuerà a non avere il potere di imporre sanzioni e in futuro sarà passibile di sanzioni per le violazioni intenzionali degli obblighi di informazione, comunicazione e cooperazione, nonché per le violazioni intenzionali dell’obbligo di diligenza, in particolare in relazione alla divulgazione di dati personali all’estero, all’outsourcing e alla fornitura di sicurezza dei dati. Al privato responsabile del trattamento dei dati possono essere inflitte multe fino a 250.000 franchi svizzeri, previa denuncia. La multa per le persone giuridiche sarà limitata a 50.000 franchi svizzeri. Il rapporto afferma che i procedimenti in corso saranno giudicati in base alla legge attuale, anche se non si concluderanno prima dell’entrata in vigore della nuova legge. Sebbene non esista un rischio zero nel trattamento dei dati personali, i nuovi strumenti consentiranno ai responsabili del trattamento dei dati di identificare i rischi e, in ultima analisi, di proteggere la privacy degli utenti di Internet.

Trouw (quotidiano olandase) riporta che è in preparazione una richiesta di risarcimento di massa contro Amazon per aver presumibilmente tracciato illegalmente milioni di olandesi. La Stichting Data Bescherming Nederland ha annunciato l’intenzione di intentare una causa in tribunale sostenendo che Amazon ha raccolto più dati del necessario in violazione della legge sulla protezione dei dati.”Trouw ha riportato il sospetto che il gigante del web possa ancora seguire il comportamento dei clienti su altri siti, come il sito web immobiliare Funda, quando cercano una vacanza o una gita in famiglia e altri siti web in cui fa pubblicità, grazie ai cookie di tracciamento. La fondazione che ha presentato la denuncia sostiene che Amazon si differenzia da Facebook o Twitter, che offrono servizi gratuiti in cambio dei dati dei clienti, mentre Amazon è semplicemente un negozio web con clienti. La fondazione ha scritto ad Amazon, con sede in Lussemburgo, e se non otterrà una risposta, avvierà una causa in tribunale a nome di circa cinque milioni di utenti olandesi. Un portavoce di Amazon ha dichiarato a Trouw che non ritiene di infrangere la legge. “Stiamo esaminando il contenuto della lettera e risponderemo a tempo debito”, ha dichiarato il portavoce. A marzo un tribunale olandese ha stabilito che Facebook ha violato le norme sulla privacy nel modo in cui ha gestito i dati personali.

La recente sconfitta di Hanover Insurance Group Inc. in una controversia sulla privacy legata alla scansione del volto fornisce una guida per gli assicuratori su come redigere un documento di polizza più chiaro per evitare di dover fornire una copertura per le violazioni della privacy biometrica di un assicurato.La Corte d’Appello degli Stati Uniti per il Settimo Circuito è stata la prima corte d’appello a individuare un linguaggio troppo vago per una polizza assicurativa che esclude la copertura per un assicurato che avrebbe violato un’influente legge dell’Illinois sulla privacy biometrica.I gestori utilizzeranno probabilmente la sentenza come guida per la stesura delle loro polizze di responsabilità civile aziendale standard, in modo da escludere esplicitamente i reati legati alla privacy dei dati, hanno dichiarato gli avvocati del settore. La sentenza sarà inoltre utile ai titolari di polizze che cercano protezione assicurativa in seguito all’aumento delle cause legali che denunciano l’utilizzo da parte delle aziende delle scansioni del volto, della retina e delle impronte digitali delle persone senza il loro consenso.”In sostanza, abbiamo stabilito un precedente che prevede una copertura nell’ambito delle polizze di responsabilità civile generale”, ha dichiarato Daniel Healy, partner di Brown Rudnick LLP che lavora con le aziende in cerca di copertura. La sentenza del Settimo Circuito obbliga ora un’unità di Hanover a pagare le spese legali di un fornitore IT dell’Illinois in due azioni collettive proposte. I querelanti sostengono che il fornitore informatico ha violato il Biometric Information Privacy Act (BIPA) dello Stato aiutando illegalmente il Dipartimento di Polizia di Chicago ad accedere al controverso database di riconoscimento facciale di Clearview AI. La decisione di Hanover “è la prima nel suo genere e rappresenta un segnale forte sulla specificità che i tribunali si aspettano dagli assicuratori se vogliono escludere la copertura per il BIPA”, ha dichiarato Peter Halprin, partner di Pasich LLP che rappresenta gli assicurati. Il BIPA, pur essendo limitato all’Illnois, è considerato importante dai sostenitori della privacy perché è l’unica legge statale a livello nazionale che consente a consumatori e lavoratori di fare causa per violazioni biometriche. New York, California e altri Stati stanno sviluppando le proprie norme sui dati biometrici. La decisione del Settimo Circuito sarà “un’autorità molto persuasiva per gli assicurati di altre giurisdizioni”, ha dichiarato Seth Lamden, partner di Blank Rome LLP per il recupero delle assicurazioni. Hanover ha sostenuto che una clausola generale di “violazione dello statuto”, comunemente presente nelle polizze di responsabilità civile delle imprese, esonera l’assicuratore dal dovere di difendere gli assicurati accusati di violazioni della privacy biometrica. Ma il Settimo Circuito ha affermato che l’esclusione è così ambigua e ampia da poter annullare la copertura per le cause relative alla proprietà intellettuale, alla calunnia e alla diffamazione che la polizza pretende di includere.” La Corte d’Appello ha affermato che in questo linguaggio non compare alcun riferimento, né alcun accenno, al termine ‘privacy’. Anche se l’assicuratore avesse usato la parola “privacy” nell’esclusione della violazione degli statuti, non è chiaro quali leggi sulla privacy sarebbero state escluse, ha detto la corte. Alcune leggi hanno lo scopo di proteggere gli individui dal ricevere telefonate senza consenso, mentre altre, come il BIPA, proteggono “la riservatezza delle informazioni personali”, ha affermato il Settimo Circuito.

English version

  • SWITZERLAND, THE FEDERAL PERSONAL DATA PROTECTION OFFICER IS ABOUT TO INTENSIFY ITS ACTION
  • HOLLAND, MASS ACTION AGAINST AMAZON FOR PRIVACY VIOLATION COMING SOON
  • US, FACIAL SCAN PRIVACY JUDGMENT MAKES  BIOMETRIC INSURANCE LEGAL BATTLE TOUGHER

The revision of the Data Protection Act will come into force on 1 September. As a result, the Federal Data Protection Commissioner will be stepping up his surveillance activities and increasing the number of investigations. The volume and intensity of personal data processing have increased tenfold, according to the Federal Data Protection Commissioner in his 30th Annual Report 2022/23, published on Tuesday.The misadventures of the mesvaccins.ch platform and the Swisstranplant organ donation register show that the rules of the new law are more necessary than ever.The new law must provide the economy with new tools to meet the legitimate expectations of the population for solid protection of the private sphere.The text will introduce innovations not only for data processors, but also for the Federal Data Protection Commissioner. From now on, when the data processing envisaged is likely to entail a high risk for the personality or fundamental rights of the data subject, the data controller will have to carry out an impact analysis.The Federal Data Protection Commissioner will examine the analysis and issue his opinion within two months. Professional, sectoral or economic associations will be able to draw up their own code of conduct and submit it to the SDPC. The SDPC will publish its position.In future, data controllers will be required to report data security breaches. If the Data Protection Commissioner finds any infringements, he will be able to issue a decision that can be challenged before the Federal Administrative Court. However, unlike the supervisory authorities in the EU, the Data Protection Commissioner will continue to have no power to impose sanctions, and will in future be liable to penalties for intentional breaches of the obligations to inform, to provide information and to cooperate, as well as for intentional breaches of the duty of care, particularly in relation to the disclosure of personal data abroad, outsourcing and the provision of data security.Fines of up to 250,000 Swiss francs may be imposed on the private individual responsible for the data processing upon complaint. The fine for legal entities will be capped at CHF 50,000.The report states that ongoing proceedings will be judged in accordance with current law, even if they are not concluded until after the new law comes into force. Although there is no such thing as zero risk in the processing of personal data, the new instruments will enable data controllers to identify risks and ultimately protect the privacy of Internet users.

A mass claim is being prepared against Amazon for allegedly illegally tracking millions of Dutch people, reports Trouw.Stichting Data Bescherming Nederland announced that it intends to bring a court case claiming that Amazon has collected more data than it needs in breach of data protection law.“It is even the case, in many situations, that Amazon follows your behaviour on the internet after you have refused permission,” it claims.Trouw reported suspicions that the web giant may still follow customer behaviour on other sites such as the property website Funda, when looking for a holiday or family days out and other websites where it advertises, thanks to tracking cookies.The foundation behind the claim says Amazon differs from Facebook or Twitter, which offer free services in exchange for customer data, while Amazon is simply a web shop with clients. It has written to Luxembourg-based Amazon and if it does not get a response, it will launch a court case in the name of an estimated five million Dutch users.A spokesperson for Amazon told Trouw it does not believe it breaks the law. “We are currently reviewing the contents of the letter and will respond in due course,” the spokesperson reportedly said. A Dutch court ruled in March that Facebook did break privacy rules in the way it handled personal data.

Hanover Insurance Group Inc.’s recent loss in a face scan privacy dispute provides a roadmap for insurers on how to craft clearer policy language to avoid having to provide coverage for a policyholder’s biometric privacy violations. The US Court of Appeals for the Seventh Circuit became the first appellate court to pinpoint insurance policy language that’s too vague to exclude coverage for a policyholder that allegedly violated an influential Illinois law on biometric privacy. Carriers will likely use the ruling as a guide in writing their standard business liability policies to explicitly carve out data privacy offenses, industry attorneys said. The ruling will also bolster policyholders seeking insurance protection amid an uptick in lawsuits claiming businesses used people’s face and retina scans and fingerprints without their consent, they said. “Basically we’ve set a precedent that there is coverage under the general liability policies,” said Daniel Healy, a partner at Brown Rudnick LLP who works with businesses seeking coverage. The Seventh Circuit ruling now obligates a Hanover unit to pay an Illinois IT vendor’s legal bills in two proposed class actions. The plaintiffs alleged the IT vendor violated the state’s Biometric Information Privacy Act (BIPA) by unlawfully helping the Chicago Police Department gain access to Clearview AI’s controversial facial-recognition database. The Hanover decision “is a first-of-its-kind ruling with a strong signal about the specificity courts expect insurers to have if they want to exclude coverage for BIPA,” said Peter Halprin, a partner at Pasich LLP who represents policyholders. BIPA, while limited to Illnois, is considered significant among privacy advocates because it’s the only state law nationwide that allows consumers and workers to sue over biometric violations. New York, California, and other states are developing their own biometric data rules. The Seventh Circuit decision will be a “very persuasive authority to policyholders in other jurisdictions,” said Seth Lamden, an insurance recovery partner at Blank Rome LLP.Hanover has argued that a catch-all “violation-of-statutes” clause—one that’s commonly found in business liability policies—relieves the insurer of its duty to defend policyholders accused of biometric privacy violations. But the Seventh Circuit said the exclusion is so ambiguous and broad that it could cancel coverage for intellectual property, slander, and libel-related suits that the policy purports to include. “No mention, and indeed no hint, of ‘privacy’ appears anywhere in this language,” the appeals court said. Even if the insurer had used the word “privacy” in the the violation-of-statutes exclusion, it’s unclear which privacy laws would be carved out, the court said. Some statutes are intended to shield individuals from receiving phone calls without consent, while others such as BIPA protect “the confidentiality of one’s personal information,” the Seventh Circuit said.

Le iniziative delle altre Autorità

Il Garante olandese annuncia: Le impostazioni delle telecamere sicurezza di Tesla più attente alla privacy dopo un’istruttoria

L’Autoriteit Persoonsgegevens (AP) dei Paesi Bassi ha annunciato che, a seguito dell’avvio di un’apposita istruttoria, la casa automobilistica Tesla ha reso le impostazioni delle telecamere di sicurezza integrate nelle sue auto più rispettose della privacy.
La vicenda ha avuto inizio con una richiesta di informazioni da parte dell’Autorità garante olandese concernente la cosiddetta “modalità Sentry” di Tesla. Questo sistema, mediante quattro telecamere all’esterno del veicolo, assicura una maggiore protezione dell’auto da furti o atti di vandalismo.
Da quanto emerso dall’istruttoria, però, è stato riscontrato che, una volta attivata la modalità Sentry, le telecamere riprendevano continuamente tutto ciò che stava intorno al veicolo parcheggiato e memorizzavano per un’ora i filmati.
Tuttavia, a seguito di un successivo aggiornamento del software, è stato verificato che le telecamere sono ora spente per impostazione predefinita. E se l’utente le accende, memorizzano solo fino ad un massimo di 10 minuti di filmati.


“Le persone che passano accanto a questi veicoli vengono filmate senza saperlo. E i proprietari delle Tesla potrebbero tornare indietro e guardare queste immagini. Se una persona parcheggiasse uno di questi veicoli davanti alla finestra di qualcuno, potrebbe spiare all’interno e vedere tutto ciò che l’altra persona sta facendo. Si tratta di una grave violazione della privacy. È quindi positivo che Tesla abbia analizzato la situazione in modo critico e abbia apportato delle modifiche” ha affermato Katja Mur, membro del board dell’Autoriteit Persoonsgegevens.


Tesla ha informato l’Autorità garante che, dall’avvio dell’indagine, l’azienda ha apportato diverse modifiche alla funzione Sentry Mode. Per esempio, ora risponde solo se il veicolo viene toccato o se le telecamere rilevano attività sospette. Inoltre, il veicolo non inizia automaticamente a filmare, ma il proprietario riceve un avviso sul telefono.
Resta comunque possibile registrare filmati della telecamera dell’auto, ma solo quando l’utente attiva questa funzione. All’avvio della registrazione, viene mostrato un messaggio sul touchscreen all’interno della vettura e i fari lampeggiano. Ciò informa le persone che l’auto potrebbe registrarle. Inoltre, l’impostazione predefinita prevede il salvataggio dell’ultimo minuto di riprese, che il proprietario può aumentare soltanto fino a un massimo di dieci minuti. Peraltro, le immagini vengono memorizzate solo nel veicolo e non possono essere condivise con Tesla.


Così, l’istruttoria dell’AP non ha portato a nessuna sanzione per Tesla. Ciò anche perché è stato acclarato che non è Tesla, ma i proprietari delle auto ad essere i titolari dei trattamenti dei dati personali derivanti dalla registrazione di immagini.

Qui il comunicato integrale dei colleghi olandesi.