PRIVACY DAILY 36/2023

Apple è stata citata in tribunale con l’accusa di aver mentito ai consumatori sulla privacy per ottenere un vantaggio sui concorrenti. Le azioni legali intraprese presso le corti federali della California e di New York, riguardano la violazione della privacy, l’arricchimento senza causa e la concorrenza sleale. Le accuse fanno riferimento a uno studio condotto dai ricercatori della società di software Mysk, che avrebbe rilevato che le impostazioni sulla privacy di Apple non impedirebbero all’azienda di raccogliere dati. Viene, così, messa in dubbio la posizione dell’amministratore delegato Tim Cook, che aveva dichiarato: “La privacy è un diritto fondamentale e in Apple la integriamo in tutti i prodotti e servizi. Dovete essere voi a controllare i vostri dati, non il miglior offerente”; e anche una recente pubblicità dell’azienda di Cupertino, che recita: “I dati sono vostri e l’iPhone vi aiuta a mantenerli tali”. Alla società viene infatti contestato di aver ingannato gli utenti facendo credere loro che i loro dati siano protetti disattivando la funzione “Consenti alle app di richiedere il tracciamento”, mentre in realtà raccoglie e sfrutta tali dati, tra cui la cronologia di navigazione, le comunicazioni e gli identificatori personali. Tuttavia, rispondendo alle accuse Apple ha affermato che: “Le informazioni identificabili non vengono mai condivise con terze parti e non vengono utilizzate per tracciare gli utenti all’interno di app e siti web. Tutti i dati utilizzati a fini pubblicitari sono dissociati dagli identificatori personali e Apple Advertising opera sulla base di dati de-identificati”. All’orizzonte si profila una dura schermaglia.

La polizia di Toronto inizierà a eliminare i cognomi e il sesso delle persone scomparse dagli annunci a loro riferiti. Questa nuova politica ha lo scopo di contemperare la tutela della privacy con la messa a disposizione delle informazioni necessarie per localizzare gli scomparsi. Dettagli come il nome di battesimo e la descrizione fisica e dell’abbigliamento di una persona scomparsa rimarranno pubblici, così come l’ora e il luogo dell’ultima apparizione. “Pubblicando solo il nome di battesimo, le persone scomparse possono ancora essere trovate, ma il loro nome completo non viene associato per sempre all’evento”, ha dichiarato Nicole Corrado, una delle maggiori sostenitrici di questo cambio di rotta, aggiungendo che “nessuno vuole essere definito dal suo giorno peggiore”. La polizia ha dichiarato che la foto di una persona scomparsa continuerà a essere condivisa pubblicamente nelle newsletter e sui social media, quando disponibile. Le informazioni sul cognome e sul sesso saranno incluse solo caso per caso, e non ci saranno cambiamenti nei meccanismi di diffusione per la visualizzazione pubblica dei dati di una persona scomparsa, ha detto la polizia.

Tra oggi e mercoledì sia Facebook che la società madre Meta dovranno affrontare le aule di tribunale in Kenya. Il primo caso riguarda le condizioni di lavoro dei dipendenti della società Sema, molti dei quali kenioti, che moderano i contenuti presenti su Facebook. Il secondo caso riguarda, invece, i discorsi di odio durante il conflitto del Tigray, durato due anni e recentemente conclusosi. Entrambe le cause si basano sulla medesima questione: Meta Platform Inc., pur essendo una società straniera, è soggetta alle leggi del Paese? Meta ha sostenuto che la Costituzione keniota non può essere applicata a entità aziendali che operano al di fuori del territorio del Kenya. Le controparti affermano, invece, che Meta genera entrate dai kenioti attraverso la pubblicità, elabora informazioni e dati personali, paga la tassa sui servizi digitali al governo ed è quindi vincolata dal Data Protection Act del 2019. Queste udienze arrivano appena una settimana dopo l’intervento del Presidente William Ruto alla Giornata internazionale della privacy 2023, in cui ha espresso con forza una “visione chiara di un’economia trasformata in digitale, di un’identità digitale dei cittadini e di un regime di protezione dei dati che difenda la nostra privacy, crei fiducia a livello globale ed espanda il commercio elettronico in Kenya e nel mondo”.

English version

Apple was sued in court on charges of lying to consumers about privacy to gain an advantage over competitors. The lawsuits, filed in federal courts in California and New York, allege breach of an implied contract, invasion of privacy, unjust enrichment and unfair competition. The accusations refer to a study conducted by researchers from the software company Mysk, which allegedly found that Apple’s privacy settings do not prevent the company from collecting data. Thus, the position of CEO Tim Cook, who had declared: “Privacy is a fundamental right and at Apple we integrate it into all products and services. You should be the one in control of your data, not the highest bidder’ and an advertisement that reads: ‘Your data is yours and iPhone helps you keep it that way’. The company is accused of misleading users into believing that their data is protected by disabling the ‘Allow apps to request tracking’ function, when in fact it collects and exploits data, including browsing history, communications and personal identifiers. However, responding to the allegations Apple stated that: “Identifiable information is never shared with third parties and is not used to track users within apps and websites. All data used for advertising purposes is decoupled from personal identifiers, and Apple Advertising operates on a de-identified data basis’. A tough skirmish is on the horizon.

The Toronto Police Department will begin removing the surnames and gender of missing persons from advertisements referring to them. This new policy is intended to balance the protection of privacy with providing the information needed to locate the missing. Details such as the first name and physical and clothing description of a missing person will remain public, as will the time and place of last appearance. “By publishing only the first name, missing persons can still be found, but their full name is not forever associated with the event,” said Nicole Corrado, a leading proponent of this change, adding that “no one wants to be defined by their worst day.” The police stated that the photo of a missing person will continue to be shared publicly in newsletters and on social media when available. Surname and gender information will only be included on a case-by-case basis, and there will be no change in the dissemination mechanisms for the public display of a missing person’s data, police said.

Between today and Wednesday, both Facebook and its parent company Meta will face courtrooms in Kenya. The first case concerns the working conditions of employees of the company Sema, many of them Kenyans, who moderate content on Facebook. The second case concerns hate speech during the Tigray conflict, which lasted two years and recently ended. Both cases are based on the same question: is Meta Platform Inc., despite being a foreign company, subject to the laws of the country? Meta argued that the Kenyan Constitution cannot be applied to corporate entities operating outside the territory of Kenya. Instead, the counterparts argue that Meta generates revenue from Kenyans through advertising, processes personal information and data, pays digital services tax to the government and is therefore bound by the Data Protection Act of 2019. These hearings come just a week after President William Ruto spoke at the International Privacy Day 2023, in which he forcefully articulated a “clear vision of a digitally transformed economy, a digital identity for citizens and a data protection regime that defends our privacy, builds global trust and expands e-commerce in Kenya and around the world”.

PRIVACY DAILY 28/2023

La polizia non può procedere alla raccolta sistematica dei dati biometrici dell’accusato. Lo ha affermato la Corte di Giustizia dell’Unione Europea nel decidere la causa C-505/21, in cui si è pronunciata sulla corretta interpretazione della Direttiva UE 2016/680. Il caso era sorto a seguito del rifiuto di una donna, accusata di frode fiscale, di conferire alla polizia bulgara dati dattiloscopici e fotografici, nonché campioni per elaborare un profilo di DNA. Così, la polizia aveva chiesto al tribunale penale di autorizzare l’esecuzione coercitiva dei dati genetici e biometrici della donna, ma il giudice, ravvisando un contrasto con il diritto europeo, si è rivolto alla Corte di Giustizia. Secondo i giudici di Lussemburgo, è contrario al diritto UE prevedere la raccolta sistematica di dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d’ufficio, senza prevedere l’obbligo, per l’autorità competente, di verificare e di dimostrare, da un lato, che tale raccolta è strettamente necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall’altro, che tali obiettivi non possono essere raggiunti mediante misure che costituiscono un’ingerenza meno grave nei diritti e nelle libertà della persona interessata“.

Il National Institute of Standards and Technology (NIST) ha pubblicato il nuovo AI Risk Management Framework. L’IA può essere usata per creare arte, assumere persone e scrivere codici, ma aumentano le preoccupazioni per i possibili effetti collaterali. Ci sono rischi per la privacy, il copyright, e la sicurezza informatica ed occorre evitare anche discriminazioni e pregiudizi sul luogo di lavoro. Proprio per questo, il framework si propone di aiutare coloro che creano e implementano l’IA ad affrontare i rischi complessi – e spesso unici – posti da questa tecnologia.”Le tecnologie dell’IA possono favorire una crescita economica inclusiva e supportare importanti progressi scientifici che migliorano il nostro mondo, ma queste stesse tecnologie comportano anche rischi di impatti negativi”, ha dichiarato il direttore del NIST Laurie Locascio in occasione dell’evento di lancio del framework. L’IA può, infatti, esacerbare pregiudizi e disuguaglianze che già esistono nella società, ma “la comprensione e la gestione dei rischi dei sistemi di IA contribuirà a migliorarne l’affidabilità”.

La colazione annuale della  New York City Police Foundation è stata occasione per annunci e polemiche. Il Dipartimento di Polizia di New York ha intenzione di raddoppiare l’uso della tecnologia, ma c’è disaccordo su qualcuna delle innovazioni. La commissioner Keechant Sewell ha presentato il progetto di un’applicazione per smartphone in grado di fornire agli utenti informazioni in tempo reale sulla sicurezza pubblica e ha mostrato nuovi modelli di auto di servizio con telecamere che ruotano a 360 gradi. Tuttavia, Sewell non ha condiviso le opinioni del sindaco Eric Adams sul riconoscimento facciale. Adams, infatti, aveva promesso di espandere l’uso del software di riconoscimento facciale – cosa che, secondo i sostenitori, aiuterà a contrastare il crimine, ma  che, secondo gli oppositori, calpesterà i diritti civili e penalizzerà le persone di colore -. “Non abbiamo in programma di espandere questa tecnologia in questo momento”, ha tagliato corto Sewell rispondendo ai giornalisti dopo il suo discorso.

English version

The police may not systematically collect biometric data of the accused. This was stated by the Court of Justice of the European Union in deciding case C-505/21, in which it ruled on the correct interpretation of EU Directive 2016/680. The case had arisen following the refusal of a woman, accused of tax fraud, to provide the Bulgarian police with fingerprint and photographic data, as well as samples for DNA profiling. Thus, the police had asked the criminal court to authorise the coercive execution of the woman’s genetic and biometric data, but the judge, finding a conflict with European law, turned to the Court of Justice. According to the judges in Luxembourg, it is contrary to EU law to provide for the systematic collection of biometric and genetic data of any person formally charged with a criminal offence punishable ex officio, ‘without providing for an obligation on the competent authority to verify and demonstrate, first, that such collection is strictly necessary for the attainment of the concrete objectives pursued and, second, that those objectives cannot be attained by measures constituting a less serious interference with the rights and freedoms of the person concerned’.

The National Institute of Standards and Technology (NIST) has published the new AI Risk Management Framework. AI can be used to create art, hire people and write code, but there are growing concerns about possible side effects. There are risks for privacy, copyright, and cybersecurity, and discrimination and prejudice in the workplace must also be avoided. For this very reason, the framework aims to help those who create and implement AI address the complex – and often unique – risks posed by this technology. “AI technologies can foster inclusive economic growth and support important scientific advances that improve our world, but these same technologies also carry risks of negative impacts,” said NIST Director Laurie Locascio at the framework’s launch event. AI can, in fact, exacerbate biases and inequalities that already exist in society, but ‘understanding and managing the risks of AI systems will help improve their reliability’.

The New York City Police Foundation’s annual breakfast was the occasion for announcements and controversy. The New York Police Department plans to double its use of technology, but there is disagreement over some of the innovations. Commissioner Keechant Sewell presented plans for a smartphone app that can provide users with real-time public safety information and showed new models of squad cars with cameras that rotate 360 degrees. However, Sewell did not share Mayor Eric Adams’ views on facial recognition. Adams, in fact, had promised to expand the use of facial recognition software – which, according to supporters, will help fight crime, but which, according to opponents, will trample on civil rights and penalise people of colour -. When responding to reporters after his speech, Sewell cut short: “We have no plans to expand this technology at this time”.