PRIVACY DAILY 94/2023

La Guardia Civil fa marcia indietro sulla banca dati Toletum, mentre l’Autorità garante spagnola apre un fascicolo sul caso. “La questione ‘Toletum’ è nelle mani dell’Agenzia per la protezione dei dati e del dipartimento di protezione dei dati della Guardia Civil”. Questa è la laconica risposta del Comando della Guardia Civil di Toledo alla stampa. Al contrario, l’Asociación Escala Suboficiales de la Guardia Civil (Asesgc) ha assicurato che “Toletum” ha cessato di essere utilizzato esattamente un mese fa, quattordici giorni dopo che era stata pubblicata la notizia dell’uso di questo database “non dichiarato”. Conteneva, ad esempio, dati personali di guardie civili e di persone estranee alle forze armate, come le vittime di violenza di genere o i loro aggressori nella provincia. Anche l’AEPD ha effettuato questa settimana un controllo presso il Comando di Toledo, secondo quanto riportato dall’Asesgc, che descrive la banca dati come “clandestina”. Agli agenti autorizzati – circa un centinaio – è stato ordinato di caricare quotidianamente informazioni dall’archivio ufficiale automatizzato e protetto noto come “SIGO” (Sistema Integrado de Gestión Operativa). Queste guardie civili dovevano essere accreditate dal Comando Operativo. Tuttavia, il capo del Comando di Toledo un mese e mezzo fa ha dichiarato che “Toletum” non era “in alcun modo clandestino”, poiché “è ospitato sul server informatico” del comando. “Toletum”, sempre secondo il Comando, era stato creato “con un’applicazione ufficiale per i computer della Guardia Civil e dispone di amministratori, gruppi e permessi di accesso”. Ma il caso è stato portato all’attenzione dell’AEPD. Oltre alla verifica effettuata questa settimana , il delegato alla protezione dei dati della Direzione generale della Guardia Civil aveva già comunicato alle unità del comando che ‘Toletum’ era “temporaneamente sospeso” e il suo utilizzo era vietato da metà marzo, secondo fonti dell’Asesgc. Stando a quanto contestato dalle associazioni di dipendenti della Guardia Civil, l’applicazione “Toletum” era in funzione dal 2016 ed era stata creata come nuova banca dati “senza le relative autorizzazioni”.

LloydsPharmacy ha condiviso con TikTok e Facebook i dati dei clienti relativi ad acquisti sensibili, al fine di fornire loro informazioni per i loro sistemi di pubblicità mirata. Lo ha rivelato un’indagine congiunta del Guardian e di Radio Svezia. L’azienda è una delle centinaia di farmacie online che hanno utilizzato minuscoli pezzi di codice informatico in grado di condividere i dati personali con i giganti tecnologici, compresi nomi e numeri di telefono. I siti web contenevano “pixel” pubblicitari incorporati nella pagina di pagamento. In altri casi i pixel sono stati inseriti nei risultati di ricerca, dando ai social network accesso ai sintomi specifici degli utenti. Un test ha visto i pixel raccogliere i termini di ricerca esatti inseriti sul sito di Lloyds così come i prodotti specifici aggiunti al carrello. Tra questi, il viagra, la crema per il mughetto e un test per la clamidia. Monitorando il traffico di rete, è stato possibile vedere questi termini inviati alle società di social media. Durante il processo di acquisto, i pixel di tracciamento di Facebook e TikTok hanno raccolto l’indirizzo e-mail dell’utente. Lloyds ha anche inviato a Facebook il nome e il cognome dell’utente, mentre a TikTok il numero di telefono. In nessun momento è stato dato il consenso esplicito per la condivisione delle informazioni e non c’era alcuna opzione per disattivare la trasmissione nell’informativa sui cookie. Più di 200 farmacie in tutta Europa hanno pixel pubblicitari di Facebook, TikTok o di entrambi e potrebbero condividere con i social network le e-mail dei clienti e altri dati di identificazione personale. Ma da un attento esame delle farmacie più grandi è emerso che solo Lloyds inviava informazioni mediche sensibili, oltre a dati di identificazione personale, a TikTok. Poco dopo essere stata contattata per un commento, Lloyds ha rimosso completamente il pixel di TikTok dal suo sito web, mentre il pixel di Facebook è stato aggiornato per funzionare solo dopo che l’utente accetta i cookie. La farmacia afferma che questo non era collegato alle indagini e che è stato invece indotto da un cambiamento nelle disposizioni informatiche.

 L’impiego di tecniche di riconoscimento facciale da parte della polizia sollevano polemiche nella politica irlandese. Questa proposta è stata sottoposta all’esame dell’Oireachtas (parlamento irlandese) come parte del disegno di legge sulle videocamere della Garda (la polizia irlandese). Il Ministro della Giustizia Simon Harris spinge per la sua introduzione. Tuttavia, questa settimana il “ministro junior” Ossian Smyth ha dichiarato che il partito dei Verdi è contrario all’aggiunta dell’FRT al disegno di legge. Il portavoce del Partito Laburista per la Giustizia, Aodhan O Riordain, ha dichiarato che il Ministro Harris deve fare marcia indietro sui piani per forzare l’emendamento. “Il Consiglio irlandese per le libertà civili ha messo in guardia sul modo in cui questa sorveglianza di massa può essere usata per tracciare una mappa dettagliata dell’identità e delle attività di una persona, e ci sono serie preoccupazioni riguardo all’accuratezza e alla parzialità”, ha dichiarato, aggiungendo: “Nonostante alcune preoccupazioni sulle bodycam, sosteniamo l’attuale legislazione, ma per quanto riguarda il riconoscimento facciale, non siamo ancora convinti che sia il momento giusto per introdurre questo strumento incredibilmente potente, quando non c’è stata alcuna consultazione o scrutinio pubblico”. Il commissario della Garda Drew Harris ha precedentemente accolto con favore i piani per l’introduzione della tecnologia di riconoscimento facciale. L’ufficiale più anziano d’Irlanda ha detto che la nuova misura aiuterà gli agenti ad affrontare questioni serie come le minacce alla sicurezza nazionale e i bambini scomparsi. “Si tratta di uno strumento molto necessario per la polizia moderna, dal momento che molte delle nostre informazioni ci giungono in forma digitale” ha affermato. “Il disegno di legge nel suo complesso è assolutamente essenziale per quanto riguarda il modo in cui riceviamo le informazioni in formato digitale, come le conserviamo e come le prepariamo per i tribunali”.

English version

The Guardia Civil backtracks on the Toletum database, while the Spanish Data Protection Authority opens a file on the case. “The ‘Toletum’ issue is in the hands of the Data Protection Agency and the Guardia Civil’s data protection department”. This is the laconic response of the Toledo Guardia Civil Command to the press. On the contrary, the Asociación Escala Suboficiales de la Guardia Civil (Asesgc) assured that ‘Toletum’ ceased to be used exactly one month ago, fourteen days after news of the use of this ‘undeclared’ database was published. It contained, for instance, personal data of civilian guards and people outside the armed forces, such as victims of gender violence or their attackers in the province. The AEPD also carried out a check at the Toledo Command this week, according to the Asesgc, which describes the database as ‘clandestine’. Authorised agents – about a hundred of them – were ordered to upload daily information from the automated and protected official archive known as ‘SIGO’ (Sistema Integrado de Gestión Operativa). These civil guards were to be accredited by the Operational Command. However, the head of the Toledo Command declared a month and a half ago that ‘Toletum’ was ‘in no way clandestine’, since it ‘is hosted on the command’s computer server’. ‘Toletum’, again according to the Command, had been created ‘with an official application for Guardia Civil computers and has administrators, groups and access permissions’. But the case was brought to the attention of the AEPD. In addition to the audit carried out this week, the data protection delegate of the General Directorate of the Guardia Civil had already informed the units of the command that ‘Toletum’ was ‘temporarily suspended’ and its use was forbidden since mid-March, according to sources at the Asesgc. According to the Guardia Civil employee associations, the ‘Toletum’ application had been in operation since 2016 and had been created as a new database ‘without the relevant authorisations’.

LloydsPharmacy shared customer data on sensitive purchases with TikTok and Facebook in order to provide them with information for their targeted advertising systems. This was revealed in a joint investigation by the Guardian and Radio Sweden. The company is one of hundreds of online pharmacies that used tiny pieces of computer code to share personal data with the tech giants, including names and phone numbers. The websites contained advertising ‘pixels’ embedded in the payment page. In other cases, pixels were embedded in search results, giving social networks access to users’ specific symptoms. One test saw the pixels collect the exact search terms entered on Lloyds’ website as well as the specific products added to the shopping cart. These included viagra, thrush cream and a chlamydia test. By monitoring network traffic, it was possible to see these terms sent to social media companies. During the purchase process, tracking pixels from Facebook and TikTok collected the user’s e-mail address. Lloyds also sent Facebook the user’s first and last name and TikTok the phone number. At no time was explicit consent given for the information to be shared and there was no option to deactivate the transmission in the cookie policy. More than 200 pharmacies across Europe have advertising pixels from Facebook, TikTok or both, and could share customer e-mails and other personally identifiable data with the social networks. But a close examination of the larger pharmacies revealed that only Lloyds was sending sensitive medical information, as well as personally identifiable data, to TikTok. Shortly after being contacted for comment, Lloyds completely removed the TikTok pixel from its website, while the Facebook pixel was updated to work only after the user accepts cookies. The pharmacy states that this was unrelated to the investigation and was instead prompted by a change in IT arrangements.

The use of facial recognition techniques by the police raises controversy in Irish politics. This proposal has been submitted to the Oireachtas (Irish Parliament) for consideration as part of the Garda (Irish police) Camera Bill. Justice Minister Simon Harris is pushing for its introduction. However, ‘junior minister’ Ossian Smyth stated this week that the Green Party is against the addition of the FRT to the bill. Labour Party spokesperson for Justice, Aodhan O Riordain, said that Minister Harris must backtrack on plans to force the amendment. “The Irish Council for Civil Liberties has warned about the way in which this mass surveillance can be used to map out a person’s identity and activities in detail, and there are serious concerns about accuracy and bias,” he said, adding, “Despite some concerns about bodycams, we support the current legislation, but with regard to facial recognition, we are not yet convinced that it is the right time to introduce this incredibly powerful tool, when there has been no public consultation or scrutiny.” Garda Commissioner Drew Harris has previously welcomed plans to introduce facial recognition technology. Ireland’s most senior officer said the new measure will help officers deal with serious issues such as national security threats and missing children. “This is a very necessary tool for modern policing as much of our information comes to us digitally,” he said. “The bill as a whole is absolutely essential in terms of how we receive information digitally, how we store it and how we prepare it for the courts.”

PRIVACY DAILY 47/2023

L’uso di un nuovo tipo di software di analisi dei dati da parte della polizia non è conforme alla Costituzione tedesca. Lo ha affermato il Bundesverfassungsgericht (la Corte costituzionale federale), stabilendo l’incostituzionalità delle attuali norme relative all’uso di questi software da parte della polizia di Assia e Amburgo. Si tratta di programmi informatici complessi, come “Gotham” (del produttore statunitense Palantir). Secondo il Ministero degli Interni dell’Assia, negli ultimi anni sono già stati ottenuti “numerosi successi investigativi eccezionali” grazie all’uso di Gotham. Tra gli altri, nel 2018, è stato sventato un attacco di matrice islamista e, nel 2020, il sistema ha contribuito a scoprire una rete di abusi pedo-criminali. Il sistema, partendo da enormi quantità di dati, avrebbe trovato l’indizio decisivo in pochi minuti. Sempre stando alle dichiarazioni del Ministero, sarebbero alti gli standard di protezione della privacy e verrebbero analizzati solo dati già legalmente in possesso della polizia. Non verrebbero, infatti, effettuate ricerche sui social network, sebbene i dati precedentemente acquisiti dalle piattaforme di social media durante le indagini possano essere inseriti nel sistema e analizzati. Eppure, il software è stato bersaglio di forti critiche. I limiti legali al suo impiego, infatti, sono stati ritenuti troppo blandi. Così, diversi individui, con il sostegno della Gesellschaft für Freiheitsrechte (Società per le libertà civili) hanno formulato le loro doglianze contro l’impiego di Gotham presso la Corte costituzionale federale, lamentando la raccolta di informazioni, il rischio di una sorveglianza diffusa, nonché l’eventuale creazione di profili di personalità.

Stanno per saltare fuori i nomi degli olandesi che hanno collaborato con i nazisti durante la Seconda Guerra mondiale. Il progetto “Oorlog voor de Rechter” (Guerra in tribunale) ha annunciato che il più grande archivio di guerra dei Paesi Bassi diventerà accessibile digitalmente nel 2025. Ciò preoccupa molto i discendenti dei “collaborazionisti” che temono la riapertura di vecchie ferite. Gli effetti della legge olandese, che rende l’archivio accessibile solo a certe condizioni e su richiesta, cesseranno nel gennaio 2025. L’archivo, composto da 32 milioni di pagine, comprende 300.000 persone, per lo più olandesi, che i Paesi Bassi hanno indagato per collaborazione con gli occupanti tedeschi. Solo un quinto è comparso davanti a un tribunale, mentre nella maggior parte si trattava di casi lievi come l’appartenenza al movimento filo-nazista. Alcuni tra i loro discendenti temono, però, che rendere l’archivio facilmente accessibile possa riaprire vecchie ostilità e sospetti. Sebbene il GDPR non si applichi ai dati delle persone defunte, qualcuno ha manifestato l’esigenza di gestire con cura le questioni legate alla privacy delle persone coinvolte, stante la delicatezza della stesse. Il responsabile del progetto Edwin Klijn ha dichiarato alla Reuters che è importante tenere un dibattito pubblico sull’archivio e dare voce ai discendenti delle vittime e dei colpevoli, aggiungendo che, a seconda dell’esito del dibattito, l’archivio digitalizzato potrebbe avere ancora alcune limitazioni. Klijn ha anche sottolineato l’importanza di un archivio disponibile in formato digitale per scopi educativi, soprattutto dopo che una ricerca ha rilevato che quasi un quarto dei giovani olandesi nega o minimizza l’Olocausto.

L’Algeria rafforza la raccolta di dati sui passeggeri. Un decreto presidenziale emanato di recente ha disposto la creazione di un’Unità nazionale d’informazione sui passeggeri (UNIP), responsabile della raccolta e dell’archiviazione dei dati sui viaggiatori che entrano, escono o transitano sul territorio nazionale. Le compagnie aeree e gli operatori di viaggio sono tenuti a trasmettere i dati relativi alle prenotazioni (PNR) e al check-in e all’imbarco a questa Unità, istituita per combattere il terrorismo e la criminalità transfrontaliera. Le informazioni saranno trasmesse con mezzi elettronici sicuri, ma in caso di guasto tecnico si dovrà utilizzare un altro metodo con lo stesso livello di sicurezza. Secondo il decreto ministeriale, i dati di prenotazione PNR dovranno essere inviati in tre fasi, mentre i dati di check-in e imbarco dovranno essere trasmessi entro 30 minuti dalla partenza del volo. In caso di minaccia alla sicurezza nazionale, l’UNIP può richiedere il trasferimento dei dati al di fuori dei termini stabiliti. Questa misura rafforza il controllo dei viaggiatori in Algeria, che aveva già creato un archivio nazionale per la raccolta dei dati dei viaggiatori nel Paese. Questa misura potrebbe sollevare preoccupazioni sulla protezione dei dati personali dei viaggiatori. Le autorità algerine dovranno quindi garantire che la privacy di ciascun viaggiatore sia rispettata e che questi dati non vengano utilizzati per scopi diversi da quelli previsti dalla legge.

English version

The use of a new type of data analysis software by the police does not comply with the German Constitution. This was affirmed by the Bundesverfassungsgericht (Federal Constitutional Court), ruling that the current rules on the use of such software by the police in Hesse and Hamburg are unconstitutional. These are complex computer programmes, such as the ‘Gotham’ (from the US manufacturer Palantir). According to the Hessian Ministry of the Interior, ‘numerous outstanding investigative successes’ have already been achieved through the use of Gotham in recent years. Among others, in 2018, an Islamist attack was foiled and, in 2020, the system helped uncover a paedophile-criminal abuse network. The system, starting with huge amounts of data, would have found the decisive clue within minutes. According to the Ministry’s statements, high standards of privacy protection are respected and only data already legally in the possession of the police are analysed. No social network searches would be conducted, although data previously acquired from social media platforms during investigations could be entered into the system and analysed. Yet, the software has been the target of strong criticism. The legal limits to its use, in fact, have been deemed too soft. Thus, several individuals with the support of the Gesellschaft für Freiheitsrechte (Society for Civil Liberties) have lodged their complaints against the use of Gotham with the Federal Constitutional Court, complaining about the collection of information, the risk of widespread surveillance, and the possible creation of personality profiles.

The names of Dutch people who collaborated with the Nazis during the Second World War are about to come up. The project ‘Oorlog voor de Rechter’ (War in Court) has announced that the largest war archive in the Netherlands will become digitally accessible in 2025. This is of great concern to the descendants of the ‘collaborationists’ who fear the reopening of old wounds. The effects of the Dutch law that makes the archive accessible only under certain conditions and on request will end in January 2025. The archivo, consisting of 32 million pages, includes 300,000 people, mostly Dutch, whom the Netherlands investigated for collaboration with the German occupiers. Only one fifth appeared before a court, while most of them were minor cases such as membership in the pro-Nazi movement. Some of their descendants fear, however, that making the archive easily accessible may reopen old hostilities and suspicions. Although the GDPR does not apply to the data of deceased persons, some have expressed the need to handle privacy issues of those involved with care, given their sensitivity. Project manager Edwin Klijn told Reuters that it is important to have a public debate on the archive and to give a voice to the descendants of victims and perpetrators, adding that, depending on the outcome of the debate, the digitised archive might still have some limitations. Klijn also emphasised the importance of a digitally available archive for educational purposes, especially after research found that almost a quarter of young Dutch people deny or minimise the Holocaust.

Algeria strengthens passenger data collection. A recently issued presidential decree ordered the creation of a National Passenger Information Unit (UNIP), responsible for collecting and storing data on travellers entering, leaving or transiting the country. Airlines and travel operators are required to transmit reservation (PNR) and check-in and boarding data to this Unit, which was established to combat terrorism and cross-border crime. The information will be transmitted by secure electronic means, but in the event of technical failure another method with the same level of security will have to be used. According to the ministerial decree, PNR booking data will have to be sent in three steps, while check-in and boarding data will have to be transmitted within 30 minutes of flight departure. In the event of a threat to national security, UNIP may request the transfer of data outside the time limit. This measure strengthens the control of travellers in Algeria, which had already created a national archive for the collection of travellers’ data in the country. This measure could raise concerns about the protection of travellers’ personal data. The Algerian authorities will therefore have to ensure that the privacy of each traveller is respected and that these data are not used for purposes other than those stipulated by law.

Le iniziative delle altre Autorità

Il Garante olandese sanziona la polizia:  no alle videocamere di sorveglianza installate sulle auto

L’Autorità per i dati personali dei Paesi Bassi (Autoriteit Persoonsgegevens, AP) ha inflitto una sanzione di 50.000 euro alla polizia per aver impiegato autovetture con videocamere durante il periodo delle restrizioni per contrastare la diffusione del COVID-19. Le auto circolavano raccogliendo e memorizzando immagini dettagliate delle persone tramite le videocamere, le quali erano state installate senza aver preventivamente identificato i rischi per la privacy.

Dall’istruttoria svolta dall’Autorità è emerso che sono state troppe le immagini non necessarie scattate. Infatti, nel 2020, per cinque settimane, il comune di Rotterdam e la polizia hanno utilizzato queste due auto dotate di videocamere a 360 gradi per controllare che le persone mantenessero una distanza di 1,5 metri l’una dall’altra. Le videocamere erano in grado di rilevare immagini nitide e sufficientemente dettagliate per identificare le persone anche a una velocità di 50 km/h. Le immagini raccolte venivano, poi, visionate in una sala di controllo, archiviate e potevano essere inoltrate ad altre sedi della polizia. Perciò, l’AP ha chiesto chiarimenti sull’impiego delle autovetture con videocamera, le quali sono state, in seguito, spente.

Alla luce della ricostruzione, l’Autorità ha contestato alla polizia di non aver provveduto, prima di acquisire le immagini, all’analisi dei possibili rischi per la privacy, svolgendo la valutazione d’impatto sulla protezione dei dati (DPIA). Tuttavia, in questo caso la DPIA era necessaria, dal momento che la polizia poteva prevedere che l’impiego delle autovetture munite di videocamere avrebbe comportato un rischio elevato, specialmente perché si trattava di una nuova tecnologia e perché i dati personali sarebbero stati raccolti in spazi pubblici da un elevato numero di persone, che difficilmente avrebbero potuto sapere alcunché della raccolta e dell’utilizzo delle immagini.

È stata, così, rilevata una violazione della Wet politiegegevens (Wpg), legge che sancisce le principali norme sulla privacy per quanto riguarda le attività della polizia. Tale violazione è stata ammessa dalla polizia e l’AP ha, quindi, imposto una multa di 50.000 euro.

Inoltre, dall’istruttoria è emerso che venivano acquisite immagini di persone riconoscibili anche in momenti in cui non erano rilevate violazioni delle misure anti-coronavirus – come, ad esempio, la formazione di assembramenti –. Ciò, peraltro, era avvenuto anche al di fuori degli hotspot designati, durante il tragitto da un luogo all’altro. Le immagini raccolte e memorizzate sono, dunque, risultate eccessive e non necessarie ai fini che s’intendevano raggiungere.

La polizia ha riconosciuto anche questa violazione del Wpg, per la quale non è stata però irrogata alcuna sanzione pecuniaria.