“Principali sviluppi del diritto della concorrenza dell’unione europea e nazionale”

Domani avrò il piacere di partecipare al convegno “Principali sviluppi del diritto della concorrenza dell’unione europea e nazionale” organizzato a Firenze dall’ Associazione Antitrust Italiana.

A partire dalle 12.00 interverrò per parlare di antitrust, PCS e tutela della privacy

Qui il link alle informazioni complete https://www.aaiantitrustconference.it/

PRIVACYDAILY

N. 135/2023

LE TRE NEWS DI OGGI:

  • TIKTOK, BYTEDANCE ACCUSATA DI AIUTARE LA CINA A SPIEGARE GLI ATTIVISTI DI HONG KONG
  • USA, DAL PRIMO LUGLIO ARRIVANO NUOVE LEGGI SULLA PRIVACY IN COLORADO
  • UK, I RICERCATORI DELL’UNIVERSITA’ DI BELFAST CHIEDONO AL LEGISLATORE DI PROTEGGERE I DATI DELLE “AI GHOSTBOTS”

Gli utenti che caricavano “contenuti legati alla protesta” venivano identificati e monitorati, come sostiene l’ex dirigente di ByteDance Yintao Yu in un documento del tribunale statunitense. Secondo Yu, i membri del PCC erano anche in grado di accedere ai dati degli utenti di TikTok negli Stati Uniti. Un portavoce di ByteDance ha negato le affermazioni, definendole “prive di fondamento”. Le accuse sono contenute in un documento della Corte Superiore di San Francisco presentato questa settimana nell’ambito di una causa intentata dal signor Yu. Nel documento, il signor Yu sostiene che i membri di un comitato CCP avevano accesso a una credenziale “superuser”, nota anche come “god user”, che consentiva loro di visualizzare tutti i dati raccolti da ByteDance. Ha inoltre affermato che i membri del comitato non erano dipendenti di ByteDance, ma erano fisicamente presenti negli uffici dell’azienda a Pechino. Il signor Yu, che per circa un anno, a partire dall’agosto 2017, ha ricoperto il ruolo di responsabile dell’ingegneria negli Stati Uniti per ByteDance, ha affermato che questa situazione era nota ai dirigenti.Il documento sostiene inoltre che nel 2018 i membri del comitato del PCC hanno usato le loro “credenziali divine” per “identificare e localizzare i manifestanti di Hong Kong, gli attivisti per i diritti civili e i sostenitori delle proteste”. Hong Kong ha visto enormi proteste nel 2014 – il cosiddetto movimento degli ombrelli – in cui la gente ha chiesto il diritto di eleggere il proprio leader. In seguito, ci sono state manifestazioni più piccole da parte di attivisti per i diritti civili. Gran parte di questo dissenso visibile è scomparso da quando Pechino ha dato un giro di vite con una legge draconiana sulla sicurezza nazionale dopo le proteste antigovernative del 2019. Contattato dalla BBC, un portavoce di ByteDance ha negato con forza le accuse: “Abbiamo intenzione di opporci vigorosamente a quelle che riteniamo essere affermazioni e accuse infondate contenute in questa denuncia”.Hanno anche detto che il signor Yu è stato assunto dall’azienda per meno di un anno e che in quel periodo ha lavorato su un’app ora dismessa chiamata Flipagram.”È curioso che il signor Yu non abbia mai sollevato queste accuse nei cinque anni trascorsi da quando il suo impiego in Flipagram è stato interrotto nel luglio 2018. Le sue azioni sono chiaramente volte ad attirare l’attenzione dei media”, ha aggiunto il portavoce di ByteDance. Le affermazioni del signor Yu arrivano mentre TikTok è sottoposta a un intenso controllo in tutto il mondo. A marzo, l’amministratore delegato di TikTok, Shou Zi Chew, ha affrontato quattro ore e mezza di interrogatorio in un’udienza del Congresso degli Stati Uniti.

In Colorado e in Connecticut le leggi sulla privacy dei dati dei consumatori  entrano in vigore il 1° luglio, ampliando l’assortimento di requisiti statali che le aziende di tutto il Paese dovranno rispettare. I due Stati seguono le leggi sulla privacy già in vigore in California (l’applicazione delle sue ultime norme inizierà il mese prossimo) e in Virginia, che mirano a conferire ai consumatori maggiori diritti sulle modalità di raccolta e utilizzo dei loro dati da parte delle aziende, compresa la possibilità di limitare l’uso delle loro informazioni personali o di chiederne la cancellazione. Lo Utah sarà il prossimo ad attuare la sua legge sulla privacy alla fine di quest’anno, mentre il Tennessee, l’Indiana e altri Stati hanno recentemente emanato misure complete sulla privacy.Le leggi statali sulla privacy rappresentano un bersaglio mobile per le aziende che cercano di conformarsi a tutte le leggi, ha dichiarato Brandon Robinson, partner e presidente del settore privacy e sicurezza dei dati di Balch & Bingham LLP. In generale, le leggi creano nuovi diritti simili per i consumatori, come il diritto di conoscere i dati raccolti da un’azienda e il diritto di correggerli, ma differiscono nei requisiti specifici.”Penso che ci sia un certo livello di ansia nel voler essere conformi a queste leggi”, ha detto Robinson. “E credo che una parte della preoccupazione sia dovuta al fatto che ogni settimana accendiamo la nostra e-mail e ne viene approvata una nuova, simile ma leggermente diversa”. Le leggi del Colorado e del Connecticut si applicano alle entità che svolgono attività commerciali negli Stati o che si rivolgono ai loro residenti se soddisfano determinate soglie di vendita o trattamento dei dati, con alcune eccezioni. Il Colorado si discosta da altre leggi statali sulla privacy in quanto copre le organizzazioni non profit oltre alle aziende. I concetti della legge sulla privacy stanno diventando sempre più familiari per le aziende, soprattutto perché molte imprese rientrano già nei requisiti esistenti, ha dichiarato Tara Cho, partner e presidente del settore privacy e cybersecurity di Womble Bond Dickinson LLP. Tuttavia, le leggi statali hanno ognuna le proprie sfumature. La California è l’unico Stato che ha creato una nuova agenzia di regolamentazione per attuare la sua legge sulla privacy. Anche il Colorado ha adottato un approccio più prescrittivo alla sua legge sulla privacy attraverso norme che forniscono ulteriori informazioni sui requisiti, ha detto Cho. Le leggi del Connecticut e della Virginia, invece, non prevedono l’autorità di regolamentazione. “Ci sono molti meno dettagli sul ‘come'”, ha detto Cho del Connecticut e della Virginia. Anche il Colorado contiene alcuni nuovi concetti nella sua normativa, come le disposizioni relative ai programmi di fidelizzazione e alle valutazioni d’impatto sulla protezione dei dati, ha dichiarato Christian Auty, partner di Bryan Cave Leighton Paisner LLP che fornisce consulenza ai clienti su questioni relative alla privacy in settori come la vendita al dettaglio e l’ospitalità.

Secondo una nuova ricerca della Queen’s University di Belfast, la mancanza di leggi sulla protezione dei dati nel Regno Unito potrebbe causare un crescente problema di “ghostbot” di intelligenza artificiale creati a partire dalle impronte digitali delle persone.”Ghostbot” è un termine usato per descrivere ciò che accade quando l’intelligenza artificiale viene utilizzata per creare reincarnazioni digitali dei morti. La tecnologia utilizzata per creare questo tipo di reincarnazione comprende chatbot, deepfake o ologrammi in grado di replicare la voce, il volto e persino la personalità di una persona morta utilizzando i dati provenienti dai social media. Una ricerca intitolata Governing Ghostbots, condotta dalla Queen’s University Belfast, dalla Aston Law School e dalla Newcastle University Law School, ha suggerito che una maggiore consapevolezza della società sui “ghostbots” e una clausola “do not bot me” nei testamenti e in altri contratti potrebbero impedire alle persone di essere reincarnate digitalmente senza autorizzazione. La ricerca ha esaminato le potenziali vie legali per proteggere la privacy (compresa quella post-mortem), la proprietà, i dati personali e la reputazione. La dott.ssa Marisa McVey della School of Law della Queen’s University Belfast ha affermato che manca una tutela della privacy o della dignità delle persone dopo la morte. “I ‘Ghostbot’ si trovano all’intersezione di molte aree diverse del diritto, come la privacy e la proprietà, eppure continua a mancare la protezione della personalità, della privacy o della dignità del defunto dopo la morte”, ha dichiarato.”Inoltre, nel Regno Unito, le leggi sulla privacy e sulla protezione dei dati non si estendono agli eredi dopo la morte”. Sebbene non si pensi che i ‘ghostbot’ possano causare danni fisici, è probabile che possano causare stress emotivo e danni economici, con particolare impatto sui cari e sugli eredi del defunto”

English version

  • TIKTOK, BYTEDANCE ACCUSED OF HELPING CHINA SPY ON HONG KONG ACTIVISTS
  • USA, FROM JULY 1 NEW PRIVACY LAWS ARRIVE IN COLORADO
  • UK, BELFAST UNIVERSITY RESEARCHERS ASK LEGISLATOR TO PROTECT DATA FROM ‘AI GHOSTBOTS’

TikTok’s owner ByteDance has been accused of allowing Chinese Communist Party (CCP) members to access the data of Hong Kong civil rights activists and protesters.Users who uploaded “protest-related content” were also identified and monitored, former ByteDance executive Yintao Yu alleges in a US court filing.The CCP members were also able to access US TikTok user data, Mr Yu says.A ByteDance spokesperson denied the claims, describing them as “baseless”.The allegations are contained in a San Francisco Superior Court filing made this week as part of a lawsuit brought by Mr Yu. In the filing, Mr Yu claimed that members of a CCP committee had access to a “superuser” credential, which was also known as “god user”, which allowed them to view all data collected by ByteDance.He also alleged that the committee members were not ByteDance employees but were physically present at the company’s offices in Beijing.This was common knowledge among senior executives, said Mr Yu, who for around a year from August 2017 was a head of engineering in the US for ByteDance.The filing also alleged that in 2018 the CCP committee members used their “god credential” to “identify and locate the Hong Kong protesters, civil rights activists, and supporters of the protests”.Hong Kong saw huge protests in 2014 – the so-called Umbrella movement – where people demanded the right to elect their own leader. After that, there were smaller demonstrations by civil rights activists. Much of this visible dissent has disappeared since Beijing cracked down with a draconian national security law after the anti-government 2019 protests. When contacted by the BBC, a ByteDance spokesperson strongly denied the allegations: “We plan to vigorously oppose what we believe are baseless claims and allegations in this complaint.”They also said that Mr Yu was employed by the company for less than a year and in that time worked worked on a now-discontinued app called Flipagram.”It’s curious that Mr Yu has never raised these allegations in the five years since his employment for Flipagram was terminated in July 2018. His actions are clearly intended to garner media attention,” the ByteDance spokesperson added.Mr Yu’s claims come as TikTok is under intense scrutiny around the world. In March, TikTok’s chief executive Shou Zi Chew faced four-and-a-half hours of questioning at a US congressional hearing.

Consumer data privacy laws in Colorado and Connecticut come into effect July 1, expanding the assortment of state-level requirements businesses throughout the country will have to comply with. The two states follow privacy laws already in effect in California—with enforcement of its latest regulations also starting next month—and Virginia that aim to give consumers more rights over how companies collect and use their data, including options to limit use of their personal information or ask that companies delete it. Utah will be next to implement its privacy law at the end of this year, while Tennessee, Indiana, and other states recently enacted comprehensive privacy measures. State privacy laws pose a moving target for companies trying to comply with all of them, said Brandon Robinson, partner and chair of the data privacy and security practice at Balch & Bingham LLP. The laws generally create similar new rights for consumers, such as the right to know what data a company collects and the right to correct that data, but differ in specific requirements. “I do think there is a level of anxiety out there about wanting to be compliant with these,” Robinson said. “And I think some of the concern is that every week, we turn on our email, and there’s a new one that’s passed that’s similar but slightly different.”The Colorado and Connecticut laws apply to entities that do business in the states or target their residents if they meet specified data sale or processing thresholds, with some exceptions. Colorado diverges from other state privacy laws by covering nonprofit organizations in addition to companies.Privacy law concepts are becoming increasingly familiar to companies, especially as many businesses already fall under existing requirements, said Tara Cho, partner and chair of the privacy and cybersecurity practice at Womble Bond Dickinson LLP. Still, state laws each have their own nuances, she said. California is the only state to create a new regulatory agency to implement its privacy law. Colorado also took a more prescriptive approach to its privacy law through rules that provide additional information on its requirements, Cho said. Laws in Connecticut and Virginia, on the other hand, didn’t include rulemaking authority.“There’s a lot less detail about the ‘how,’” Cho said of Connecticut and Virginia.Colorado also has some new concepts in its regulations, such as provisions regarding loyalty programs and data protection impact assessments, said Christian Auty, partner at Bryan Cave Leighton Paisner LLP who advises clients on privacy issues in sectors such as retail and hospitality.

Lack of data protection laws in the UK could see an increasing problem of AI “ghostbots” made from people’s digital footprints, new research from Queen’s University Belfast has suggested.“Ghostbot” is a term used to describe what happens when artificial intelligence is used to create digital reincarnations of the dead. The technology used to create this includes chatbots, deepfakes or holographs that can replicate the voice, face and even personality of a dead person using data from social media.As the concept of digital reincarnation moves into the mainstream, celebrities are beginning to showcase the capabilities of such technology, for example, a hologram of the late Robert Kardashian created using deepfake technology was gifted to Kim Kardashian by Kanye West in 2020, which used her father’s likeness and spoke in his voice.A research study titled Governing Ghostbots from Queen’s University Belfast, Aston Law School and Newcastle University Law School, has suggested that greater societal awareness of “ghostbots” and a “do not bot me” clause in wills and other contracts could prevent people from being digitally reincarnated without permission. The research looked at potential legal avenues to protect privacy (including post-mortem privacy), property, personal data, and reputation. Dr Marisa McVey from the School of Law at Queen’s University Belfast said there was a lack of protection for people’s privacy or dignity after. “’Ghostbots’ lie at the intersection of many different areas of law, such as privacy and property, and yet there remains a lack of protection for the deceased’s personality, privacy, or dignity after death,” she said. “Furthermore, in the UK, privacy and data protection laws do not extend to heirs after death,” she said. “While it is not thought that ‘ghostbots’ could cause physical harm, the likelihood is that they could cause emotional distress and economic harm, particularly impacting upon the deceased’s loved ones and heirs.

PRIVACYDAILY

N. 135/2023

LE TRE NEWS DI OGGI:

  • USA: MICROSOFT MULTATA PER VIOLAZIONE DELLA PRIVACY DEI MINORI
  • OLANDA. SECONDO IL GARANTE CIASCUNO DOVREBBE CONSIDERARSI UNA POSSIBILE VITTIMA DI DATA BREACH
  • NIGERIA, L’AUTORITA’ PRIVACY DENUNCIA IL DEFICIT DI COMPETENZE PROFESSIONALI IN MATERIA DI PRIVACY

Microsoft pagherà 20 milioni di dollari (16 milioni di sterline) alle autorità federali statunitensi dopo aver scoperto che ha raccolto illegalmente dati sui bambini che hanno aperto un account Xbox.La Federal Trade Commission (FTC) ha raggiunto lunedì scorso un accordo con l’azienda, che prevede anche maggiori tutele per i bambini che giocano.Tra le altre violazioni, la FTC ha rilevato che Microsoft non ha informato i genitori sulle sue politiche di raccolta dei dati.La FTC ha dichiarato che Microsoft ha violato il Children’s Online Privacy Protection Act (Legge sulla protezione della privacy online dei bambini) non ottenendo il consenso dei genitori e conservando i dati personali dei minori di 13 anni più a lungo del necessario per gli account creati prima del 2021. La legge prevede che i servizi online e i siti web rivolti ai bambini ottengano il consenso dei genitori e li informino dei dati personali raccolti sui loro figli. Gli utenti di Xbox devono creare un account per utilizzare alcuni servizi. Durante la creazione vengono raccolte informazioni quali nome e cognome, indirizzo e-mail e data di nascita. Solo dopo aver ottenuto informazioni personali, come il numero di telefono del bambino, Microsoft ha chiesto l’autorizzazione dei genitori. Dal 2015 al 2020 Microsoft ha conservato “talvolta per anni” i dati relativi alla creazione dell’account, anche quando un genitore non ha completato la procedura, ha dichiarato la FTC in un comunicato. L’azienda non ha inoltre informato i genitori di tutti i dati che stava raccogliendo, compresa l’immagine del profilo dell’utente, e che i dati venivano distribuiti a terzi. “Purtroppo non abbiamo soddisfatto le aspettative dei clienti e ci siamo impegnati a rispettare l’ordine per continuare a migliorare le nostre misure di sicurezza”, ha scritto Dave McCarthy, CVP di Xbox Player Services, in un post sul blog di Xbox. “Crediamo di poter e dover fare di più e rimarremo fermi nel nostro impegno per la sicurezza, la privacy e la protezione della nostra comunità”. Come parte dell’accordo, Microsoft deve anche istituire nuove protezioni di sicurezza per i bambini. Tra queste, il mantenimento di un sistema di cancellazione di tutti i dati personali dopo due settimane se non viene ottenuto il consenso dei genitori.

“Tutti dovrebbero presumere che i propri dati personali siano già stati divulgati almeno una volta o che lo saranno in futuro, e questo significa proteggere i propri dati il più possibile” così ha dichiarato martedì scorso l’Autoriteit Persoonsgegevens (AP), l’ente olandese che vigila sulla privacy. L’avvertimento giunge in concomitanza con la pubblicazione da parte dell’AP del rapporto sulla privacy dei dati nel 2022, che suggerisce che il numero di fughe di notizie non è aumentato, ma che sono diventate più gravi. L’anno scorso l’agenzia ha ricevuto 21.151 segnalazioni di fughe di dati, di cui più di 1.800 erano il risultato di un attacco informatico, più pericoloso perché frutto di attacchi deliberati da parte di criminali alla ricerca di e-mail, nomi e altre informazioni personali da utilizzare per truffare i consumatori. In particolare, l’AP è stata allertata su oltre 6.000 casi di frode d’identità nel 2022. “Purtroppo le fughe di dati sono un problema continuo”, ha dichiarato il capo dell’AP Aleid Wolfsen. “E date le loro dimensioni e la loro natura, tutti dovrebbero presumere che i loro dati siano già stati divulgati o che ciò accadrà prima o poi… chiunque può diventare una vittima, anche se si pensa di non esserlo”. L’AP è stata istituita nel 2018 per monitorare il rispetto della legislazione olandese sulla privacy. Da allora l’agenzia ha ricevuto più di 114.000 segnalazioni di fughe di notizie, di cui 6.500 erano attacchi informatici, che spesso coinvolgono più persone. Ad esempio, le tre grandi fughe di notizie sulla sanità nel 2022 hanno reso accessibili informazioni mediche relative a 900.000 persone, ha dichiarato l’agenzia. Circa il 40% delle fughe totali nel 2022 erano legate al settore sanitario e assistenziale. Per contro, il numero di fughe di notizie legate alle società di servizi finanziari è diminuito del 29% e ha rappresentato circa il 9% del totale. Le fughe attraverso le amministrazioni locali hanno rappresentato circa il 23%. Anche le aziende del settore sanitario sono state al centro del 23% degli attacchi informatici. Le aziende e le istituzioni che sono oggetto di un attacco informatico o di una fuga di dati sono tenute per legge a informare sia la PA sia le persone le cui informazioni potrebbero essere state compromesse.

Il Governo federale ha chiesto ai nigeriani di sfruttare le opportunità di lavoro nell’ecosistema della privacy dei dati. Secondo il dottor Vincent Olatunji, commissario nazionale dell’Ufficio nigeriano per la protezione dei dati (NDPB), c’è un grande deficit di competenze in questo settore, con oltre 49.000 opportunità di lavoro. Ha aggiunto che l’Ufficio sta creando un sistema di certificazione che gli consentirà di formare annualmente 50.000 lavoratori sulla protezione dei dati. Olatunji ha dichiarato queste affermazioni in occasione di un workshop di sviluppo delle capacità organizzato dall’Ufficio per i giornalisti che si occupano di ICT ad Abuja venerdì scorso: “In Nigeria, oggi, coloro che sono certificati come responsabili della protezione dei dati personali non sono più di 3000. Abbiamo più di 500.000 responsabili e controllori di dati e ognuno di loro dovrebbe avere un responsabile della protezione dei dati (DPO). Mentre il numero di DPO certificati in Nigeria non arriva a 10.000. Si può notare il divario. Quindi abbiamo un vuoto di circa 490.000 posti di lavoro in attesa di persone. Ma queste informazioni sono disponibili per le persone? Le persone hanno davvero le competenze per accettare questi lavori? Un aspetto positivo è che a livello globale è la stessa cosa. Se siete certificati e sapete cosa state facendo, potete lavorare ovunque. Si può persino essere in Nigeria e fare il DPO per un’azienda al di fuori del Paese”, quindi si tratta di un settore completamente nuovo che creerà posti di lavoro e ricchezza per il Paese. Parte dell’obiettivo del settore dell’economia digitale è creare due milioni di posti di lavoro in 24 mesi. Potete immaginare se il solo sistema di privacy dei dati ha già circa 490.000 posti di lavoro in attesa. Potete immaginare cosa può fare. Immaginate tutte le banche, tutte le compagnie di assicurazione, tutti gli alberghi, tutte le scuole, l’aviazione, tutti i settori, che assumono DPO. Immaginate che cosa farà per il Paese. Quindi è un settore ricco di potenzialità per creare posti di lavoro e ricchezza per i nigeriani”. L’NC, che ha incoraggiato i giornalisti a sfruttare le opportunità, ha sottolineato l’importanza dell’approvazione della legge sulla protezione dei dati, che, ha spiegato, trasformerà l’Ufficio in un’autorità di regolamentazione e consentirà al governo di generare enormi entrate dal settore.

English version

  • USA: MICROSOFT FINED FOR VIOLATING CHILDREN’S PRIVACY
  • HOLLAND. ACCORDING TO DUTCH GUARANTOR EVERYONE SHOULD CONSIDER THEMSELVES A POSSIBLE VICTIM OF DATA BREACH
  • NIGERIA, PRIVACY AUTHORITY CLAIMS DEFICIT OF PROFESSIONAL COMPETENCES IN PRIVACY MATTERS.

Microsoft will pay $20m (£16m) to US federal regulators after it was found to have illegally collected data on children who had started Xbox accounts. The Federal Trade Commission (FTC) reached a settlement with the company on Monday, which also includes increased protections for child gamers. Among other violations, the FTC found that Microsoft failed to inform parents about its data collection policies. It follows a similar action against Amazon last week over its Echo devices.The FTC said Microsoft violated the Children’s Online Privacy Protection Act by not properly getting parental consent and by retaining personal data on children under 13 for longer than necessary for accounts created before 2021. The law requires online services and websites directed towards children to obtain a parent’s consent and to inform the parent about personal data being collected about their child. Xbox users must create an account to use certain services. Information such as full name, email address and date of birth are collected as part of the set up. Not until after obtaining personal information, such as the child’s phone number, did Microsoft ask for a parent to provide permission. From 2015 to 2020 Microsoft retained data “sometimes for years” from the account set up, even when a parent failed to complete the process, the FTC said in a statement. The company also failed to inform parents about all the data it was collecting, including the user’s profile picture and that data was being distributed to third parties. “Regrettably, we did not meet customer expectations and are committed to complying with the order to continue improving upon our safety measures,” Microsoft’s Dave McCarthy, CVP of Xbox Player Services, wrote in an Xbox blog post. “We believe that we can and should do more, and we’ll remain steadfast in our commitment to safety, privacy, and security for our community.” As part of the settlement, Microsoft must also institute new safety protections for children. That includes maintaining a system to delete all personal data after two weeks if no parental consent is obtained.

“Everyone should assume that their personal data has already been leaked at least once or will be leaked in the future, and that means protecting their data as much as possible,” so the Autoriteit Persoonsgegevens (AP), the Dutch privacy watchdog, said on Tuesday. The warning comes as the AP published its report on data privacy in 2022, which suggests that the number of leaks has not increased, but that they have become more serious. Last year, the agency received 21,151 reports of data leaks, of which more than 1,800 were the result of a cyber attack, which was more dangerous because it resulted from deliberate attacks by criminals looking for emails, names and other personal information to use to scam consumers. Specifically, the PA was alerted to more than 6,000 cases of identity fraud in 2022. “Unfortunately, data leaks are an ongoing problem,” said AP Chief Aleid Wolfsen. “And given their size and nature, everyone should assume that their data has already been leaked or that this will happen sooner or later … anyone can become a victim, even if they think they are not.” The AP was established in 2018 to monitor compliance with Dutch privacy legislation. Since then, the agency has received more than 114,000 reports of leaks, 6,500 of which were cyber attacks, often involving multiple people. For example, the three major healthcare leaks in 2022 made medical information about 900,000 people accessible, the agency said. About 40 percent of the total leaks in 2022 were related to the health and welfare sector. In contrast, the number of leaks related to financial services companies decreased by 29 percent and accounted for about 9 percent of the total. Leaks through local governments accounted for about 23 percent. Healthcare companies were also the focus of 23% of cyber attacks. Companies and institutions that are the target of a cyber attack or data leak are required by law to notify both the PA and the people whose information may have been compromised.

The Federal Government has asked Nigerians to take advantage of employment opportunities in the data privacy eco system. According to Dr Vincent Olatunji, National Commissioner of the Nigeria Data Protection Bureau (NDPB), there is a large skill deficit in the space, with over 49,000 job opportunities exiting. He added that the Bureau is establishing a certification system that would allow it to yearly train 50,000 workers on data protection. Olatunji stated these at a capacity building workshop organised by the Bureau for journalists covering ICT in Abuja on Friday.He said: “In Nigeria today, those of of who are certified as data protection officers are not up to 3000. Where we have over 500,000 data processors and controllers and each of them is supposed to have a Data Protection Officer (DPO). Whereas, the number of certified DPOs in Nigeria are not up to 10,000. You can see the gap. So we have a gap of about 490,000, jobs waiting for people. But is this information available to people? Do people really have the skills to take up these jobs? And one good thing about this is the fact that globally it is the same thing. If you are certified and you know what you are doing you can work anywhere. You can even be in Nigeria and be a DPO for a company outside the country.“So this is a completely new sector that will create jobs, that will create wealth for the country. Part of the target of the digital economy sector is to create two million jobs in 24 months. You can now imagine if the data privacy system alone already has about 490,000 jobs waiting. You can imagine what that can do. You can imagine all the banks, all the insurance companies, all the hotels, all the schools, aviation, all sectors, employing DPOs. Imagine what that will do for the country. So it’s a sector that is loaded with potentials to create jobs and to create wealth for Nigerians.” The NC who encouraged the Journalists to take advantage of the opportunities, underscored the significance of approving the data protection Act which he explained would transform the Bureau into a regulatory authority and enable the government generate huge revenue from the sector.

La lezione di Cambridge Analytica: leggere prima di accettare, per sopravvivere nell’universo digitale

Secondo il giudice, Facebook ha fornito le necessarie informazioni ai propri utenti e non è responsabile del fatto che non abbiano fatto quanto potevano per evitare di ritrovarsi monitorati, profilati e tracciati per finalità politiche da uno squalo digitale.

Potete leggere l’articolo completo qui https://www.huffingtonpost.it/rubriche/governare-il-futuro/2023/06/06/news/la_lezione_di_cambridge_analytica_leggere_prima_di_accettare_per_sopravvivere_nelluniverso_digitale-12313141/?ref=HHTP-BH-I12301179-P6-S1-T1

Privacy aziendale, problema o opportunità’

Nella “società digitale” si moltiplicano i canali di promozione commerciale e di marketing. In questo quadro la tutela della privacy diventa un elemento centrale. Avrò il piacere di discuterne all’incontro organizzato dalla Camera di Commercio di Bolzano il prossimo 9 di giugno a partire dalle 10.20

Qui il link alle informazione complete
https://www.camcom.bz.it/it/novità/eventi/privacy-aziendale

1600 multe e 4 miliardi di sanzioni: cos’è cambiato per la privacy in 5 anni di Gdpr

In 5 anni la sensibilità dei consumatori nei confronti della privacy è cambiata radicalmente e le aziende non sempre si sono sapute adeguare. Ne ho parlato con Giuditta Mosca su Repubblica.it.

Qui il link alla mia intervista completa https://www.repubblica.it/tecnologia/2023/06/03/news/privacy_5_anni_gdpr_intervista_guido_scorza-402461438/amp/

PRIVACYDAILY

N. 134/2023

LE TRE NEWS DI OGGI:

  • L’INIZIATIVA DELLA COMMISSIONE UE E DEL WTO SULLA SANITA’ DIGITALE HA A CUORE LA PRIVACY
  • USA, QUATTRO SENATORI METTONO IN DISCUSSIONE LA PRIVACY DI TWITTER SOTTO LA GESTIONE MUSK
  • APPELLO DI AMNESTY INTERNATIONAL, TUTTI GLI STATI DEVONO METTERE AL BANDO GLI SPYWARE ALTAMENTE INVASIVI

L’Organizzazione Mondiale della Sanità (OMS) e la Commissione Europea hanno annunciato oggi l’avvio di un’importante partnership per la salute digitale.  Nel giugno 2023, l’OMS adotterà il sistema di certificazione digitale COVID-19 dell’Unione Europea (UE) per creare un sistema globale che contribuirà a facilitare la mobilità mondiale e a proteggere i cittadini di tutto il mondo dalle minacce sanitarie attuali e future, comprese le pandemie. Questo è il primo tassello della Rete globale di certificazione della salute digitale (GDHCN) dell’OMS, che svilupperà un’ampia gamma di prodotti digitali per garantire una salute migliore per tutti. “Basandosi sulla rete di certificazione digitale di grande successo dell’UE, l’OMS intende offrire a tutti gli Stati membri dell’OMS l’accesso a uno strumento di salute digitale open-source, basato sui principi di equità, innovazione, trasparenza e protezione dei dati e della privacy”, ha dichiarato Tedros Adhanom Ghebreyesus, Direttore generale dell’OMS. “I nuovi prodotti sanitari digitali in fase di sviluppo mirano ad aiutare le persone ovunque a ricevere servizi sanitari di qualità in modo rapido e più efficace”. Basata sulla strategia dell’UE per la salute globale e sulla strategia globale dell’OMS per la salute digitale, l’iniziativa fa seguito all’accordo del 30 novembre 2022 tra il commissario Kyriakides e il dottor Tedros per rafforzare la cooperazione strategica sulle questioni di salute globale. Questo rafforza ulteriormente un solido sistema multilaterale con l’OMS al centro, sostenuto da un’UE forte. “Questa partnership è un passo importante per il piano d’azione digitale della strategia dell’UE per la salute globale. Utilizzando le migliori pratiche europee, contribuiamo agli standard di salute digitale e all’interoperabilità a livello globale, a beneficio di chi ne ha più bisogno. Si tratta inoltre di un potente esempio di come l’allineamento tra l’UE e l’OMS possa garantire una salute migliore per tutti, nell’UE e nel mondo. In quanto autorità di direzione e coordinamento del lavoro sanitario internazionale, non c’è partner migliore dell’OMS per portare avanti il lavoro iniziato nell’UE e sviluppare ulteriormente le soluzioni sanitarie digitali globali”, ha dichiarato Stella Kyriakides, Commissario per la Salute e la sicurezza alimentare. Questa partnership prevede una stretta collaborazione nello sviluppo, nella gestione e nell’implementazione del sistema GDHCN dell’OMS, beneficiando dell’ampia esperienza tecnica della Commissione europea in questo campo. Un primo passo è garantire che gli attuali certificati digitali dell’UE continuino a funzionare efficacemente. “Con 80 Paesi e territori collegati al certificato digitale COVID-19 dell’UE, l’UE ha stabilito uno standard globale. Il certificato dell’UE non solo è stato uno strumento importante nella nostra lotta contro la pandemia, ma ha anche facilitato i viaggi e il turismo internazionali. Sono lieto che l’OMS si basi sui principi di tutela della privacy e sulla tecnologia all’avanguardia del certificato UE per creare uno strumento globale contro le future pandemie”, ha aggiunto Thierry Breton, Commissario per il Mercato interno.

Quattro senatori statunitensi stanno esaminando le pratiche di Twitter in materia di privacy e si chiedono se la piattaforma guidata dall’amministratore delegato Elon Musk possa aver violato le leggi sulla protezione dei consumatori in seguito a licenziamenti e dimissioni diffusi – un’indagine che potrebbe evidenziare vasti rischi legali per Twitter e potenzialmente per lo stesso Musk. In una lettera datata domenica e indirizzata a Musk e a Linda Yaccarino, l’amministratore delegato entrante di Twitter, i legislatori hanno citato l’uscita di scena di alto profilo di Ella Irwin, l’ex responsabile della fiducia e della sicurezza di Twitter, come ultima fonte di preoccupazione per i precedenti di Twitter in materia di conformità. I cambiamenti radicali del personale di Twitter, uniti al “lancio affrettato di nuovi prodotti” come Twitter Blue, hanno ripetutamente sollevato dubbi sulla capacità dell’azienda di rispettare gli obblighi legali previsti da due ordini di consenso firmati con la Federal Trade Commission nel 2022 e nel 2011, hanno scritto i legislatori. “Il comportamento del signor Musk rivela un’apparente indifferenza nei confronti degli obblighi legali di lunga data di Twitter, che non sono scomparsi quando il signor Musk ha preso il controllo della società”, si legge nella lettera, di cui la CNN ha ottenuto una copia. “A prescindere dalla sua ricchezza personale, il signor Musk non è esente dalla legge, e nemmeno la società che ha acquistato”. La lettera è stata firmata dalla senatrice democratica del Massachusetts Elizabeth Warren, dal senatore democratico dell’Oregon Ron Wyden, dal senatore democratico del Massachusetts Ed Markey e dalla senatrice democratica delle Hawaii Mazie Hirono. Twitter non ha risposto immediatamente a una richiesta di commento.I legislatori hanno chiesto a Musk e Yaccarino di rispondere a una serie di domande sugli obblighi di Twitter nei confronti della FTC e se i licenziamenti e le dimissioni abbiano ostacolato la sua capacità di conformarsi. In particolare, la lettera chiede se Twitter abbia condotto una valutazione della privacy e della sicurezza di Twitter Blue, il suo servizio di abbonamento a pagamento, prima di lanciarlo all’inizio di quest’anno. In base all’accordo di consenso del 2022, Twitter è tenuta a eseguire tali valutazioni “prima di implementare qualsiasi prodotto nuovo o modificato”. La lettera chiede anche se Twitter abbia mantenuto un programma completo di cybersicurezza per proteggere i dati degli utenti dopo l’acquisizione da parte di Musk e se abbia rispettato i vari requisiti di segnalazione, tra cui l’obbligo di riferire alle autorità qualsiasi violazione significativa dei dati. I legislatori hanno chiesto a Twitter di rispondere entro il 18 giugno. Da quando ha acquistato Twitter, Musk ha dichiarato di aver licenziato più di 6.000 dipendenti, pari a circa l’80% dell’organico dell’azienda prima dell’acquisizione. I tagli, che in alcuni casi hanno eliminato interi team, hanno coinciso con frequenti interruzioni del servizio di Twitter e hanno sollevato dubbi sull’impegno dell’azienda per un’efficace moderazione dei contenuti e su altre priorità.

In vista dell’apertura odierna del RightsCon, un summit sui diritti umani nell’era digitale che si svolge a San José, in Costa Rica, Rasha Abdul Rahim, direttore di Amnesty Tech, ha dichiarato:  “La crisi dello spyware ha implicazioni enormi per il futuro dei diritti umani ed è giunto il momento che il mondo vada oltre il semplice mettere un cerotto su questa pervasiva e occulta intrusione digitale nella vita delle persone. I governi di tutto il mondo devono intervenire per impedire alle aziende produttrici di spyware senza scrupoli di vendere i loro prodotti e per impedire che i telefoni vengano trasformati in armi. È un dato di fatto che gli spyware altamente invasivi rappresentano un pericolo reale per la privacy e la sicurezza di tutti.”Gli spyware altamente invasivi sono diventati l’arma preferita dai governi che cercano di mettere a tacere i giornalisti, attaccare gli attivisti e schiacciare il dissenso, mettendo a rischio innumerevoli vite. Deve essere messo fuori legge ora”.Il Security Lab di Amnesty International monitora attivamente e indaga su aziende e governi che proliferano e abusano di tecnologie di sorveglianza informatica che rappresentano una minaccia fondamentale per i difensori dei diritti umani, i giornalisti e la società civile. Le sue indagini in corso, ad esempio, continuano a rivelare l’inarrestabile diffusione del software di spionaggio Pegasus di NSO Group, che è stato utilizzato per colpire capi di Stato, attivisti e giornalisti in Spagna, Polonia, Repubblica Dominicana e in tutta l’America Latina, il Medio Oriente e l’Africa. L’elenco continua e si allunga sempre di più. A marzo, il Presidente Biden ha firmato un ordine esecutivo che limita l’uso della tecnologia spyware commerciale da parte del governo statunitense. Gli Stati Uniti e i governi di tutto il mondo devono andare oltre e imporre un divieto sui software spia altamente invasivi. Amnesty International definisce “spyware altamente invasivo” il software con funzionalità che non possono essere limitate e il cui uso non può essere controllato in modo indipendente, di cui Pegasus è solo un esempio. Per gli spyware che possono essere limitati e controllati in modo indipendente, Amnesty International chiede anche un divieto temporaneo globale del loro uso fino a quando non sarà stato messo in atto un sistema di salvaguardia dei diritti umani per prevenire gli abusi.Ad Amnesty International crediamo che la tecnologia debba mettere al primo posto le persone e i diritti umani, e abbiamo inserito nel nostro team hacker, codificatori, scienziati dei dati e tecnologi per contribuire a raggiungere questo obiettivo. Indaghiamo. Facciamo campagne. Lavoriamo per cambiare le politiche. Lottiamo per la giustizia. Chiediamo conto ai potenti. Stiamo definendo l’agenda per il futuro dei diritti umani e della tecnologia. Il Security Lab continua a monitorare e a smascherare le aziende di spyware emergenti, contribuendo a proteggere la società civile e miliardi di dispositivi mobili da questi attacchi invasivi. Strumenti forensi unici, tra cui il Mobile Verification Toolkit, sviluppati dal Security Lab, stanno potenziando un settore emergente di tecnologi della società civile che lavorano per proteggere le proprie comunità da queste minacce.

English version

  • EU COMMISSION AND WTO INITIATIVE ON DIGITAL HEALTH CARES ABOUTH PRIVACY
  • USA, FOUR SENATORS QUESTION TWITTER’S PRIVACY UNDER MUSK MANAGEMENT
  • AMNESTY INTERNATIONAL’S APPEAL, ALL STATES MUST BAN HIGHLY INVASIVE SPYWARE

The World Health Organization (WHO) and European Commission have announced today the launch of a landmark digital health partnership.   In June 2023, WHO will take up the European Union (EU) system of digital COVID-19 certification to establish a global system that will help facilitate global mobility and protect citizens across the world from on-going and future health threats, including pandemics. This is the first building block of the WHO Global Digital Health Certification Network (GDHCN) that will develop a wide range of digital products to deliver better health for all. “Building on the EU’s highly successful digital certification network, WHO aims to offer all WHO Member States access to an open-source digital health tool, which is based on the principles of equity, innovation, transparency and data protection and privacy,” said Dr Tedros Adhanom Ghebreyesus, WHO Director-General. “New digital health products in development aim to help people everywhere receive quality health services quickly and more effectively”. Based on the EU Global Health Strategy and WHO Global strategy on digital health, the initiative follows the 30 November 2022 agreement between Commissioner Kyriakides and Dr Tedros to enhance strategic cooperation on global health issues. This further bolsters a robust multilateral system with WHO at its core, powered by a strong EU. “This partnership is an important step for the digital action plan of the EU Global Health Strategy. By using European best practices we contribute to digital health standards and interoperability globally—to the benefit of those most in need. It is also a powerful example of how alignment between the EU and the WHO can deliver better health for all, in the EU and across the world. As the directing and coordinating authority on international health work, there is no better partner than the WHO to advance the work we started at the EU and further develop global digital health solutions,” said Stella Kyriakides, Commissioner for Health and Food Safety. This partnership will include close collaboration in the development, management and implementation of the WHO GDHCN system, benefitting from the European Commission’s ample technical expertise in the field. A first step is to ensure that the current EU digital certificates continue to function effectively. “With 80 countries and territories connected to the EU Digital COVID-19 Certificate, the EU has set a global standard. The EU certificate has not only been an important tool in our fight against the pandemic, but has also facilitated international travel and tourism. I am pleased that the WHO will build on the privacy-preserving principles and cutting-edge technology of the EU certificate to create a global tool against future pandemics,” added Thierry Breton, Commissioner for Internal Market.

Four US senators are scrutinizing Twitter’s privacy practices and questioning whether the platform under CEO Elon Musk may have flouted consumer protection laws following widespread layoffs and resignations — an inquiry that could highlight vast legal risks for Twitter and potentially for Musk himself. In a letter dated Sunday and addressed to Musk and Linda Yaccarino, Twitter’s incoming CEO, lawmakers cited last week’s high-profile departure by Ella Irwin, Twitter’s former head of trust and safety, as the latest source of concern about Twitter’s compliance track record. Sweeping staff changes at Twitter, combined with the “hasty launch of new products” such as Twitter Blue, have repeatedly raised doubts about the company’s ability to meet its legal obligations under two consent orders signed with the Federal Trade Commission in 2022 and 2011, the lawmakers wrote. “Mr. Musk’s behavior reveals an apparent indifference towards Twitter’s longstanding legal obligations, which did not disappear when Mr. Musk took over the company,” said the letter, a copy of which was obtained by CNN. “Regardless of his personal wealth, Mr. Musk is not exempt from the law, and neither is the company he purchased.” The letter was signed by Massachusetts Democratic Sen. Elizabeth Warren; Oregon Democratic Sen. Ron Wyden; Massachusetts Democratic Sen. Ed Markey; and Hawaii Democratic Sen. Mazie Hirono. Twitter didn’t immediately respond to a request for comment. The lawmakers asked Musk and Yaccarino to respond to a series of questions about Twitter’s FTC obligations and whether the layoffs and resignations have hindered its ability to comply. In particular, the letter asks whether Twitter conducted a privacy and security assessment of Twitter Blue, its paid subscription service, before rolling it out earlier this year. Under its 2022 consent agreement, Twitter is required to perform such assessments “prior to implementing any new or modified product.” The letter also asks whether Twitter has maintained a comprehensive cybersecurity program to protect user data since Musk’s takeover and whether Twitter has met various reporting requirements, including obligations to report any significant data breaches to the authorities. The lawmakers asked Twitter to respond by June 18. Since purchasing Twitter, Musk has said he’s laid off more than 6,000 employees, or roughly 80% of the company’s pre-acquisition headcount. The cuts, which in some cases eliminated entire teams, have coincided with frequent outages of Twitter’s service and raised questions about the company’s commitment to effective content moderation and other priorities.

Ahead of today’s opening of RightsCon, a summit on human rights in the digital age, which takes place in San José, Costa Rica, Rasha Abdul Rahim, Director of Amnesty Tech, said:  “The spyware crisis has massive implications for the future of human rights, and the time has come for the world to move beyond simply putting a plaster over this pervasive and covert digital intrusion into peoples’ lives. There must be an immediate global ban on highly invasive spyware.“Governments around the world must take action to stop unscrupulous spyware companies selling their wares, and to stop phones being turned into weapons. It’s a simple fact that highly invasive spyware poses a real danger to the privacy and security of everyone. “Highly invasive spyware has become the weapon of choice for governments seeking to silence journalists, attack activists and crush dissent, placing countless lives at risk. It must be outlawed now.” Amnesty International’s Security Lab actively monitors and investigates companies and governments who proliferate and abuse cyber-surveillance technologies that pose a fundamental threat to human rights defenders, journalists, and civil society. Its ongoing investigations, for example, continue to reveal the relentless spread of NSO Group’s Pegasus spyware, which has been used to target heads of state, activists and journalists in Spain, Poland, the Dominican Republic and across Latin America, the Middle East and Africa. The list goes on and gets ever longer. In a significant first step to address the spyware crisis in March, President Biden signed an Executive Order restricting the US government’s use of commercial spyware technology. The US and governments around the world must go further and impose a ban on highly invasive spyware. Amnesty International defines ‘highly invasive spyware’ as software with functionality that cannot be limited and the use of which cannot be independently audited, of which Pegasus is just one example. For spyware that can be limited and independently audited, Amnesty International also calls for a global temporary ban on its use until a system of human rights safeguards is in place to prevent abuses.At Amnesty International we believe technology should put people and human rights first, and we have plugged hackers, coders, data scientists and technologists into our team to help achieve this. We investigate. We campaign. We work to change policy. We fight for justice. We hold the powerful to account. We’re setting the agenda for the future of human rights and technology.The Security Lab continues to monitor and expose emerging spyware companies, helping to protect civil society and billions of mobile devices from these invasive attacks. Unique forensic tools including the Mobile Verification Toolkit developed by the Security Lab are empowering an emerging field of civil society technologists who work to protect their own communities from these threats.

GLI SCENARI DEL CREDITO TRA GESTIONE DEI RISCHI E POTENZIALITA’ DI RECUPERO

Il 7 di giugno a partire dalle 12.30 avrò il piacere di partecipare a Roma presso l’ Auditorium della Tecnica a Gli scenari del credito tra gestione dei rischi e potenzialità di recupero organizzato da UNIREC in collaborazione con il Sole 24 Ore

qui il link al programma completo https://www.unirec.it/files/shares/UNIREC_Programma_DEFINITIVO_29-5-2023.pdf

PRIVACYDAILY

N. 133/2023

LE TRE NEWS DI OGGI:

  • UK, ASSOCIAZIONI BENEFICHE PER LA SALUTE MENTALE VENDEVANO DATI A FACEBOOK PER LA PUBBLICITA’ TARGETTIZZATA
  • ONU, LA REGOLAZIONE E’ FONDAMENTALE PER EVITARE DERIVE DELL’AI COME SORVEGLIANZA E DISINFORMAZIONE
  • CANADA, DALL’INCHIESTA SULLA GESTIONE DEL COVID- 19 CONDOTTA DALL’ AUTORITA’ GARANTE EMERGE CHE LA PRIVACY E’ STATA LEGALMENTE RISPETTATA

Alcune delle più grandi organizzazioni caritatevoli britanniche che forniscono sostegno alle persone con problemi di salute mentale hanno condiviso con Facebook i dati sensibili della navigazione sul web per utilizzarli nel suo sistema di pubblicità mirata. I dati sono stati inviati tramite uno strumento di tracciamento incorporato nei siti web degli enti di beneficenza e comprendevano dettagli sulle pagine web visitate dagli utenti e sui pulsanti cliccati su contenuti legati alla depressione, all’autolesionismo e ai disturbi alimentari. Inoltre, includeva i dettagli di quando gli utenti richiedevano assistenza – ad esempio cliccando su un link che diceva “Ho bisogno di aiuto” – e quando visitavano le pagine web per accedere agli strumenti di chat online. Alcune delle pagine che hanno innescato la condivisione dei dati con Facebook erano rivolte specificamente ai bambini, tra cui una pagina rivolta ai ragazzi tra gli 11 e i 18 anni che offriva consigli sui pensieri suicidi. I dati inviati a Facebook durante l’analisi dell’Observer non includevano i dettagli delle conversazioni tra le organizzazioni di beneficenza e gli utenti o i messaggi inviati tramite gli strumenti di chat. Tutti gli enti di beneficenza hanno dichiarato che tali messaggi erano riservati e hanno sottolineato di prendere estremamente sul serio la privacy degli utenti dei servizi. Tuttavia, spesso si trattava di navigazione che gli utenti si aspetterebbero di solito privata, compresi i dettagli dei clic sui pulsanti e delle visualizzazioni delle pagine dei siti web delle associazioni di beneficenza per la salute mentale Mind, Shout e Rethink Mental Illness e dell’associazione per i disturbi alimentari Beat. Le informazioni sono state abbinate all’indirizzo IP – un identificatore che di solito può essere collegato a un individuo o a una famiglia – e, in molti casi, ai dettagli dell’ID del loro account Facebook. La maggior parte delle organizzazioni benefiche ha ora rimosso lo strumento di tracciamento, noto come Meta Pixel, dai propri siti web. Le scoperte arrivano dopo che la settimana scorsa un’indagine dell’Observer ha rivelato che 20 enti del NHS England condividevano i dati con Facebook per la pubblicità mirata, comprese le informazioni sull’attività di navigazione in centinaia di pagine web legate a specifiche condizioni mediche, appuntamenti, farmaci e richieste di assistenza.

In una dichiarazione di venerdì scorso, gli esperti dell’ONU, hanno affermato che le tecnologie emergenti, compresi i sistemi di sorveglianza biometrica basati sull’intelligenza artificiale, vengono sempre più utilizzate “in contesti sensibili”, senza che gli individui ne siano a conoscenza o abbiano dato il loro consenso. “Sono necessarie urgenti e rigorose linee guida normative per le tecnologie che pretendono di effettuare il riconoscimento delle emozioni o del genere”, hanno dichiarato gli esperti, tra cui Fionnuala Ní Aoláin, Relatore speciale per la promozione e la protezione dei diritti umani nella lotta al terrorismo. Gli esperti nominati dal Consiglio per i Diritti Umani hanno condannato l’uso e l’impatto già “allarmante” di spyware e tecnologie di sorveglianza sul lavoro dei difensori dei diritti umani e dei giornalisti, “spesso con il pretesto di misure di sicurezza nazionale e di antiterrorismo”, e hanno chiesto una regolamentazione per affrontare lo sviluppo fulmineo dell’IA generativa che sta consentendo la produzione di massa di contenuti online falsi che diffondono disinformazione e discorsi di odio. Gli esperti hanno sottolineato la necessità di garantire che questi sistemi non espongano ulteriormente le persone e le comunità a violazioni dei diritti umani, anche attraverso l’espansione e l’abuso di pratiche di sorveglianza invasive che violano il diritto alla privacy, facilitano la commissione di gravi violazioni dei diritti umani, comprese le sparizioni forzate, e la discriminazione. Hanno inoltre espresso preoccupazione per il rispetto delle libertà di espressione, di pensiero, di protesta pacifica e per l’accesso ai diritti economici, sociali e culturali essenziali e ai servizi umanitari. “Gli esperti hanno inoltre espresso preoccupazione per il fatto che lo sviluppo dell’IA generativa sia guidato da un piccolo gruppo di attori potenti, tra cui imprese e investitori, senza che vi siano requisiti adeguati per condurre una due diligence sui diritti umani o una consultazione con le persone e le comunità interessate. È urgente una regolamentazione per garantire la trasparenza, avvisare le persone quando si imbattono in media sintetici e informare il pubblico sui dati di formazione e sui modelli utilizzati”, hanno affermato gli esperti indipendenti. Gli esperti hanno ribadito l’invito alla cautela nell’uso delle tecnologie digitali nel contesto delle crisi umanitarie, dalla raccolta di dati su larga scala – compresa la raccolta di dati biometrici altamente sensibili – all’uso di tecnologie avanzate di sorveglianza mirata.”Esortiamo alla moderazione nell’uso di tali misure fino a quando non saranno comprese appieno le implicazioni più ampie sui diritti umani e non saranno messe in atto solide salvaguardie per la protezione dei dati”, hanno dichiarato.

Il commissario canadese per la privacy ha ampiamente scagionato il governo dall’aver violato i diritti dei canadesi con una serie di programmi che hanno suscitato lamentele durante la pandemia COVID-19, tra cui l’obbligo di vaccino, il tracciamento dei cellulari e la controversa applicazione ArriveCan. “Nel complesso, le nostre indagini hanno rilevato, con alcune eccezioni, che le misure attuate dal governo durante la pandemia erano conformi alle leggi sulla privacy ed erano necessarie e proporzionate in risposta a una crisi sanitaria pubblica senza precedenti”, ha dichiarato il commissario per la privacy Philippe Dufresne in un rapporto presentato questa settimana. Dufresne ha esaminato diversi programmi durante la pandemia, tra cui un programma della Public Health Agency of Canada (PHAC) che utilizzava i dati dei cellulari per verificare se i canadesi rispettavano gli ordini di quarantena. Il programma è stato oggetto di un’indagine della commissione parlamentare, con molti deputati dell’opposizione che hanno lamentato la violazione dei diritti alla privacy dei canadesi a causa dell’ampia raccolta di dati. Una mozione in parlamento ha chiesto al PHAC di fermare completamente il programma. Ma il commissario ha constatato che il governo aveva adottato misure ragionevoli per ottenere dati anonimi e garantire che rimanessero tali, il che “ha ridotto il rischio di identificare gli individui al di sotto della soglia della ‘seria possibilità’”. Il commissario ha detto che le lamentele su questo programma non erano “fondate”. Il commissario ha anche esaminato da vicino i programmi di vaccinazione per i viaggiatori e per il servizio pubblico. Ha riscontrato che in tutti i casi, tranne una manciata, le informazioni erano conservate in modo ragionevole. “Non abbiamo riscontrato alcuna indicazione che le istituzioni stessero condividendo eccessivamente le informazioni personali raccolte o le stessero utilizzando per scopi secondari inappropriati”.

English version

  • UK, MENTAL HEALTH BENEFIT ASSOCIATIONS SOLD DATA TO FACEBOOK FOR TARGETED ADVERTISING
  • UN, REGULATION IS FUNDAMENTAL TO AVOID DERIVES OF AI AS SURVEILLANCE AND DISINFORMATION
  • CANADA, FROM THE INQUIRY ON THE MANAGEMENT OF COVID 19 CONDUCTED BY THE GUARANTOR AUTHORITY REVEALS THAT PRIVACY WAS LARGELY RESPECTED

Some of Britain’s biggest charities providing support for people with mental health problems shared details of sensitive web browsing with Facebook for use in its targeted advertising system.The data was sent via a tracking tool embedded in the charities’ websites and included details of webpages a user visited and buttons they clicked across content linked to depression, self-harm and eating disorders. It also included details of when users requested support – such as clicking a link saying “I need help” – and when they viewed webpages to access online chat tools. Some of the pages that triggered data-sharing with Facebook were aimed specifically at children, including a page aimed at 11- to 18-year-olds offering advice on suicidal thoughts.The data sent to Facebook during the Observer’s analysis did not include details of conversations between charities and users or messages sent via chat tools. All the charities said such messages were confidential and stressed that they took service user privacy extremely seriously. However, it often related to browsing users would usually expect to be private – including details of button clicks and page views across websites for the mental health charities Mind, Shout and Rethink Mental Illness, and eating disorder charity Beat. The information was matched to IP address – an identifier that can usually be linked to an individual or household – and, in many cases, details of their Facebook account ID.Most of the charities have now removed the tracking tool, known as Meta Pixel, from their websites. The findings come after an Observer investigation last week revealed that 20 NHS England trusts were sharing data with Facebook for targeted advertising – including information about browsing activity across hundreds of webpages linked to specific medical conditions, appointments, medication and referral requests.

In a statement last Friday, the ONU experts said that emerging technologies, including artificial intelligence-based biometric surveillance systems, are increasingly being used “in sensitive contexts”, without individuals’ knowledge or consent. “Urgent and strict regulatory red lines are needed for technologies that claim to perform emotion or gender recognition,” said the experts, who include Fionnuala Ní Aoláin, Special Rapporteur on the promotion and protection of human rights while countering terrorism. The Human Rights Council-appointed experts condemned the already “alarming” use and impacts of spyware and surveillance technologies on the work of human rights defenders and journalists, “often under the guise of national security and counter-terrorism measures”.They also called for regulation to address the lightning-fast development of generative AI that’s enabling mass production of fake online content which spreads disinformation and hate speech. The experts stressed the need to ensure that these systems do not further expose people and communities to human rights violations, including through the expansion and abuse of invasive surveillance practices that infringe on the right to privacy, facilitate the commission of gross human rights violations, including enforced disappearances, and discrimination. They also expressed concern about respect for freedoms of expression, thought, peaceful protest, and for access to essential economic, social and cultural rights, and humanitarian services. “Specific technologies and applications should be avoided altogether where the regulation of human rights complaints is not possible,” the experts said.The experts also expressed concern that generative AI development is driven by a small group of powerful actors, including businesses and investors, without adequate requirements for conducting human rights due diligence or consultation with affected individuals and communities. And the crucial job of internal regulation through content moderation, is often performed by individuals in situations of labour exploitation, the independent experts noted.Regulation is urgently needed to ensure transparency, alert people when they encounter synthetic media, and inform the public about the training data and models used,” the experts said. The experts reiterated their calls for caution about digital technology use in the context of humanitarian crises, from large-scale data collection – including the collection of highly sensitive biometric data – to the use of advanced targeted surveillance technologies. “We urge restraint in the use of such measures until the broader human rights implications are fully understood and robust data protection safeguards are in place,” they said.

Canada’s privacy commissioner has largely cleared the government of violating the rights of Canadians with a host of programs that drew complaints during the COVID-19 pandemic, including vaccine mandates, cellphone tracking and the controversial ArriveCan app.“Overall, our investigations found, with some exceptions, that the measures implemented by the government during the pandemic complied with relevant privacy laws and were necessary and proportional in response to the unprecedented public health crisis,” Privacy Commissioner Philippe Dufresne said in a report presented this week. Dufresne looked at several programs during the pandemic, including a program from the Public Health Agency of Canada (PHAC) that used cellphone data to test whether Canadians were complying with quarantine orders. The program was the subject of a parliamentary committee investigation, with many opposition MPs complaining that Canadian’s privacy rights had been violated by the widespread data collection. A motion in parliament called on PHAC to stop the program completely. But the commissioner found the government had taken reasonable steps to get anonymous data and ensure it stayed anonymous, which “reduced the risk of identifying individuals below the ‘serious possibility’ threshold.” The commissioner said complaints about this program were “not well-founded.” The commissioner also looked closely at vaccine mandate programs for both travellers and the public service. It found in all but a handful of cases the information was stored in a reasonable manner. “We found no indications that the institutions were oversharing the personal information collected, or using it for inappropriate secondary purposes.”

PRIVACYDAILY

N. 132/2023

LE TRE NEWS DI OGGI:

  • USA, AMAZON PAGHERA’ 25 MILIONI DI DOLLARI PER LA VIOLAZIONE DELLA PRIVACY DEI MINORI
  • L’EDPS APRE UN’ISTRUTTORIA SU FRONTEX
  • HONG KONG, AUTORITA’ DELLA PRIVACY MINACCIA SANZIONI PER VIOLAZIONE DEI DATI CREDITIZI

Amazon ha accettato di pagare la Federal Trade Commission (FTC) statunitense dopo essere stata accusata di non aver cancellato le registrazioni di Alexa su richiesta dei genitori. Si è scoperto che ha conservato dati sensibili per anni. Anche Ring, pagherà dopo aver dato ai dipendenti accesso illimitato ai dati dei clienti. Ring pagherà 5,8 milioni di dollari alle autorità, secondo quanto dichiarato in una corte federale del Distretto di Columbia. Secondo la denuncia della FTC relativa ad Alexa, Amazon “ha assicurato in modo evidente e ripetuto ai suoi utenti, compresi i genitori, che potevano cancellare le registrazioni vocali raccolte” dal sistema. Ma l’azienda non lo ha fatto, conservando i dati per anni e utilizzandoli illegalmente per migliorare l’algoritmo di Alexa, si legge nella denuncia. In una dichiarazione, Samuel Levine, direttore del Bureau of Consumer Protection della FTC, ha accusato Amazon di aver “ingannato i genitori, conservato le registrazioni dei bambini a tempo indeterminato e ignorato le richieste di cancellazione dei genitori”. L’azienda ha “sacrificato la privacy per i profitti”, ha aggiunto.Allo stesso modo, la FTC ha affermato che Ring – che Amazon ha acquistato nel 2018 – ha permesso a “migliaia di dipendenti e collaboratori” di guardare le registrazioni degli spazi privati dei clienti. Secondo l’ente, potevano visualizzare e scaricare i dati video sensibili dei clienti per i propri scopi. Amazon ha dichiarato alla BBC che “Ring ha prontamente affrontato i problemi in questione anni fa, ben prima che la FTC iniziasse la sua indagine”. Ma secondo la denuncia, un dipendente ha visualizzato migliaia di registrazioni video appartenenti a utenti donne di telecamere Ring che “sorvegliavano spazi intimi delle loro case, come il bagno o la camera da letto”. Il dipendente è stato fermato solo quando le sue azioni sono state notate da un collega.”Il disprezzo di Ring per la privacy e la sicurezza ha esposto i consumatori a spionaggio e molestie”, ha dichiarato Levine. “L’ordine della FTC chiarisce che anteporre il profitto alla privacy non paga”.

Secondo un’autorità per la protezione dei dati, Frontex, con sede a Varsavia, sta probabilmente violando i diritti di chi scarica i dati delle testimonianze dei migranti con l’agenzia di polizia dell’UE Europol. Tali testimonianze sono raccolte dagli agenti di Frontex che cercano di capire come e in che misura i richiedenti asilo che attraversano un confine dell’UE ricevano aiuto dall’esterno. Sebbene Frontex cancelli i nomi, i dati personali identificabili vengono comunque condivisi con Europol per reprimere il contrabbando e altre attività criminali, ha dichiarato Wojciech Wiewiórowski, supervisore della protezione dei dati dell’UE (GEPD). Lo scambio di dati Frontex-Europol, noto come Pedra o “Trattamento dei dati personali per l’analisi dei rischi”, ha generato in passato polemiche per la possibile incriminazione di persone innocenti. In una sintesi di otto pagine di un rapporto di audit più ampio pubblicato mercoledì (31 maggio), Wiewiórowski ha dichiarato che l’EPDS avrebbe aperto un’indagine su Frontex. Ha rimproverato all’agenzia di “scambiare automaticamente i rapporti di interrogatorio con Europol senza valutare la stretta necessità di tale scambio”. Wiewiórowski afferma che ciò viola diverse norme dell’UE sulla protezione dei dati, nonché il regolamento di Frontex quando si tratta di scambiare dati personali con Europol. Il GEPD ha dato all’agenzia tempo fino alla fine dell’anno per risolvere i problemi. Risultati simili sono stati rivelati l’anno scorso da Balkan Insight, un’agenzia di stampa. L’agenzia aveva dichiarato che Frontex aveva messo in disparte il proprio responsabile della protezione dei dati, che aveva messo in guardia contro l’instabilità della missione Pedra. L’ultima indagine del GEPD sembra confermare questa valutazione. Alcune delle persone intervistate, spesso detenute o private della libertà, potrebbero sentirsi minacciate nel divulgare informazioni che vanno al di là di quanto richiesto da Europol. Il mese scorso, EUobserver ha rivelato che tra queste persone potrebbero esserci anche le ONG, ponendo ulteriori interrogativi sulla misura in cui le agenzie stanno forse contribuendo a criminalizzare il lavoro della società civile nel campo dell’asilo e della migrazione. In relazione a ciò, Wiewiórowski afferma che Frontex non è in grado di elaborare le richieste di chi vuole sapere quali dati personali l’agenzia ha raccolto su di lui.

Il Garante per la privacy di Hong Kong ha minacciato di intraprendere un’azione legale contro una società di gestione dati per non aver protetto le storie creditizie di circa 180.000 persone da accessi non autorizzati. Giovedì l’Ufficio del Commissario per la privacy dei dati personali ha dichiarato di aver ricevuto un reclamo nel dicembre 2021 da parte di un individuo che aveva scoperto che i suoi dati creditizi memorizzati in un database chiamato TE Credit Reference System erano stati consultati da otto società di prestito di denaro senza il suo consenso. Il Commissario Ada Chung Lai-ling ha dichiarato che l’operatore del database, Softmedia Technology Company, non ha adottato misure sufficienti per proteggere le informazioni memorizzate, il che potrebbe aver permesso agli utenti di circa 680 società di prestito di denaro di accedere ai dati di credito di circa 180.000 persone senza il loro consenso. “Sono dell’opinione che Softmedia abbia violato i requisiti dell’Ordinanza sui dati personali (privacy)”, ha dichiarato. “In particolare, Softmedia non ha adottato tutte le misure possibili per proteggere i dati personali del sistema di riferimento creditizio da accessi, elaborazioni o utilizzi non autorizzati o accidentali”. Chung ha detto che è stato inviato un avviso a Softmedia chiedendo di stabilire politiche e misure nei prossimi tre mesi per garantire che le società di prestito di denaro abbiano ricevuto l’autorizzazione dai mutuatari prima di accedere ai loro dati, oltre a rivedere e limitare il numero di accessi al database da parte di ciascun prestatore di denaro. “Qualsiasi violazione dell’avviso di esecuzione sarà considerata un atto criminale, il che significa che potremo prendere in considerazione l’avvio di un’azione penale a seconda della situazione”, ha dichiarato. La pena prevista per la prima condanna è di 50.000 dollari di Hong Kong (6.380 dollari) e due anni di reclusione. Il Post ha contattato Softmedia per un commento. L’azienda sostiene sul suo sito web che il TE Credit Reference System è il più grande database di questo tipo a Hong Kong. Ma Chung ha detto che il database non è uno dei fornitori di servizi nell’ambito del modello delle agenzie di riferimento creditizio multiple, il che significa che non è regolato dalle associazioni del settore o dalle leggi che coprono l’industria finanziaria.

English version

  • USA, AMAZON TO PAY $25 MILLION FOR VIOLATION OF CHILDREN’S PRIVACY
  • EDPS OPENS INQUIRY INTO FRONTEX
  • HONG KONG, PRIVACY AUTHORITY THREATENS PENALTIES FOR CREDIT DATA BREACH

Amazon agreed to pay the US Federal Trade Commission (FTC) after it was accused of failing to delete Alexa recordings at the request of parents. It was found to have kept hold of sensitive data for years. Amazon’s doorbell camera unit Ring will also pay out after giving employees unrestricted access to customers’ data. Ring will pay $5.8m to authorities, according to a filing in federal court in the District of Columbia. According to the FTC complaint regarding Alexa, Amazon “prominently and repeatedly assured its users, including parents, that they could delete voice recordings collected” by the system. But the company did not do this, keeping data for years and using it unlawfully to help improve its Alexa algorithm, the complaint said. In a statement, Samuel Levine, director of the FTC’s Bureau of Consumer Protection, accused Amazon of “misleading parents, keeping children’s recordings indefinitely, and flouting parents’ deletion requests”. The company “sacrificed privacy for profits”, he added. Similarly, the FTC said Ring – which Amazon bought in 2018 – allowed “thousands of employees and contractors” to watch recordings of customers’ private spaces. They were able to view and download customers’ sensitive video data for their own purposes, the body said. Amazon told the BBC in a statement that “Ring promptly addressed the issues at hand on its own years ago, well before the FTC began its inquiry”. But according to the complaint, one employee viewed thousands of video recordings belonging to female users of Ring cameras that “surveilled intimate spaces in their homes such as their bathrooms or bedrooms”. The employee was only stopped once their actions were spotted by a colleague, it said. “Ring’s disregard for privacy and security exposed consumers to spying and harassment,” Mr Levine said. “The FTC’s order makes clear that putting profit over privacy doesn’t pay.”

Warsaw-based Frontex is likely violating rights by data dumping migrant testimonies with the EU’s police agency Europol, according to a data protection authority. Such testimonies are collected by Frontex agents seeking to figure out how and to what extent asylum seekers crossing an EU border receive outside help. Although Frontex redacts names, identifiable personal data is still being shared with Europol to crack down on smuggling and other criminal activities, said Wojciech Wiewiórowski, the EU’s data protection supervisor (EDPS). The Frontex-Europol data exchange, known as Pedra or ‘Processing of Personal Data for Risk Analysis’, has in the past generated controversy for possibly incriminating innocent people. In an eight-page summary of a larger audit report published Wednesday (31 May), Wiewiórowski said the EPDS would now open an investigation into Frontex. It faulted the agency for “automatically exchanging the debriefing reports with Europol without assessing the strict necessity of such exchange.” Wiewiórowski says this breaches several EU data protection rules, as well as Frontex’s own rule book when it comes to exchanging personal data with Europol. The EDPS has given the agency until the end of the year to sort the problems. Similar findings were revealed last year by Balkan Insight, a media outlet. It said Frontex had sidelined its own data protection officer, who had warned of mission creep over Pedra. The latest EDPS investigation appears to back that assessment. Some of those people interviewed, often detained or deprived of liberty, may feel threatened into divulging information that goes beyond what is needed by Europol. Last month, EUobserver revealed that this may include NGOs, posing additional questions to what extent the agencies are possibly helping criminalise the work by civil society in the field of asylum and migration. Linked to that, Wiewiórowski says Frontex is unable to process requests by someone who wants to know what personal data the agency has collected on them

Hong Kong’s privacy watchdog has threatened to take legal action against a data management firm for failing to protect the credit histories of about 180,000 people from unauthorised access. The Office of the Privacy Commissioner for Personal Data on Thursday said it received a complaint in December 2021 from an individual who found his credit data stored in a database called TE Credit Reference System had been accessed by eight money-lending companies without his consent. Commissioner Ada Chung Lai-ling said the database’s operator, Softmedia Technology Company, had failed to take sufficient measures to protect the information it stored, which might have allowed users from about 680 money lending firms to access the credit data of roughly 180,000 people without their consent. “I’m of the opinion that Softmedia has contravened the relevant requirement of the Personal Data (Privacy) Ordinance,” she said. “In particular, Softmedia has failed to take all practicable steps to protect the personal data in the credit reference system against unauthorised or accidental access, processing or use.” Chung said a notice was sent to Softmedia demanding it establish policies and measures in the next three months to ensure money lending companies had received authorisation from borrowers before accessing their data, as well as reviewing and limiting the number of access to the database by each money lender. “Any violation of the enforcement notice will be deemed as a criminal act, which means we can consider initiating criminal prosecution according to the situation,” she said. The penalty upon the first conviction is a HK$50,000 fine (US$6,380) and two-year imprisonment. The Post has reached out to Softmedia for comment. The company claims on its website the TE Credit Reference System is the largest database of its kind in Hong Kong. But Chung said the database was not one of the service providers under the Multiple Credit Reference Agencies Model, meaning it was not regulated by the industry’s associations or laws covering the financial industry.