PRIVACYDAILY

N. 165/2023

LE TRE NEWS DI OGGI:

  • UK, SIGNAL RIBADISCE CHE LASCERA’ IL REGNO UNITO SE L’ONLINE SAFETY BILL NON CAMBIERA’
  • USA, GRUPPI DI CONSUMATORI ACCUSANO MASTERCARD DI VENDERE I DATI
  • AUSTRALIA, POLIZIA FEDERALE UTILIZZA AI PER ANALIZZARE I DATI

Sul palco del TechCrunch Disrupt 2023, Meredith Whittaker, presidente della Signal Foundation, che gestisce l’app di messaggistica senza scopo di lucro Signal, ha ribadito che Signal lascerà il Regno Unito se la legge sulla sicurezza online recentemente approvata dal Paese costringerà Signal a inserire “backdoor” nella sua crittografia end-to-end.”Lasceremmo il Regno Unito o qualsiasi altra giurisdizione se dovessimo scegliere tra il backdooring della nostra crittografia e il tradimento delle persone che contano su di noi per la privacy, oppure andarcene”, ha dichiarato Whittaker. “E questo non è mai stato vero”.Il disegno di legge sulla sicurezza online, approvato a settembre, include una clausola – la 122 – che, a seconda di come viene interpretata, potrebbe consentire all’ente regolatore delle comunicazioni del Regno Unito, Ofcom, di violare la crittografia di app e servizi con il pretesto di assicurarsi che materiale illegale come lo sfruttamento sessuale dei minori e i contenuti di abuso vengano rimossi.In base alla legge, l’Ofcom potrebbe multare le aziende non in regola fino a 18 milioni di sterline (22,28 milioni di dollari) o al 10% del loro fatturato annuo globale, a seconda di quale sia il valore più alto.La Whittaker non ha usato mezzi termini nell’esternare i suoi timori per le implicazioni della legge sulla sicurezza online: “Non ci occupiamo di trovate politiche, quindi non raccoglieremo i nostri prodotti e non ce ne andremo a casa per mostrare ai cattivi del Regno Unito che si stanno comportando male”, ha detto. “Siamo davvero preoccupati per le persone nel Regno Unito che vivrebbero sotto un regime di sorveglianza come quello che sembra essere preso in giro dal Ministero dell’Interno e da altri nel Regno Unito”.Whittaker ha fatto notare che Signal adotta una serie di misure per garantire che i suoi utenti rimangano anonimi, indipendentemente dalle leggi e dai regolamenti del loro paese. Alla domanda su quali dati Signal ha consegnato nei casi in cui ha ricevuto mandati di perquisizione, Whittaker ha risposto che si è limitato al numero di telefono registrato su un account Signal e all’ultima volta che un utente ha avuto accesso al proprio account.

Mastercard conserva registri dettagliati delle abitudini di spesa dei titolari di carte di credito, che poi vende a società terze, spesso all’insaputa dei clienti.È quanto emerge da un rapporto pubblicato giovedì dal Public Interest Research Group (PIRG) degli Stati Uniti, secondo cui Mastercard ha creato una divisione separata dedicata alla vendita dei dati sulle transazioni dei clienti, che è diventata un enorme fonte di guadagno per l’azienda globale di tecnologia dei pagamenti. In una dichiarazione rilasciata a CBS MoneyWatch, Mastercard ha negato di vendere i dati dei clienti. Il problema è che la maggior parte dei consumatori non è consapevole del grado di tracciamento e vendita dei propri dati o del fatto che la vendita di tali dati personali li espone a furti d’identità e truffe, oltre che a pubblicità “inquietantemente invasive”, avverte il gruppo di difesa dei consumatori.”Mastercard è così poco trasparente nella vendita dei suoi dati che è quasi certo che la maggior parte dei titolari di carta non si renda conto di ciò che la società sta facendo con i loro dati”, ha dichiarato a CBS MoneyWatch R.J. Cross, analista politico di U.S. PIRG. Secondo il rapporto PIRG, i dati venduti da Mastercard sono “aggregati e anonimizzati”, il che significa che le terze parti non dispongono delle informazioni individuali dei clienti. Sebbene ciò attenui alcuni dei rischi per i consumatori derivanti dalla monetizzazione dei dati, non impedisce alle aziende di “raggiungere le persone a livello individuale sulla base dei dati” o di essere bombardate con annunci fastidiosi, secondo l’agenzia per i consumatori. In considerazione di ciò, questa settimana i difensori dei consumatori di nove organizzazioni, tra cui l’American Civil Liberties Union e il Center for Digital Democracy, hanno inviato una lettera all’amministratore delegato di Mastercard Michael Miebach chiedendogli di interrompere la vendita dei dati dei clienti. “Siamo chiari: Mastercard non vende i dati personali dei titolari di carta di credito a fini di marketing, localizzazione o pubblicità mirata”, ha dichiarato giovedì Will Tsang, portavoce della società, a CBS MoneyWatch. “Abbiamo risposto alla signora Cross mesi fa, quando ci ha contattato. Tuttavia, i nostri chiarimenti sui fatti e la nostra offerta di incontrarla sono rimasti senza risposta”.

La polizia federale australiana ha dichiarato di utilizzare l’IA per analizzare i dati ottenuti con mandati di vigilanza mentre l’agenzia promette piena trasparenza sull’uso della tecnologia.In un documento di presentazione al documento di discussione del governo federale sull’uso responsabile dell’IA, l’AFP ha dichiarato che il suo uso della tecnologia è stato finora limitato, compreso l’uso dell’IA per tradurre materiale straniero in inglese.Tuttavia, ha osservato che gli strumenti di IA – compresi i modelli linguistici di grandi dimensioni (LLM) – offrono all’AFP l’opportunità di trovare informazioni utili in grandi insiemi di dati raccolti legalmente.”Accelerando il compito di individuare le informazioni, i membri possono prendere decisioni in anticipo ed eseguire le azioni necessarie di conseguenza”, ha dichiarato l’AFP, che ha indicato che l’AI potrebbe anche aiutare ad analizzare i dati transazionali per identificare modelli irregolari come il riciclaggio di denaro e le potenziali frodi.Nel 2021, l’AFP è stata messa sotto accusa dal commissario per la privacy per l’utilizzo da parte dei dipendenti della controversa tecnologia di riconoscimento facciale Clearview AI, che ha costruito il suo set di dati a partire da foto di persone prese dai social media senza il loro permesso. L’AFP ha smesso di usare la tecnologia, ma ha incontrato segretamente Clearview AI dopo aver dichiarato di aver smesso di usarla.Nella sua presentazione, l’AFP ha affermato che sarà trasparente e “intraprenderà proattivamente la due diligence sulle tecnologie prima della loro distribuzione”, tenendo conto di considerazioni etiche e di una solida governance e supervisione.”La polizia è profondamente legata alla società e deve riflettere i valori, le norme e le aspettative della comunità che serve e richiede in modo critico la supervisione e la responsabilità umana”.Un portavoce dell’AFP ha confermato che le informazioni sensibili ottenute dai mandati di cattura saranno inserite in LLM o reti neurali. Ma l’agenzia ha dichiarato di garantire la protezione dei dati, sia che si tratti di uno strumento interno che di un prodotto commerciale, in modo che non confluiscano in set di dati pubblici.I dati raccolti legalmente e utilizzati potrebbero includere dati raccolti in base a un mandato, tra cui dati di intercettazione delle telecomunicazioni e dati di sorveglianza.Il portavoce ha inoltre dichiarato che tutte le traduzioni linguistiche sono controllate da un operatore umano.

English version

  • UK, SIGNAL REITERATES THAT IT WILL LEAVE THE UNITED KINGDOM IF THE ONLINE SAFETY BILL DOES NOT CHANGE
  • USA, CONSUMER GROUPS ACCUSE MASTERCARD OF SELLING DATA
  • AUSTRALIA, FEDERAL POLICE USE AI TO ANALYSE DATA

Onstage at TechCrunch Disrupt 2023, Meredith Whittaker, the president of the Signal Foundation, which maintains the nonprofit Signal messaging app, reaffirmed that Signal would leave the U.K. if the country’s recently passed Online Safety Bill forced Signal to build “backdoors” into its end-to-end encryption.“We would leave the U.K. or any jurisdiction if it came down to the choice between backdooring our encryption and betraying the people who count on us for privacy, or leaving,” Whittaker said. “And that’s never not true.”The Online Safety Bill, which was passed into law in September, includes a clause — clause 122 — that, depending on how it’s interpreted, could allow the U.K.’s communications regulator, Ofcom, to break the encryption of apps and services under the guise of making sure illegal material such as child sexual exploitation and abuse content is removed.Ofcom could fine companies not in compliance up to £18 million ($22.28 million), or 10% of their global annual revenue, under the bill — whichever is greater.Whittaker didn’t mince words in airing her fears about the Online Safety Bill’s implications.“We’re not about political stunts, so we’re not going to just pick up our toys and go home to, like, show the bad U.K. they’re being mean,” she said. “We’re really worried about people in the U.K. who would live under a surveillance regime like the one that seems to be teased by the Home Office and others in the U.K.”Whittaker noted that Signal takes a number of steps to ensure its users remain anonymous regardless of the laws and regulations in their particular country. Asked onstage what data Signal’s handed over in the instances that it’s received search warrants, Whittaker said that it’s been limited to the phone number registered to a Signal account and the last time a user accessed their account.

Mastercard keeps detailed records of the spending habits of its credit card holders, which it then sells to third-party companies — often without customers’ knowledge.That’s according to a report published Thursday by the U.S. Public Interest Research Group (PIRG), which says that Mastercard has built a separate division dedicated to the selling of customer transaction data which has become a huge revenue stream for the global payments technology company. In a statement to CBS MoneyWatch, Mastercard denied selling customers’ data. The problem is that most consumers are not aware of the degree to which their data is being tracked and sold or that the sale of such personal data exposes them to identity theft and scams, in addition to “creepily invasive” advertising, the consumer advocacy group warns.”Mastercard is so opaque about its data sales it’s almost certain most cardholders don’t realize what the company is doing with their data,” R.J. Cross, policy analyst for U.S. PIRG, told CBS MoneyWatch. The data Mastercard sells is “aggregated and anonymized,” meaning third-parties don’t have customers’ individual information, according to the PIRG report. While that mitigates some of the consumer risks that come with data monetization, it does not prevent companies from “reaching people on an individual level based on data” or being bombarded with annoying ads, according to the consumer agency.With that in mind, consumer advocates from nine organizations, including the American Civil Liberties Union and the Center for Digital Democracy, sent a letter to Mastercard CEO Michael Miebach this week asking him to stop selling customers’ data. “Let us be clear – Mastercard does not sell personal cardholder data for marketing, location tracking or targeted advertising,” Will Tsang, a company spokesman, told CBS MoneyWatch on Thursday. “We had responded to Ms. Cross months ago when she originally contacted us. However, our clarification of the facts and an offer to meet with her went unanswered.”

The Australian federal police has said it uses AI to analyse data obtained under telecommunications and surveillance warrants, as the agency promises full transparency over the use of the technology. In a submission to the federal government’s discussion paper on the responsible use of AI, the AFP said its use of the technology had been limited so far, including using AI to translate foreign materials into English.But it noted that AI tools – including large language models (LLMs) – gave the AFP an opportunity to find useful information in large, lawfully collected datasets.“By speeding the discovery task, members can make decisions earlier and execute the necessary actions accordingly,” the AFP said.The AFP indicated it could also potentially help analyse transactional data to identify irregular patterns like money laundering and potential fraud.In 2021, the AFP came under fire from the privacy commissioner over employees using the controversial Clearview AI facial recognition technology, which built its dataset from photos of people taken from social media without their permission. The AFP has ceased using the technology, but secretly met with Clearview AI after it claimed to have stopped using the technology.The AFP said in its submission that it would be transparent and “proactively undertake due diligence into technologies before deployment”, taking into account ethical considerations and robust governance and oversight.“Policing is deeply connected to society and must reflect the values, norms and expectations of the community it serves and critically requires human oversight and accountability.”A spokesperson for the AFP confirmed that sensitive information obtained from warrants would be fed into LLMs or neural networks. But the agency said it ensures the data is protected, whether it is an in-house tool or when using a commercial product, so it would not feed into public datasets.The lawfully collected data used could include data collected under a warrant, including telecommunications interception data and surveillance data.The spokesperson also said all language translations are checked by a human.

PRIVACYDAILY

N. 164/2023

LE TRE NEWS DI OGGI:

  • CANADA, L’AUTORITA’ GARANTE SANZIONA IL SERVIZIO POSTALE PER LA RACCOLTA DATI
  • POLONIA, APERTA ISTRUTTORIA SU OPENAI
  • HONG KONG, LA SICUREZZA DEI DATI IN CIMA ALLE PREOCCUPAZIONI DEI PARTITI IN VISTA DELLE ELEZIONI

ll servizio postale canadese sta violando la legge raccogliendo informazioni dall’esterno di buste e pacchi per contribuire alla creazione di liste di marketing da vendere alle aziende.L’ufficio del commissario per la privacy Philippe Dufresne afferma che le informazioni raccolte per il programma di marketing includono dati su dove vivono le persone e su che tipo di acquisti online fanno, in base a chi invia loro i pacchi.Il caso è iniziato quando un uomo ha ricevuto materiale di marketing da un ristorante di Toronto con il suo nome e l’indirizzo completo dell’appartamento sulla busta.Dopo aver chiesto informazioni, l’uomo ha scoperto di aver ricevuto il materiale attraverso il programma Smartmail Marketing dell’ufficio postale, che aveva organizzato una campagna postale per il ristorante.L’ufficio di Dufresne ha iniziato a indagare dopo aver ricevuto un reclamo dall’uomo.Nell’ambito del programma, Canada Post coinvolge fornitori di servizi postali che preparano e inviano mailing diretti ai clienti. Sebbene non tutte le campagne includano l’indirizzo completo dei destinatari, le informazioni di marketing di Canada Post indicano che le persone sono più propense ad aprire la posta indirizzata rispetto a quella non indirizzata, si legge nel rapporto di Dufresne. L’ufficio ha inoltre affermato che le ricerche indicano che i consumatori apprezzano il fatto di ricevere per posta offerte di marketing pertinenti.Ai fornitori di servizi postali è vietato divulgare le liste di posta agli inserzionisti e devono salvaguardare le informazioni e smaltire le liste una volta terminata la campagna.Canada Post afferma di poter preparare liste di marketing basate su 1.200 attributi di targeting disponibili, come lo stato civile e familiare, l’etnia, gli interessi e gli hobby.

Un ente di controllo polacco sta indagando su OpenAI, società di Microsoft, per una denuncia secondo cui il suo chatbot ChatGPT viola le leggi dell’Unione Europea sulla protezione dei dati, note come GDPR.OpenAI ha già affrontato almeno la seconda class action presso la corte federale di San Francisco per presunta violazione delle leggi sulla privacy. L’azienda non ha risposto alle richieste di chiarimento quando la causa è stata resa nota all’inizio del mese.”Il caso riguarda la violazione di molte norme sulla protezione dei dati personali, quindi chiederemo a Open AI di rispondere a una serie di domande”, ha dichiarato Jan Nowak, presidente dell’Ufficio polacco per la protezione dei dati personali (UODO).Secondo l’UODO, il denunciante senza nome ha affermato che OpenAI non ha corretto le false informazioni su di lui generate da ChatGPT.Il denunciante ha affermato di non essere riuscito a scoprire quali dei suoi dati personali fossero stati trattati dall’azienda e di aver ricevuto risposte evasive e fuorvianti alle sue domande.Oltre ai casi di privacy, le aziende tecnologiche, tra cui Microsoft, OpenAI, Google e Stability AI, sono state recentemente oggetto di cause legali per lo “scraping” di materiali protetti da copyright e di dati personali da Internet per addestrare i loro sistemi di IA generativa.ChatGPT di OpenAI è diventata all’inizio di quest’anno l’applicazione per i consumatori con la crescita più rapida della storia, raggiungendo i 100 milioni di utenti attivi a gennaio, solo due mesi dopo il suo lancio. Microsoft ha investito miliardi di dollari nella società.

Il Garante per la privacy ha invitato il Registration and Electoral Office a condurre simulazioni di violazione dei dati a intervalli regolari, poiché non è riuscito a proteggere i dati personali degli elettori in ripetuti episodi di violazione dei dati dal 2017.L’Ufficio del Commissario per la privacy dei dati personali ha ispezionato il REO tra lo scorso agosto e questo aprile e ha riscontrato che ha “compiuto sforzi significativi” per proteggere la privacy dei dati.Tuttavia, ha proposto 10 raccomandazioni per migliorare ulteriormente la sicurezza, tra cui la revisione di tutti i contratti con i responsabili del trattamento dei dati per il REO, per controllare e ispezionare il trattamento dei dati e per esaminare regolarmente i registri.”L’ufficio dovrebbe inoltre condurre regolarmente simulazioni di violazione dei dati sia per gli incidenti di sicurezza delle informazioni che per la perdita di documenti e attrezzature fisiche”.Il REO ha dichiarato ieri di accettare le raccomandazioni dell’organo di vigilanza e di stare attuando nuove misure per garantire la sicurezza dei dati.Le sue iniziative giungono mentre i partiti stanno intensificando gli sforzi per le elezioni dei consigli distrettuali di dicembre, con il Partito Democratico che intende concorrere per otto seggi e la presidente dell’Alleanza Democratica per il Miglioramento e il Progresso di Hong Kong, Starry Lee Wai-king, che ieri ha dichiarato che è troppo presto per stimare l’affluenza alle urne per le elezioni.Tra gli otto candidati del Partito Democratico ci sono, secondo le fonti, il suo presidente Lo Kin-hei e quattro elettori in carica che cercano un altro mandato: Kelvin Sin Cheuk-nam a Sha Tin, Chu Tsz-lok e Lee Wai-fung a Yau Tsim Mong e Lam Siu-fai a Kwai Tsing.

English version

  • CANADA, GUARANTOR AUTHORITY SANCTIONS POSTAL SERVICE FOR DATA COLLECTION
  • POLAND, OPEN INSTRUCTORY ON OPENAI
  • HONG KONG, DATA SECURITY TOP OF PARTIES’ CONCERNS AHEAD OF ELECTIONS

The federal privacy watchdog says Canada Post is breaking the law by gleaning information from the outsides of envelopes and packages to help build marketing lists that it rents to businesses.The office of privacy commissioner Philippe Dufresne says information collected for the marketing program includes data about where individuals live and what type of online shopping they do, based on who sends them packages.The commissioner found Canada Post had not obtained authorization from individuals to indirectly collect such personal information.The case began when a man received marketing material from a Toronto restaurant with his name and full apartment address on the envelope, including the suite number.Upon making inquiries, the man discovered he had received the material through the post office’s Smartmail Marketing Program, which arranged a mail campaign for the restaurant.Dufresne’s office began investigating after receiving a complaint from the man.Under the program, Canada Post engages mail service providers that prepare and send direct mailouts to customers. Although not all campaigns include recipients’ full addresses, Canada Post marketing information indicates people are more likely to open addressed mail than unaddressed mail, Dufresne’s report says.The post office stressed to the commissioner’s office it must continually innovate and find new ways to diversify its revenue streams as regular mail volumes decline. It also said research indicates that consumers enjoy receiving relevant marketing offers by mail.Mail service providers are prohibited from disclosing mailing lists to advertisers, and must safeguard the information and dispose of lists once a campaign is over.Canada Post says it can prepare marketing lists based on 1,200 available targeting attributes such as marital and family status, ethnicity, interests and hobbies.

OpenAI has already faced at least its second class action lawsuit in San Francisco federal court for allegedly breaking privacy laws. It did not respond to requests for comment when the lawsuit was reported earlier this month.”The case concerns the violation of many provisions on the protection of personal data, so we will ask .Open AI to answer a number of questions,” said Jan Nowak, President of Poland’s Personal Data Protection Office (UODO).According to UODO, the unnamed complainant said that OpenAI did not correct false information about them which had been generated by ChatGPT.The complainant said they were unable to find out which of their personal data was processed by the company, and received evasive and misleading answers to questions.OpenAI did not immediately respond to an emailed request for comment.In addition to privacy cases, tech companies including Microsoft, OpenAI, Google and Stability AI have been hit with recent lawsuits over the “scraping” of copyrighted materials and personal data from across the internet to train their generative AI systems.OpenAI’s ChatGPT became the fastest-growing consumer application in history earlier this year, reaching 100 million active users in January only two months after it was launched. Microsoft has invested billions of dollars in the company.

The privacy watchdog has called on the Registration and Electoral Office to conduct regular data breach drills as it had failed to protect voters’ personal data in repeated data breach incidents since 2017.The Office of the Privacy Commissioner for Personal Data inspected the REO between last August and this April and found had “made significant efforts” to protect data privacy.But it still offered 10 recommendations to further enhance security, including reviewing all contracts with data processors for the REO to audit and inspect data handling and reviewing log records regularly.”[The office should also] conduct data breach drills for both information security incidents and the loss of physical records and equipment on a regular basis,” it said.The REO said yesterday it accepts the watchdog’s recommendations and is implementing new measures to ensure data safety.Its moves come as parties are ramping up efforts for the district council election in December, with the Democratic Party planning to contest eight seats and Democratic Alliance for the Betterment and Progress of Hong Kong chairwoman Starry Lee Wai-king saying yesterday it’s too early to estimate the voter turnout for the election.Among the eight Democratic Party hopefuls are, sources said, its chairman, Lo Kin-hei and four incumbents looking for yet another term – Kelvin Sin Cheuk-nam in Sha Tin, Chu Tsz-lok and Lee Wai-fung in Yau Tsim Mong and Lam Siu-fai in Kwai Tsing .For its part, the DAB is proposing voting hours be scaled down to just 10 hours from 8 am to 6 pm, instead of the 15 seen in the 2019 election held between 7.30 am and 10.30 pm. The Legislative Council has given its stamp of approval to slashing directly elected district seats to 88, making them just under 20 percent of the total.A total of 176 councillors, representing 40 percent, will be selected through indirect elections, and 179 government-appointed representatives will make up the remaining 40 percent.

“Il neurodato non sia merce di scambio”

Neuroscienze e neurotecnologie hanno travalicato i confini clinici e terapeutici e si avviano alla conquista dei mercati. Dobbiamo scongiurare il rischio che i nostri pensieri diventino “merci digitali” scambiate sui mercati globali. Ne ho parlato con Raffaele D’Ettorre in una lunga intervista sul Messaggero

“L’utilizzo legale della videosorveglianza come strumento di prova”

A partire dale 10.00 avrò il piacere di intervenire ai lavori delle GIORNATE DELLA POLIZIA LOCALE 2023 organizzata dall’Unione Polizia locale italiana per discutere di “L’utilizzo legale della videosorveglianza come strumento di prova”

Qui tutte le informazioni all’evento https://www.unionepolizialocaleitaliana.it/sito/appuntamento/sessionericcione23/

PRIVACYDAILY

N. 163/2023

LE TRE NEWS DI OGGI:

  • UK, GOVERNO E FACEBOOK SI SCONTRANO SUI MESSAGGI CRIPTATI
  • USA, LA NUOVA LEGGE SULLA PRIVACY DEI MINORI DEL DELAWARE
  •  INDIA, ENTRO 30 GIORNI VERRA’ ISTITUITA L’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI 

Meta, il proprietario di Facebook, ha risposto a una campagna governativa fortemente critica nei confronti dei suoi piani di crittografia dei messaggi. Proteggere i messaggi con la crittografia end-to-end significa che possono essere letti solo dal mittente e dal destinatario. Il ministro dell’Interno Suella Braverman ha dichiarato che la crittografia non può andare a scapito della sicurezza dei bambini, tra i timori che possa essere usata per nascondere abusi su minori. Meta sostiene che la crittografia protegge gli utenti dall’invasione della privacy. “La stragrande maggioranza dei britannici si affida già ad applicazioni che utilizzano la crittografia per proteggersi da hacker, truffatori e criminali”, ha aggiunto l’azienda. La signora Braverman ha esposto le sue preoccupazioni a Meta in una lettera firmata da esperti di tecnologia, forze dell’ordine, familiari di sopravvissuti e associazioni per la sicurezza dei bambini. Ma mercoledì ha dichiarato che: “Meta non è riuscita a fornire garanzie sul fatto che manterrà le sue piattaforme al sicuro da abusatori malati. Devono sviluppare adeguate misure di salvaguardia da affiancare ai loro piani per la crittografia end-to-end”. Meta contesta questa affermazione. Secondo la BBC, l’azienda tecnologica sostiene di aver fornito queste informazioni a luglio. Molte di queste informazioni sono state pubblicate online. Meta ha dichiarato di aver trascorso gli ultimi cinque anni a sviluppare solide misure di sicurezza per prevenire, individuare e combattere gli abusi mantenendo la sicurezza online. “Con l’introduzione della crittografia end-to-end, ci aspettiamo di continuare a fornire alle forze dell’ordine un numero maggiore di segnalazioni rispetto ai nostri colleghi, grazie al nostro lavoro leader nel settore per mantenere le persone al sicuro”, ha dichiarato. Secondo il Ministro degli Interni, però, i piani prevedono che centinaia di abusatori di minori possano sfuggire alla punizione. Il direttore delle minacce generali della National Crime Agency (NCA), James Babbage, ha dichiarato che se la piattaforma introdurrà la crittografia end-to-end, “ridurrà in modo massiccio la nostra capacità collettiva” di proteggere i bambini.

La nuova legge sulla privacy dei consumatori del Delaware aggiunge requisiti di conformità a livello statale per le aziende, con un’ampia interpretazione dei dati sensibili che include lo status di transgender e maggiori tutele per gli utenti di età inferiore ai 18 anni.La legge sulla privacy dei dati personali del Delaware, promulgata la scorsa settimana, entrerà in vigore il 1° gennaio 2025. Si aggiunge a un mosaico di leggi statali in rapida evoluzione che offrono ai residenti il diritto di conoscere i dati raccolti da un’azienda e di limitarne alcuni usi.”Non si tratta assolutamente di una normativa unica”, ha dichiarato Robert Braun, partner di Jeffer Mangels Butler & Mitchell LLP, a proposito delle varie leggi statali.La legge del Delaware si applica alle aziende che svolgono attività commerciali nello Stato o che si rivolgono ai suoi residenti e che controllano o elaborano i dati personali di almeno 35.000 consumatori all’anno. Questa soglia scende a 10.000 consumatori se la vendita di dati personali costituisce più del 20% del fatturato lordo.Secondo Consumer Reports, gli individui hanno un maggiore controllo sui propri dati in base alla legge del Delaware rispetto alle leggi di altri Stati. Ciò include una definizione più ampia di dati sensibili, che le aziende devono ottenere il consenso a trattare.Come una legge emanata in precedenza in Oregon, la definizione di dati sensibili del Delaware include lo status di transgender o non binario. La maggior parte delle organizzazioni non profit sono coperte dalla legge, così come lo sono dalle leggi emanate in precedenza in Oregon e Colorado. Altre leggi statali sulla privacy le esentano.”Lavoriamo con parecchie organizzazioni non profit che in precedenza non si erano preoccupate e concentrate sulla conformità a queste leggi sulla privacy, ma sembra che questo non continuerà, almeno se operano in Colorado, Oregon e Delaware”, ha dichiarato Sarah Rugnetta, partner di Constangy, Brooks, Smith & Prophete, LLP.

Rajeev Chandrasekhar, ministro di Stato per l’elettronica e le tecnologie dell’informazione, ha dichiarato che entro i prossimi 30 giorni il governo istituirà il Comitato per la protezione dei dati (DPB), l’autorità d’appello per la risoluzione dei reclami ai sensi della legge sulla protezione dei dati personali digitali. La prima serie di “norme necessarie” ai sensi della legge sarà emanata entro lo stesso termine. “Il DPB sarà notificato nei prossimi 30 giorni e anche tutte le norme pertinenti saranno notificate nei prossimi 30 giorni. Il periodo che intercorre tra l’11 agosto, data di notifica della legge, e la costituzione del DPB non deve essere considerato un porto sicuro o un periodo di immunità per le aziende. Parlando della consultazione sui tempi necessari all’industria per la transizione al DPDPA, il ministro ha detto che probabilmente ci saranno tre categorie di fiduciari dei dati a cui sarà data una tempistica graduata per la transizione per la conformità alle disposizioni della legge. La prima categoria, che comprende gli enti governativi del Centro o dello Stato, i panchayat o le PMI che non hanno la preparazione digitale per l’archiviazione o l’elaborazione dei dati, avrà probabilmente il tempo maggiore per la transizione, seguita dalle piccole entità private e dalle start-up. Tuttavia, le grandi aziende tecnologiche come Google, Meta, Apple e altre, che già rispettano le leggi globali sulla protezione dei dati o sulla privacy come il GDPR, dovrebbero adeguarsi al più presto.

English version

  • UK, GOVERNMENT AND FACEBOOK CLASH ON ENCRYPTED MESSAGES
  • USA, THE NEW PRIVACY LAW FOR DEAWARE MINORS
  •  INDIA, DATA PROTECTION AUTHORITY TO BE ESTABLISHED WITHIN 30 DAYS

Facebook’s owner Meta has hit back at a government campaign strongly critical of its plans to encrypt messages. Protecting messages with end-to-end-encryption would mean that they could only be read by sender and recipient. Home Secretary Suella Braverman said encryption could not come at the cost of children’s safety, amid fears it can be used to conceal child abuse. Meta argues that encryption protects users from invasion of privacy. “We don’t think people want us reading their private messages”, the firm said.”The overwhelming majority of Brits already rely on apps that use encryption to keep them safe from hackers, fraudsters and criminals”, it added. Ms Braverman set out her concerns to Meta in a letter co-signed by technology experts, law enforcement, survivors and leading child safety charities in July. But on Wednesday she said: “Meta has failed to provide assurances that they will keep their platforms safe from sickening abusers. They must develop appropriate safeguards to sit alongside their plans for end-to-end encryption.” This is something Meta disputes. The BBC understands that the tech firm maintains it supplied that information in July. Much of that information has now been published online. Meta said that it had spent the last five years developing robust safety measures to prevent, detect and combat abuse while maintaining online security. “As we roll out end-to-end encryption, we expect to continue providing more reports to law enforcement than our peers due to our industry leading work on keeping people safe”, it said. But the plans mean hundreds of child abusers could escape punishment, according to the home secretary. The National Crime Agency’s (NCA) director of general threats, James Babbage, said if the platform introduces end-to-end encryption it will “massively reduce our collective ability” to protect children.

Delaware’s new consumer privacy law adds to state-level compliance requirements for companies, with a broad definition of sensitive data that includes transgender status and heightened protections for users under the age of 18.The Delaware Personal Data Privacy Act, which was enacted last week, takes effect Jan. 1, 2025. It joins a rapidly evolving patchwork of state laws that provide residents the right to know what data a business collects, and limit certain uses.“It definitely is not a one size fits all,” said Robert Braun, partner at Jeffer Mangels Butler & Mitchell LLP, about the various state laws.The Delaware law applies to entities that do business in the state or target its residents, and control or process the personal data of at least 35,000 consumers per year. That threshold drops to 10,000 consumers if the sale of personal data makes up more than 20% of gross revenue.Individuals have more control over their data under the Delaware law than under laws in some other states, according to Consumer Reports. That includes a broader definition of sensitive data—which companies must obtain consent to process.Like a law enacted earlier in Oregon, Delaware’s definition of sensitive data includes transgender or nonbinary status. It also includes health conditions such as pregnancy.Most nonprofits are covered under the law, as they are under laws enacted earlier in Oregon and Colorado. Other state privacy laws exempt them.“We do work with quite a few nonprofits who had previously not been as concerned and focused on compliance with these data privacy laws, but it seems like that is not going to be continuing, at least if they’re doing business in Colorado, Oregon, and Delaware,” said Sarah Rugnetta, partner at Constangy, Brooks, Smith & Prophete, LLP.

The government will set up the data protection board (DPB), the appellate authority for grievance redressal under the Digital Personal Data Protection Act, within the next 30 days, Rajeev Chandrasekhar, minister of state for electronics and information technology said on Wednesday. The first set of ‘necessary rules’ under the Act will also be issued within the same time frame.“The DPB will be notified in the next 30 days and all the relevant rules will also be notified in the next 30 days. The time between 11 August when the Act was notified and when the DPB is constituted, should not be considered a safe harbour or immunity period for companies. If there’s a data breach during this time, the DPB will take it up once it is operational,” the minister clarified.Speaking at the consultation for timeframes needed by the industry to transition to the DPDPA, the minister said that there are likely to be three categories of data fiduciaries that will be given a graded timeline for transition for compliance to the provisions in the Act.The first category comprising government entities at the Centre or state, panchayats or MSMEs that do not have the digital readiness for storing or processing data, are likely to get the most time for transition, followed by smaller private entities and start-ups. However, big tech or companies like Google, Meta, Apple and others that would already be complying with global data protection or privacy laws such as the GDPR, would be expected to comply at the earliest.

“AAA, umanità cercasi. Un pugno di like vale di più della vita di un uomo.”

Ne scrivo oggi su Huffington Post nella rubrica Governare il Futuro

Qui il link all’articolo https://www.huffingtonpost.it/rubriche/governare-il-futuro/2023/09/20/news/aaa_umanita_cercasi_un_pugno_di_like_vale_di_piu_della_vita_di_un_uomo-13399016/?ref=HHTP-BR-I13398489-P4-S2-T1

PRIVACYDAILY

N. 162/2023

LE TRE NEWS DI OGGI:

  • HUNTER BIDEN FA CAUSA ALL’AGENZIA DELLE ENTRATE SOSTENENDO CHE E’ STATA VIOLATA LA SUA PRIVACY
  • IL GIUDICE BLOCCA LA LEGGE SULLA PRIVACY DEI MINORI IN CALIFORNIA
  • L’AUGC DENUNCIA IL PROGETTO DELLA GUARDIA CIVIL VIRTUALE PRESSO L’AGENZIA SPAGNOLA PER LA PROTEZIONE DEI DATI

Hunter Biden ha fatto causa all’Agenzia delle Entrate per le rivelazioni che due agenti hanno fatto al Congresso e ai media sulle sue tasse.La causa afferma che due agenti dell’IRS che si occupano da tempo di indagini penali, Gary Shapley e Joseph Ziegler, hanno rivelato illegalmente dettagli fiscali quando hanno sollevato pubblicamente dubbi sulla gestione dell’indagine penale sul primo figlio di Biden.. La causa, depositata lunedì scorso presso la corte federale di Washington, cita una lunga serie di interviste dei media agli informatori del fisco e ai loro avvocati, tra cui un’intervista in podcast con il giornalista John Solomon e interviste televisive su CBS News, CNN e Fox News. Il documento sostiene che Shapley, Ziegler e i loro avvocati hanno rivelato le informazioni fiscali private di Biden in queste interviste, violando i suoi diritti alla privacy.”L’IRS non ha nemmeno dato istruzioni al signor Shapley o ai suoi rappresentanti di astenersi dal divulgare pubblicamente e illegalmente le informazioni riservate sulla dichiarazione dei redditi del signor Biden, e ancor meno ha adottato misure ragionevoli per impedire al suo personale di divulgare illegalmente le informazioni sulla dichiarazione dei redditi del signor Biden”, si legge nella causa.La causa di Biden chiede 1.000 dollari per “ogni atto di divulgazione non autorizzata” e un ammontare non specificato di danni punitivi. Lunedì l’avvocato difensore di Biden, Abbe Lowell, ha anche inviato una lettera al presidente repubblicano della Commissione per le questioni economiche della Camera, affermando che nel 2018 – un anno fiscale che gli investigatori federali hanno esaminato – Biden ha pagato le tasse in eccesso. Prima che il suo accordo di patteggiamento si interrompesse quest’estate, il figlio del presidente era pronto ad ammettere di aver pagato in ritardo le tasse per quell’anno. All’epoca era in preda alla tossicodipendenza. Nei documenti del tribunale, il primo figlio ha dichiarato di aver pagato in ritardo circa 2 milioni di dollari di tasse dovute, oltre a sanzioni e interessi, dopo essersi disintossicato. 

Un giudice distrettuale della California ha impedito allo Stato di applicare una nuova legge che impone alle società di Big Tech di verificare l’età degli utenti prima di consentire loro l’accesso ai propri siti web.Il tribunale distrettuale del distretto settentrionale della California ha bloccato lunedì il California Age Appropriate Design Code, o CAADC. Il disegno di legge avrebbe limitato la capacità delle app di raccogliere dati su persone di età pari o inferiore ai 18 anni e avrebbe richiesto alle app di implementare i più alti standard di privacy per bambini e adolescenti. Il giudice Beth Labson Freeman, nominata da Obama, ha concesso l’ingiunzione preliminare perché ha affermato che il gruppo industriale che aveva presentato la petizione probabilmente riuscirà a sostenere l’incostituzionalità della legge.”Apprezziamo la ponderata analisi del Primo Emendamento da parte della corte distrettuale e la decisione di impedire alle autorità di regolamentazione di violare i diritti di libertà di parola e di privacy online dei californiani, delle loro famiglie e delle loro aziende mentre il nostro caso procede”, ha dichiarato Chris Marchese, direttore del NetChoice Litigation Center, in un comunicato. “Siamo impazienti di vedere la legge definitivamente bocciata e la parola e la privacy online pienamente protette”.La CAADC è stata approvata all’unanimità nell’estate del 2022 e firmata dal governatore Gavin Newsom (D-CA) a settembre. NetChoice, un gruppo conservatore di difesa della tecnologia, ha intentato una causa in California nel dicembre 2022 sostenendo che il CAADC viola il Primo Emendamento, che viola la Clausola di Commercio regolamentando le aziende al di fuori della California e che le sue pratiche di raccolta dei dati sono in conflitto con il Children’s Online Privacy Protection Act del 1998, lo standard federale per la gestione dei dati dei minori.Il codice è largamente ispirato all’Age-Appropriate Design Code del Regno Unito, che è stato implementato nel 2021 e che prevede restrizioni alla privacy simili per i giovani del Regno Unito.

A seguito della recente comunicazione da parte della Direzione Generale della Guardia Civile (DGGC) e del Ministero dell’Interno, del lancio del progetto pilota “Guardia Civile Virtuale” per la creazione di avatar da utilizzare a favore dei cittadini, in risposta alla mancanza di truppe nelle zone rurali della Spagna, l’Associazione Unificata delle Guardie Civili (AUGC) ha presentato una denuncia all’Agenzia Spagnola per la Protezione dei Dati (AEPD) contro questo progetto, per garantire il rispetto delle norme sulla protezione dei dati.La Legge organica 3/2018 stabilisce chiaramente l’obbligo di effettuare una valutazione d’impatto quando si trattano dati personali in determinate condizioni, ed è essenziale che questa procedura venga eseguita correttamente per valutare e mitigare qualsiasi rischio potenziale per la privacy dei dati.Oltre alla valutazione d’impatto, è essenziale che vengano messe in atto adeguate misure di sicurezza per proteggere i dati personali raccolti e che vengano rispettate tutte le altre disposizioni di legge relative alla protezione dei dati. L’AUGC non si sofferma sul fatto che il progetto sia la giusta soluzione a un problema esistente nella Spagna rurale, dovuto alla mancanza di personale derivante da un modello di polizia obsoleto e superato. Tuttavia, siamo preoccupati per questioni estremamente importanti nell’era digitale, che rende necessario garantire la sicurezza dei dati che verranno archiviati, sia dei cittadini che delle stesse guardie civili. Per questo siamo l’unica Associazione che ha presentato un reclamo all’AEPD per garantire il rispetto delle normative vigenti.È fondamentale che qualsiasi progetto che preveda il trattamento di dati personali sia conforme alla normativa vigente in materia di protezione dei dati, al fine di garantire la privacy e la sicurezza delle informazioni dei cittadini e dei dipendenti pubblici coinvolti. Non si possono omettere le procedure previste dalla legge, come l’esecuzione di una valutazione d’impatto, necessaria per garantire la conformità e la protezione dei dati personali. Il rispetto di queste norme è essenziale per mantenere la fiducia dei cittadini nella gestione e nella protezione dei loro dati personali.

English version

  • HUNTER BIDEN SUES IRS ALLEGING VIOLATION OF HIS PRIVACY
  • JUDGE BLOCKS CALIFORNIA CHILD INTERNET PRIVACY LAW
  • AUGC DENOUNCES TO THE SPANISH DATA PROTECTION AGENCY THE VIRTUAL CIVIL GUARD PROJECT

Hunter Biden is suing the IRS over disclosures two agents there made to Congress and the media about his taxes.The lawsuit says two longtime IRS criminal investigative agents, Gary Shapley and Joseph Ziegler, illegally revealed tax details when they publicly raised concerns about the handling of the criminal investigation into the first son. It also accuses the IRS of failing to keep the two men from sharing Biden’s financial information.[T]he harm he has suffered — reputationally and emotionally — from their wrongful conduct has been staggering,” says the suit, filed Monday in D.C. federal court.The suit cites a laundry list of media interviews with the IRS whistleblowers and their lawyers, including a podcast interview with journalist John Solomon and TV interviews on CBS News, CNN, and Fox News. It alleges that Shapley, Ziegler and their lawyers revealed Biden’s private tax information in these interviews, violating his privacy rights.“[T]he IRS did not even instruct Mr. Shapley or his representatives to refrain from publicly and unlawfully disclosing Mr. Biden’s confidential tax return information, much less take reasonable steps to prevent its personnel from unlawfully disclosing Mr. Biden’s tax return information,” the suit says.Biden’s suit seeks $1,000 for “each act of unauthorized disclosure” as well as an unspecified amount of punitive damages. And the suit asks a federal judge to order the IRS to set up a data security plan that complies with the Privacy Act.On Monday, Biden’s defense lawyer Abbe Lowell also sent a letter to the Republican chair of the House Committee on Ways and Means saying that in 2018 — one tax year which federal investigators have scrutinized — he overpaid his taxes. Before his plea deal fell apart this summer, the president’s son was prepared to concede that he was late in paying his taxes for that year. At the time, he was in the throes of drug addiction. The first son has said in court documents that he belatedly paid about $2 million in taxes he owed — along with penalties and interest — after getting sober. 

A district judge in California blocked the state from enforcing a new law requiring Big Tech companies to verify users’ ages before giving them access to their websites.The District Court for the Northern District of California moved to block the California Age Appropriate Design Code, or CAADC, on Monday. The bill would have restricted apps’ ability to collect data on anyone 18 or younger and required apps to implement their highest privacy standards for children and teenagers. It also would have required the platforms to add technology to verify a user’s age before allowing access.Judge Beth Labson Freeman, an Obama appointee, granted the preliminary injunction because she said that the industry group that had petitioned for it is likely to succeed in its case that the law is unconstitutional.”We appreciate the district court’s thoughtful analysis of the First Amendment and decision to prevent regulators from violating the free speech and online privacy rights of Californians, their families, and their businesses as our case proceeds,” said Chris Marchese, director of the NetChoice Litigation Center, in a statement. “We look forward to seeing the law permanently struck down and online speech and privacy fully protected.”The CAADC was passed unanimously in the summer of 2022 and signed into law by Gov. Gavin Newsom (D-CA) in September. NetChoice, a conservative tech advocacy group, filed a suit in California in December 2022 alleging that the CAADC violated the First Amendment, that it violated the Commerce Clause by regulating companies outside of California, and that its data collection practices conflict with Children’s Online Privacy Protection Act of 1998, the federal standard for handling minors’ data.The code is heavily inspired by the United Kingdom’s Age-Appropriate Design Code, which the country implemented in 2021 and has similar privacy restrictions for youth in the U.K.

Following the recent communication from the Directorate General of the Civil Guard (DGGC) and the Ministry of the Interior, of the launch of the pilot project “Virtual Civil Guard” for the creation of avatars for citizen attention, in response to the lack of troops in rural areas of Spain, the Unified Association of Civil Guards (AUGC) has filed a complaint with the Spanish Data Protection Agency (AEPD) against this project, to ensure that data protection regulations are respected.Organic Law 3/2018 clearly establishes the obligation to carry out an impact assessment when processing personal data under certain conditions, and it is essential that this procedure is carried out correctly in order to assess and mitigate any potential risk to data privacy.In addition to the impact assessment, it is essential that adequate security measures are put in place to protect the personal data collected and that all other legal provisions related to data protection are complied with.AUGC does not go into whether the project is the right solution to an existing problem in rural Spain due to a lack of manpower resulting from an outdated and obsolete policing model. However, we are concerned about extremely important issues in the digital era, which makes it necessary to ensure the security of the data that will be stored, both of the citizens and of the civil guards themselves. That is why we are the only Association that has filed a complaint with the AEPD in order to ensure compliance with current regulations.It is essential that any project involving the processing of personal data complies with current data protection regulations in order to guarantee the privacy and security of the information of the citizens and public employees involved. Procedures required by law, such as carrying out an impact assessment, which is necessary to ensure compliance and the protection of personal data, should not be omitted. Compliance with these regulations is essential to maintain citizens’ trust in the management and protection of their personal data.