PRIVACY DAILY 94/2023

La Guardia Civil fa marcia indietro sulla banca dati Toletum, mentre l’Autorità garante spagnola apre un fascicolo sul caso. “La questione ‘Toletum’ è nelle mani dell’Agenzia per la protezione dei dati e del dipartimento di protezione dei dati della Guardia Civil”. Questa è la laconica risposta del Comando della Guardia Civil di Toledo alla stampa. Al contrario, l’Asociación Escala Suboficiales de la Guardia Civil (Asesgc) ha assicurato che “Toletum” ha cessato di essere utilizzato esattamente un mese fa, quattordici giorni dopo che era stata pubblicata la notizia dell’uso di questo database “non dichiarato”. Conteneva, ad esempio, dati personali di guardie civili e di persone estranee alle forze armate, come le vittime di violenza di genere o i loro aggressori nella provincia. Anche l’AEPD ha effettuato questa settimana un controllo presso il Comando di Toledo, secondo quanto riportato dall’Asesgc, che descrive la banca dati come “clandestina”. Agli agenti autorizzati – circa un centinaio – è stato ordinato di caricare quotidianamente informazioni dall’archivio ufficiale automatizzato e protetto noto come “SIGO” (Sistema Integrado de Gestión Operativa). Queste guardie civili dovevano essere accreditate dal Comando Operativo. Tuttavia, il capo del Comando di Toledo un mese e mezzo fa ha dichiarato che “Toletum” non era “in alcun modo clandestino”, poiché “è ospitato sul server informatico” del comando. “Toletum”, sempre secondo il Comando, era stato creato “con un’applicazione ufficiale per i computer della Guardia Civil e dispone di amministratori, gruppi e permessi di accesso”. Ma il caso è stato portato all’attenzione dell’AEPD. Oltre alla verifica effettuata questa settimana , il delegato alla protezione dei dati della Direzione generale della Guardia Civil aveva già comunicato alle unità del comando che ‘Toletum’ era “temporaneamente sospeso” e il suo utilizzo era vietato da metà marzo, secondo fonti dell’Asesgc. Stando a quanto contestato dalle associazioni di dipendenti della Guardia Civil, l’applicazione “Toletum” era in funzione dal 2016 ed era stata creata come nuova banca dati “senza le relative autorizzazioni”.

LloydsPharmacy ha condiviso con TikTok e Facebook i dati dei clienti relativi ad acquisti sensibili, al fine di fornire loro informazioni per i loro sistemi di pubblicità mirata. Lo ha rivelato un’indagine congiunta del Guardian e di Radio Svezia. L’azienda è una delle centinaia di farmacie online che hanno utilizzato minuscoli pezzi di codice informatico in grado di condividere i dati personali con i giganti tecnologici, compresi nomi e numeri di telefono. I siti web contenevano “pixel” pubblicitari incorporati nella pagina di pagamento. In altri casi i pixel sono stati inseriti nei risultati di ricerca, dando ai social network accesso ai sintomi specifici degli utenti. Un test ha visto i pixel raccogliere i termini di ricerca esatti inseriti sul sito di Lloyds così come i prodotti specifici aggiunti al carrello. Tra questi, il viagra, la crema per il mughetto e un test per la clamidia. Monitorando il traffico di rete, è stato possibile vedere questi termini inviati alle società di social media. Durante il processo di acquisto, i pixel di tracciamento di Facebook e TikTok hanno raccolto l’indirizzo e-mail dell’utente. Lloyds ha anche inviato a Facebook il nome e il cognome dell’utente, mentre a TikTok il numero di telefono. In nessun momento è stato dato il consenso esplicito per la condivisione delle informazioni e non c’era alcuna opzione per disattivare la trasmissione nell’informativa sui cookie. Più di 200 farmacie in tutta Europa hanno pixel pubblicitari di Facebook, TikTok o di entrambi e potrebbero condividere con i social network le e-mail dei clienti e altri dati di identificazione personale. Ma da un attento esame delle farmacie più grandi è emerso che solo Lloyds inviava informazioni mediche sensibili, oltre a dati di identificazione personale, a TikTok. Poco dopo essere stata contattata per un commento, Lloyds ha rimosso completamente il pixel di TikTok dal suo sito web, mentre il pixel di Facebook è stato aggiornato per funzionare solo dopo che l’utente accetta i cookie. La farmacia afferma che questo non era collegato alle indagini e che è stato invece indotto da un cambiamento nelle disposizioni informatiche.

 L’impiego di tecniche di riconoscimento facciale da parte della polizia sollevano polemiche nella politica irlandese. Questa proposta è stata sottoposta all’esame dell’Oireachtas (parlamento irlandese) come parte del disegno di legge sulle videocamere della Garda (la polizia irlandese). Il Ministro della Giustizia Simon Harris spinge per la sua introduzione. Tuttavia, questa settimana il “ministro junior” Ossian Smyth ha dichiarato che il partito dei Verdi è contrario all’aggiunta dell’FRT al disegno di legge. Il portavoce del Partito Laburista per la Giustizia, Aodhan O Riordain, ha dichiarato che il Ministro Harris deve fare marcia indietro sui piani per forzare l’emendamento. “Il Consiglio irlandese per le libertà civili ha messo in guardia sul modo in cui questa sorveglianza di massa può essere usata per tracciare una mappa dettagliata dell’identità e delle attività di una persona, e ci sono serie preoccupazioni riguardo all’accuratezza e alla parzialità”, ha dichiarato, aggiungendo: “Nonostante alcune preoccupazioni sulle bodycam, sosteniamo l’attuale legislazione, ma per quanto riguarda il riconoscimento facciale, non siamo ancora convinti che sia il momento giusto per introdurre questo strumento incredibilmente potente, quando non c’è stata alcuna consultazione o scrutinio pubblico”. Il commissario della Garda Drew Harris ha precedentemente accolto con favore i piani per l’introduzione della tecnologia di riconoscimento facciale. L’ufficiale più anziano d’Irlanda ha detto che la nuova misura aiuterà gli agenti ad affrontare questioni serie come le minacce alla sicurezza nazionale e i bambini scomparsi. “Si tratta di uno strumento molto necessario per la polizia moderna, dal momento che molte delle nostre informazioni ci giungono in forma digitale” ha affermato. “Il disegno di legge nel suo complesso è assolutamente essenziale per quanto riguarda il modo in cui riceviamo le informazioni in formato digitale, come le conserviamo e come le prepariamo per i tribunali”.

English version

The Guardia Civil backtracks on the Toletum database, while the Spanish Data Protection Authority opens a file on the case. “The ‘Toletum’ issue is in the hands of the Data Protection Agency and the Guardia Civil’s data protection department”. This is the laconic response of the Toledo Guardia Civil Command to the press. On the contrary, the Asociación Escala Suboficiales de la Guardia Civil (Asesgc) assured that ‘Toletum’ ceased to be used exactly one month ago, fourteen days after news of the use of this ‘undeclared’ database was published. It contained, for instance, personal data of civilian guards and people outside the armed forces, such as victims of gender violence or their attackers in the province. The AEPD also carried out a check at the Toledo Command this week, according to the Asesgc, which describes the database as ‘clandestine’. Authorised agents – about a hundred of them – were ordered to upload daily information from the automated and protected official archive known as ‘SIGO’ (Sistema Integrado de Gestión Operativa). These civil guards were to be accredited by the Operational Command. However, the head of the Toledo Command declared a month and a half ago that ‘Toletum’ was ‘in no way clandestine’, since it ‘is hosted on the command’s computer server’. ‘Toletum’, again according to the Command, had been created ‘with an official application for Guardia Civil computers and has administrators, groups and access permissions’. But the case was brought to the attention of the AEPD. In addition to the audit carried out this week, the data protection delegate of the General Directorate of the Guardia Civil had already informed the units of the command that ‘Toletum’ was ‘temporarily suspended’ and its use was forbidden since mid-March, according to sources at the Asesgc. According to the Guardia Civil employee associations, the ‘Toletum’ application had been in operation since 2016 and had been created as a new database ‘without the relevant authorisations’.

LloydsPharmacy shared customer data on sensitive purchases with TikTok and Facebook in order to provide them with information for their targeted advertising systems. This was revealed in a joint investigation by the Guardian and Radio Sweden. The company is one of hundreds of online pharmacies that used tiny pieces of computer code to share personal data with the tech giants, including names and phone numbers. The websites contained advertising ‘pixels’ embedded in the payment page. In other cases, pixels were embedded in search results, giving social networks access to users’ specific symptoms. One test saw the pixels collect the exact search terms entered on Lloyds’ website as well as the specific products added to the shopping cart. These included viagra, thrush cream and a chlamydia test. By monitoring network traffic, it was possible to see these terms sent to social media companies. During the purchase process, tracking pixels from Facebook and TikTok collected the user’s e-mail address. Lloyds also sent Facebook the user’s first and last name and TikTok the phone number. At no time was explicit consent given for the information to be shared and there was no option to deactivate the transmission in the cookie policy. More than 200 pharmacies across Europe have advertising pixels from Facebook, TikTok or both, and could share customer e-mails and other personally identifiable data with the social networks. But a close examination of the larger pharmacies revealed that only Lloyds was sending sensitive medical information, as well as personally identifiable data, to TikTok. Shortly after being contacted for comment, Lloyds completely removed the TikTok pixel from its website, while the Facebook pixel was updated to work only after the user accepts cookies. The pharmacy states that this was unrelated to the investigation and was instead prompted by a change in IT arrangements.

The use of facial recognition techniques by the police raises controversy in Irish politics. This proposal has been submitted to the Oireachtas (Irish Parliament) for consideration as part of the Garda (Irish police) Camera Bill. Justice Minister Simon Harris is pushing for its introduction. However, ‘junior minister’ Ossian Smyth stated this week that the Green Party is against the addition of the FRT to the bill. Labour Party spokesperson for Justice, Aodhan O Riordain, said that Minister Harris must backtrack on plans to force the amendment. “The Irish Council for Civil Liberties has warned about the way in which this mass surveillance can be used to map out a person’s identity and activities in detail, and there are serious concerns about accuracy and bias,” he said, adding, “Despite some concerns about bodycams, we support the current legislation, but with regard to facial recognition, we are not yet convinced that it is the right time to introduce this incredibly powerful tool, when there has been no public consultation or scrutiny.” Garda Commissioner Drew Harris has previously welcomed plans to introduce facial recognition technology. Ireland’s most senior officer said the new measure will help officers deal with serious issues such as national security threats and missing children. “This is a very necessary tool for modern policing as much of our information comes to us digitally,” he said. “The bill as a whole is absolutely essential in terms of how we receive information digitally, how we store it and how we prepare it for the courts.”

PRIVACY DAILY 92/2023

Microsoft dovrebbe sospendere il suo investimento in un nuovo data center cloud in Arabia Saudita fino a quando non sarà in grado di dimostrare chiaramente come mitigherà il rischio di gravi violazioni dei diritti umani. Lo ha dichiarato Human Rights Watch. Nel febbraio 2023, Microsoft ha annunciato l’intenzione di investire in un data center in Arabia Saudita per offrire servizi cloud aziendali, nonostante il governo abbia compiuto più volte operazioni di infiltrazione nelle piattaforme tecnologiche e nonostante la continua repressione interna. Secondo HRW, le leggi dell’Arabia Saudita minano gravemente il diritto alla privacy, consentono una sorveglianza statale incontrollata e permettono di accedere ai dati per “motivi di sicurezza” troppo ampi e mal definiti, sollevando serie preoccupazioni sulla capacità di Microsoft di rispettare le proprie responsabilità in materia di diritti umani mentre opera nel Paese. “Le autorità saudite hanno violato gravemente il diritto alla privacy dei propri cittadini violando i telefoni, infiltrandosi nelle principali aziende tecnologiche e approvando leggi che concedono ampi poteri di sorveglianza agli enti governativi”, ha dichiarato Arvind Ganesan, direttore per la giustizia economica e i diritti umani di Human Rights Watch. “Microsoft non dovrebbe chiudere gli occhi di fronte agli abusi dell’Arabia Saudita e dovrebbe sospendere gli investimenti fino a quando l’azienda non sarà in grado di spiegare in modo significativo come mitigherà i rischi per i diritti umani”. Human Rights Watch ha scritto a Microsoft già nel febbraio 2023 evidenziando queste preoccupazioni e Microsoft ha risposto sottolineando il proprio impegno nell’implementare i Trusted Cloud Principles e l’approccio adottato per la gestione di data center in Paesi o regioni con problemi di diritti umani, ma ha chiesto che le sue risposte rimanessero ufficiose. I Trusted Cloud Principles (iniziativa dei giganti tecnologici globali) sostengono le leggi che consentono ai governi di richiedere i dati attraverso un processo trasparente che rispetti lo stato di diritto e gli standard dei diritti umani riconosciuti a livello internazionale. Secondo HRW, le leggi e le pratiche dell’Arabia Saudita sono molto al di sotto degli standard internazionali sui diritti umani e degli standard delineati nei Trusted Cloud Principles di Microsoft.

L’Autorità Austriaca per la protezione dei dati (DSB) ha stabilito che i lettori possono dire specificamente “sì” o “no” ai cookie paywall. Lo ha annunciato NOYB. Questo gruppo per i diritti civili sulla privacy digitale ha presentato una serie di reclami contro i cookie paywall di sette siti web di notizie tedeschi e austriaci nel 2021. L’autorità austriaca per la protezione dei dati ha raggiunto una decisione sul reclamo contro il giornale austriaco derStandard.at alla fine di marzo, mentre le decisioni delle autorità tedesche sono ancora in sospeso. SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at e t-online.de sono stati accusati di aver implementato una soluzione “pay or okay”. Questo cookie paywall chiede agli utenti di acconsentire alla condivisione dei dati con le società di tracciamento o di pagare per un abbonamento senza tracciamento. Secondo NOYB, il problema principale è il costo sproporzionato tra le spese di abbonamento e la condivisione dei dati. All’epoca in cui NOYB ha presentato la denuncia, derStandard.at faceva pagare l’abbonamento senza tracciamento “Pur-Abo” 96 euro all’anno. Il gruppo per i diritti civili ritiene che, al contrario, si ricavi dalla pubblicità sarebbero più contenuti. “Se lo permettiamo, insistere sul proprio diritto fondamentale costerà semplicemente da 10 a 100 volte di più, tanto vale abolirlo. È affascinante che il DSB ignori qualsiasi affermazione in tal senso”, ha dichiarato Max Schrems, attivista austriaco per la privacy e fondatore di NOYB. Gli editori, tuttavia, hanno sottolineato che i servizi dei media sono servizi giornalistici e che i paywall migliorano la monetizzazione dei contenuti e quindi finanziano il giornalismo.

New York vorrebbe vietare alle aziende (dagli stadi ai negozi al dettaglio) di utilizzare il riconoscimento facciale o altre tecnologie di sorveglianza per identificare i clienti. Lo rivela Bloomberg. La proposta sarà presentata ufficialmente alla riunione del Consiglio comunale di New York il 27 aprile, dopo essere stata esaminata dalla Commissione per la tecnologia due giorni prima. L’idea nasce a seguito delle polemiche scaturite da una politica della Madison Square Garden Entertainment Corp. che ha vietato ad alcuni avvocati l’accesso alle sue sedi, tra cui il Radio City Music Hall e il Madison Square Garden. Gli avvocati lavoravano per studi coinvolti in controversie attive contro la società. MSG ha applicato questa politica utilizzando il riconoscimento facciale, scatenando un’ondata di proteste da parte dell’opinione pubblica che ha portato a una causa contro MSG e a indagini da parte del procuratore generale di New York. La consigliera comunale Shahana Hanif è la promotrice della proposta che renderebbe “illegale” l’uso di tecnologie di riconoscimento biometrico per l’identificazione dei clienti da parte di luoghi di pubblico esercizio. “La mia esperienza di newyorkese musulmana cresciuta nell’era della sorveglianza dopo l’11 settembre mi ha costretto a prestare attenzione a come l’eccessiva sorveglianza e la tecnologia invasiva possano essere usate per discriminare i newyorkesi di colore”, ha scritto Hanif in una dichiarazione a Bloomberg Law. “I recenti eventi al Madison Square Garden sono un esempio di alto profilo delle inevitabili violazioni della libertà civile che si verificano quando i nostri governi permettono alle aziende private di utilizzare questi strumenti”, ha aggiunto. Le aziende potrebbero essere ritenute responsabili di danni fino a 5.000 dollari per ogni violazione della legge. La proposta di Hanif modificherebbe le disposizioni comunali entrate in vigore nel luglio 2021 che impongono a tutti gli esercizi commerciali che raccolgono dati biometrici di rendere nota questa pratica con una segnaletica “chiara e visibile” in prossimità degli ingressi.

English version

Microsoft should suspend its investment in a new cloud data centre in Saudi Arabia until it can clearly demonstrate how it will mitigate the risk of serious human rights violations. This was stated by Human Rights Watch. In February 2023, Microsoft announced plans to invest in a data centre in Saudi Arabia to offer corporate cloud services, despite the government’s repeated infiltration of technology platforms and despite ongoing internal repression. According to HRW, Saudi Arabia’s laws severely undermine the right to privacy, allow unchecked state surveillance, and allow access to data for overly broad and ill-defined ‘security reasons’, raising serious concerns about Microsoft’s ability to fulfil its human rights responsibilities while operating in the country. “Saudi authorities have grossly violated their citizens’ right to privacy by hacking phones, infiltrating major tech companies, and passing laws that grant broad surveillance powers to government agencies,” said Arvind Ganesan, economic justice and human rights director at Human Rights Watch. “Microsoft should not turn a blind eye to Saudi Arabia’s abuses and should suspend investments until the company can meaningfully explain how it will mitigate human rights risks.” Human Rights Watch wrote to Microsoft as early as February 2023 highlighting these concerns, and Microsoft responded by emphasising its commitment to implementing the Trusted Cloud Principles and its approach to operating data centres in countries or regions with human rights concerns, but asked that its response remain unofficial. The Trusted Cloud Principles (an initiative of global technology giants) support laws that allow governments to request data through a transparent process that respects the rule of law and internationally recognised human rights standards. According to HRW, Saudi Arabia’s laws and practices fall far short of international human rights standards and the standards outlined in Microsoft’s Trusted Cloud Principles.

The Austrian Data Protection Authority (DSB) has ruled that readers can specifically say ‘yes’ or ‘no’ to paywall cookies. This was announced by NOYB. This digital privacy civil rights group filed a series of complaints against the cookie paywalls of seven German and Austrian news websites in 2021. The Austrian data protection authority reached a decision on the complaint against the Austrian newspaper derStandard.at at the end of March, while the decisions of the German authorities are still pending. SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at and t-online.de were accused of implementing a ‘pay or okay’ solution. This paywall cookie asks users to agree to data sharing with tracking companies or to pay for a subscription without tracking. According to NOYB, the main problem is the disproportionate cost between subscription fees and data sharing. At the time NOYB filed its complaint, derStandard.at was charging EUR 96 per year for the ‘Pur-Abo’ non-tracking subscription. The civil rights group believes that, on the contrary, revenues from advertising would be lower. “If we allow it, insisting on one’s fundamental right will simply cost 10 to 100 times more, we might as well abolish it. It is fascinating that the DSB ignores any such claim,’ said Max Schrems, Austrian privacy activist and founder of NOYB. Publishers, however, pointed out that media services are journalistic services and that paywalls improve monetisation of content and thus finance journalism.

New York would like to ban companies (from stadiums to retail shops) from using facial recognition or other surveillance technologies to identify customers. This was revealed by Bloomberg. The proposal will be officially presented at the New York City Council meeting on 27 April, after being considered by the Technology Commission two days earlier. The idea comes in the wake of controversy over a Madison Square Garden Entertainment Corp. policy that banned some lawyers from its venues, including Radio City Music Hall and Madison Square Garden. The lawyers worked for firms involved in active litigation against the company. MSG enforced this policy using facial recognition, triggering a wave of public outcry that led to a lawsuit against MSG and investigations by the New York Attorney General. City Councillor Shahana Hanif is the initiator of the proposal that would make the use of biometric recognition technology for customer identification by places of public business ‘illegal’. “My experience as a Muslim New Yorker growing up in the post-9/11 era of surveillance has forced me to pay attention to how excessive surveillance and invasive technology can be used to discriminate against New Yorkers of colour,” Hanif wrote in a statement to Bloomberg Law. “The recent events at Madison Square Garden are a high-profile example of the inevitable civil liberty violations that occur when our governments allow private companies to use these tools,” he added. Companies could be held liable for damages of up to $5,000 for each violation of the law. Hanif’s proposal would amend municipal regulations that came into effect in July 2021 requiring all businesses that collect biometric data to disclose this practice with ‘clear and visible’ signage near entrances.

PRIVACY DAILY 88/2023

Le istituzioni dell’Unione Europea si tengono alla larga dalle spunte blu di Twitter. Secondo i servizi stampa delle istituzioni, la Commissione europea e il Parlamento europeo non intendono pagare Twitter per far verificare le centinaia di account ufficiali dell’UE, tra cui quelli della Presidente della Commissione Ursula von der Leyen e della Presidente del Parlamento Roberta Metsola, nell’ambito del programma “Twitter Blue”. Invertendo una precedente politica che mirava a limitare la disinformazione, Twitter ha dichiarato che questo mese rimuoverà i controlli blu tradizionali che certificavano l’autenticità degli account di funzionari governativi, giornalisti e personaggi pubblici, a meno che non paghino. Nel frattempo, anche tutti gli utenti potrebbero presto abbonarsi per ottenere la tanto agognata spunta blu. Annunciato nel novembre 2022 dopo l’acquisto della piattaforma da parte di Elon Musk, il piano ha suscitato il timore che possa provocare un’ondata di account falsi e un aumento dei messaggi falsi. La Data Protection Commission irlandese ha anche avvertito che il programma di verifica a pagamento potrebbe potenzialmente violare il GDPR. Sia la Commissione che il Parlamento hanno dichiarato di “monitorare costantemente l’eventuale uso improprio o impersonificazione” degli account delle loro istituzioni sui social network. Un portavoce della Commissione ha aggiunto che è stata prestata particolare attenzione a “diversi account di alto valore della Commissione (in particolare dei Commissari)” e che avrebbero segnalato potenziali impersonificazioni alle piattaforme.  Dopo aver inviato a febbraio un elenco di oltre 350 account di funzionari e organizzazioni delle istituzioni europee, Twitter ha assegnato un segno di spunta grigio alla maggior parte dei 175 account ufficiali della Commissione, ha dichiarato un portavoce della Commissione. Anche alla maggior parte dei 60 account dei servizi stampa del Parlamento è stata assegnata la spunta grigia, prevista per gli account governativi. Negli Stati Uniti, la Casa Bianca ha dichiarato in precedenza che non avrebbe optato per il nuovo programma di spunta blu.

In Australia la legge sulla privacy incontra ancora opposizioni. Le aziende del settore dei media hanno criticato la proposta di riforma della legge australiana sulla privacy, avvertendo che le modifiche non sono di interesse pubblico e danneggerebbero la libertà di stampa. La coalizione Right to Know avverte che la proposta presentata a febbraio, avrebbe “un impatto devastante sulla libertà di stampa e sul giornalismo in Australia senza alcuna necessità o beneficio chiaramente definiti”. La coalizione comprende il Guardian, News Corp, Nine, AAP, Free TV Australia, il sindacato dei media e le emittenti pubbliche ABC e SBS. La proposta chiede che gli australiani ottengano un maggiore controllo sulle loro informazioni personali, compresa la possibilità di scegliere di non ricevere annunci pubblicitari mirati, di cancellare i propri dati e di fare causa per gravi violazioni della privacy. La coalizione del Right to Know sostiene inoltre che ciò “comporterà un onere significativo per i tribunali e l’industria” e “andrà principalmente a beneficio di individui ricchi e di alto profilo”. La stessa ha aggiunto anche che l’impatto sarebbe maggiore sulle organizzazioni mediatiche più piccole, che dovrebbero ridurre le notizie per adeguarsi. “In alcune proposte c’è il serio pericolo che il giornalismo sia esposto a sfide legali costose e lunghe”. Il Dipartimento di Giustizia ha proposto che le aziende del settore dei media siano tenute a rispettare l’obbligo di proteggere e distruggere le informazioni private e siano obbligate a notificare le persone interessate nell’ambito del sistema di notifica delle violazioni dei dati. Il Dipartimento ha inoltre proposto che l’Office of the Australian Information Commissioner crei “criteri per adeguati standard di privacy dei media e un modello” che le aziende del settore possano adottare. Inoltre, l’OAIC dovrebbe ottenere maggiori poteri per condurre indagini e adottare sanzioni.

La polizia del Galles meridionale aveva sospeso l’uso della tecnologia di riconoscimento facciale per timori di discriminazione, ma ha dichiarato che ora la utilizzerà di nuovo. Nel 2020, infatti, la Corte d’Appello aveva sancito una violazione del diritto alla privacy da parte della Polizia del Galles del Sud, nonché delle leggi sulla protezione dei dati e sull’uguaglianza attraverso l’uso di questa tecnologia. Ora, però, la Polizia ha dichiarato che è stato stabilito un codice di condotta per definire gli obblighi della forza. Vi sarebbero “discrepanze minime” per razza e sesso quando la tecnologia viene utilizzata in determinati contesti. Addirittura, la tecnologia potrebbe distinguere tra gemelli identici. Tutto ciò secondo un rapporto commissionato dalla Polizia del Galles del Sud e dalla Polizia Metropolitana. Ma i gruppi per i diritti umani hanno avvertito che la tecnologia non dovrebbe trovare posto in una democrazia. Madeleine Stone, responsabile legale e politico di Big Brother Watch, ha dichiarato: “Questa tecnologia orwelliana può essere utilizzata in Cina e in Russia, ma non trova posto nelle forze di polizia britanniche”, aggiungendo che “alla luce delle ripetute scoperte di razzismo e sessismo istituzionale all’interno della polizia, le forze dell’ordine non dovrebbero assolutamente utilizzare questa tecnologia discriminatoria”. Lindsey Chiswick, direttore dell’intelligence della Met, ha però dichiarato: “Sappiamo che, nell’impostazione in cui l’abbiamo utilizzata, le prestazioni sono identiche per razza e sesso e la possibilità di un falso riscontro è solo una su 6.000 persone che passano davanti alla telecamera. Tutte le corrispondenze vengono esaminate manualmente da un agente. Se l’agente ritiene che si tratti di una corrispondenza, seguirà una conversazione per verificare”.

English version

The European Union institutions are staying away from Twitter’s blue checks. According to the institutions’ press services, the European Commission and the European Parliament do not intend to pay Twitter to have hundreds of official EU accounts, including those of Commission President Ursula von der Leyen and Parliament Speaker Roberta Metsola, verified under the “Twitter Blue” program. Reversing a previous policy aimed at curbing disinformation, Twitter said this month it will remove traditional blue checks that certified the authenticity of accounts of government officials, journalists and public figures unless they pay. Meanwhile, all users could also soon subscribe to get the coveted blue checkmark. Announced in November 2022 after Elon Musk’s purchase of the platform, the plan has raised fears that it could result in a wave of fake accounts and an increase in fake messages. The Irish Data Protection Commission also warned that the paid verification program could potentially violate the GDPR. Both the Commission and Parliament said they are “constantly monitoring the possible misuse or impersonation” of their institutions’ social media accounts. A Commission spokesperson added that special attention was being paid to “several high-value Commission accounts (particularly of Commissioners)” and that they would report potential impersonations to the platforms. After sending a list of more than 350 accounts of officials and organizations in the European institutions in February, Twitter assigned a gray check mark to most of the Commission’s 175 official accounts, a Commission spokesman said. Most of the 60 accounts of the Parliament’s press services were also assigned a gray checkmark, which is expected for government accounts. In the United States, the White House has previously stated that it would not opt into the new blue tick program.

In Australia, the privacy law still faces opposition. Media companies have criticized the proposed reform of Australia’s privacy law, warning that the changes are not in the public interest and would harm press freedom. The Right to Know coalition warns that the proposal submitted in February, would “have a devastating impact on press freedom and journalism in Australia without any clearly defined need or benefit.” The coalition includes the Guardian, News Corp, Nine, AAP, Free TV Australia, the media union, and public broadcasters ABC and SBS. The proposal calls for Australians to gain greater control over their personal information, including the ability to opt out of targeted advertisements, delete their data and sue for serious privacy violations. The Right to Know coalition also argues that this “will place a significant burden on the courts and industry” and “will primarily benefit wealthy and high-profile individuals.” She also added that the impact would be greatest on smaller media organizations, which would have to cut back on news to comply. “There is a serious danger in some proposals that journalism will be exposed to costly and time-consuming legal challenges.” The Justice Department has proposed that media companies be required to comply with the obligation to protect and destroy private information and be required to notify affected individuals under the data breach notification system. The Department also proposed that the Office of the Australian Information Commissioner create “criteria for appropriate media privacy standards and a template” for media companies to adopt. In addition, the OAIC should be given more powers to conduct investigations and adopt sanctions.

South Wales Police had suspended the use of facial recognition technology over concerns of discrimination, but said it would now use it again. In 2020, in fact, the Court of Appeal had ruled a violation of privacy rights by the South Wales Police, as well as data protection and equality laws through the use of this technology. Now, however, the Police said a code of conduct had been established to define the force’s obligations. There would be “minimal discrepancies” by race and gender when the technology is used in certain contexts. Even, the technology could distinguish between identical twins. All this according to a report commissioned by the South Wales Police and the Metropolitan Police. But human rights groups have warned that technology should have no place in a democracy. Madeleine Stone, legal and policy director of Big Brother Watch, said, “This Orwellian technology may be used in China and Russia, but it has no place in British police forces,” adding that “in light of the repeated findings of institutional racism and sexism within the police, law enforcement agencies should definitely not use this discriminatory technology.” Lindsey Chiswick, director of intelligence at the Met, however, said, “We know that in the setting in which we have used it, the performances are identical by race and gender, and the chance of a false match is only one in 6,000 people who pass in front of the camera. All matches are manually reviewed by an agent. If the agent believes it is a match, a conversation will follow to verify.”

PRIVACY DAILY 71/2023

Amazon è stata citata in giudizio per non aver avvisato i suoi clienti di New York City che erano monitorati dalla tecnologia di riconoscimento facciale. La class action ha preso di mira i minimarket Amazon Go, contestando che la tecnologia fosse stata impiegata senza previo avvertimento. Grazie a una legge del 2021, New York è l’unica grande città americana a richiedere alle aziende di affiggere cartelli che indichino se stanno trattando le informazioni biometriche dei clienti, come le scansioni facciali o le impronte digitali. Amazon ha aperto i negozi Go nel 2018, promettendo che i clienti potevano entrare, prendere i prodotti che volevano dagli scaffali e andarsene senza fare il check-out. L’azienda monitora le azioni dei visitatori e addebita i loro conti quando lasciano il negozio. Così la società ha aperto la sua prima sede a New York e, secondo il suo sito web, ad oggi ha 10 negozi, tutti a Manhattan. Per rendere possibile la formula “Just Walk Out”, i negozi Amazon Go raccolgono e utilizzano costantemente informazioni biometriche dei clienti, tra cui la scansione dei palmi delle mani e applicazioni di computer vision per identificarli, algoritmi di deep learning e sensori che misurano la forma e le dimensioni del corpo di ciascun cliente non solo per identificarlo, ma anche per tracciarne gli spostamenti all’interno dei negozi e determinare ciò che ha acquistato. Tuttavia, stando al contenuto dell’atto di citazione, Amazon ha affisso solo di recente dei cartelli che informano i clienti di New York dell’uso della tecnologia di riconoscimento facciale, più di un anno dopo l’entrata in vigore della legge del 2021.

L’Health Industry è sollecitata a proteggere i dati mentre si diffondono i cyberattacchi. L’ondata di attacchi informatici ai sistemi sanitari sottolinea la necessità di rivalutare costantemente i controlli di sicurezza per ridurre al minimo il rischio che gli hacker ottengano i dati dei pazienti attraverso truffe, phishing e altri metodi di data infiltration. Negli Stati Uniti, l’ufficio federale competente si sta facendo carico di un importante lavoro sulla sicurezza informatica e, proprio per questo, aggiungerà “data and cybersecurity” al nome della sua divisione per la privacy delle informazioni sanitarie. L’80% dei grandi data breach è riconducibile ad attacchi informatici. Il numero di violazioni di dati che coinvolgono dati sanitari non protetti di 500 o più individui è salito a più di 600 all’anno nel 2020 e nel 2021, una tendenza che secondo l’OCR sta continuando. Gli aggressori che tentano di diffondere il ransomware spesso si concentrano sul settore sanitario, proprio perché le organizzazioni sanitarie detengono molti dati sensibili sulle persone, sia che si tratti di informazioni demografiche, che di informazioni mediche sensibili e, naturalmente, di informazioni finanziarie. L’aumento degli hackeraggi riflette in parte la maggiore digitalizzazione dei dati sanitari, un cambiamento gradito per un settore che all’inizio del XXI secolo ancora si basava su registri cartacei e fax. Con l’aumento della digitalizzazione diventa più facile per i sistemi sanitari parlare tra loro e scambiare informazioni. Ma questo può creare anche maggiori opportunità per gli attori malintenzionati di cercare di infiltrarsi in questi sistemi e nelle comunicazioni.

La polizia lussemburghese sarà dotata di bodycam. Stando alla proposta di legge numero 8065, 1.682 agenti di polizia saranno dotati di queste telecamere e a tale scopo sono stati stanziati sei milioni di euro per i prossimi cinque anni. Sul punto ha preso posizione anche la Commissione consultiva per i diritti umani, la quale si è dichiarata favorevole all’iniziativa. A differenza delle telecamere che sorvegliano lo spazio pubblico, le bodycam riprenderanno anche gli spazi privati, ad esempio quando la polizia viene chiamata in un appartamento. In termini di diritti umani e protezione dei dati, la situazione è più complessa. “Non vogliamo una situazione come quella cinese”, ha spiegato Gilbert Pregno, presidente della Commissione. Le telecamere dovrebbero avere un effetto preventivo e preservare le prove quando gli agenti di polizia vengono aggrediti. In particolare, il governo considera le bodycam come un mezzo per proteggere gli agenti di polizia da attacchi da parte del pubblico. “Il lavoro della polizia non è diventato più facile negli ultimi anni”, ha affermato Gilbert Pregno. È importante poter dimostrare, in caso di controversia, che gli agenti hanno seguito le regole, in quanto le bodycam sono una “protezione per la polizia”. Ovviamente ci sono delle condizioni specifiche di utilizzo: la legge limita l’uso delle bodycam al di fuori dello spazio pubblico. Pertanto, un agente di polizia dovrebbe registrare immagini con la sua bodycam solo se qualcuno chiede aiuto o in situazioni di violenza domestica, nonché in caso di flagranza di reato o quando ci sono indizi che un reato sta per essere commesso.

English version

Amazon was sued for failing to warn its New York City customers that they were being monitored by facial recognition technology. The class action targeted Amazon Go convenience stores, alleging that the technology was deployed without prior warning. Thanks to a 2021 law, New York City is the only major US city to require businesses to post signs indicating whether they are processing customers’ biometric information, such as facial scans or fingerprints. Amazon opened Go shops in 2018, promising that customers could walk in, grab the products they wanted from the shelves and leave without checking out. The company monitors visitors’ actions and charges their accounts when they leave the shop. So the company opened its first location in New York and, according to its website, has 10 shops to date, all in Manhattan. To make the ‘Just Walk Out’ formula possible, Amazon Go shops constantly collect and use biometric information from customers, including palm scanning and computer vision applications to identify them, deep learning algorithms, and sensors that measure the shape and size of each customer’s body not only to identify them, but also to track their movements within the shops and determine what they have purchased. However, according to the contents of the lawsuit, Amazon has only recently posted signs informing New York customers of the use of facial recognition technology, more than a year after the 2021 law takes effect.

The health industry is urged to protect data as cyber attacks spread. The wave of cyber attacks on healthcare systems underlines the need to constantly reassess security controls to minimise the risk of hackers obtaining patient data through scams, phishing and other data infiltration methods. In the United States, the relevant federal office is taking on major work on cybersecurity, and is adding ‘data and cybersecurity’ to the name of its health information privacy division. Eighty per cent of large data breaches are attributable to cyber attacks. The number of data breaches involving unprotected health data of 500 or more individuals rose to more than 600 per year in 2020 and 2021, a trend that OCR says is continuing. Attackers attempting to spread ransomware often focus on the healthcare sector, precisely because healthcare organisations hold a lot of sensitive data on individuals, be it demographic information, sensitive medical information and, of course, financial information. The increase in hacks partly reflects the increased digitisation of healthcare data, a welcome change for an industry that still relied on paper records and faxes at the beginning of the 21st century. As digitisation increases, it becomes easier for health systems to talk to each other and exchange information. But this can also create more opportunities for malicious actors to try to infiltrate these systems and communications.

The Luxembourg police will be equipped with bodycams. According to bill number 8065, 1,682 police officers will be equipped with these cameras and six million euros have been allocated for this purpose for the next five years. The Advisory Commission on Human Rights has also taken a stand on the issue, which has declared itself in favour of the initiative. Unlike cameras that monitor public space, bodycams will also film private spaces, for example when the police are called to a flat. In terms of human rights and data protection, the situation is more complex. “We do not want a situation like the one in China,” explained Gilbert Pregno, chairman of the Commission. Cameras should have a preventive effect and preserve evidence when police officers are attacked. In particular, the government sees bodycams as a means to protect police officers from attacks by the public. ‘Police work has not become any easier in recent years,’ said Gilbert Pregno. It is important to be able to prove in the event of a dispute that the officers followed the rules, as bodycams are a ‘police protection’. Of course there are specific conditions of use: the law restricts the use of bodycams outside public space. Therefore, a police officer should only record images with his bodycam if someone calls for help or in situations of domestic violence, as well as in cases of flagrante delicto or when there are indications that a crime is about to be committed.

PRIVACY DAILY 68/2023

Le ferrovie svizzere (FFS) hanno deciso di non adottare sensori aumentati per analizzare il flusso di persone. Si tratta di un’importante vittoria per i sostenitori della privacy in Svizzera. Le FFS abbandoneranno l’analisi del flusso di persone nelle stazioni in base all’età, all’altezza e al sesso. La decisione, annunciata durante la conferenza stampa annuale dell’azienda, è stata motivata dalle preoccupazioni dell’opinione pubblica in seguito alla pubblicazione di un articolo sulla rivista K-Tipp. Questa rivista di lingua tedesca aveva rivelato l’esistenza di una gara d’appalto indetta dalle FFS per un nuovo sistema di analisi dei flussi di passeggeri di cui si sarebbero dovute dotare una cinquantina di stazioni nei prossimi anni. Secondo K-Tipp, le FFS volevano utilizzare telecamere aumentate da un software di riconoscimento facciale, cosa che l’azienda ha poi formalmente smentito. Sebbene l’intenzione delle FFS di ottenere dati biometrici sui passeggeri nelle stazioni non sia provata, il bando di gara privilegiava i sensori di conteggio per ottenere informazioni come età, sesso e altezza delle persone. Si tratta di dati che appartengono al campo della “biometria soft”, cioè di caratteristiche che, prese singolarmente, non permettono di identificare una persona. Ma se incrociati con altri elementi, possono essere utilizzati per affinare tale profilazione. Dopo settimane di polemiche, la direzione delle FFS ha finalmente deciso di analizzare la gara d’appalto ed è giunta alla conclusione che questi requisiti non sono necessari per misurare il numero di passeggeri. L’obiettivo è rendere le stazioni più confortevoli e sicure. La gara d’appalto sarà modificata di conseguenza e l’assegnazione del contratto non avverrà prima del primo trimestre del 2024, mentre era prevista per giugno 2023. Il sistema sarà implementato probabilmente a partire dal 2025. Le offerte già ricevute saranno sottoposte a una valutazione dell’impatto sulla protezione dei dati. La scelta sarà effettuata dopo l’esame dell’Incaricato federale per la protezione dei dati.

Rendere l’Intelligenza artificiale a prova di bias: questa la difficile sfida in cui sono impegnati sia i fornitori di IA che i datori di lavoro. Secondo Bloomberg, infatti, le aziende dipendono sempre più dall’IA per prendere decisioni in materia di occupazione. Un sondaggio della Society for Human Resource Management del febbraio 2022 ha mostrato che il 79% dei datori di lavoro utilizza l’IA per il reclutamento e l’assunzione. Ora, però, si profilano all’orizzonte requisiti di compliance più stingenti in luoghi come New York City o (ancora di più) l’Unione Europea. Le normative che cercano di prevenire i bias dell’IA in genere richiedono che la tecnologia sia sottoposta a qualche forma di audit. Ma il settore dell’audit dell’IA è nascente e gli standard e le best practice del settore sono ancora in fase di sviluppo. Con l’aumentare del controllo pubblico, i fornitori e i revisori di IA affermano che la divulgazione dei loro metodi ha contribuito a placare le preoccupazioni dell’opinione pubblica. Ma alcuni c’è anche dello scettismo. HireVue è stata criticata per il presunto “audit-washing” o per aver descritto in modo errato i risultati di una verifica dei suoi prodotti condotta nel 2021 da O’Neil Risk Consulting & Algorithmic Auditing. L’azienda è stata criticata anche per i suoi strumenti di analisi facciale utilizzati per le assunzioni, che sono stati interrotti nel gennaio 2021 poco dopo che l’Electronic Privacy Information Center ha presentato un reclamo alla Federal Trade Commission, sostenendo che si trattava di una violazione della privacy, oltre che di bias. Lindsey Zuloaga, chief data scientist di HireVue, ha dichiarato che la trasparenza è la risposta. Anche se non è obbligatorio, HireVue e altre importanti società di tecnologia delle risorse umane pubblicano sul loro sito web dichiarazioni etiche e altri documenti che spiegano il funzionamento dei loro sistemi.

In India, il Ministero della Salute dell’Unione è preoccupato per i trattamenti di dati effettuati dalle farmacie elettroniche. Negli ultimi due anni, la consegna di farmaci online è aumentata e con essa le aziende che offrono questi servizi. Mg, NetMeds e PharmEasy sono solo alcuni dei grandi nomi del settore delle farmacie online. Tuttavia, sembra che il Governo stia per portare cattive notizie a queste aziende. Secondo un rapporto, l’esecutivo sarebbe preoccupato per la privacy, per alcune pratiche scorrette nel settore e persino per la vendita “irrazionale” di farmaci. Il ministero ha inviato una bozza rivista del New Drugs, Medical Devices and Cosmetics Bill, 2023 per una consultazione interministeriale. A quanto si apprende, il disegno di legge afferma: “il governo centrale può regolare, limitare o proibire la vendita o la distribuzione di qualsiasi farmaco in modalità online, mediante notifica”. Peraltro, stando sempre a fonti governative, i dati e la privacy dei pazienti sono una delle principali aree di interesse. Le farmacie elettroniche sono, infatti, note per la raccolta indiscriminata di dati relativi al consumo di farmaci. Secondo quanto riferito, un gruppo di ministri si sarebbe detto addirittura favorevole a un divieto totale delle farmacie online. Il governo ha chiesto un feedback a tutte le parti interessate in merito all’ottenimento dei permessi per la gestione delle farmacie elettroniche. Il mese scorso, il Drugs Controller General of India (DCGIl) ha inviato notifiche a circa 20 farmacie online, contestando la presunta violazione delle norme sulla vendita di farmaci online.

English version

The Swiss Railways (FFS) has decided not to adopt augmented sensors to analyse the flow of people. This is a major victory for privacy advocates in Switzerland. SBB will abandon the analysis of the flow of people at stations based on age, height and gender. The decision, announced at the company’s annual press conference, was prompted by public concern following the publication of an article in the magazine K-Tipp. This German-language magazine had revealed the existence of a tender launched by the SBB for a new passenger flow analysis system that was to be equipped at around fifty stations over the next few years. According to K-Tipp, FFS wanted to use cameras augmented by facial recognition software, which the company later formally denied. Although FFS’s intention to obtain biometric data on passengers at stations is not proven, the tender favoured counting sensors to obtain information such as people’s age, sex and height. These data belong to the field of ‘soft biometrics’, i.e. characteristics that, taken individually, do not allow a person to be identified. But when crossed with other elements, they can be used to refine such profiling. After weeks of controversy, the SBB management finally decided to analyse the tender and came to the conclusion that these requirements are not necessary to measure the number of passengers. The aim is to make stations more comfortable and safer. The tender will be amended accordingly and the awarding of the contract will not take place before the first quarter of 2024, whereas it was planned for June 2023. The system will probably be implemented from 2025. Tenders already received will be subject to a data protection impact assessment. The choice will be made after examination by the Federal Data Protection Commissioner.

Making artificial intelligence bias-proof: this is the difficult challenge in which both AI providers and employers are engaged. Indeed, according to Bloomberg, companies are increasingly dependent on AI to make employment decisions. A survey by the Society for Human Resource Management in February 2022 showed that 79 per cent of employers use AI for recruitment and hiring. Now, however, stingier compliance requirements are on the horizon in places like New York City or (even more so) the European Union. Regulations that seek to prevent AI bias generally require the technology to be audited in some form. But the field of AI auditing is nascent and industry standards and best practices are still being developed. As public scrutiny increases, AI vendors and auditors claim that the disclosure of their methods has helped allay public concerns. But some are also sceptical. HireVue has been criticised for alleged ‘audit-washing’ or mischaracterising the results of an audit of its products conducted in 2021 by O’Neil Risk Consulting & Algorithmic Auditing. The company has also been criticised for its facial analysis tools used for recruitment, which were discontinued in January 2021 shortly after the Electronic Privacy Information Center filed a complaint with the Federal Trade Commission, alleging privacy violations as well as bias. Lindsey Zuloaga, chief data scientist at HireVue, said that transparency is the answer. Although it is not mandatory, HireVue and other major HR technology companies publish ethical statements and other documents on their website explaining how their systems work.

In India, the Union Ministry of Health is concerned about data processing by electronic pharmacies. Over the past two years, online drug delivery has increased and with it the companies offering these services. Mg, NetMeds and PharmEasy are just some of the big names in the online pharmacy sector. However, it seems that the government is about to bring bad news to these companies. According to a report, the executive is concerned about privacy, some unfair practices in the sector and even the ‘irrational’ sale of drugs. The ministry sent a revised draft of the New Drugs, Medical Devices and Cosmetics Bill, 2023 for inter-ministerial consultation. The bill reportedly states: ‘the central government may regulate, restrict or prohibit the sale or distribution of any drug in an online mode, by notification’. Moreover, according to government sources, patients’ data and privacy are one of the main areas of concern. Electronic pharmacies are, in fact, known to indiscriminately collect data on drug consumption. Reportedly, a group of ministers even favoured a total ban on online pharmacies. The government has asked for feedback from all stakeholders on obtaining permits to operate electronic pharmacies. Last month, the Drugs Controller General of India (DCGIl) sent notices to about 20 online pharmacies, alleging violation of regulations on the sale of drugs online.

PRIVACY DAILY 67/2023

L’uso da parte della Polizia israeliana della tecnologia Pegasus per l’hacking dei telefoni cellulari è un esempio di come la riforma giudiziaria proposta potrebbe portare a violazioni della privacy. Lo ha dichiarato il vice procuratore generale Amit Merari davanti alla Knesset. In una sessione voluta da alcuni deputati dell’opposizione, si è discusso il rapporto sull’uso di questa tecnologia da parte della Polizia israeliana. I rischi di violazione della privacy erano stati sollevati dal giornale economico Calcalist più di un anno fa, sostenendo che la polizia aveva usato Pegasus per hackerare illegalmente i telefoni cellulari degli imputati in assenza di un ordine del magistrato. Il rapporto di Merari ha evidenziato l’infondatezza delle accuse, rivelando che, sebbene la legge in Israele sia in ritardo nella capacità di affrontare tecnologie avanzate come Pegasus, la polizia non ha mai agito senza un mandato. Il rapporto ha riconosciuto che in alcuni casi, la tecnologia “Ciphon” usata dalla polizia (meno avanzata di quella di Pegasus) ha raccolto automaticamente e sistematicamente informazioni dai telefoni cellulari andando spesso oltre i parametri stabiliti dalle ordinanze del tribunale. Ma ha anche rilevato come quasi nulla del materiale raccolto in questi casi sia mai stato poi utilizzato dalla polizia. Ha inoltre affermato che la polizia raramente ha spiegato in modo esauriente la portata dell’invasività della tecnologia utilizzata ai giudici, i quali pensavano di approvare qualcosa di simile alle intercettazioni. Merari ha quindi sottolineato la necessità che il processo di implementazione dei nuovi sistemi sia accompagnato da un’attenta sorveglianza da parte dei consulenti legali della polizia e dell’ufficio del procuratore generale. Sulla condotta di Merari e della polizia, come pure sulla gestione della questione da parte dei tribunali è stata chiesta l’istituzione di una commissione d’inchiesta. Resta il fatto, rivelato da un aggiornamento pubblicato dallo stesso Merari, che solo sei delle oltre 2.700 richieste di mandato ai tribunali per violare i telefoni cellulari degli imputati sono state respinte.

Le aziende possono fidarsi dell’IA generativa? Alcuni studi, riportati dal World Economic Forum, hanno dimostrato che, da un punto di vista psicologico, i robot e i loro risultati sarebbero da considerare più credibili delle persone. I sostenitori dell’IA generativa affermano che le informazioni prodotte dalle macchine, essendo sviluppate per essere oggettive e basandosi su dati e algoritmi matematici piuttosto che sui giudizi soggettivi delle persone, non sarebbero vulnerabili ai pregiudizi umani. Inoltre, secondo i ricercatori della Penn State, i clienti attribuirebbero alle decisioni delle macchine una maggiore validità, fattore che potrebbe condurre le aziende a sfruttare questo aspetto a loro vantaggio, soprattutto quando si tratta di informazioni finanziarie o personali dei clienti. Stando a questa ricerca, gli individui avrebbero una forte fiducia nella tecnologia, specialmente per quanto riguarda il rispetto della privacy degli interessati e alla mancanza di eventuali doppi fini sottesi alle decisioni. Le aziende dovrebbero quindi creare strategie per sostenere questa percezione dei contenuti prodotti dall’IA da parte dei clienti. Eppure, il World Economic Forum ricorda anche che non bisogna affidarsi esclusivamente all’IA generativa. Piuttosto, queste tecnologie, che hanno accelerato la creazione di contenuti e creato nuovi tipi di macchine automatiche per la generazione di contenuti, devono essere utilizzati come strumenti di assistenza.  Le aziende possono, peraltro, creare una serie di piani per migliorare l’affidabilità dell’IA generativa. L’utilizzo o la creazione di piattaforme comunicative, in cui il personale dell’azienda – ad esempio, gli agenti di marketing – possa offrire i propri feedback e input per integrare e modificare i materiali prodotti dall’IA, potrebbe essere un passo importante verso una maggiore affidabilità. Le aziende possono utilizzare pratiche di gestione agile dei progetti simili a quelle utilizzate nello sviluppo del software.

In Spagna, si discute sull’impiego del riconoscimento facciale. Sul quotidiano La Vanguardia, campeggia la seguente domanda: per monitorare poche persone, è necessario trattare i dati di milioni di cittadini? Aena ha già testato questa tecnologia negli aeroporti, Renfe vorrebbe applicare il riconoscimento facciale per identificare i “graffitari” o i passeggeri sprovvisti di biglietto, così come Transports Metropilitans de Barcelona nelle sue stazioni della metropolitana. Anche gli stadi di calcio vorrebbero sperimentare questa tecnologia per impedire l’ingresso agli spettatori a cui è vietato assistere alle partite, e alcune aziende private, soprattutto la grande distribuzione, desiderano utilizzare questi sistemi per individuare i recidivi. Ma non sempre tutto va liscio, così come testimoniato dal caso di Mercadona, società sanzionata per 2,5 milioni di euro dall’Agenzia spagnola per la protezione dei dati (AEPD) per aver installato un sistema di riconoscimento facciale nei suoi negozi. In questo quadro confuso, vi sono poche certezze. “Al momento”, afferma Leonardo Núñez, avvocato esperto di nuove tecnologie, “ci troviamo in un limbo normativo e fino a quando la posizione del Comitato europeo non sarà definitiva, è improbabile che l’AEPD possa chiarire ulteriormente la sua posizione”. L’avvertimento alle aziende iberiche emerge chiaramente tra le righe: non bisogna fare investimenti e tanto meno di installare questa tecnologia senza autorizzazione.

English version

The Israeli police’s use of the NSO’s Pegasus mobile phone hacking technology is an example of how the proposed judicial reform could lead to privacy violations. This was stated by Deputy Attorney General Amit Merari during a session of the Knesset. In a session called for by some opposition deputies, the report on the Israeli police’s use of this technology for hacking mobile phones was discussed. The risks of invasion of privacy had been raised by the business newspaper Calcalist more than a year ago, claiming that the police had used Pegasus to illegally hack into defendants’ mobile phones in the absence of a magistrate’s order. Merari’s report highlighted the baselessness of the allegations, revealing that although the law in Israel lags behind in its ability to deal with advanced technologies such as Pegasus, the police have never acted without a warrant. The report acknowledged that in some cases, the ‘Ciphon’ technology used by the police (less advanced than Pegasus) automatically and systematically collected information from mobile phones, often going beyond the parameters set by court orders. But he also noted that almost none of the material collected in these cases was ever used by the police. He also stated that the police rarely fully explained the extent of the invasiveness of the technology used to the judges, who thought they were approving something similar to wiretapping. Merari therefore emphasised the need for the implementation process of the new systems to be accompanied by careful oversight by police legal advisors and the attorney general’s office. On the conduct of Merari and the police, as well as on the courts’ handling of the matter, a commission of enquiry was called for. The fact remains, revealed by an update published by Merari himself, that only six out of more than 2,700 requests for warrants to the courts to hack into defendants’ mobile phones have been rejected.

Can companies trust generative AI? Some studies, reported by the World Economic Forum, have shown that, from a psychological point of view, robots and their results should be considered more credible than people. Proponents of generative AI claim that the information produced by machines, being developed to be objective and based on mathematical data and algorithms rather than people’s subjective judgements, would not be vulnerable to human biases. Moreover, according to the Penn State researchers, customers would attribute greater validity to machine decisions, a factor that could lead companies to exploit this to their advantage, especially when it comes to customers’ financial or personal information. According to this research, individuals would have a strong trust in technology, especially when it comes to respecting the privacy of those involved and the lack of possible ulterior motives behind decisions. Companies should therefore create strategies to support this perception of AI-produced content by customers. Yet, the World Economic Forum also reminds that one should not rely solely on generative AI. Rather, these technologies, which have accelerated content creation and created new types of automated content generation machines, should be used as support tools. Companies can, however, create a number of plans to improve the reliability of generative AI. The use or creation of communication platforms where company personnel – e.g. marketing agents – can offer their feedback and input to supplement and modify the materials produced by AI could be an important step towards greater reliability. Companies can use agile project management practices similar to those used in software development.

In Spain, the use of facial recognition is being debated. In the daily newspaper La Vanguardia, the following question stands out: to monitor a few people, is it necessary to process the data of millions of citizens? Aena has already tested this technology in airports, Renfe would like to apply facial recognition to identify ‘graffiti artists’ or ticketless passengers, as would Transports Metropilitans de Barcelona in its metro stations. Football stadiums would also like to experiment with this technology to prevent entry to spectators banned from attending matches, and some private companies, especially large retailers, would like to use these systems to identify repeat offenders. But everything does not always go smoothly, as witnessed by the case of Mercadona, a company fined EUR 2.5 million by the Spanish Data Protection Agency (AEPD) for installing a facial recognition system in its shops. In this confusing picture, there are few certainties. “At the moment,” says Leonardo Núñez, a lawyer who is an expert in new technologies, “we are in a regulatory limbo and until the position of the European Committee is final, it is unlikely that the AEPD will clarify its position further.” The warning to Iberian companies is clear between the lines: do not invest, let alone install this technology without authorisation.

Cose [difficili] da Garante ;-)

Videosorveglianza (intelligente e non intelligente): troppa o troppo poca?

Ieri in un bell’articolo, molto tecnico, su La Repubblica, Andrea Monti suggeriva che quelli che lui chiama  i solerti “difensori della privacy” stiano un po’ esagerando, in qualche caso a colpi di pregiudizi infondati nel limitare il ricorso, da parte delle forze di polizia, al riconoscimento facciale intelligente. Oggi un lettore del Resto del Carlino, ovviamente ponendosi su un piano diverso, da non addetto ai lavori, in una lettera al giornale, sostiene che si stia esagerando persino con la videosorveglianza non intelligente e chiude chiedendo: “E chi ci garantisce la tutela della nostra privacy?“.

Come fai sbagli, verrebbe da dire.

Ovviamente, avendo, peraltro, a suo tempo firmato da relatore il provvedimento sul SARI Real Time – il software di riconoscimento facciale intelligente “live” che il Ministero dell’Interno, avrebbe voluto utilizzare – ho un’idea abbastanza precisa sulla questione ma prima di esprimerla più compiutamente mi piacerebbe continuare a raccogliere opinioni diverse, il più diverse possibile direi.

PRIVACY DAILY | 2/2023

È da leggere il rapporto della Polizia Postale 2022 appena pubblicato.

Racconta di un’attività straordinaria dalla parte dei più fragili ma, purtroppo, al tempo stesso offre uno spaccato di una società digitale lontana anni luce da quella che vorremmo nella quale, specie i più piccoli, non possono sentirsi al sicuro. C’è tanto da lavorare.

Arriva, invece, dagli Stati Uniti, un’ulteriore conferma, per la verità non necessaria e della quale avremmo tutti fatto volentieri a meno, della pericolosità delle tecnologie di riconoscimento facciale applicate alla repressione del crimine con un uomo arrestato e trattenuto per una settimana in prigione perché ritenuto colpevole – a causa di un errore di un sistema di riconoscimento facciale intelligente – di furti che non aveva mai commesso.

Si chiama Pig Butchering Scam ed è una delle ultime e più efficaci tecniche, essenzialmente basata sull’ingegneria sociale, per svuotarci il portafogli – specie quello digitale – dopo essersi conquistati la nostra fiducia e averci fatto credere di volercelo, in realtà riempire. Wired, in un bell’articolo da non perdere, racconta come funziona.