PRIVACYDAILY

N. 153/2023

LE TRE NEWS DI OGGI:

  • IRLANDA, TIK TOK APRE DATA CENTER A DUBLINO PER FUGARE DUBBI SULLA PRIVACY
  • FINLANDIA, AUTORITA’ GARANTE VIETA TEMPORANEAMENTE AL SERVIZIO TAXI YANGO DI TRASFERIRE I DATI IN RUSSIA
  • UK, COMMISSIONE CHE REGOLA IL GIOCO D’AZZARDO INCALZATA DAI PARLAMENTARI PER AVER INTRODOTTO CONTROLLI SUI DATI DEGLI SCOMMETTITORI

TikTok ha confermato che il suo primo centro dati europeo in Irlanda è ora operativo e il colosso dei social media ha iniziato a migrare i dati degli utenti europei sul sito. La scelta fa parte della risposta alle preoccupazioni sulla privacy legate ai legami dell’app con la Cina. Il centro di Dublino è il primo dei tre costruiti in Europa e ospiterà i dati degli utenti di TikTok di tutto lo Spazio economico europeo (SEE), del Regno Unito e della Svizzera. La costruzione dei centri da parte del colosso dei social media avviene mentre l’azienda si trova ad affrontare le continue verifiche da parte delle autorità di regolamentazione di tutto il mondo sui suoi legami con la Cina. TikTok, che è di proprietà dell’azienda cinese ByteDance, ha dichiarato da tempo di non condividere i dati con la Cina, ma i critici temono che possa essere costretta a comunicare i dati a Pechino, con le crescenti preoccupazioni su come l’amministrazione del presidente Xi Jinping possa usare la tecnologia contro l’Occidente. All’inizio di quest’anno, il governo britannico ha vietato ai ministri di utilizzare l’app di condivisione video sui loro telefoni di lavoro a seguito di una revisione della sicurezza, e anche altri governi in tutto il mondo hanno introdotto divieti simili. Nell’ambito di un’iniziativa denominata Project Clover, TikTok aveva previsto la costruzione di tre nuovi centri dati in Europa – due in Irlanda e uno in Norvegia – per consentire una maggiore conservazione dei dati a livello locale, ridurre i trasferimenti di dati da una regione all’altra e ridurre l’accesso dei dipendenti ai dati degli utenti, come parte della sua risposta ai timori sulla privacy .In un aggiornamento sul progetto e in concomitanza con l’annuncio dell’entrata in funzione del primo centro dati, il vicepresidente di TikTok per le politiche pubbliche in Europa, Theo Bertram, ha dichiarato che una società di sicurezza di terze parti verrà utilizzata per verificare in modo indipendente il lavoro di TikTok presso il centro dati.”Ci siamo impegnati a memorizzare i dati dei nostri utenti europei in loco per impostazione predefinita, creando tre nuovi data center in Europa”, ha dichiarato Bertram in un post sul blog.

L’Ombudsman finlandese per la protezione dei dati ha ordinato temporaneamente a Yango di interrompere il trasferimento e il trattamento dei dati personali dei clienti dalla Finlandia alla Russia. Il governo finlandese non ha intenzione di limitare le operazioni del servizio di taxi Yango con sede in Russia in Finlandia, secondo quanto dichiarato dal Ministro dei Trasporti e delle Comunicazioni Lulu Ranne (finlandese). Il ministro ha rilasciato la dichiarazione in risposta a una domanda sulla questione del deputato dell’opposizione Jouni Ovaska (Cen), presidente della commissione parlamentare per i trasporti e le comunicazioni.All’inizio del mese scorso, l’Ombudsman finlandese per la protezione dei dati ha ordinato temporaneamente a Yango – che è di proprietà del colosso tecnologico russo Yandex – di interrompere il trasferimento e il trattamento dei dati personali dei clienti dalla Finlandia alla Russia.L’ordine temporaneo è entrato in vigore questa settimana e scadrà alla fine di novembre, come ha dichiarato in precedenza l’ufficio dell’Ombudsman.I dati raccolti dall’applicazione per taxi di Yango possono includere dettagli come le informazioni sulla posizione del cliente e gli indirizzi delle corse in taxi.Secondo una valutazione della situazione effettuata da Traficom, l’Agenzia finlandese per i trasporti e le comunicazioni, il trasferimento di dati da parte di Yango non rappresenta una reale minaccia per la sicurezza delle informazioni.Traficom ha osservato che le norme sulla protezione dei dati dell’UE, il GDPR, possono aiutare a proteggere le informazioni delle persone. Tali norme consentono ai clienti che hanno utilizzato il servizio Yango di chiedere all’azienda di taxi di cancellare le loro informazioni personali, compresi gli indirizzi e-mail e i dati sulle corse in taxi effettuate.L’agenzia ha pubblicato una guida sulla rimozione dei dati personali dai server di Yango (in finlandese).

I responsabili della Gambling Commission sono intervenuti davanti alla Commissione Cultura, Media e Sport, mentre cresce la polemica sull’introduzione di controlli sull’accessibilità economica degli scommettitori nell’ambito dello sviluppo del Libro Bianco sul gioco d’azzardo. Il direttore generale Andrew Rhodes, la sua vice Sarah Gardner e il direttore esecutivo Tim Miller stanno affrontando le domande dei membri della commissione nell’ambito dell’inchiesta sulla regolamentazione del gioco d’azzardo.L’ente di controllo del settore è nel bel mezzo di una consultazione sulle sue proposte per l’attuazione del Libro Bianco e ha attirato forti critiche per la sua interpretazione dei piani del governo in materia di controlli finanziari: “Abbiamo lavorato a stretto contatto con l’Information Commissioner’s Office per garantire che tutto ciò sia conforme alla legislazione sulla protezione dei dati, e continueranno a collaborare con noi durante gli ulteriori sviluppi. “È importante sottolineare che le regole saranno molto chiare: tutti i dati raccolti potranno essere utilizzati solo per aiutare a proteggere i consumatori e non potranno essere usati per scopi commerciali”.Alla domanda su quali altri tipi di agenzie potrebbero essere utilizzate, Miller ha risposto che: “Al momento si tratterà principalmente di agenzie di riferimento del credito, ma è chiaro che c’è una serie di altri dati che possono essere disponibili pubblicamente e che possono essere utili in questo caso.

English version

  • IRELAND: TIK TOK OPENS DATA CENTRE IN DUBLIN TO DISABLISH PRIVACY DOUBTS
  • FINLAND, SUPERVISORY AUTHORITY TEMPORARILY PROHIBITS TAXI YANGO FROM TRANSFERRING DATA TO RUSSIA
  • UK, GAMBLING COMMISSION URGED BY MPS TO INTRODUCE CONTROLS ON BETTOR’S DATA

TikTok has confirmed that its first European data centre in Ireland is now operational and the social media giant has begun to migrate European user data to the site.The move is part of its ongoing response to data privacy concerns around the app’s links to China.The centre in Dublin is the first of three in Europe to be built and will house data from TikTok users from across the European Economic Area (EEA), the UK and Switzerland.The social media giant’s construction of the centres comes as it faces ongoing scrutiny from regulators around the world over its links to China.TikTok, which is owned by Chinese firm ByteDance, has long said it does not share data with China, but critics fear it could be compelled to expose data to Beijing, with growing concerns about how President Xi Jinping’s administration could use technology against the West.Earlier this year, the UK Government banned ministers from using the video-sharing app on their work phones following a security review, and a number of other governments around the world have also introduced similar bans.As part of an initiative called Project Clover, TikTok had set out plans to build three new data centres in Europe – two in Ireland and one in Norway – to enable more local data storage, reduce data transfers across regions and reduce employee access to user data as part of its response to privacy fears.In an update on the project and alongside the announcement of the first data centre coming online, TikTok vice president for public policy in Europe, Theo Bertram, said a third-party security company would also be used to independently audit TikTok’s work at the data centre.“We’ve committed to storing our European user data locally by default, by establishing three new data centres in Europe,” Mr Bertram said in a blog post.

Finland’s Data Protection Ombudsman has temporarily ordered Yango to stop the transfer and processing of personal data of customer data from Finland to Russia.The Finnish government does not plan to limit the operations of the Russia-based Yango taxi service in Finland, according to the Minister of Transport and Communications Lulu Ranne (Finns).The minister issued the statement in response to a question about the matter from opposition MP Jouni Ovaska (Cen), chair of the transport and communications parliamentary committee.At the beginning of last month, Finland’s Data Protection Ombudsman temporarily ordered Yango — which is owned by Russian tech giant Yandex — to stop the transfer and processing of personal data of customer data from Finland to Russia.That temporary order went into effect this week and is scheduled to expire at the end of November, the Ombudsman’s office has previously stated.Data collected by Yango’s taxi app can include details such as a customer’s location information and the address details of taxi rides.According to an assessment of the situation by Traficom, the Finnish Transport and Communications Agency, Yango’s transfer of data does not pose an actual information security threat.Traficom noted that the EU’s data protection regulations, GDPR, can help protect people’s information.Those regulations enable customers who have used the Yango service to ask the taxi company to delete their personal information, including email addresses and data about cab rides they have taken.The agency posted a guide about removing personal data from Yango servers in particular (in Finnish).

The heads of the Gambling Commission appeared in front of the Culture, Media and Sport Committee as controversy grows over the introduction of affordability checks on bettors as part of the development of the gambling White Paper.Chief executive Andrew Rhodes, his deputy Sarah Gardner and executive director Tim Miller are facing questions from members of the committee as part of its inquiry into gambling regulation.The industry watchdog is in the middle of a consultation about its proposals for implementing the White Paper and has attracted intense criticism for its interpretation of the Government’s plans around financial checks.Discussing the use of credit agencies with MPs, Mr Miller said: “We’ve worked incredibly closely with the Information Commissioner’s Office to ensure that this is compliant with data protection legislation, and they will continue to work with us as this is developed further.“Importantly, the rules will be very clear that any data that is collected through this can only be used for the purposes of helping to protect consumers and cannot be used for commercial purposes.”Asked what other type of agency could be used, Mr Miller said: “At the moment it will primarily be credit reference agencies, but clearly there’s a range of other data that can be publicly available that can be useful here.

PRIVACY DAILY 39/2023

Gli USA verso una stretta sulla tutela della privacy dei minori online. Nel discorso sullo Stato dell’Unione il Presidente Joe Biden si è espresso senza mezzi termini. “È ora di approvare una legislazione bipartisan per impedire alle Big Tech di raccogliere dati personali dei nostri bambini e adolescenti online”, ha detto Biden, aggiungendo che: “bisogna vietare la pubblicità mirata sui bambini e imporre limiti più severi rispetto ai dati personali che le aziende raccolgono su tutti noi”. Il discorso ha, tra l’altro, messo in evidenza la presa che le aziende tecnologiche hanno sui giovani americani e ha lanciato l’allarme sulle modalità con cui i social media influenzano la loro salute mentale. Le reazioni sono state di segno opposto. Da una parte, i sostenitori del Children and Teens’ Online Protection Act hanno colto l’occasione per tornare a chiedere l’aggiornamento della legislazione vigente in materia di protezione dei dati dei minori online – risalente al 1998 –, in particolare l’innalzamento dell’età per disporre dei propri dati da 13 a 16 anni e la creazione di una divisione Youth Privacy and Marketing presso la Federal Trade Commission. Dall’altra, l’industria tecnologica ha espresso le sue preoccupazioni per una regolamentazione rigida, la quale potrebbe danneggiare concorrenza e innovazione. In particolare, l’Interactive Advertising Bureau, di cui fanno parte anche Amazon, Google e Meta, ha criticato fortemente il divieto generalizzato di pubblicità rivolta ai bambini, pur dichiarando di essere favorevole alle norme sulla privacy.

Mentre il mondo è concentrato sulle atrocità della guerra tra Russia e Ucraina, le violazioni dei diritti umani del Cremlino in patria ricevono molta meno attenzione. Tra di esse, spicca la nuova legge firmata da Vladimir Putin che estende ampiamente la raccolta obbligatoria di dati sul DNA. La portata della nuova legge è difficile da comprendere: le autorità preleveranno il DNA di tutti coloro che sono sospettati di qualsiasi reato. Il governo prevede di raccogliere il DNA di almeno 1,8 milioni di persone all’anno. Saranno inclusi gli illeciti amministrativi, come le violazioni del codice della strada o il mancato pagamento di una sanzione minore, nonché la partecipazione ad assemblee (o proteste) “non autorizzate”. Si tratta di un cambiamento netto rispetto al passato. Prima, infatti, le autorità prelevavano il DNA solo da persone condannate per reati sessuali o altri crimini gravi – anche se spesso gli agenti di polizia costringevano gli attivisti detenuti a fornire campioni di DNA –. In sostanza, la nuova legge potenzia il già massiccio sistema di sorveglianza della Russia e assesta un altro duro colpo al diritto alla privacy. Le autorità pubbliche avranno il potere illimitato di accedere alle informazioni contenute nel database e di utilizzarle senza alcun controllo indipendente.

Il lavoratore può essere aggiunto ad un gruppo di Whatsapp senza previo consenso? Investita della questione, l’Autorità garante della privacy spagnola (AEPD) ha dato una risposta a primo acchito un po’ sibillina, scatenando una serie di interrogativi. L’AEPD ha infatti archiviato un caso in cui una lavoratrice era stata aggiunta a due gruppi WhatsApp dall’azienda di consegna pacchi, sua datrice di lavoro, al fine di organizzare le attività, mediante l’indicazione dei percorsi da fare o l’indicazione dell’ubicazione dei furgoni lasciati in sosta. Nella decisione l’Autorità ha ravvisato l’esistenza di una valida base giuridica del trattamento nel contratto di lavoro. Ma non ha specificato se la lavoratrice lamentasse di essere stata aggiunta a questi gruppi con il numero del suo dispositivo personale o con un numero di telefono aziendale. Si è sollevato così un coro di opinioni contrastanti, in cui è emersa una certa sorpresa per un presunto “cambio di rotta” rispetto a quanto stabilito in precedenti provvedimenti. L’AEPD è così dovuta tornare sulla questione e ha chiarito, in primo luogo, che la risoluzione di un caso specifico non implica necessariamente l’affermazione di un criterio generale valido per tutte le situazioni che possono presentarsi nella pratica quotidiana. Ha chiarito, inoltre, che la creazione da parte del datore di lavoro di un gruppo WhatsApp con il resto dei colleghi dell’azienda può comportare un trattamento sproporzionato dei dati e che in ogni caso è meglio fornire un numero di telefono aziendale o chiedere un consenso specifico ai dipendenti.

English version

US moves towards a crackdown on online child privacy. In his State of the Union address, President Joe Biden spoke in no uncertain terms. “It’s time to pass bipartisan legislation to stop Big Tech from collecting personal data about our children and teens online,” Biden said, adding that: “we must ban advertising targeted at children and impose stricter limits on the personal data companies collect on all of us.” The speech, among other things, highlighted the hold that technology companies have over young Americans and sounded the alarm about how social media affects their mental health. Reactions were mixed. On the one hand, supporters of the Children and Teens’ Online Protection Act took the opportunity to call again for the updating of existing legislation on online child data protection – dating back to 1998 -, in particular the raising of the age to dispose of one’s data from 13 to 16 and the creation of a Youth Privacy and Marketing Division at the FTC. On the other hand, the technology industry has expressed its concerns about strict regulation, which could harm competition and innovation. In particular, the Interactive Advertising Bureau, of which Amazon, Google and Meta are also members, strongly criticised the blanket ban on advertising aimed at children, while stating that it is in favour of privacy regulations.

While the world is focused on the atrocities of the war between Russia and Ukraine, the Kremlin’s human rights violations at home receive far less attention. Prominent among them is the new law signed by Vladimir Putin that broadly extends the mandatory collection of DNA data. The scope of the new law is difficult to comprehend: the authorities will collect DNA from everyone suspected of any crime. The government plans to collect DNA from at least 1.8 million people per year. Administrative offences, such as traffic violations, non-payment of a minor fine and participation in ‘unauthorised’ assemblies (or protests) will be included. This is a marked change from the past. Previously, the authorities only took DNA from people convicted of sexual offences or other serious crimes – although police officers often forced imprisoned activists to provide DNA samples -. In essence, the new law strengthens Russia’s already massive surveillance system and deals another blow to the right to privacy. Public authorities will have unlimited power to access and use the information in the database without any independent control.

Can a worker be added to a Whatsapp group without prior consent? When asked about this question, the Spanish Privacy Authority (AEPD) gave a somewhat sibylline answer at first glance, raising a number of questions. In fact, the AEPD dismissed a case in which a female employee had been added to two WhatsApp groups by the parcel delivery company, her employer, in order to organise activities, by indicating routes to be taken or the location of parked vans. In the decision, the Authority found the existence of a valid legal basis for the processing in the employment contract. But it did not specify whether the employee complained that she had been added to these groups with her personal device number or with a company telephone number. Thus, a chorus of conflicting opinions arose, in which there was some surprise at an alleged ‘change of course’ from what had been established in previous rulings. Thus, the AEPD had to return to the issue and clarified, firstly, that the resolution of a specific case does not necessarily imply the affirmation of a general criterion valid for all situations that may arise in everyday practice. It also clarified that the creation by the employer of a WhatsApp group with the rest of the company’s colleagues may lead to disproportionate data processing and that in any case it is better to provide a company telephone number or ask for specific consent from employees.