PRIVACYDAILY

N. 152/2023

LE TRE NEWS DI OGGI:

  • SVIZZERA, IN VIGORE LA NUOVA LEGGE SULLA PRIVACY
  • NUOVA ZELANDA, GLI ESPERTI DI TECNOLOGIA CHIEDONO AI PARTITI DI REGOLARE L’AI AL PIU’ PRESTO
  • I CRIMINALI INFORMATCI SFRUTTANO LA DEBOLEZZA DELLE NORMATIVE PER RACCOGLIERE DATI E FRODARE I NIGERIANI

Dal primo settembre la Svizzera si è dotata di una nuova legge sulla protezione dei dati. Per capirne l’importanza basti dire che dal 2021 al 2022 gli attacchi hacker e i furti di informazioni nel nostro Paese sono cresciuti del 61%.Le nuove norme, approvate tre anni fa dall’Assemblea federale anche per adeguarsi alle disposizioni dell’UE, introducono per chi ha un’attività l’obbligo di garantire la sicurezza dei dati raccolti. Ciò deve avvenire attraverso misure tecniche (che toccano quindi la tecnologia e i programmi usati) ma anche tramite un’organizzazione interna all’azienda che limiti l’accesso a tali informazioni. Che sono una miriade e toccano tutti. Basti pensare a quante volte ci vengono chiesti l’indirizzo e-mail, il luogo di domicilio, il numero di telefono, per gli acquisti online. Oppure per prenotare un ristorante o comprare un biglietto al cinema. L’elenco è infinito e la nuova legge tocca tutte queste attività. In che modo? Migliorando la trasparenza del trattamento di queste informazioni sensibili: le imprese possono raccogliere, usare e divulgare i dati solo con il consenso della persona, che quindi deve essere informata. Chi non si adegua alle nuove disposizioni rischia conseguenze penali e multe fino a 250’000 franchi.Non tutte le aziende ticinesi si sono fatte trovare pronte e c’è chi ha cercato aiuto. La conferma arriva da Luca Albertoni, direttore della Camera di commercio TI: “Le sollecitazioni sono state parecchie nelle ultime settimane in cui molti hanno capito che occorreva affrettarsi”. La sensibilità al tema è elevata, continua il direttore, e il problema sta soprattutto nella difficoltà di applicazione: “La legge è abbastanza complessa. Ci sono definizioni che vanno interpretate. È davvero un lavoro di ripensamento aziendale. La grande distribuzione, oppure le grandi imprese della farmaceutica, abituate a trattare anche i dati sensibili, sono un po’ più avanti. Ma non ci sono bravi o cattivi”. Tutti, si diceva all’inizio, sono toccati. La legge è anche sul tavolo della ristorazione come confermano all’Antica Osteria del Leone Barberini di Mendrisio: “Noi ci siamo avvalsi dell’aiuto di un ufficio tecnico legale. Il nostro è più che altro un sito web vetrina, però abbiamo preso tutte le misure tecniche necessarie per il rispetto dell’utente”. Gli esperti di tecnologia esortano il Labour e il National ad adottare una strategia sull’intelligenza artificiale prima delle elezioni di ottobre.

I neozelandesi hanno usato questa tecnologia in rapida evoluzione per truccare i compiti a casa e diffondere disinformazione online, ma nessuno dei due partiti ha annunciato politiche su come gestirla. L’amministratore delegato della Tech Users Association of New Zealand, Craig Young, ha dichiarato che il prossimo governo dovrà intervenire prima che la tecnologia sfugga di mano.” Se si applica l’approccio standard del governo alla gestione dell’IA, non riusciremo a tenere il passo”, ha detto. “Non si può certo fare quello che si è fatto in passato, cioè prendere tempo e sviluppare qualcosa, bisogna farlo al momento”. Non è necessario che sia perfetto, ma che sia tempestivo.” Abbiamo bisogno di un approccio flessibile e di un governo che sia pronto a pensare con i propri mezzi quando si tratta di IA, non solo per quanto riguarda il modo in cui la utilizzano, ma anche per quanto riguarda la regolamentazione e le protezioni che vi pongono”, ha affermato. Strumenti di IA come ChatGPT e Midjourney vengono utilizzati per generare grandi quantità di testo e milioni di immagini. Young si è detto entusiasta del suo potenziale, ma la tecnologia presenta una serie di problemi irrisolti.” Potrebbe essere usata in aree che non vorremmo, e poi naturalmente ci sono i problemi di privacy e di integrità dei dati”, ha detto.” Quando utilizziamo lo strumento e inseriamo i dati, dove vengono archiviati? Chi li sta usando? Per cosa vengono utilizzati?”. Andrew Lensen, docente di informatica della Victoria University, ha affermato che l’IA dovrebbe essere una priorità assoluta nelle elezioni del 2023.”C’è molta paura e ansia nella popolazione quando si leggono cose come ChatGPT e come viene usata per sostituire i posti di lavoro e come viene usata nell’istruzione”, ha detto.” Penso che abbiamo bisogno di vedere più dibattiti e più proposte politiche da parte dei partiti politici, con il loro punto di vista sull’IA e su come dovrebbe essere regolamentata”. Diversi modelli di IA raccolgono dati da Internet e dai loro utenti, il che, secondo il dottor Lensen, solleva problemi di privacy. Ha detto che il prossimo governo potrebbe dover rivalutare la legge sulla privacy.” Abbiamo una legge sulla privacy, che al giorno d’oggi è piuttosto vecchia, e mi piacerebbe davvero che alcune di queste leggi venissero modernizzate per questa nuova era dell’IA”, ha affermato.

Ci sono nuove preoccupazioni per un presunto aumento illegale della raccolta di dati appartenenti ai nigeriani attraverso i terminali dei punti vendita (PoS), una circostanza che sta minacciando la sussistenza dell’agent banking, uno schema avviato per approfondire l’inclusione finanziaria nel Paese. La Banca Centrale della Nigeria (CBN) stima che l’inclusione finanziaria in Nigeria sia pari al 64% e spera di portarla al 95% entro il 2024. Ma il programma di riferimento per far progredire la pratica sta vacillando, poiché i criminali minacciano di sfruttare il sistema per ottenere vantaggi loschi. La spinta all’inclusione finanziaria ha dovuto affrontare molte sfide e ultimamente sono aumentati i casi di acquisizione illegale dei dati dei clienti, con conseguenti perdite finanziarie. Si stima che in Nigeria vi siano oltre 250 società fintech, molte delle quali si assicurano fondi offshore per portare avanti le loro operazioni. Sempre più spesso, i criminali, dotati di strumenti sofisticati, prendono regolarmente di mira i terminali PoS vulnerabili dei commercianti, estrapolando i dati delle carte di pagamento e i PIN per la clonazione delle carte e per altri scopi fraudolenti, come ha appreso il Guardian. Negli ultimi tempi, questa pratica è diventata pericolosamente rischiosa, in quanto i cybercriminali, attraverso varie piattaforme, stanno sfruttando le vulnerabilità di persone ignare per creare problemi, soprattutto finanziari, a loro danno. Questo fenomeno sta destando preoccupazione in tutto l’ecosistema. Mentre il sistema di agent banking è fiorente e ha incoraggiato un’impennata nell’uso dei PoS e nelle transazioni nel Paese, la sfida posta dall’estrazione illegale di dati sembra essere più feroce. La CBN, attraverso le Shared Agent Network Expansion Facilities (SANEF), ha dichiarato che il numero di agenti nel Paese è ora superiore a 1,4 milioni rispetto agli appena 86.000 registrati nel 2018, proprio mentre i controlli di The Guardian hanno mostrato che il numero di terminali PoS distribuiti da commercianti e privati è salito a 1,8 milioni nel mese di marzo, rappresentando un aumento del 75% su base annua rispetto al numero di terminali distribuiti nello stesso periodo dell’anno scorso, pari a 1,04 milioni.

English version

  • SWITZERLAND: NEW PRIVACY LAW IN FORCE
  • NEW ZEALAND: TECHNOLOGY EXPERTS CALL ON PARTIES TO REGULATE AI ASAP
  • CYBERCRIMINALS EXPLOIT WEAK REGULATIONS TO HARVEST DATA DEFRAUD NIGERIANS

Since 1 September, Switzerland has had a new data protection law. In order to understand the significance of this, it suffices to say that from 2021 to 2022, hacker attacks and information theft in our country increased by 61%.The new regulations, which were approved by the Federal Assembly three years ago also in order to comply with EU provisions, introduce an obligation for those who have a business to ensure the security of the data they collect. This must take place through technical measures (thus affecting the technology and programmes used) but also through an internal organisation within the company that limits access to such information. Which are myriad and affect everyone. Just think of how often we are asked for our e-mail address, place of residence, telephone number, for online purchases. Or to book a restaurant or buy a ticket to the cinema. The list is endless and the new law touches on all these activities.How? By improving transparency in the processing of this sensitive information: companies can only collect, use and disclose data with the consent of the person, who must then be informed. Those who do not comply with the new provisions risk criminal consequences and fines of up to CHF 250,000.Not all companies in Ticino have been ready and some have sought help. This is confirmed by Luca Albertoni, director of the TI Chamber of Commerce: ‘There have been a lot of requests in recent weeks when many realised that we needed to hurry. Sensitivity to the issue is high, the director continues, and the problem lies above all in the difficulty of application: ‘The law is quite complex. There are definitions that have to be interpreted. It is really a business rethink. Large retailers, or the big pharmaceutical companies, which are used to handling even sensitive data, are a bit ahead. But there are no good ones or bad ones’.Everyone, it was said at the beginning, is affected. The law is also on the table in the restaurant industry, as they confirm at the Antica Osteria del Leone Barberini in Mendrisio: ‘We have enlisted the help of a legal technical office. Ours is more of a showcase website, but we have taken all the necessary technical measures to respect the user’.

Technology experts are urging Labour and National to announce an Artificial Intelligence strategy before October’s election.New Zealanders have used the rapidly advancing technology to cheat on homework and spread disinformation online, but neither party has announced policies for how they would deal with it.Tech Users Association of New Zealand chief executive Craig Young said the next government must take action before the technology grows out of hand.”If you apply the standard government approach to managing AI, we won’t keep up,” he said. “You certainly can’t do what you’ve done before which is take your time and develop something, you’ve got to do it on the fly.”He said it didn’t need to be perfect, but it needed to be timely.”We need a flexible [approach] and we need a government that’s prepared to think on their feet when it comes to AI, not only in the way they use it but how they regulate it and the guard-rails they put on it,” he said.AI tools like ChatGPT and Midjourney are being used to generate reams of text and millions of images.Young said he was excited by its potential, but the technology had a number of unsolved issues.”It might be used in areas we don’t want it to be used, and then of course you get the privacy and data-integrity issues,” he said.”As we use the tool and we input data, where’s it being stored? Who’s using it? What’s it being used for?”Victoria University computer science lecturer Andrew Lensen said AI should be a high priority in 2023’s election.”There’s a lot of fear and anxiety in the population when they read about things like ChatGPT and how it’s being used to replace jobs and how it’s being used in education,” he said.”I think we need to see more discourse and more policies being released by political parties with their views on AI and how it should be regulated.”Several AI models collected data from the internet and their users, which Dr Lensen said raised privacy concerns. He said the next government might have to reassess the Privacy Act.”We have a Privacy Act, which is quite an old piece of law these days, and I would really like to see some of that law modernised for this new AI era,” he said.There are fresh concerns over an alleged illegal surge in mining of data belonging to Nigerians through point of sales (PoS) terminals, a situation that is threatening the survival of agent banking, a scheme initiated to deepen financial inclusion in the country.The Central Bank of Nigeria (CBN) puts financial inclusion in Nigeria at 64 per cent and hopes to increase it to 95 per cent by 2024. But the flagship programme for advancing the cause is faltering as criminals are threatening to hijack the system for sinister gains.

The financial inclusion drive has been confronted with many challenges and lately, cases of illegal mining of customers’ data across the board, leading to financial losses which are on the rise. There is a guesstimate of over 250 fintech companies in Nigeria with a lot of the companies securing offshore funds to advance their operations.Increasingly, criminals with sophisticated tools are actively targeting vulnerable merchant PoS terminals, mining payment card data and PINs for card cloning and other fraud purposes, The Guardian learnt.Ordinarily, data mining is the process of sorting through large data sets to identify patterns and relationships that can help solve business problems through analysis. Lately, the practice has become dangerously exploitative, as cyber criminals through various platforms are exploiting the vulnerabilities of unsuspecting individuals to wreak havoc, largely financials on them.The art is brewing concern across the ecosystem. While the agent banking system is thriving and has encouraged a surge in PoS usage and transactions in the country, the challenge posed by illegal data mining appears to be fiercest.The CBN, through the Shared Agent Network Expansion Facilities (SANEF), said the number of agents in the country is now over 1.4 million from just 86,000 on record in 2018, just as checks by The Guardian showed that the number of PoS terminals deployed by merchants and individuals rose to 1.8 million in March, representing a 75 per cent increase year-on-year when compared with the number of deployed terminals in the same period last year, which was 1.04 million.

PRIVACYDAILY

N. 156/2023

LE TRE NEWS DI OGGI:

  • E’ FINITO IL FAR WEST PER L’INTERNET OF THINGS
  • SVIZZERA, L’INCARICATO FEDERALE PER LA PROTEZIONE DEI DATI AUMENTERA’ IL NUMERO DELLE INCHIESTE
  • MESSICO, L’AUTORITA’ GARANTE PRIVACY (INAI) CHIEDE UNA LEGGE SULLA CYBERSICUREZZA

Accanto al Regolamento generale sulla protezione dei dati, alla Legge sui servizi digitali, alla Legge sul mercato digitale e alla Legge sulla governance dei dati, arriva la Legge sui dati. Un testo sul quale i 27 Stati membri hanno raggiunto un accordo la scorsa settimana e che, questa volta, affronta una zona grigia di un mercato destinato a generare circa 270 miliardi di euro di PIL aggiuntivo entro il 2028: l’Internet degli oggetti. In parole povere: chi può, quando, come e a quale scopo accedere ai dati cosiddetti “industriali” raccolti dai nostri oggetti connessi (auto, orologi, assistenti personali, smartTV, ecc.)?Il Data Act, che deve ancora passare al vaglio del Parlamento, mira a garantire un’equa condivisione del valore dei dati tra gli operatori dell’ambiente digitale, a stimolare il mercato dei dati, a creare opportunità di innovazione e a rendere i dati più accessibili. L’obiettivo è dare ai singoli e alle imprese un maggiore controllo sui dati generati da questi oggetti “intelligenti”. Dovrebbe quindi facilitare il passaggio ad altri fornitori di servizi di elaborazione dati, introdurre salvaguardie contro il trasferimento illegale di dati da parte dei fornitori di servizi cloud e prevedere lo sviluppo di standard di interoperabilità per il riutilizzo dei dati tra i settori, consentendo loro, ad esempio, di copiare o trasferire facilmente tali dati ad altri servizi. Vengono in mente i servizi cloud, come quelli forniti da Apple, Amazon e Google, che dovrebbero quindi essere meno limitati. La legge sui dati dovrebbe anche dare ai consumatori e alle imprese la possibilità di decidere cosa fare con i dati generati dai loro prodotti connessi.Produttori come Siemens e SAP hanno attenuato il tentativo di obbligarli a condividere i dati con terzi per fornire servizi post-vendita o altri servizi basati sui dati. Siemens (SIEGn.DE) e SAP (SAPG.DE) hanno espresso preoccupazione per le fughe di dati legate alla riservatezza commerciale. Va notato che questi dati possono essere letti e consultati dagli enti pubblici “in caso di emergenze pubbliche come inondazioni e incendi boschivi, o quando si attua un mandato legale”. L’anonimato di questi dati è motivo di preoccupazione. Ricordiamo che durante la pandemia, le autorità hanno avuto accesso parziale ai nostri dati di localizzazione per monitorare la diffusione del virus in tempo reale.

L’ Incaricato federale della protezione dei dati nel suo 30° rapporto annuale 2022-2023 ha sottolineato che oggi praticamente tutti si collegano a Internet, sia per effettuare pagamenti online che per incontrare gli amici e che il volume e l’intensità del trattamento dei dati personali si sono decuplicati. La nuova legge sulla protezione dei dati, che entrerà in vigore il 1° settembre, intende fornire all’economia nuovi strumenti per soddisfare le legittime aspettative del pubblico di una rigorosa protezione della sfera privata.Introdurrà una serie di innovazioni non solo per gli incaricati del trattamento dei dati, ma anche per il Commissario federale per la protezione dei dati. D’ora in poi, quando il trattamento dei dati previsto può comportare un rischio elevato per la privacy o i diritti fondamentali dell’interessato, il responsabile del trattamento dovrà effettuare una valutazione d’impatto.Il Commissario federale per la protezione dei dati esaminerà l’analisi ed emetterà un parere entro due mesi. Le associazioni professionali, settoriali o economiche potranno redigere un proprio codice di condotta e sottoporlo all’IFPD. In futuro i responsabili del trattamento dei dati saranno tenuti a segnalare le violazioni della sicurezza dei dati. Se l’Incaricato della protezione dei dati riscontrerà delle violazioni, potrà emettere una disposizione che potrà essere impugnata davanti al Tribunale amministrativo federale. Tuttavia, a differenza delle autorità di controllo dell’UE, l’Incaricato per la protezione dei dati continuerà a non avere il potere di imporre sanzioni e in futuro sarà soggetto a sanzioni per le violazioni intenzionali degli obblighi di informazione, comunicazione e cooperazione, nonché per le violazioni intenzionali dell’obbligo di diligenza, in particolare in relazione alla divulgazione di dati personali all’estero, all’outsourcing e alla fornitura di sicurezza dei dati.Al privato responsabile del trattamento dei dati possono essere inflitte multe fino a 250.000 franchi svizzeri, previa denuncia. La multa per le persone giuridiche sarà limitata a 50.000 franchi svizzeri. I procedimenti in corso saranno giudicati in base alla legge attuale, anche se non si concluderanno prima dell’entrata in vigore della nuova legge, si legge nel rapporto.

Il Paese ha bisogno di una legge sulla cybersecurity che aggiorni il quadro normativo per la protezione dei dati personali e garantisca la privacy dei cittadini quando navigano in Internet, cosi ha affermato la presidente dell’Istituto nazionale per la trasparenza, l’accesso alle informazioni e la protezione dei dati personali (INAI), Julieta del Río Venegas. Durante la sua partecipazione alla Conferenza regionale sulla trasparenza comunale, la cittadinanza digitale e la responsabilità, tenutasi a Tlaxcala, la funzionaria ha dichiarato che è necessario prevedere aggiornamenti sia nel software che nell’hardware per garantire la sicurezza nell’uso delle nuove tecnologie informatiche.”Il quadro normativo di questo Paese è obsoleto. Dobbiamo dire le cose come stanno, dobbiamo aggiornarlo; abbiamo bisogno di una legge sulla cybersecurity. Ci sono molti progetti al Senato, ma non sono stati presentati perché stanno valutando le nomine dell’INAI; quindi, quando ci saranno le nomine, sicuramente arriveranno queste leggi”, ha aggiunto.Per quanto riguarda la conferenza che si è svolta a Tlaxcala, ha spiegato che è in corso una analisi dei comuni con meno di 70.000 abitanti, con l’obiettivo di analizzare le complicazioni affrontate dai soggetti obbligati di queste entità per svolgere i compiti che consentono loro di garantire i diritti di accesso alle informazioni pubbliche e la protezione dei dati personali.

English version

  • THE FAR WEST FOR THE INTERNET OF THINGS IS OVER
  • SWITZERLAND, THE FEDERAL DATA PROTECTION COMMISSIONER WILL INCREASE THE NUMBER OF INQUIRIES
  • MEXICO, THE PRIVACY GUARANTORITY (INAI) CALLS FOR A CYBERSECURITY LAW

Alongside the General Data Protection Regulation, the Digital Services Act, the Digital Market Act and the Data Governance Act comes the Data Act. A text on which the 27 Member States reached agreement last week and which, this time, tackles a grey area in a market set to generate some €270 billion in additional GDP by 2028: the Internet of Things. To put it plainly: who can, when, how and for what purpose access the so-called “industrial” data collected by our connected objects (cars, watches, personal assistants, smartTVs, etc.)?The Data Act, which still has to pass through Parliament, aims to ensure a fair distribution of the value of data between players in the digital environment, stimulate the data market, create opportunities for innovation, and make data more accessible. It aims to give individuals and businesses more control over the data generated by these “intelligent” objects. It should therefore facilitate the transition to other data processing service providers, introduce safeguards against the illegal transfer of data by cloud service providers and provide for the development of interoperability standards for data to be re-used between sectors, enabling them, for example, to easily copy or transfer this data to other services. Cloud services, such as those provided by Apple, Amazon and Google, come to mind, and should therefore be less restricted. The Data Act should also give consumers and businesses a say in what can be done with the data generated by their connected products.Manufacturers such as Siemens and SAP have watered down an attempt to force them to share data with third parties to provide after-sales or other data-driven services. Siemens (SIEGn.DE) and SAP (SAPG.DE) have expressed concerns about data leaks linked to commercial confidentiality. It should be noted that this data can be read and consulted by public bodies “in the event of public emergencies such as floods and forest fires, or when implementing a legal mandate”. The anonymity of this data is a cause for concern. We remember that during the pandemic, the authorities had partial access to our location data to monitor the spread of the virus in real time.

These days, almost everyone is connected to the internet, whether to make online payments or to meet friends. The volume and intensity of the processing of personal information has increased tenfold as a result, notes the Federal Data Protection Commissioner in his 30th Annual Report 2022-2023.The misadventures of the mesvaccins.ch platform and Swisstransplant’s organ donation register show that the rules of the new law are more necessary than ever. The new Data Protection Act, which comes into force on 1 September, is intended to provide the economy with new tools to meet the public’s legitimate expectations for robust protection of the private sphere.It will introduce a number of innovations not only for data processors, but also for the Federal Data Protection Commissioner. From now on, when the planned processing of data is likely to entail a high risk for the personality or fundamental rights of the data subject, the data controller will have to carry out an impact assessment.The Federal Data Protection Commissioner will examine the analysis and issue his opinion within two months. Professional, sectoral or economic associations will be able to draw up their own code of conduct and submit it to the SDPC. The SDPC will publish its position.In future, data controllers will be required to report data security breaches. If the Data Protection Commissioner finds any infringements, he will be able to issue a decision that can be challenged before the Federal Administrative Court. However, unlike the supervisory authorities in the EU, the Data Protection Commissioner will continue to have no power to impose sanctions, and will in future be liable to penalties for intentional breaches of the obligations to inform, to provide information and to cooperate, as well as for intentional breaches of the duty of care, particularly in relation to the disclosure of personal data abroad, outsourcing and the provision of data security.Fines of up to 250,000 Swiss francs may be imposed on the private individual responsible for the data processing upon complaint. The fine for legal entities will be capped at CHF 50,000. Ongoing proceedings will be judged in accordance with current law, even if they are not concluded until after the new law comes into force, the report states.

The country needs a Cybersecurity Law that updates the regulatory framework for personal data protection and guarantees the privacy of citizens when surfing the internet, said the president of the National Institute for Transparency, Access to Information and Protection of Personal Data (INAI), Julieta del Río Venegas. During her participation in the Regional Conference on Municipal Transparency, Digital Citizenship and Accountability, held in Tlaxcala, the official stated that it is necessary to contemplate updates in both software and hardware to guarantee security in the use of new information technologies.”The regulatory framework in this country is outdated. We need to tell it like it is, we need to update it; we need a cybersecurity law. There are many projects in the Senate, but they haven’t brought them out because they are looking at the INAI appointments; so, when the appointments come out, these laws will surely come out,” he added.Regarding the conference that took place in Tlaxcala, he explained that a diagnosis of the municipalities with less than 70,000 inhabitants is being carried out, with the purpose of analysing the complications faced by the obliged subjects of these entities to carry out the tasks that allow them to guarantee the rights of access to public information and the protection of personal data.

PRIVACYDAILY

N. 151/2023

LE TRE NEWS DI OGGI:

  • SVIZZERA, L’INCARICATO FEDERALE PER LA PROTEZIONE DEI DATI PERSONALI STA PER INTENSIFICARE LA SUA AZIONE
  • OLANDA, IN ARRIVO AZIONE DI MASSA CONTRO AMAZON PER VIOLAZIONE DELLA PRIVACY
  • USA, LA SENTENZA SULLA PRIVACY DELLE SCANSIONI FACCIALI RENDE PIU’ ASPRA LA BATTAGLIA LEGALE SULLE ASSICURAZIONI BIOMETRICHE

La revisione della legge sulla protezione dei dati entrerà in vigore in Svizzera il 1° settembre. Di conseguenza, l’incaricato federale per la protezione dei dati intensificherà le sue attività di sorveglianza e aumenterà il numero di indagini. Il volume e la portata del trattamento dei dati personali sono decuplicati, secondo quanto riportato dall’incaricato federale per la protezione dei dati nel suo 30° rapporto annuale 2022/23, pubblicato martedì. Le sviste della piattaforma mesvaccins.ch e del registro delle donazioni di organi di Swisstranplant dimostrano che le regole della nuova legge sono più che mai necessarie.La nuova legge deve fornire nuovi strumenti all’economia per soddisfare le legittime aspettative della popolazione per un’efficace protezione della sfera privata. Il testo introdurrà innovazioni non solo per i responsabili del trattamento dei dati, ma anche per l’incaricato federale per la protezione dei dati. D’ora in poi, quando il trattamento dei dati previsto può comportare un rischio elevato per la personalità o i diritti fondamentali dell’interessato, il responsabile del trattamento dovrà effettuare un’analisi d’impatto. L’incaricato federale per la protezione dei dati esaminerà l’analisi ed emetterà un parere entro due mesi. Le associazioni professionali, settoriali o economiche potranno redigere un proprio codice di condotta e sottoporlo all’IFPD. L’IFPD pubblicherà la sua posizione. In futuro i responsabili del trattamento dei dati saranno tenuti a segnalare le violazioni della sicurezza dei dati. Se l’Incaricato della protezione dei dati riscontrerà delle violazioni, potrà emettere una decisione che potrà essere impugnata davanti al Tribunale amministrativo federale. Tuttavia, a differenza delle autorità di controllo dell’UE, l’Incaricato per la protezione dei dati continuerà a non avere il potere di imporre sanzioni e in futuro sarà passibile di sanzioni per le violazioni intenzionali degli obblighi di informazione, comunicazione e cooperazione, nonché per le violazioni intenzionali dell’obbligo di diligenza, in particolare in relazione alla divulgazione di dati personali all’estero, all’outsourcing e alla fornitura di sicurezza dei dati. Al privato responsabile del trattamento dei dati possono essere inflitte multe fino a 250.000 franchi svizzeri, previa denuncia. La multa per le persone giuridiche sarà limitata a 50.000 franchi svizzeri. Il rapporto afferma che i procedimenti in corso saranno giudicati in base alla legge attuale, anche se non si concluderanno prima dell’entrata in vigore della nuova legge. Sebbene non esista un rischio zero nel trattamento dei dati personali, i nuovi strumenti consentiranno ai responsabili del trattamento dei dati di identificare i rischi e, in ultima analisi, di proteggere la privacy degli utenti di Internet.

Trouw (quotidiano olandase) riporta che è in preparazione una richiesta di risarcimento di massa contro Amazon per aver presumibilmente tracciato illegalmente milioni di olandesi. La Stichting Data Bescherming Nederland ha annunciato l’intenzione di intentare una causa in tribunale sostenendo che Amazon ha raccolto più dati del necessario in violazione della legge sulla protezione dei dati.”Trouw ha riportato il sospetto che il gigante del web possa ancora seguire il comportamento dei clienti su altri siti, come il sito web immobiliare Funda, quando cercano una vacanza o una gita in famiglia e altri siti web in cui fa pubblicità, grazie ai cookie di tracciamento. La fondazione che ha presentato la denuncia sostiene che Amazon si differenzia da Facebook o Twitter, che offrono servizi gratuiti in cambio dei dati dei clienti, mentre Amazon è semplicemente un negozio web con clienti. La fondazione ha scritto ad Amazon, con sede in Lussemburgo, e se non otterrà una risposta, avvierà una causa in tribunale a nome di circa cinque milioni di utenti olandesi. Un portavoce di Amazon ha dichiarato a Trouw che non ritiene di infrangere la legge. “Stiamo esaminando il contenuto della lettera e risponderemo a tempo debito”, ha dichiarato il portavoce. A marzo un tribunale olandese ha stabilito che Facebook ha violato le norme sulla privacy nel modo in cui ha gestito i dati personali.

La recente sconfitta di Hanover Insurance Group Inc. in una controversia sulla privacy legata alla scansione del volto fornisce una guida per gli assicuratori su come redigere un documento di polizza più chiaro per evitare di dover fornire una copertura per le violazioni della privacy biometrica di un assicurato.La Corte d’Appello degli Stati Uniti per il Settimo Circuito è stata la prima corte d’appello a individuare un linguaggio troppo vago per una polizza assicurativa che esclude la copertura per un assicurato che avrebbe violato un’influente legge dell’Illinois sulla privacy biometrica.I gestori utilizzeranno probabilmente la sentenza come guida per la stesura delle loro polizze di responsabilità civile aziendale standard, in modo da escludere esplicitamente i reati legati alla privacy dei dati, hanno dichiarato gli avvocati del settore. La sentenza sarà inoltre utile ai titolari di polizze che cercano protezione assicurativa in seguito all’aumento delle cause legali che denunciano l’utilizzo da parte delle aziende delle scansioni del volto, della retina e delle impronte digitali delle persone senza il loro consenso.”In sostanza, abbiamo stabilito un precedente che prevede una copertura nell’ambito delle polizze di responsabilità civile generale”, ha dichiarato Daniel Healy, partner di Brown Rudnick LLP che lavora con le aziende in cerca di copertura. La sentenza del Settimo Circuito obbliga ora un’unità di Hanover a pagare le spese legali di un fornitore IT dell’Illinois in due azioni collettive proposte. I querelanti sostengono che il fornitore informatico ha violato il Biometric Information Privacy Act (BIPA) dello Stato aiutando illegalmente il Dipartimento di Polizia di Chicago ad accedere al controverso database di riconoscimento facciale di Clearview AI. La decisione di Hanover “è la prima nel suo genere e rappresenta un segnale forte sulla specificità che i tribunali si aspettano dagli assicuratori se vogliono escludere la copertura per il BIPA”, ha dichiarato Peter Halprin, partner di Pasich LLP che rappresenta gli assicurati. Il BIPA, pur essendo limitato all’Illnois, è considerato importante dai sostenitori della privacy perché è l’unica legge statale a livello nazionale che consente a consumatori e lavoratori di fare causa per violazioni biometriche. New York, California e altri Stati stanno sviluppando le proprie norme sui dati biometrici. La decisione del Settimo Circuito sarà “un’autorità molto persuasiva per gli assicurati di altre giurisdizioni”, ha dichiarato Seth Lamden, partner di Blank Rome LLP per il recupero delle assicurazioni. Hanover ha sostenuto che una clausola generale di “violazione dello statuto”, comunemente presente nelle polizze di responsabilità civile delle imprese, esonera l’assicuratore dal dovere di difendere gli assicurati accusati di violazioni della privacy biometrica. Ma il Settimo Circuito ha affermato che l’esclusione è così ambigua e ampia da poter annullare la copertura per le cause relative alla proprietà intellettuale, alla calunnia e alla diffamazione che la polizza pretende di includere.” La Corte d’Appello ha affermato che in questo linguaggio non compare alcun riferimento, né alcun accenno, al termine ‘privacy’. Anche se l’assicuratore avesse usato la parola “privacy” nell’esclusione della violazione degli statuti, non è chiaro quali leggi sulla privacy sarebbero state escluse, ha detto la corte. Alcune leggi hanno lo scopo di proteggere gli individui dal ricevere telefonate senza consenso, mentre altre, come il BIPA, proteggono “la riservatezza delle informazioni personali”, ha affermato il Settimo Circuito.

English version

  • SWITZERLAND, THE FEDERAL PERSONAL DATA PROTECTION OFFICER IS ABOUT TO INTENSIFY ITS ACTION
  • HOLLAND, MASS ACTION AGAINST AMAZON FOR PRIVACY VIOLATION COMING SOON
  • US, FACIAL SCAN PRIVACY JUDGMENT MAKES  BIOMETRIC INSURANCE LEGAL BATTLE TOUGHER

The revision of the Data Protection Act will come into force on 1 September. As a result, the Federal Data Protection Commissioner will be stepping up his surveillance activities and increasing the number of investigations. The volume and intensity of personal data processing have increased tenfold, according to the Federal Data Protection Commissioner in his 30th Annual Report 2022/23, published on Tuesday.The misadventures of the mesvaccins.ch platform and the Swisstranplant organ donation register show that the rules of the new law are more necessary than ever.The new law must provide the economy with new tools to meet the legitimate expectations of the population for solid protection of the private sphere.The text will introduce innovations not only for data processors, but also for the Federal Data Protection Commissioner. From now on, when the data processing envisaged is likely to entail a high risk for the personality or fundamental rights of the data subject, the data controller will have to carry out an impact analysis.The Federal Data Protection Commissioner will examine the analysis and issue his opinion within two months. Professional, sectoral or economic associations will be able to draw up their own code of conduct and submit it to the SDPC. The SDPC will publish its position.In future, data controllers will be required to report data security breaches. If the Data Protection Commissioner finds any infringements, he will be able to issue a decision that can be challenged before the Federal Administrative Court. However, unlike the supervisory authorities in the EU, the Data Protection Commissioner will continue to have no power to impose sanctions, and will in future be liable to penalties for intentional breaches of the obligations to inform, to provide information and to cooperate, as well as for intentional breaches of the duty of care, particularly in relation to the disclosure of personal data abroad, outsourcing and the provision of data security.Fines of up to 250,000 Swiss francs may be imposed on the private individual responsible for the data processing upon complaint. The fine for legal entities will be capped at CHF 50,000.The report states that ongoing proceedings will be judged in accordance with current law, even if they are not concluded until after the new law comes into force. Although there is no such thing as zero risk in the processing of personal data, the new instruments will enable data controllers to identify risks and ultimately protect the privacy of Internet users.

A mass claim is being prepared against Amazon for allegedly illegally tracking millions of Dutch people, reports Trouw.Stichting Data Bescherming Nederland announced that it intends to bring a court case claiming that Amazon has collected more data than it needs in breach of data protection law.“It is even the case, in many situations, that Amazon follows your behaviour on the internet after you have refused permission,” it claims.Trouw reported suspicions that the web giant may still follow customer behaviour on other sites such as the property website Funda, when looking for a holiday or family days out and other websites where it advertises, thanks to tracking cookies.The foundation behind the claim says Amazon differs from Facebook or Twitter, which offer free services in exchange for customer data, while Amazon is simply a web shop with clients. It has written to Luxembourg-based Amazon and if it does not get a response, it will launch a court case in the name of an estimated five million Dutch users.A spokesperson for Amazon told Trouw it does not believe it breaks the law. “We are currently reviewing the contents of the letter and will respond in due course,” the spokesperson reportedly said. A Dutch court ruled in March that Facebook did break privacy rules in the way it handled personal data.

Hanover Insurance Group Inc.’s recent loss in a face scan privacy dispute provides a roadmap for insurers on how to craft clearer policy language to avoid having to provide coverage for a policyholder’s biometric privacy violations. The US Court of Appeals for the Seventh Circuit became the first appellate court to pinpoint insurance policy language that’s too vague to exclude coverage for a policyholder that allegedly violated an influential Illinois law on biometric privacy. Carriers will likely use the ruling as a guide in writing their standard business liability policies to explicitly carve out data privacy offenses, industry attorneys said. The ruling will also bolster policyholders seeking insurance protection amid an uptick in lawsuits claiming businesses used people’s face and retina scans and fingerprints without their consent, they said. “Basically we’ve set a precedent that there is coverage under the general liability policies,” said Daniel Healy, a partner at Brown Rudnick LLP who works with businesses seeking coverage. The Seventh Circuit ruling now obligates a Hanover unit to pay an Illinois IT vendor’s legal bills in two proposed class actions. The plaintiffs alleged the IT vendor violated the state’s Biometric Information Privacy Act (BIPA) by unlawfully helping the Chicago Police Department gain access to Clearview AI’s controversial facial-recognition database. The Hanover decision “is a first-of-its-kind ruling with a strong signal about the specificity courts expect insurers to have if they want to exclude coverage for BIPA,” said Peter Halprin, a partner at Pasich LLP who represents policyholders. BIPA, while limited to Illnois, is considered significant among privacy advocates because it’s the only state law nationwide that allows consumers and workers to sue over biometric violations. New York, California, and other states are developing their own biometric data rules. The Seventh Circuit decision will be a “very persuasive authority to policyholders in other jurisdictions,” said Seth Lamden, an insurance recovery partner at Blank Rome LLP.Hanover has argued that a catch-all “violation-of-statutes” clause—one that’s commonly found in business liability policies—relieves the insurer of its duty to defend policyholders accused of biometric privacy violations. But the Seventh Circuit said the exclusion is so ambiguous and broad that it could cancel coverage for intellectual property, slander, and libel-related suits that the policy purports to include. “No mention, and indeed no hint, of ‘privacy’ appears anywhere in this language,” the appeals court said. Even if the insurer had used the word “privacy” in the the violation-of-statutes exclusion, it’s unclear which privacy laws would be carved out, the court said. Some statutes are intended to shield individuals from receiving phone calls without consent, while others such as BIPA protect “the confidentiality of one’s personal information,” the Seventh Circuit said.

PRIVACYDAILY

N. 150/2023

LE TRE NEWS DI OGGI:

  • USA, INDUSTRIA MEDICA SPINGE PER RENDERE PERMANENTI LE DISPOSIZIONI SULLA TELEMEDICINA
  • SVIZZERA, I POLIZIOTTI DI GINEVRA RIFIUTANO DI ESSERE TRACCIATI
  • FILIPPINE, IL MINISTERO DELL’EDUCAZIONE VUOLE PROFILARE I DOCENTI SINDACALIZZATI

I fornitori di servizi medici stanno facendo pressione sul Congresso affinché li aiuti a rendere permanenti le disposizioni in materia di telemedicina su cui hanno fatto affidamento durante la pandemia Covid-19.Le proposte di legge sostenute da decine di legislatori mirano a sancire in modo permanente le flessibilità dell’era della pandemia in materia di servizi sanitari digitali. Alcune delle flessibilità offerte dalle proposte di legge includono l’eliminazione dei requisiti di visita di persona per i servizi di assistenza sanitaria online, la possibilità per i datori di lavoro di offrire ai propri dipendenti prestazioni di teleassistenza autonome e l’eliminazione dell’obbligo per i pazienti di pagare una franchigia per l’assistenza sanitaria somministrata tramite teleassistenza .L’uso della telemedicina è aumentato durante la pandemia, portando servizi richiesti come il trattamento della salute mentale in aree remote e comunità svantaggiate, e allo stesso tempo alleviando alcune vecchie preoccupazioni. Prima della Covid-19, la telemedicina online era soggetta a una rigida regolamentazione, soprattutto a causa delle preoccupazioni sulla privacy e sul potenziale di frode e abuso del mezzo. Regolamenti come i requisiti per gli esami di persona e le restrizioni geografiche per i medici sono stati stabiliti per assicurarsi che i servizi di telemedicina fossero utilizzati in modo appropriato e non compromettessero la qualità delle cure per i pazienti. Sono state inoltre introdotte numerose norme sulla privacy e sulla sicurezza dei dati, a scapito della facilità d’uso e della convenienza della telemedicina, per garantire che le informazioni sanitarie private fossero al sicuro dalle vulnerabilità della sicurezza. Ma l’amministrazione Trump ha temporaneamente allentato queste restrizioni al culmine della pandemia, in risposta alla pressante necessità di assistenza sanitaria a distanza. Il Consolidated Appropriations Act dello scorso dicembre ha esteso molte di queste flessibilità fino al 2025, ma le proteste dei sostenitori della telemedicina stanno facendo pressione sul Congresso affinché queste disposizioni diventino permanenti.Kyle Zebley, vicepresidente dell’Associazione americana di telemedicina, ha dichiarato che lo slancio per rendere permanenti le flessibilità in materia di telemedicina si è avuto dopo che dati recenti hanno dimostrato che il numero di fatturazioni abusive tra i fornitori di telemedicina non è superiore a quello dell’assistenza tradizionale di persona.

A Ginevra, una nuova applicazione per il monitoraggio del personale consente di conservare i dati raccolti, come ha saputo l’Unità investigativa della RTS. Si tratta di un’iniziativa unica in Svizzera che ha fatto infuriare i sindacati. E giustamente, secondo il commissario cantonale per la protezione dei dati. Ciononostante, il dipartimento sta andando avanti.I sindacati della polizia ginevrina hanno iniziato un braccio di ferro senza precedenti con il loro dipartimento di vigilanza. Qual è la posta in gioco? Una questione delicata che fa notizia da mesi: la protezione dei dati personali. Di fronte a un nuovo sistema di geolocalizzazione, i cittadini si sono rivolti al responsabile cantonale della protezione dei dati e della trasparenza (PPDT) contro i loro superiori, che hanno autorizzato la conservazione a lungo termine dei loro dati. Questo procedimento è unico in Svizzera.Tutto è iniziato l’estate scorsa. Nel luglio 2022, la direzione operativa della polizia ginevrina ha istituito un nuovo sistema di geolocalizzazione per i suoi agenti. Il sistema precedente, risalente al 2006, era diventato obsoleto. La direzione ha optato per un’applicazione chiamata “Mobile Responder”.L’applicazione viene utilizzata dalle centrali operative della polizia ginevrina “per garantire la corretta gestione delle risorse operative e per assistere il personale di polizia nella sua missione”, come si legge nella direttiva che regola il sistema. L’applicazione è installata sia sui tablet a bordo dei veicoli della polizia sia sugli smartphone degli agenti. Deve essere attivata non appena gli agenti in servizio lasciano il loro ufficio e successivamente disattivata.La polizia ginevrina non è la sola a rintracciare i propri agenti sul campo. Tutti i cantoni della Svizzera francese, ad eccezione del Vallese, utilizzano strumenti più o meno simili. Solo che non conservano i dati utilizzati nelle operazioni. Nel caso di Ginevra, è proprio questo che ci preoccupa.La direzione della polizia prevede di conservare i dati raccolti per un periodo di 100 giorni per i tablet dei veicoli e di 30 giorni per gli smartphone, “a scopo di formazione o per migliorare il sistema”. Questo è inaccettabile, secondo il sindacato dei gendarmi (UPCP) e il sindacato della polizia giudiziaria (SPJ), che si sono rivolti a un avvocato. Da un lato, si tratta di un attacco alla sfera privata e alla protezione dei dati degli agenti”, sostiene Sylvain Métille. “Dall’altro, la sorveglianza dei lavoratori è eccessiva e inutile, poiché la protezione dei dati si basa sui principi di proporzionalità e finalità: devono essere trattati solo i dati necessari e idonei al raggiungimento dello scopo previsto. In questo caso, l’obiettivo è garantire il corretto impiego degli agenti, non assicurare che i dati siano conservati a lungo”.

L’Alliance of Concerned Teachers (ACT) ha dichiarato che un recente memorandum del Dipartimento dell’Educazione (DepEd) che chiede a tutte le unità locali di presentare una lista di insegnanti affiliati all’organizzazione viola la loro libertà di associazione, di espressione e il diritto alla privacy.In precedenza, l’organizzazione aveva accusato il DepEd di “profilare” i suoi membri dopo aver emesso, il 14 giugno, il memorandum con oggetto “Richiesta di presentazione dell’elenco degli insegnanti affiliati al sindacato ACT che si avvalgono del sistema di deduzione automatica delle retribuzioni (APDS)”. L’agenzia governativa ha negato l’accusa, affermando che il “solo scopo” di consolidare i nomi di coloro che si avvalgono dell’APDS era quello di centralizzare e aggiornare i suoi sistemi. L’ACT ha dichiarato che i suoi membri e i sindacati regionali hanno seguito le linee guida esistenti sull’APDS.”Le unioni regionali accreditate che hanno l’APDS aggiornano mensilmente lo stato dei loro membri. Non c’è bisogno che il DepEd raccolga l’elenco dei membri dell’ACT perché è il DepEd che approva e implementa l’APDS ogni mese”, ha spiegato l’ACT.Il gruppo ha criticato la “giustificazione” del DepEd secondo cui il memorandum mira a risolvere le lamentele dei dipendenti per le errate detrazioni delle quote associative mensili. Il problema può essere risolto sistemando i meccanismi di registrazione dell’agenzia senza mettere a rischio la privacy e la sicurezza dei dipendenti.L’ACT ha anche condannato le presunte operazioni di profiling continue e illegali del DepEd, citando istruzioni simili dell’agenzia emesse nel 2018 e nel 2021. L’organizzazione ha dichiarato che la “lunga lista di casi di violazione” è già stata presentata all’Organizzazione Internazionale del Lavoro.Secondo l’ACT, non c’è alcuna garanzia che le informazioni raccolte attraverso il memorandum non vengano usate contro l’organizzazione e i suoi membri. L’ACT ha affermato che la vicepresidente e segretaria per l’Istruzione Sara Duterte è stata coinvolta nel “red-tagging implacabile e malevolo” dei suoi membri.”Questo apre la grande possibilità di violare il diritto di associazione, la libertà di espressione e la protezione della privacy dell’ACT e dei suoi membri”, si legge.”Chiediamo al Dipartimento dell’Istruzione di porre fine agli attacchi contro gli insegnanti e di concentrarsi sul superamento della crisi dell’istruzione e dell’apprendimento. Il DepEd dovrebbe essere colui che serve e risponde alle richieste degli insegnanti”, ha aggiunto il gruppo. “Il DepEd ha il dovere di sostenere e proteggere i diritti costituzionalmente garantiti degli insegnanti e di rispettare l’impegno del Paese ad attuare la Convenzione 87 dell’OIL (libertà di associazione)”.

English version

  • USA, MEDICAL INDUSTRY PUSHES TO MAKE TELEMEDICINE PROVISIONS PERMANENT
  • SWITZERLAND, GENEVA POLICE REFUSE TO BE TRACKED
  • PHILIPPINES, MINISTRY OF EDUCATION WANTS TO PROFILE UNIONALIZED TEACHERS

Medical providers are pushing Congress to help them make permanent telehealth provisions they came to rely on during the Covid-19 pandemic.Bills backed by dozens of lawmakers aim to permanently enshrine pandemic-era flexibilities around digital health-care services.Some of the flexibilities offered by the bills include removing in-person examination requirements for online health-care services, allowing employers to offer standalone telehealth benefits to their employees, and removing the requirement that patients pay a deductible for health care administered via telehealth.Telehealth use soared during the pandemic, bringing in-demand services like mental health treatment to remote areas and disadvantaged communities, while at the same time alleviating some old concerns.Before Covid-19, online telemedicine faced stringent regulation largely due to concerns over privacy issues and the medium’s potential for fraud and abuse.Regulations like in-person exam requirements and geographic restrictions for physicians were established to make sure telehealth services were being used appropriately and didn’t compromise patients’ quality of care. Numerous privacy and data security rules were also put in place, at the expense of telehealth ease of use and convenience, to ensure that private health information was safe from security vulnerabilities.But the Trump administration temporarily relaxed these restrictions at the height of the pandemic in response to the pressing need for remote health care.Last December’s Consolidated Appropriations Act extended many of these flexibilities until 2025, but outcries from telehealth advocates are putting pressure on Congress to make these provisions permanent.Several of the bills have been passed out of committee but none has seen floor action.Kyle Zebley, vice president of the American Telemedicine Association, said much of the momentum for permanent telehealth flexibilities came after recent data showed the extent of abusive billing among telemedicine providers was not higher than that of traditional in-person care.

 In Geneva, a new application for tracking staff allows the data collected to be retained, RTS’s Investigation Unit has learned. This is unique in Switzerland and has upset the unions. And rightly so, according to the cantonal data protection commissioner. Nevertheless, the department is going ahead.Geneva’s police unions have begun an unprecedented tug-of-war with their supervisory department, RTS’s Investigation Unit has learned. What’s at stake? A sensitive issue that has been in the news for months: the protection of personal data. Confronted with a new geolocation system, they took their case to the cantonal data protection and transparency officer (PPDT) against their superiors, who authorised the long-term storage of their data. This process is unique in Switzerland.It all began last summer. In July 2022, the Geneva police force’s operations management set up a new geolocation system for its officers. The previous system, dating from 2006, had become obsolete. The management has opted for an application called “Mobile Responder”.The application is used by Geneva’s police operations centres “to ensure the proper management of operational resources and to assist police personnel in their mission”, as stated in the directive governing the system. The application is installed both on the tablets in police vehicles and on police officers’ smartphones. It must be activated as soon as officers on duty leave their offices and deactivated thereafter.The Geneva police force is not alone in tracing its officers in the field. All the cantons in French-speaking Switzerland, with the exception of Valais, use more or less similar tools. Except that they do not keep the data used in operations. In the case of Geneva, that’s precisely what’s bothering us.Police management plans to keep the data collected for a period of 100 days for vehicle tablets, and 30 days for smartphones, “for training purposes or to improve the system”. This is unacceptable, according to the gendarmes’ union (UPCP) and the judicial police union (SPJ), who have retained the services of a lawyer. On the one hand, this is an attack on the private sphere and the protection of officers’ data”, argues Sylvain Métille. “On the other hand, the surveillance of workers is excessive and unnecessary, since data protection is based on the principles of proportionality and finality: only data that is necessary and suitable for achieving the intended purpose should be processed. In this case, the aim is to ensure the proper deployment of the agents, not to ensure that the data is kept for a long time.

The Alliance of Concerned Teachers (ACT) said a recent Department of Education (DepEd) memorandum asking all local units to submit a list of teachers affiliated with the organization violates their freedom of association, expression, and right to privacy.The organization earlier accused DepEd of “profiling” its members after it issued on June 14 the memorandum with the subject “Request for Submission of the List of ACT Union-Affiliated Teachers Who are Availing of the Automatic Payroll Deduction System (APDS).”The government agency has denied the allegation, saying that the “sole purpose” of consolidating the names of those availing of the APDS was to centralize and update its systems. ACT said its members and regional unions have been following the existing guidelines on the APDS.”Accredited regional unions that have APDS religiously update their members’ status monthly. There is no need for DepEd to collect the list of ACT members as it is DepEd which approves and implements the APDS every month,” ACT explained. The group slammed DepEd’s “justification” that the memorandum seeks to address employees’ complaints of wrong deductions of monthly membership dues. It said this can be remedied by fixing the agency’s record mechanisms without jeopardizing the privacy and safety of employees. ACT also condemned DepEd’s alleged continuous and illegal profiling operations by citing similar instructions from the agency issued in 2018 and 2021. The organization said the “long list of cases of violations” has already been submitted to the International Labor Organization. According to ACT, there is no guarantee that the information gathered through the memorandum will not be used against the organization and its members. It claimed Vice President and Education Secretary Sara Duterte has been involved in the “relentless and malicious red-tagging” of its members. “This is opening the big possibility of violating ACT’s and its members’ right to association, freedom of expression and protection of privacy,” it said. “We demand the Department of Education to end attacks on teachers and focus on overcoming education and learning crisis. DepEd should be the one who serves and responds to teachers’ demands,” the group added. “DepEd is duty-bound to uphold and protect teachers’ constitutionally guaranteed rights and fulfill the country’s commitment to implement ILO Convention 87 (Freedom of Association).”

PRIVACY DAILY 99/2023

Helen Dixon (Data Protection Commissioner della Repubblica d’Irlanda) ha risposto ai critici che accusano il suo ufficio di impiegare troppo tempo ad emettere provvedimenti contro le aziende della Silicon Valley. “Alcune delle persone che commentano di fretta capiscono ben poco del processo di conduzione di un’istruttoria, della complessità dell’accertamento dei fatti, dell’attuazione di procedure corrette nel processo”, ha detto la Dixon in un panel all’evento Bloomberg New Economy Gateway Europe. Dall’approvazione del GDPR, le tensioni sono cresciute rapidamente, poiché l’autorità garante irlandese si è trasformata da un giorno all’altro nel principale supervisore dell’UE per le aziende tecnologiche globali con sede nel Paese, come Apple e Meta Platforms. “Queste cose richiedono tempo per essere fatte correttamente”, ha detto Dixon. “E se qualcuno ha letto le 200 pagine di decisioni che l’ufficio produce per motivare il tipo di misure che stiamo attuando, può capire un po’ i dettagli”. La Dixon ha anche segnalato un progresso nella lunga saga sulla validità dei trasferimenti di dati transatlantici per il timore che le agenzie di sicurezza statunitensi possano accedere ai dati dell’UE. Ha dichiarato che il suo ufficio emetterà una decisione finale di un’indagine sulla questione di Facebook entro il 12 maggio. Meta potrebbe trovarsi di fronte a un imminente divieto di flusso di dati nell’ambito dei trasferimenti di dati tra l’UE e gli USA in base alle cosiddette clausole contrattuali standard. Non è chiaro cosa significherebbe in pratica un tale ordine per Meta e forse per migliaia di altre aziende che dipendono da flussi di dati simili. Questo perché arriverà solo pochi mesi prima dell’entrata in vigore di un nuovo patto UE-USA sui dati.

Il Governo svizzero ha preso atto del rapporto della Commissione sulla gestione istituita dal Consiglio Nazionale sulla fondazione «lemievaccinazioni.ch». Il rapporto contiene una serie di raccomandazioni sull’impegno della Confederazione nei confronti di beneficiari di sovvenzioni federali organizzati secondo il diritto privato e sulla partecipazione ai consigli di fondazione. La Commissione sulla gestione del Consiglio nazionale (CdG-N) si è occupata della vigilanza esercitata dall’Ufficio federale della sanità pubblica (UFSP) sulla fondazione «lemievaccinazioni.ch», la quale gestiva un libretto di vaccinazione elettronico. La Confederazione ha sostenuto finanziariamente la fondazione per svariati anni. Nella primavera del 2021 sono state constatate gravi falle nella protezione dei dati e nella sicurezza del libretto di vaccinazione elettronico. Poco dopo la piattaforma è stata disattivata. Nel corso delle sue indagini la CdG-N si è concentrata sul modo in cui il Dipartimento federale dell’interno e l’UFSP hanno esercitato le loro funzioni di vigilanza, sull’appropriatezza delle misure prese e sugli insegnamenti generali che si possono trarre da questo caso. La CdG-N è giunta alla conclusione che l’UFSP ha agito in maniera adeguata per quanto concerne la sicurezza dei dati presso la fondazione «lemievaccinazioni.ch» e ha prestato sufficiente attenzione all’aspetto della protezione dei dati. Alla fondazione «lemievaccinazioni.ch» sono stati concessi aiuti finanziari da parte della Confederazione e l’UFSP aveva il compito di vigilare sul loro corretto impiego. La CdG-N è giunta alla conclusione che la vigilanza esercitata dall’UFSP sulla fondazione è stata, invece, troppo blanda dal punto di vista finanziario. Il Consiglio federale ha concordato con questa conclusione.

Da venerdì la polizia francese potrà utilizzare droni dotati di telecamere per un’ampia gamma di compiti, tra cui il monitoraggio della folla e il controllo delle frontiere, a seguito della pubblicazione di un decreto sulla Gazzetta Ufficiale di giovedì. La mossa arriva a poco più di un anno dalle Olimpiadi di Parigi 2024 e in un momento in cui l’opposizione alla riforma delle pensioni del presidente Emmanuel Macron ha scatenato enormi proteste che a volte sono diventate violente. Il decreto consente alla polizia, alle dogane o ai militari di utilizzare i droni per prevenire attacchi a persone o cose, garantire la sicurezza degli assembramenti in luoghi pubblici e mantenere o ripristinare l’ordine pubblico quando questi assembramenti possono turbarlo gravemente. I droni possono essere utilizzati anche per la prevenzione di atti terroristici, la regolazione dei flussi di trasporto, la sorveglianza delle frontiere e il salvataggio di persone. Il decreto dettaglia e attua in pratica una legge sulla sicurezza votata dal Parlamento lo scorso anno. L’Autorità garante francese (CNIL) aveva chiesto a marzo la pubblicazione di una politica dettagliata di utilizzo, che includesse le informazioni del pubblico interessato dall’uso dei droni.

English version

Helen Dixon (Data Protection Commissioner of the Republic of Ireland) has responded to critics who accuse her office of taking too long to issue orders against Silicon Valley companies. “Some of the people who comment in haste understand very little about the process of conducting an investigation, the complexity of fact-finding, the implementation of proper procedures in the process,” Dixon said in a panel at the Bloomberg New Economy Gateway Europe event. Since the approval of the GDPR, tensions have risen rapidly as the Irish regulator has overnight become the EU’s main supervisor for global technology companies based in the country, such as Apple and Meta Platforms. “These things take time to be done properly,” Dixon said. “And if anyone has read the 200 pages of decisions that the office produces to justify the kind of measures we are implementing, they can understand a little bit of the detail.” Dixon also signalled progress in the long-running saga over the validity of transatlantic data transfers over fears that US security agencies could access EU data. She said her office will issue a final decision on an investigation into the Facebook issue by 12 May. Meta could face an impending ban on data flows as part of data transfers between the EU and the US under so-called standard contractual clauses. It is unclear what such an order would mean in practice for Meta and perhaps thousands of other companies that depend on similar data flows. This is because it will come only a few months before a new EU-US data pact comes into force.

The Swiss government has taken note of the report of the Management Commission established by the National Council on the “lemievaccinations.ch” foundation. The report contains a number of recommendations on the federal government’s involvement with federal grant recipients organised under private law and on participation in foundation boards. The National Council’s Commission on Management (CdG-N) dealt with the supervision exercised by the Federal Office of Public Health (FOPH) over the ‘lemievaccination.ch’ foundation, which operated an electronic vaccination booklet. The federal government supported the foundation financially for several years. In spring 2021, serious flaws were discovered in the data protection and security of the electronic vaccination booklet. Shortly afterwards, the platform was deactivated. In the course of its investigations, the CoJ-N focused on the way in which the Federal Department of Home Affairs and the FOPH had exercised their supervisory functions, on the appropriateness of the measures taken and on the general lessons that can be drawn from this case. The CoJ-N came to the conclusion that the FOPH had acted appropriately with regard to data security at the ‘lemievaccination.ch’ foundation and had paid sufficient attention to the data protection aspect. The ‘lemievaccinations.ch’ foundation was granted financial support by the federal government, and the FOPH was responsible for ensuring that it was used correctly. The CoJ-N came to the conclusion that the FOPH’s supervision of the foundation was, on the other hand, too lax from a financial point of view. The Federal Council agreed with this conclusion.

From Friday, French police will be able to use drones equipped with cameras for a wide range of tasks, including crowd monitoring and border control, following the publication of a decree in Thursday’s Official Journal. The move comes just over a year before the Paris 2024 Olympics and at a time when opposition to President Emmanuel Macron’s pension reform has sparked huge protests that have at times turned violent. The decree allows police, customs or the military to use drones to prevent attacks on people or property, ensure the security of gatherings in public places, and maintain or restore public order when these gatherings may seriously disturb it. Drones can also be used for preventing terrorist acts, regulating transport flows, border surveillance and rescuing people. The decree details and implements in practice a security law voted by parliament last year. The French Supervisory Authority (CNIL) had called in March for the publication of a detailed usage policy, including information from the public affected by the use of drones.

PRIVACY DAILY 68/2023

Le ferrovie svizzere (FFS) hanno deciso di non adottare sensori aumentati per analizzare il flusso di persone. Si tratta di un’importante vittoria per i sostenitori della privacy in Svizzera. Le FFS abbandoneranno l’analisi del flusso di persone nelle stazioni in base all’età, all’altezza e al sesso. La decisione, annunciata durante la conferenza stampa annuale dell’azienda, è stata motivata dalle preoccupazioni dell’opinione pubblica in seguito alla pubblicazione di un articolo sulla rivista K-Tipp. Questa rivista di lingua tedesca aveva rivelato l’esistenza di una gara d’appalto indetta dalle FFS per un nuovo sistema di analisi dei flussi di passeggeri di cui si sarebbero dovute dotare una cinquantina di stazioni nei prossimi anni. Secondo K-Tipp, le FFS volevano utilizzare telecamere aumentate da un software di riconoscimento facciale, cosa che l’azienda ha poi formalmente smentito. Sebbene l’intenzione delle FFS di ottenere dati biometrici sui passeggeri nelle stazioni non sia provata, il bando di gara privilegiava i sensori di conteggio per ottenere informazioni come età, sesso e altezza delle persone. Si tratta di dati che appartengono al campo della “biometria soft”, cioè di caratteristiche che, prese singolarmente, non permettono di identificare una persona. Ma se incrociati con altri elementi, possono essere utilizzati per affinare tale profilazione. Dopo settimane di polemiche, la direzione delle FFS ha finalmente deciso di analizzare la gara d’appalto ed è giunta alla conclusione che questi requisiti non sono necessari per misurare il numero di passeggeri. L’obiettivo è rendere le stazioni più confortevoli e sicure. La gara d’appalto sarà modificata di conseguenza e l’assegnazione del contratto non avverrà prima del primo trimestre del 2024, mentre era prevista per giugno 2023. Il sistema sarà implementato probabilmente a partire dal 2025. Le offerte già ricevute saranno sottoposte a una valutazione dell’impatto sulla protezione dei dati. La scelta sarà effettuata dopo l’esame dell’Incaricato federale per la protezione dei dati.

Rendere l’Intelligenza artificiale a prova di bias: questa la difficile sfida in cui sono impegnati sia i fornitori di IA che i datori di lavoro. Secondo Bloomberg, infatti, le aziende dipendono sempre più dall’IA per prendere decisioni in materia di occupazione. Un sondaggio della Society for Human Resource Management del febbraio 2022 ha mostrato che il 79% dei datori di lavoro utilizza l’IA per il reclutamento e l’assunzione. Ora, però, si profilano all’orizzonte requisiti di compliance più stingenti in luoghi come New York City o (ancora di più) l’Unione Europea. Le normative che cercano di prevenire i bias dell’IA in genere richiedono che la tecnologia sia sottoposta a qualche forma di audit. Ma il settore dell’audit dell’IA è nascente e gli standard e le best practice del settore sono ancora in fase di sviluppo. Con l’aumentare del controllo pubblico, i fornitori e i revisori di IA affermano che la divulgazione dei loro metodi ha contribuito a placare le preoccupazioni dell’opinione pubblica. Ma alcuni c’è anche dello scettismo. HireVue è stata criticata per il presunto “audit-washing” o per aver descritto in modo errato i risultati di una verifica dei suoi prodotti condotta nel 2021 da O’Neil Risk Consulting & Algorithmic Auditing. L’azienda è stata criticata anche per i suoi strumenti di analisi facciale utilizzati per le assunzioni, che sono stati interrotti nel gennaio 2021 poco dopo che l’Electronic Privacy Information Center ha presentato un reclamo alla Federal Trade Commission, sostenendo che si trattava di una violazione della privacy, oltre che di bias. Lindsey Zuloaga, chief data scientist di HireVue, ha dichiarato che la trasparenza è la risposta. Anche se non è obbligatorio, HireVue e altre importanti società di tecnologia delle risorse umane pubblicano sul loro sito web dichiarazioni etiche e altri documenti che spiegano il funzionamento dei loro sistemi.

In India, il Ministero della Salute dell’Unione è preoccupato per i trattamenti di dati effettuati dalle farmacie elettroniche. Negli ultimi due anni, la consegna di farmaci online è aumentata e con essa le aziende che offrono questi servizi. Mg, NetMeds e PharmEasy sono solo alcuni dei grandi nomi del settore delle farmacie online. Tuttavia, sembra che il Governo stia per portare cattive notizie a queste aziende. Secondo un rapporto, l’esecutivo sarebbe preoccupato per la privacy, per alcune pratiche scorrette nel settore e persino per la vendita “irrazionale” di farmaci. Il ministero ha inviato una bozza rivista del New Drugs, Medical Devices and Cosmetics Bill, 2023 per una consultazione interministeriale. A quanto si apprende, il disegno di legge afferma: “il governo centrale può regolare, limitare o proibire la vendita o la distribuzione di qualsiasi farmaco in modalità online, mediante notifica”. Peraltro, stando sempre a fonti governative, i dati e la privacy dei pazienti sono una delle principali aree di interesse. Le farmacie elettroniche sono, infatti, note per la raccolta indiscriminata di dati relativi al consumo di farmaci. Secondo quanto riferito, un gruppo di ministri si sarebbe detto addirittura favorevole a un divieto totale delle farmacie online. Il governo ha chiesto un feedback a tutte le parti interessate in merito all’ottenimento dei permessi per la gestione delle farmacie elettroniche. Il mese scorso, il Drugs Controller General of India (DCGIl) ha inviato notifiche a circa 20 farmacie online, contestando la presunta violazione delle norme sulla vendita di farmaci online.

English version

The Swiss Railways (FFS) has decided not to adopt augmented sensors to analyse the flow of people. This is a major victory for privacy advocates in Switzerland. SBB will abandon the analysis of the flow of people at stations based on age, height and gender. The decision, announced at the company’s annual press conference, was prompted by public concern following the publication of an article in the magazine K-Tipp. This German-language magazine had revealed the existence of a tender launched by the SBB for a new passenger flow analysis system that was to be equipped at around fifty stations over the next few years. According to K-Tipp, FFS wanted to use cameras augmented by facial recognition software, which the company later formally denied. Although FFS’s intention to obtain biometric data on passengers at stations is not proven, the tender favoured counting sensors to obtain information such as people’s age, sex and height. These data belong to the field of ‘soft biometrics’, i.e. characteristics that, taken individually, do not allow a person to be identified. But when crossed with other elements, they can be used to refine such profiling. After weeks of controversy, the SBB management finally decided to analyse the tender and came to the conclusion that these requirements are not necessary to measure the number of passengers. The aim is to make stations more comfortable and safer. The tender will be amended accordingly and the awarding of the contract will not take place before the first quarter of 2024, whereas it was planned for June 2023. The system will probably be implemented from 2025. Tenders already received will be subject to a data protection impact assessment. The choice will be made after examination by the Federal Data Protection Commissioner.

Making artificial intelligence bias-proof: this is the difficult challenge in which both AI providers and employers are engaged. Indeed, according to Bloomberg, companies are increasingly dependent on AI to make employment decisions. A survey by the Society for Human Resource Management in February 2022 showed that 79 per cent of employers use AI for recruitment and hiring. Now, however, stingier compliance requirements are on the horizon in places like New York City or (even more so) the European Union. Regulations that seek to prevent AI bias generally require the technology to be audited in some form. But the field of AI auditing is nascent and industry standards and best practices are still being developed. As public scrutiny increases, AI vendors and auditors claim that the disclosure of their methods has helped allay public concerns. But some are also sceptical. HireVue has been criticised for alleged ‘audit-washing’ or mischaracterising the results of an audit of its products conducted in 2021 by O’Neil Risk Consulting & Algorithmic Auditing. The company has also been criticised for its facial analysis tools used for recruitment, which were discontinued in January 2021 shortly after the Electronic Privacy Information Center filed a complaint with the Federal Trade Commission, alleging privacy violations as well as bias. Lindsey Zuloaga, chief data scientist at HireVue, said that transparency is the answer. Although it is not mandatory, HireVue and other major HR technology companies publish ethical statements and other documents on their website explaining how their systems work.

In India, the Union Ministry of Health is concerned about data processing by electronic pharmacies. Over the past two years, online drug delivery has increased and with it the companies offering these services. Mg, NetMeds and PharmEasy are just some of the big names in the online pharmacy sector. However, it seems that the government is about to bring bad news to these companies. According to a report, the executive is concerned about privacy, some unfair practices in the sector and even the ‘irrational’ sale of drugs. The ministry sent a revised draft of the New Drugs, Medical Devices and Cosmetics Bill, 2023 for inter-ministerial consultation. The bill reportedly states: ‘the central government may regulate, restrict or prohibit the sale or distribution of any drug in an online mode, by notification’. Moreover, according to government sources, patients’ data and privacy are one of the main areas of concern. Electronic pharmacies are, in fact, known to indiscriminately collect data on drug consumption. Reportedly, a group of ministers even favoured a total ban on online pharmacies. The government has asked for feedback from all stakeholders on obtaining permits to operate electronic pharmacies. Last month, the Drugs Controller General of India (DCGIl) sent notices to about 20 online pharmacies, alleging violation of regulations on the sale of drugs online.