PRIVACYDAILY

N. 156/2023

LE TRE NEWS DI OGGI:

  • EUROPARLAMENTARE FRANCESE CONTESTA L’ACCORDO TRANSATLANTICO SUI DATI DAVANTI ALLA CGUE
  • USA RECORD DI RICHIESTE DI RISARCIMENTO SULLA BASE DELL’ACCORDO CON FACEBOOK, 17 MILIONI DI PERSONE AMMESSE A RICEVERLO
  • USA, CLASS ACTION CONTRO TESLA PER IL DATA BREACH DI MAGGIO

Il deputato francese Philippe Latombe ha annunciato giovedì scorso di voler impugnare davanti al Tribunale dell’Unione Europea un nuovo accordo transatlantico che consente alle aziende di trasferire liberamente i dati tra l’UE e gli Stati Uniti, aprendo potenzialmente la porta ad anni di controversie legali.La mossa arriva meno di due mesi dopo che la Commissione europea e il governo degli Stati Uniti hanno presumibilmente posto fine ad anni di limbo legale per le aziende. A luglio, Bruxelles e Washington hanno approvato un accordo, noto come EU-U.S. Data Privacy Framework, dopo che nel 2020 la Corte Suprema dell’UE aveva bocciato il suo antecedente, noto come Privacy Shield. La Corte di giustizia dell’UE aveva annullato il sistema per i dubbi che le agenzie di intelligence statunitensi potessero facilmente spiare i cittadini europei.”Il testo risultante da questi negoziati viola la Carta dei diritti fondamentali dell’Unione, a causa delle insufficienti garanzie di rispetto della vita privata e familiare in relazione alla raccolta massiva di dati personali, e il Regolamento generale sulla protezione dei dati (GDPR)”, ha scritto Latombe, membro del partito alleato del Presidente Emmanuel Macron, , nella sua dichiarazione.Latombe ha presentato due ricorsi, ha dichiarato a POLITICO: uno per sospendere immediatamente l’accordo e un altro sul contenuto del testo.Oltre alle preoccupazioni per la sorveglianza di massa degli Stati Uniti, il Data Privacy Framework è stato notificato ai Paesi dell’UE solo in inglese e non è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, il che potrebbe non rispettare le regole procedurali, ha sostenuto Latombe. Latombe ha informato il governo francese e l’autorità per la protezione dei dati CNIL della sua contestazione.

Il numero di richieste di risarcimento presentate nell’ambito dell’accordo sulla privacy di Facebook per un valore di 725 milioni di dollari potrebbe costituire la class action più numerosa nella storia degli Stati Uniti, come hanno dichiarato gli avvocati in un tribunale di San Francisco giovedì scorso. L’amministratore incaricato di esaminare le richieste di risarcimento ha ricevuto più di 28 milioni di domande di pagamento, ha dichiarato Lesley Weaver, co-consulente legale dei querelanti nella causa. “Per quanto ne sappiamo, si tratta del maggior numero di richieste di risarcimento mai presentate in una class action negli Stati Uniti”, ha detto Weaver.Dei 28 milioni di richieste presentate, circa 17 milioni sono state convalidate in via preliminare, il che significa che almeno 17 milioni di persone riceveranno una parte dell’enorme accordo se e quando sarà approvato in via definitiva. Circa 2 milioni di richieste erano duplicate, 8 milioni sono state segnalate come potenzialmente fraudolente e ne rimanevano ancora circa 1 milione da esaminare, hanno spiegato gli avvocati. Una volta che il numero totale di persone ammissibili sarà definito, sapremo quante persone si divideranno l’indennizzo di 725 milioni di dollari – ma prima ci sono alcune deduzioni. Gli avvocati del caso chiedono circa 180 milioni di dollari per le spese legali. Questo riduce il fondo di risarcimento a 545 milioni di dollari. La prossima deduzione importante sono le spese amministrative. In sostanza, il tribunale nomina un amministratore per creare il sito web della transazione, controllare le informazioni dei richiedenti, verificare che siano idonei e inviare loro quanto dovuto. Il budget si riduce di altri 120.000 dollari perché ciascuno degli otto querelanti che rappresentavano tutti gli utenti di Facebook nel caso ha diritto a 15.000 dollari. Una volta fatto tutto ciò, la somma finale verrà divisa tra i 17 milioni e più di aventi diritto, ma non in parti uguali. Coloro che hanno avuto un periodo di tempo più lungo su Facebook riceveranno una somma maggiore. Per questo motivo è difficile prevedere in anticipo l’importo esatto che riceverete, ma il legale della classe ha stimato un pagamento mediano di 30 dollari quando ha parlato in tribunale giovedì.

Tesla Inc. avrebbe omesso di proteggere le informazioni personali di 75.000 dipendenti attuali ed ex che sono state esposte in una violazione di dati avvenuta a maggio da parte di ex dipendenti dell’azienda, secondo quanto riportato in una proposta di azione collettiva federale.Benson Pai ha affermato che Tesla non ha implementato o seguito ragionevoli procedure di sicurezza dei dati come richiesto dalla legge e non ha protetto le informazioni sensibili dei membri della classe da accessi non autorizzati.Tesla è venuta a conoscenza della violazione a maggio, quando è stata informata da un servizio giornalistico in lingua tedesca, Handelsblatt, che due ex dipendenti di Tesla le avevano fornito informazioni prelevate dalla rete di Tesla, secondo la denuncia depositata il 5 settembre presso il tribunale distrettuale degli Stati Uniti per il distretto settentrionale della California.Tra le informazioni esposte nella violazione vi erano nomi, indirizzi, numeri di telefono, indirizzi e-mail, date di nascita e numeri di previdenza sociale dei dipendenti, si legge nella denuncia.Tesla non ha risposto immediatamente a una richiesta di commento.Pai vuole rappresentare una classe nazionale e una sottoclasse californiana di persone le cui informazioni personali sono state esposte nella violazione.Le vittime hanno subito danni sotto forma di violazione della privacy, aumento del rischio di furto d’identità e di frode, perdita di tempo e spese vive sostenute per rispondere alla violazione, ansia e riduzione del valore delle loro informazioni personali, si legge nella denuncia.L’azione legale prevede richieste di risarcimento per negligenza, violazione della privacy, violazione del contratto implicito, violazione del dovere fiduciario, violazione della fiducia e violazione della legge californiana sulla concorrenza sleale, del Customer Records Act e del Consumer Privacy Act.Pai chiede danni compensativi, danni legali, danni nominali, restituzione, sgravio, provvedimenti ingiuntivi, spese legali e costi.

English version

  • FRENCH MEP CHALLENGES TRANSATLANTIC DATA AGREEMENT BEFORE THE CJEU
  • USA RECORD NUMBER OF CLAIMS BASED ON FACEBOOK AGREEMENT, 17 MILLION PEOPLE ALLOWED TO RECEIVE IT
  • USA, CLASS ACTION AGAINST TESLA FOR MAY’S DATA BREACH

French lawmaker Philippe Latombe, a member of parliament, announced Thursday he is challenging before the European Union’s General Court a new transatlantic deal allowing companies to freely transfer data between the EU and the United States — potentially opening the door to years of legal wrangling.The move comes less than two months after the European Commission and the U.S. government supposedly ended years of legal limbo for companies.In July, Brussels and Washington rubber-stamped an agreement, known as the EU-U.S. Data Privacy Framework, after the EU’s top court in 2020 struck down its predecessor, known as Privacy Shield. The Court of Justice of the EU had annulled the scheme over concerns U.S. intelligence agencies could easily snoop on European citizens.”The text resulting from these negotiations violates the Union’s Charter of Fundamental Rights, due to insufficient guarantees of respect for private and family life with regard to bulk collection of personal data, and the General Data Protection Regulation (GDPR),” Latombe, a member of President Emmanuel Macron’s allied party Modem, wrote in his statement.Latombe filed two challenges, he told POLITICO: one to suspend the agreement immediately and another on the text’s content.Besides worries about U.S. mass surveillance, the Data Privacy Framework was notified to EU countries in English only, and was not published in the EU’s Official Journal, which could fall short of procedural rules, Latombe argued. He has informed the French government and the data protection authority CNIL of his challenge.

The number of claims filed in the $725 million Facebook privacy settlement may constitute the largest class in a lawsuit in U.S. history, lawyers said in a San Francisco court Thursday.The administrator in charge of vetting claims has received more than 28 million applications for a payment, said Lesley Weaver, co-lead counsel for the plaintiffs in the case.“As far as we can tell that’s the largest number of claims ever filed in a class action in the United States,” Weaver said.Of the 28 million filed, about 17 million have been preliminarily validated, meaning at least 17 million people will be getting a piece of the massive settlement if and when it’s given final approval.About 2 million claims were duplicates, 8 million were flagged as potentially fraudulent, and there were still about 1 million left to review, the lawyers explained.Once the total number of eligible people is finalized, we’ll know how many people will be sharing the $725 million settlement – but first there are some deductions.The lawyers in the case are requesting about $180 million in attorneys’ fees. That chops down the settlement fund to $545 million.The next major deduction are administrative fees. Essentially, an administrator is appointed by the court to set up the settlement website, look at claimants’ information, verify they’re eligible, and send them what they’re due. At this point, it’s not clear how much the administrator is charging.The pot shrinks by another $120,000 because each of the eight plaintiffs who represented all Facebook users in the case is entitled to $15,000. Once all that happens, the final pot of money will be divvied up between the 17 million or more eligible recipients – but not equally. Those who had a Facebook period for longer will get a larger sum. That makes predicting the exact amount you’ll receive difficult to do in advance, but class counsel estimated a median payment size of $30 when speaking in court on Thursday.

Tesla Inc. allegedly failed to protect the personal information of 75,000 current and former employees that was exposed in a May data breach carried out by former employees of the company, a proposed federal class action said.Benson Pai alleged that Tesla failed to implement or follow reasonable data security procedures as required by law and failed to protect the sensitive information of class members from unauthorized access.Tesla learned of the breach in May, when it was informed by a German-language news service, Handelsblatt, that two former Tesla employees had provided it with information taken from Tesla’s network, according to a complaint filed Sept. 5 in the US District Court for the Northern District of California.Information exposed in the breach included employees’ names, addresses, phone numbers, email addresses, dates of birth, and Social Security numbers, the complaint said.Tesla didn’t respond immediately to a request for comment.Pai seeks to represent a nationwide class and a California subclass of people whose personal information was exposed in the breach.Victims have suffered damages in the form of invasion of privacy, increased risk of identity theft and fraud, lost time and out-of-pocket costs incurred responding to the breach, anxiety, and reduced value of their personal information, the complaint said.The lawsuit brings claims of negligence, invasion of privacy, breach of implied contract, breach of fiduciary duty, breach of confidence, and violation of the California Unfair Competition Law, the Customer Records Act, and the Consumer Privacy Act.Pai is seeking compensatory damages, statutory damages, nominal damages, restitution, disgorgement, injunctive relief, and attorneys’ fees and costs.

PRIVACYDAILY

N. 127/2023

LE TRE NEWS DI OGGI:

  • GERMANIA, AUTORITA’ GARANTE APRE UNA ISTRUTTORIA SU TESLA
  • AVANZA IL PROGETTO DI MEDIA FREEDOM ACT, LE PREOCCUPAZIONI SU RISERVATEZZA DELLE FONTI E TRASPARENZA
  • USA, MEDICO DEL MARYLAND ACCUSATO DI AVER VIOLATO LA PRIVACY DI PAZIENTI PER AIUTARE LA RUSSIA

Hadelsblatt citando l’ufficio per la protezione dei dati nello Stato in cui la casa automobilistica ha la sua gigafactory europea che le  autorità tedesche hanno seri indizi di possibili violazioni della protezione dei dati da parte di Tesla .Il rapporto di Handelsblatt afferma che la casa automobilistica elettrica statunitense non ha protetto adeguatamente i dati di clienti, dipendenti e partner commerciali, citando 100 gigabyte di dati riservati trapelati al giornale da un informatore. L’autorità di vigilanza sulla protezione dei dati nei Paesi Bassi, dove si trova la sede europea di Tesla, è stata informata del caso, ha dichiarato il giornale, aggiungendo che Tesla ha anche presentato una relazione preliminare alle autorità olandesi sulla questione. Il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR) stabilisce che le aziende sono obbligate a farlo se temono una fuga di dati personali. Tesla non è stata immediatamente disponibile per un commento sul rapporto. Handelsblatt ha poi detto che i dati dei clienti possono essere trovati “in abbondanza” nel set di dati, soprannominato “Tesla Files”.I file includono tabelle contenenti più di 100.000 nomi di ex e attuali dipendenti, tra cui il numero di previdenza sociale dell’amministratore delegato di Tesla Elon Musk, oltre a indirizzi e-mail privati, numeri di telefono, stipendi dei dipendenti, dati bancari dei clienti e dettagli segreti della produzione. La violazione violerebbe il GDPR, ha aggiunto il giornale. Handelsblatt ha citato un avvocato di Tesla, secondo cui un “ex dipendente scontento” avrebbe abusato del suo accesso come tecnico dell’assistenza per ottenere informazioni, aggiungendo che l’azienda avrebbe intrapreso un’azione legale contro il presunto ex dipendente .Secondo il giornale, l’informatore l’informatore ha notificato alle autorità tedesche la violazione della protezione dei dati in aprile.

Un nuovo testo di compromesso sulla legge europea sulla libertà dei media, elaborato dalla Presidenza svedese del Consiglio dell’UE, propone modifiche a settori quali la soglia di applicazione delle regole di trasparenza sull’assegnazione dei fondi pubblici e le disposizioni relative ai programmi spia e alla protezione delle fonti. La nuova legge sui media intende aumentare la trasparenza nella proprietà dei media e rafforzare il pluralismo del settore. Il testo di compromesso, datato 24 maggio e visionato da EURACTIV, sarà discusso dal Gruppo di lavoro “Audiovisivi e media” il 30 maggio. Finora, tuttavia, la legislazione ha suscitato polemiche su diversi punti: molti gruppi della società civile sostengono che non si spinge abbastanza in là e i governi nazionali difendono il loro controllo sulla regolamentazione dei media – tradizionalmente di competenza degli Stati membri – lamentando che si spinge troppo in là. Tra i cambiamenti proposti nel testo di compromesso di Stoccolma c’è una modifica della formulazione relativa ai soggetti protetti nelle disposizioni che riguardano le fonti giornalistiche e i programmi spia. La proposta include misure che impediscono agli Stati membri di obbligare i giornalisti a rivelare le loro fonti o di utilizzare software spia contro i fornitori di servizi mediatici. La proposta originaria della Commissione prevedeva che queste sezioni si applicassero ai fornitori di servizi di media e “ai loro familiari, o ai loro dipendenti o ai loro familiari”. Nel nuovo testo del Consiglio, invece, queste disposizioni si applicheranno ai fornitori di servizi di media o al loro “personale editoriale o a qualsiasi persona che, a causa del suo rapporto regolare con un fornitore di servizi di media o con il suo personale editoriale, possa disporre di informazioni che potrebbero identificare fonti giornalistiche”. I soggetti che rientrano in queste categorie dovrebbero essere anche quelli per i quali i Paesi dell’UE devono garantire il diritto a un’effettiva tutela giudiziaria in caso di violazioni. In un nuovo punto di questo articolo, e in un cenno a un dibattito molto più ampio sulla giustificazione dell’uso dei software spia, Stoccolma ha anche chiarito che le regole qui contenute non pregiudicano la responsabilità degli Stati membri di salvaguardare la sicurezza nazionale.

Una delle due dottoresse del Maryland accusate di aver cospirato per aiutare la Russia violando la privacy dei pazienti ha testimoniato in sua difesa giovedì.Le dottoresse Anna Gabrielian e Jamie Lee Henry sono state accusate a settembre di cospirazione per la divulgazione illecita di informazioni sanitarie identificabili individualmente.Nelle due ore e 20 minuti di testimonianza di giovedì, la Gabrielian ha ammesso di aver divulgato informazioni mediche private dei pazienti e si è scusata con questi ultimi.I suoi avvocati sostengono che la coppia di coniugi è stata intrappolata dagli investigatori federali.La Gabrielian, nata in Russia dove ha trascorso i primi otto anni della sua vita, ha contattato l’ambasciata russa nel marzo 2022, meno di una settimana dopo l’invasione dell’Ucraina daparte della Russia, per offrire assistenza. Ha testimoniato che stava offrendo la sua esperienza medica e accademica come anestesista impiegata alla Johns Hopkins e ha detto all’agente sotto copertura che era arrabbiata per l’interruzione dei progetti scientifici e delle collaborazioni mediche con i colleghi russi.Il suo avvocato ha mostrato ai giurati alcuni scambi di messaggi tra la Gabrielian e i suoi amici che mostravano il suo sostegno a un’iniziativa di approvvigionamento medico organizzata dal suo mentore, un medico ucraino.Uno dei messaggi recitava: “Che razza di medico sono, se me ne sto seduta nella mia comoda America senza fare nulla? Che razza di russo sono? Mi vergogno della mia inazione”.Ha raccontato che quella che era iniziata come “una genuina offerta di assistenza medica” a un impiegato dell’ambasciata si è trasformata in paura per la sua sicurezza e la sua carriera quando l’agente ha conosciuto dettagli personali su di lei, temendo che il funzionario fosse in realtà un ufficiale dei servizi segreti russi. La Gabrielian ha offerto l’esperienza del suo coniuge, il dottor Henry, come ufficiale medico dell’esercito americano, per aiutare i russi a costruire ospedali da campo, perché ciò avrebbe potuto salvare migliaia di vite. “Anche voi potete voler salvare vite russe”, ha detto alla giuria. La sua testimonianza dovrebbe continuare venerdì mattina.

English version

  • GERMANY, GUARANTOR AUTHORITY OPENS INSTRUCTION ON TESLA
  • MEDIA FREEDOM ACT DRAFT ADVANCED, CONCERNS ABOUT CONFIDENTIALITY OF SOURCES AND TRANSPARENCY
  • USA, MARYLAND DOCTOR ACCUSED OF VIOLATING PATIENTS’ PRIVACY TO HELP RUSSIA

Hadelsblatt quoting the data protection office in the state where the carmaker has its European gigafactory that German authorities have serious indications of possible data protection violations by Tesla .The Handelsblatt report states that the US electric carmaker did not adequately protect the data of customers, employees and business partners, citing 100 gigabytes of confidential data leaked to the newspaper by a whistleblower. The data protection supervisory authority in the Netherlands, where Tesla’s European headquarters is located, has been informed of the case, the newspaper said, adding that Tesla has also submitted a preliminary report to Dutch authorities on the matter. The European Union’s General Data Protection Regulation (GDPR) states that companies are obliged to do so if they fear a leak of personal data. Tesla was not immediately available for comment on the report. Handelsblatt went on to say that customer data can be found “in abundance” in the dataset, dubbed the “Tesla Files”.The files include tables containing more than 100,000 names of former and current employees, including Tesla CEO Elon Musk’s social security number, as well as private email addresses, phone numbers, employee salaries, customer bank details, and secret manufacturing details. The breach would violate the GDPR, the newspaper added. Handelsblatt quoted a Tesla lawyer as saying that a ‘disgruntled former employee’ had abused his access as a service technician to obtain information, adding that the company would take legal action against the alleged former employee.According to the newspaper, the whistleblower notified German authorities of the data protection breach in April.

A new compromise text on the European Media Freedom Act from the Swedish EU Council Presidency proposes changes to areas including the threshold of application for transparency rules on the allocation of public funds and the provisions covering spyware and the protection of sources.The new media law is meant to increase transparency in media ownership and strengthen the sector’s pluralism. The compromise text, dated 24 May and seen by EURACTIV, is set to be discussed at the Audiovisual and Media Working Party on 30 May. The legislation has drawn controversy on several points so far, however, with many civil society groups arguing that it does not go far enough and national governments defending their control over media regulation – traditionally a member state competence – by complaining that it goes too far. Amongst the changes proposed in Stockholm’s compromise text is an amendment of the wording surrounding those who are protected in the provisions covering journalistic sources and spyware. The proposal includes measures to prevent member states from obliging journalists to reveal their sources or from using spyware against media service providers. The Commission’s original proposal stated that these sections applied to media service providers and “their family members, or their employees or their family members”. In an expansion of this, however, in the Council’s new text, these provisions will now apply to media service providers or their “editorial staff or any persons who, because of their regular relationship with a media service provider or its editorial staff, may have information that could identify journalistic sources”. Those who fall into these categories should also be those for whom EU countries must ensure the right to effective judicial protection where breaches occur. Under a new point in this article, and in a nod to a much broader debate around the justification of the use of spyware, Stockholm also clarified that the rules here are without prejudice to member states’ responsibility for safeguarding national security.

One of the two Maryland doctors accused of conspiring to help Russia by violating patient privacy took the stand in her own defense Thursday.Doctors Anna Gabrielian and Jamie Lee Henry were charged in September with conspiracy to wrongfully disclose individually identifiable health information.In her two-hour, 20-minute testimony Thursday, Gabrielian admitted to disclosing private patient medical information and apologized to those patients.Her attorneys are arguing the married couple was entrapped by federal investigators. Gabrielian, born in Russia and spent the first eight years of her life there, reached out to the Russian embassy in March 2022, less than a week after Russia’s invasion of Ukraine, to offer assistance. She testified she was offering her medical and academic expertise as an anesthesiologist employed at Johns Hopkins.She told the undercover agent she was upset scientific projects and medical collaborations with Russian colleagues had been cut off.Her attorney showed jurors text exchanges between Gabrielian and her friends showing her support for a medical supply effort organized by her mentor, a Ukrainian physician.One of the texts read, “What kind of doctor am I to sit on my [expletive] in cushy America and do nothing? What kind of Russian am I? I am ashamed of my inaction.”She described what started as “a genuine offer of medical assistance” to an embassy clerk turned to fear for her safety and career when the agent knew personal details about her, fearing the official was actually a Russian intelligence officer. Gabrielian offered her spouse Dr. Henry’s expertise as a medical officer in the U.S. Army to help Russians build field hospitals because that could save thousands of lives. “You can just want to save Russian lives, too,” she told the jury.Her testimony is expected to continue Friday morning.


PRIVACY DAILY 89/2023

I dipendenti di Tesla hanno condiviso tra loro le immagini delle telecamere di sorveglianza installate sui veicoli. Tesla assicura ai suoi milioni di proprietari di auto elettriche che la loro privacy è al sicuro. Le telecamere che inserisce nei veicoli per assistere la guida, si legge sul suo sito web, sono “progettate da zero per proteggere la vostra privacy”. Ma tra il 2019 e il 2022, gruppi di dipendenti Tesla hanno condiviso privatamente, tramite un sistema di messaggistica interna, video e immagini a volte altamente invasivi registrati dalle telecamere delle auto dei clienti. Lo rivelano alcune dichiarazione di nove ex dipendenti. Alcune delle registrazioni hanno colto i clienti Tesla in situazioni imbarazzanti. Un ex dipendente ha descritto un video di un uomo che si avvicinava a un veicolo completamente nudo. Sono stati condivisi anche incidenti e episodi di rabbia stradale. Tesla afferma nella sua informativa privacy che “le registrazioni delle telecamere rimangono anonime e non sono collegate a voi o al vostro veicolo”. Ma sette ex dipendenti hanno detto che il programma informatico che usavano al lavoro poteva mostrare la posizione delle registrazioni, il che potenzialmente poteva rivelare dove viveva un proprietario di Tesla. Un ex dipendente ha anche detto che alcune registrazioni sembravano essere state effettuate quando le auto erano parcheggiate e spente. Inizialmente, infatti, Tesla riceveva registrazioni video dai suoi veicoli anche quando erano spenti, se i proprietari davano il consenso. Ora però dovrebbe aver cessato questa pratica. Tesla non ha risposto alle domande sul caso.

Le associazioni per i diritti digitali dei consumatori hanno criticato la richiesta delle aziende del settore dei media di mantenere la loro esenzione dalla legge sulla privacy. Peter Lewis, direttore del Centro per la Tecnologia Responsabile dell’Australia Institute, ha dichiarato che è “deludente” che la coalizione per il Right to Know “nata con il lodevole obiettivo di proteggere i giornalisti e gli informatori, venga ora impiegata per perseguire gli interessi commerciali dei Big Media a spese del pubblico che essi pretendono di servire”. La proposta di riforma prevede, infatti, un diritto a fare causa per gravi violazioni della privacy e di ridurre le esenzioni previste per le attività giornalistiche. Ciò richiederebbe alle aziende del settore dei media di mettere al sicuro e distruggere le informazioni private e di informare le persone interessate nell’ambito del sistema di notifica delle violazioni dei dati. La coalizione Right to Know – che comprende giornali e televisioni, sia pubblici che privati – ha respinto la proposta, avvertendo che le modifiche avrebbero danneggiato la libertà di stampa. Il Centre for Responsible Technology ha dichiarato di essere “favorevole” alle riforme proposte , “il primo aggiornamento significativo delle leggi sulla privacy in quattro decenni”.  L’Istituto di tecnologia umana dell’Università di Sydney ha affermato che è “urgente” riformare la legge sulla privacy, data l’ascesa di tecnologie quali l’intelligenza artificiale e il riconoscimento facciale. L’istituto ha affermato che, poiché la lesione del diritto alla privacy può essere giustificata solo in circostanze limitate, “è difficile, se non impossibile, giustificare” un’esenzione generalizzata dalla legge sulla privacy, ad esempio per tutti i giornalisti e i partiti politici. Digital Rights Watch ha chiesto l’abolizione delle esenzioni per le piccole imprese e i partiti politici e si è detta d’accordo con la proposta del Dipartimento di ridurre l’esenzione per il giornalismo

La legge saudita sulla protezione dei dati personali è stata modificata ed entrerà in vigore il 14 settembre 2023. Secondo le fonti, i regolamenti esecutivi che integrano la PDPL saranno emanati prima di questa data. Il Consiglio dei ministri ha approvato una serie di 27 emendamenti alla legge originale, pubblicata in gazzetta ufficiale nel 2021. La legge  aggiornata tiene conto di alcune delle modifiche proposte in un documento di consultazione pubblicato dalla Saudi Data & Artificial Intelligence Authority nel novembre 2022, sebbene non tutte le proposte siano state attuate. Le modifiche introducono diversi concetti che allineeranno maggiormente la PDPL agli standard internazionali, come il GDPR. Le modifiche includono quelle relative ai dati particolari e ai diritti dell’interessato. Secondo le modifiche, il titolare non potrà raccogliere dati personali se non dall’interessato. Tuttavia, sono previste alcune esenzioni. Gli emendamenti includono anche la necessità che il titolare del trattamento adotti un’informativa privacy e la renda disponibile agli interessati e non diffonda i loro dati senza consenso. Sono state apportate modifiche anche per quanto riguarda i data breach e sui trasferimenti di dati al di fuori del Regno dell’Arabia Saudita. Gli emendamenti hanno ridefinito alcuni aspetti, come distruzione, divulgazione e dati particolari. L’articolo 4 della legge è stato modificato per dare all’interessato il diritto di accedere ai propri dati personali ai titolari e di chiedere di ottenerli intellegibili e chiari. L’interessato ha anche il diritto di chiederne la rettifica o l’aggiornamento, nonché di richiedere la distruzione dei dati non più necessari. L’emendamento all’articolo 20 della legge sottolinea la necessità che di notificare all’autorità competente eventuali data breach.

English version

Tesla employees shared images from surveillance cameras installed in the vehicles with each other. Tesla assures its millions of electric car owners that their privacy is safe. The cameras it places in vehicles to assist driving, its website states, are ‘designed from the ground up to protect your privacy’. But between 2019 and 2022, groups of Tesla employees privately shared, via an internal messaging system, sometimes highly invasive videos and images recorded by customer car cameras. This was revealed in statements by nine former employees. Some of the recordings caught Tesla customers in embarrassing situations. One former employee described a video of a man approaching a vehicle completely naked. Accidents and incidents of road rage were also shared. Tesla states in its privacy policy that ‘camera recordings remain anonymous and are not linked to you or your vehicle’. But seven former employees said the computer programme they used at work could show the location of the recordings, which could potentially reveal where a Tesla owner lived. One former employee also said that some recordings appeared to have been made when the cars were parked and switched off. Initially, in fact, Tesla received video recordings from its vehicles even when they were turned off, if the owners gave consent. Now, however, it is supposed to have ceased this practice. Tesla did not respond to questions about the case.

Consumer digital rights groups have rejected media companies’ request to maintain their exemption from the Privacy Act. Peter Lewis, director of the Australia Institute’s Centre for Responsible Technology, said it was ‘disappointing’ that the Right to Know coalition, ‘born with the laudable aim of protecting journalists and whistleblowers, is now being used to pursue the commercial interests of Big Media at the expense of the public they purport to serve’. Indeed, the reform proposal envisages a right to sue for serious breaches of privacy and to reduce exemptions for journalistic activities. This would require media companies to secure and destroy private information and to inform affected persons under the data breach notification system. The Right to Know coalition – which includes newspapers and television stations, both public and private – rejected the proposal, warning that the changes would harm press freedom. The Centre for Responsible Technology said it was ‘supportive’ of the proposed reforms, ‘the first significant update to privacy laws in four decades’. The University of Sydney’s Institute of Human Technology said it was ‘urgent’ to reform privacy law, given the rise of technologies such as artificial intelligence and facial recognition. The institute argued that because injury to the right to privacy can only be justified in limited circumstances, ‘it is difficult, if not impossible, to justify’ a blanket exemption from the Privacy Act, for example for all journalists and political parties. Digital Rights Watch called for the abolition of exemptions for small businesses and political parties and agreed with the Department’s proposal to reduce the exemption for journalism

The Saudi Personal Data Protection Law has been amended and will enter into force on 14 September 2023. According to sources, executive regulations supplementing the PDPL will be issued before this date. The Council of Ministers approved a series of 27 amendments to the original law, which was published in the official gazette in 2021. The updated law takes into account some of the changes proposed in a consultation paper published by the Saudi Data & Artificial Intelligence Authority in November 2022, although not all of the proposals have been implemented. The changes introduce several concepts that will bring the PDPL more in line with international standards, such as the GDPR. The changes include those relating to special data and the rights of the data subject. According to the amendments, the data controller will not be able to collect personal data except from the data subject. However, there are some exemptions. The amendments also include the need for the data controller to adopt a privacy notice and make it available to data subjects and not disclose their data without consent. Amendments were also made with regard to data breaches and data transfers outside the Kingdom of Saudi Arabia. The amendments redefined certain aspects, such as destruction, disclosure and special data. Article 4 of the law was amended to give the data subject the right to access his or her personal data to data controllers and to request to have it intelligible and clear. The data subject also has the right to request rectification or updating, as well as to request the destruction of data no longer needed. The amendment to Section 20 of the Act emphasises the need to notify the competent authority of any data breach.

PRIVACY DAILY 87/2023

Tesla avvertirà che la sua “modalità sentinella”, che registra l’ambiente circostante l’auto, rischia di violare le leggi sulla privacy in Germania. L’annuncio segue la citazione in giudizio del produttore di auto da parte del gruppo di consumatori vzbv per non averne fatto menzione nella pubblicità. Il caso è l’ultimo di una serie di controversie in paesi che vanno dalla Cina ai Paesi Bassi in merito alle telecamere presenti nelle auto Tesla, che secondo l’azienda servono a proteggere da furti o atti di vandalismo, ma che le autorità temono portino a filmare senza consenso.La causa intentata da vzbv lo scorso luglio sosteneva che la casa automobilistica ingannava i consumatori non informandoli nella pubblicità che il conducente avrebbe potuto violare la normativa sulla protezione dei dati se la funzione fosse stata utilizzata in spazi pubblici e avesse filmato i passanti a loro insaputa. Dopo un’udienza sul caso a Berlino, l’azienda ha emesso una dichiarazione di cessazione dell’attività, affermando che non avrebbe più fatto pubblicità in quel modo, secondo una dichiarazione di vzbv. Tesla non ha potuto essere raggiunta immediatamente per un commento. Il manuale della casa automobilistica per gli acquirenti negli Stati Uniti afferma che “è vostra esclusiva responsabilità consultare e rispettare tutte le normative locali e le restrizioni di proprietà relative all’uso delle telecamere”. Un portavoce dell’agenzia berlinese per la protezione dei dati ha dichiarato che la persona che guida l’auto è responsabile dello spegnimento delle telecamere negli spazi pubblici. La responsabilità si estenderebbe all’azienda se le immagini venissero trasmesse e memorizzate da Tesla, ha aggiunto il portavoce. L’autorità di controllo dei dati personali nei Paesi Bassi ha tratto una conclusione simile a febbraio, attribuendo la responsabilità delle riprese al conducente.

Dopo il report di Human Rights Watch, Escola Mais, un’azienda educativa brasiliana, ha preso provvedimenti per proteggere la privacy degli studenti. Lo annuncia la stessa HRW, dopo che qualche giorno fa aveva attirato l’attenzione dei media sul fatto che il sito web di Escola Mais, insieme ad altri sette siti web educativi per studenti brasiliani, sorvegliava segretamente i bambini e raccoglieva i loro dati personali. Stando a quanto riportato, prima della pubblicazione del rapporto, Escola Mais non aveva risposto alle richieste di commento, ma dopo che i media hanno iniziato a ribattere la notizia dell’indagine, si è messa in contatto con Human Rights Watch per chiedere come proteggere la privacy dei dati degli studenti. In seguito, l’azienda ha rimosso dal suo sito web tutti i link alla sua piattaforma di apprendimento online rivolti agli studenti. Escola Mais ha affermato che la data surveillance aveva come target i genitori. Ha inoltre dichiarato che avrebbe fornito agli studenti un link diretto alla sua piattaforma online, in modo che potessero evitare di utilizzare il sito web principale, che è sottoposto a sorveglianza attiva dei dati, per accedere alle risorse di apprendimento. Si tratta di uno sviluppo positivo, che dimostra come i provider online possano fornire servizi educativi ai bambini in modo da non compromettere i loro dati e la loro privacy. Ma non basta la volontà dei singoli fornitori. Il governo nazionale dovrebbe modificare la legge brasiliana sulla protezione dei dati (Lei Geral de Proteção de Dados Pessoais) adottando nuove garanzie per fermare la sorveglianza dei bambini online.

Il Presidente Joe Biden ha dichiarato che resta da verificare se l’intelligenza artificiale sia pericolosa, ma nel frattempo le aziende tecnologiche dovrebbero garantire la sicurezza dei loro prodotti prima di rilasciarli al pubblico. Biden ha incontrato il suo council of advisers on science and technology (composto da esperti di scienza, ingegneria, tecnologia e medicina) per discutere sui rischi e le opportunità che i rapidi progressi dell’intelligenza artificiale comportano per i singoli utenti e per la sicurezza nazionale. “L’intelligenza artificiale può aiutare ad affrontare alcune sfide molto difficili come le malattie e il cambiamento climatico, ma deve anche affrontare i potenziali rischi per la nostra società, la nostra economia e la nostra sicurezza nazionale”, ha detto Biden al gruppo, che comprende accademici e dirigenti di Microsoft e Google. Sebbene le aziende tecnologiche debbano sempre essere responsabili della sicurezza dei loro prodotti, il richiamo di Biden riflette una novità: l’emergere di strumenti di IA facili da usare che possono generare contenuti manipolativi e media sintetici dall’aspetto realistico, noti come deepfakes, ha dichiarato Rebecca Finlay, CEO della Partnership on AI. La Casa Bianca ha dichiarato che il presidente democratico ha utilizzato l’incontro sull’IA per “discutere dell’importanza di proteggere i diritti e la sicurezza per garantire un’innovazione responsabile e adeguate salvaguardie” e per ribadire il suo appello al Congresso affinché approvi una legislazione per proteggere i bambini e limitare la raccolta di dati da parte delle aziende tecnologiche. L’anno scorso l’amministrazione Biden ha presentato una serie di obiettivi di ampia portata volti a prevenire i danni causati dall’ascesa dei sistemi di IA, tra cui linee guida per la protezione dei dati personali delle persone e la limitazione della sorveglianza. Il Blueprint for an AI Bill of Rights, in particolare, non prevedeva azioni specifiche di applicazione, ma era invece inteso come una chiamata all’azione per il governo degli Stati Uniti per salvaguardare i diritti digitali e civili in un mondo alimentato dall’IA.

English version

Tesla will warn that its “sentry mode,” which records the car’s surroundings, risks violating privacy laws in Germany. The announcement follows a subpoena to the automaker by consumer group vzbv for failing to mention it in advertisements. The case is the latest in a series of disputes in countries ranging from China to the Netherlands over cameras in Tesla cars, which the company says serve to protect against theft or vandalism, but which authorities fear lead to filming without consent.The lawsuit filed by vzbv last July claimed that the automaker misled consumers by not informing them in its advertising that the driver could violate data protection laws if the feature was used in public spaces and filmed passersby without their knowledge. After a hearing on the case in Berlin, the company issued a cease-and-desist statement saying it would no longer advertise in that way, according to a statement from vzbv. Tesla could not immediately be reached for comment. The automaker’s handbook for buyers in the United States states that “it is your sole responsibility to consult and comply with all local regulations and ownership restrictions related to the use of cameras.” A spokesman for the Berlin-based data protection agency said the person driving the car is responsible for turning off cameras in public spaces. The responsibility would extend to the company if the images were transmitted and stored by Tesla, the spokesman added. The Data Protection Authority in the Netherlands drew a similar conclusion in February, holding the driver responsible for the footage.

After the Human Rights Watch report, Escola Mais, a Brazilian educational company, took steps to protect student privacy. This was announced by HRW itself, after it drew media attention a few days ago to the fact that Escola Mais’ website, along with seven other educational websites for Brazilian students, was secretly surveilling children and collecting their personal data. According to reports, prior to the report’s publication, Escola Mais had not responded to requests for comment, but after the media began to rebuttal the news of the investigation, it contacted Human Rights Watch to ask how to protect the privacy of student data. The company later removed all links to its online learning platform aimed at students from its website. Escola Mais stated that the data surveillance was targeting parents. It also said it would provide students with a direct link to its online platform so they could avoid using the main website, which is under active data surveillance, to access learning resources. This is a positive development, demonstrating how online providers can provide educational services to children in a way that does not compromise their data and privacy. But the will of individual providers is not enough. The national government should amend Brazil’s data protection law (Lei Geral de Proteção de Dados Pessoais) by adopting new safeguards to stop the surveillance of children online.

President Joe Biden said it remains to be seen whether artificial intelligence is dangerous, but in the meantime, technology companies should ensure the safety of their products before releasing them to the public. Biden met with his council of advisers on science and technology (composed of experts in science, engineering, technology and medicine) to discuss the risks and opportunities that rapid advances in artificial intelligence pose for individual users and for national security. “Artificial intelligence can help address some very difficult challenges like disease and climate change, but it must also address potential risks to our society, our economy and our national security,” Biden told the group, which includes academics and executives from Microsoft and Google. Although technology companies should always be responsible for the security of their products, Biden’s reminder reflects a new development: the emergence of easy-to-use AI tools that can generate manipulative content and realistic-looking synthetic media known as deepfakes, said Rebecca Finlay, CEO of the Partnership on AI. The White House said the Democratic president used the meeting on AI to “discuss the importance of protecting rights and safety to ensure responsible innovation and appropriate safeguards” and to reiterate his call for Congress to pass legislation to protect children and limit data collection by tech companies. Last year, the Biden administration unveiled a set of far-reaching goals aimed at preventing harm from the rise of AI systems, including guidelines for protecting people’s personal data and limiting surveillance. The Blueprint for an AI Bill of Rights, in particular, did not include specific enforcement actions, but was instead intended as a call to action for the U.S. government to safeguard digital and civil rights in an AI-powered world.

Le iniziative delle altre Autorità

Il Garante olandese annuncia: Le impostazioni delle telecamere sicurezza di Tesla più attente alla privacy dopo un’istruttoria

L’Autoriteit Persoonsgegevens (AP) dei Paesi Bassi ha annunciato che, a seguito dell’avvio di un’apposita istruttoria, la casa automobilistica Tesla ha reso le impostazioni delle telecamere di sicurezza integrate nelle sue auto più rispettose della privacy.
La vicenda ha avuto inizio con una richiesta di informazioni da parte dell’Autorità garante olandese concernente la cosiddetta “modalità Sentry” di Tesla. Questo sistema, mediante quattro telecamere all’esterno del veicolo, assicura una maggiore protezione dell’auto da furti o atti di vandalismo.
Da quanto emerso dall’istruttoria, però, è stato riscontrato che, una volta attivata la modalità Sentry, le telecamere riprendevano continuamente tutto ciò che stava intorno al veicolo parcheggiato e memorizzavano per un’ora i filmati.
Tuttavia, a seguito di un successivo aggiornamento del software, è stato verificato che le telecamere sono ora spente per impostazione predefinita. E se l’utente le accende, memorizzano solo fino ad un massimo di 10 minuti di filmati.


“Le persone che passano accanto a questi veicoli vengono filmate senza saperlo. E i proprietari delle Tesla potrebbero tornare indietro e guardare queste immagini. Se una persona parcheggiasse uno di questi veicoli davanti alla finestra di qualcuno, potrebbe spiare all’interno e vedere tutto ciò che l’altra persona sta facendo. Si tratta di una grave violazione della privacy. È quindi positivo che Tesla abbia analizzato la situazione in modo critico e abbia apportato delle modifiche” ha affermato Katja Mur, membro del board dell’Autoriteit Persoonsgegevens.


Tesla ha informato l’Autorità garante che, dall’avvio dell’indagine, l’azienda ha apportato diverse modifiche alla funzione Sentry Mode. Per esempio, ora risponde solo se il veicolo viene toccato o se le telecamere rilevano attività sospette. Inoltre, il veicolo non inizia automaticamente a filmare, ma il proprietario riceve un avviso sul telefono.
Resta comunque possibile registrare filmati della telecamera dell’auto, ma solo quando l’utente attiva questa funzione. All’avvio della registrazione, viene mostrato un messaggio sul touchscreen all’interno della vettura e i fari lampeggiano. Ciò informa le persone che l’auto potrebbe registrarle. Inoltre, l’impostazione predefinita prevede il salvataggio dell’ultimo minuto di riprese, che il proprietario può aumentare soltanto fino a un massimo di dieci minuti. Peraltro, le immagini vengono memorizzate solo nel veicolo e non possono essere condivise con Tesla.


Così, l’istruttoria dell’AP non ha portato a nessuna sanzione per Tesla. Ciò anche perché è stato acclarato che non è Tesla, ma i proprietari delle auto ad essere i titolari dei trattamenti dei dati personali derivanti dalla registrazione di immagini.

Qui il comunicato integrale dei colleghi olandesi.