PRIVACYDAILY

N. 123/2023

LE TRE NEWS DI OGGI:

IRLANDA, META SANZIONATA PER 1,2 MILIARDI DI EURO
COMMISSIONE EU: L’ANALLISI DEI MESSAGGI PER CONTRASTARE LA PEDOPORNOGRAFIA NON E’ CONTRO I DIRITTI FONDAMENTALI
IL CAPO DEGLI AFFARI INTERNI PEZZULLI E’ STATO INTERROGATO SULLE REGOLE DEI SOCIAL DOPO IL DIVIETO DI TIKTOK

L’Autorità garante della privacy irlandese ha deciso di infliggere una multa record da 1,2 miliardi di euro a Meta per violazione delle legge europea sulla protezione dei dati tramite il social Facebook. Lo ha reso noto il Garante europeo per la privacy. Si tratta della più alta sanzione imposta da un regolatore della protezione dei dati in Europa, risultato di un’indagine avviata nel 2020. Meta, che intende presentare ricorso, è stata condannata per aver “continuato a trasferire dati personali” di utenti dallo Spazio economico europeo (See) agli Stati Uniti in violazione delle norme europee in materia, ha indicato nella sua decisione la Commissione irlandese per la protezione dei dati (Dpc). Meta deve inoltre “sospendere qualsiasi trasferimento di dati personali negli Stati Uniti entro cinque mesi” dalla notifica della decisione e deve conformarsi entro sei mesi, si legge ancora nella nota. Meta definisce la multa “ingiustificata e non necessaria” e avvierà un’azione legale per sospenderla, ha reagito immediatamente il gigante dei social media in una dichiarazione. “Migliaia di aziende e organizzazioni fanno affidamento sulla capacità di trasferire dati tra Ue e Usa” e “c’è un conflitto di diritti fondamentali tra le regole del governo Usa sull’accesso ai dati e i diritti europei alla privacy” ha spiegato il colosso californiano

La Commissione europea ha difeso la sua proposta legislativa per combattere il materiale pedopornografico (CSAM) in un documento informale, sostenendo che non è incompatibile con la Carta dei diritti fondamentali dell’UE e con la giurisprudenza. La legge sul materiale pedopornografico autorizzerebbe le autorità giudiziarie a emettere ordini di rilevamento che impongano a piattaforme come WhatsApp e Gmail di implementare strumenti automatizzati per analizzare tutte le comunicazioni sui loro servizi al fine di individuare contenuti sospetti e tentativi di “pedofilia”. Da quando la proposta è stata presentata l’anno scorso, ha ricevuto un’accoglienza contrastante, dovuta in parte al suo effetto sproporzionato sui diritti fondamentali, da parte del Garante europeo della protezione dei dati (GEPD), da una valutazione esterna del Parlamento europeo e dal servizio giuridico del Consiglio dell’UE. Proprio quest’ultimo, particolarmente influente nel processo decisionale dell’UE, sembra aver spinto la Commissione europea ad assumere una posizione difensiva in un documento informale del 16 maggio all’organo tecnico competente del Consiglio dell’UE. “I servizi della Commissione ritengono che le norme proposte e la giurisprudenza disponibile fino ad oggi, considerate nella loro interezza e correttamente interpretate, non forniscano alcun motivo per concludere che su questo punto il regolamento proposto sia incompatibile con la Carta [dei diritti fondamentali dell’UE]”, si legge nel documento, a cui EURACTIV ha avuto accesso. Per garantire ciò, le ingiunzioni possono essere emesse solo dopo una “valutazione preventiva obbligatoria del rischio e un processo di mitigazione”. Il tribunale nazionale competente deve innanzitutto valutare se vi siano prove di un rischio significativo che il servizio sia utilizzato per abusi sessuali su minori e se le ragioni per emettere l’ingiunzione siano superiori alle conseguenze negative, dopo aver bilanciato tutti i diritti fondamentali e altri diritti e interessi in gioco. Inoltre, la Commissione europea ha sottolineato che anche le autorità pubbliche indipendenti devono essere coinvolte nel processo. Una delle garanzie a questo proposito è che i fornitori di servizi soggetti a un ordine di rilevamento “devono riferire regolarmente sull’attuazione e l’autorità nazionale competente deve valutare regolarmente se l’obbligo di rilevamento debba essere modificato”, al fine di garantire “un’efficace gestione dei ricorsi e dei reclami” e altri controlli.

Il gabinetto federale sta chiedendo il parere del Dipartimento degli Affari Interni sui rischi per la sicurezza di Instagram, Netflix, Twitter e delle app di incontri, sulla scia del divieto di TikTok sui dispositivi in dotazione al governo. Il segretario del Dipartimento Mike Pezzullo ha confermato che il rapporto di una revisione interna dei rischi dei social media è stato fornito al Ministro degli Affari Interni Clare O’Neil a marzo, durante l’audizione del Senato di lunedì scorso. Pezzullo si è rifiutato di rivelare la natura del parere, ma ha lasciato intendere che il gabinetto stava prendendo in considerazione la possibilità di limitare l’uso di applicazioni diverse da TikTok quando ha detto che la signora O’Neil aveva deciso di presentare la revisione al gabinetto. Il ministro ha deciso di sottoporre la questione ai suoi colleghi. È attualmente oggetto di considerazione da parte di tutto il governo”, ha dichiarato. “Ha chiesto l’approvazione per l’esame della questione attraverso i processi di governo”. Pezzullo ha fatto queste osservazioni dopo che gli era stato chiesto se il dipartimento avesse svolto una “due diligence” sull’uso di applicazioni diverse da TikTok sui telefoni e sui computer portatili dei dipendenti pubblici, sulla scia dell’ampio divieto francese. A marzo il governo francese ha annunciato un divieto non solo su Tik Tok, ma su tutte le piattaforme di social media, giochi e applicazioni di video-streaming come Twitter, Instagram, Netflix e Candy Crush, a causa di problemi di cybersicurezza e privacy. Pezzullo ha risposto a una domanda se avrebbe fornito una copia della revisione dei rischi dei social media da parte degli Affari interni alla commissione del Senato che sta conducendo l’audizione sulle stime, dicendo che avrebbe chiesto indicazioni alla signora O’Neil in merito alla sua pubblicazione. Ha confermato che l’analisi faceva parte della più ampia indagine che il Ministro degli Interni Clare O’Neil ha commissionato all’inizio dell’anno sui rischi posti dall’uso delle piattaforme di social media sui dispositivi in dotazione al governo. Tale indagine ha spinto il governo Albanese a vietare TikTok sui telefoni e sui computer di politici e dipendenti pubblici ad aprile, per timori legati alla sicurezza che l’app cinese rappresentasse un rischio di spionaggio e a seguito di divieti simili in altri Paesi occidentali.Il governo non ha annunciato un divieto su altre piattaforme.

English version

IRELAND, META SANCTIONETED FOR 1.2 BILLION EUROS.
EU COMMISSION: ANALYSIS OF MESSAGES TO COUNTER PEDOPORNOGRAPHY IS NOT AGAINST FUNDAMENTAL RIGHTS
HEAD OF INTERNAL AFFAIRS PEZZULLI WAS QUESTIONED ABOUT SOCIAL MEDIA RULES AFTER TIKTOK BAN

Ireland’s Privacy Authority has decided to impose a record €1.2 billion fine on Meta for violating European data protection laws through the social Facebook. This was announced by the European Privacy Authority. It is the highest fine imposed by a data protection regulator in Europe, the result of an investigation launched in 2020. Meta, which plans to appeal, was convicted of “continuing to transfer personal data” of users from the European Economic Area (EEA) to the United States in violation of relevant European rules, the Irish Data Protection Commission (Dpc) indicated in its decision. Meta must also “suspend any transfer of personal data to the U.S. within five months” of notification of the decision and must comply within six months, the memo further states. Meta calls the fine “unjustified and unnecessary” and will initiate legal action to suspend it, the social media giant reacted immediately in a statement. “Thousands of companies and organizations rely on the ability to transfer data between the EU and the U.S.” and “there is a fundamental rights conflict between U.S. government rules on data access and European privacy rights,” the California-based giant explained.

The European Commission has defended its legislative proposal to combat child sexual abuse material (CSAM) in a non-paper, arguing that it is not incompatible with the EU Charter of Fundamental Rights and case law. The Child Sexual Abuse Material Act would empower judicial authorities to issue detection orders requiring platforms such as WhatsApp and Gmail to implement automated tools to analyze all communications on their service to detect suspicious content and attempts at “pedophilia.” Since the proposal was introduced last year, it has received a mixed reception due in part to its disproportionate effect on fundamental rights from the European Data Protection Supervisor (EDPS), an external evaluation by the European Parliament, and the EU Council’s legal service. It is precisely the latter, which is particularly influential in EU policy-making, that seems to have prompted the European Commission to take a defensive stance in a May 16 non-paper to the relevant technical body of the EU Council. “The Commission services consider that the proposed rules and the case law available to date, considered in their entirety and correctly interpreted, provide no reason to conclude that on this point the proposed regulation is incompatible with the Charter [of Fundamental Rights of the EU],” reads the non-paper, accessed by EURACTIV.The document reiterates that detection orders are meant to be used only as a last resort. To ensure this, injunctions can only be issued after a “mandatory prior risk assessment and mitigation process.” The competent national court must first consider whether there is evidence of a significant risk that the service is being used for child sexual abuse and whether the reasons for issuing the injunction outweigh the negative consequences, after balancing all fundamental rights and other rights and interests at stake. In addition, the European Commission has stressed that independent public authorities must also be involved in the process. One of the safeguards in this regard is that service providers who are subject to a detection order “shall regularly report on the implementation, and the competent national authority shall regularly assess whether the detection obligation should be modified” in order to ensure “effective redress and complaint handling” and other controls.

Federal cabinet is canvassing advice from the Home Affairs Department on the security risks of Instagram, Netflix, Twitter and dating apps in the wake of a TikTok ban on government-issued devices. Department secretary Mike Pezzullo confirmed the report from an internal review of social media risks had been provided to Home Affairs Minister Clare O’Neil in March as he was grilled at a Senate estimates hearing on Monday. While Mr Pezzullo refused to disclose the nature of the advice, he hinted cabinet was considering restricting the use of apps other than TikTok when he said Ms O’Neil had decided to present the review to cabinet. The minister has made a decision to bring this forward to her colleagues. It’s currently the subject of consideration across government,” he said. “She … has sought approval for the matter to be considered through cabinet processes.” Mr Pezzullo made the remarks after he was asked if the department had carried out “due diligence” on the use of apps other than TikTok on public servants’ phones and laptops in the wake of France’s wide-ranging ban. The French government in March announced a ban not only on Tik Tok, but on all social media platforms, gaming and video-streamed apps such as Twitter, Instagram, Netflix and Candy Crush because of cybersecurity and privacy concerns. Mr Pezzullo took a question on whether he would provide a copy of Home Affairs’ social media risk review to the Senate committee running the estimates hearing on notice, saying he’d seek guidance from Ms O’Neil regarding its release. He confirmed the review formed part of the broader investigation Home Affairs Minister Clare O’Neil commissioned earlier this year into the risks posed by the use of social media platforms on government-issued devices. That probe prompted the Albanese government to ban TikTok on phones and computers operated by politicians and public servants in April, over security concerns the Chinese social media app posed an espionage risk and following similar bans in other western countries. The government hasn’t announced a ban on any other platforms.

PRIVACY DAILY 109/2023

Due giorni prima di Natale, TikTok ha chiamato la giornalista londinese Cristina Criddle per dirle che due dei suoi dipendenti in Cina e due negli Stati Uniti avevano consultato i dati degli utenti del suo account personale senza che lei ne fosse a conoscenza o avesse dato il suo consenso. “Ero a casa della mia famiglia con mia sorella adolescente e i miei cugini adolescenti, che usano tutti TikTok” ha dichiarato la giornalista corrispondente per la tecnologia del Financial Times . Questo è quello che TikTok e la sua società madre, ByteDance, hanno sempre negato che accada, ed è per questo che lei ha deciso di raccontarlo a BBC News. TikTok ha confermato che alcuni membri del suo dipartimento di revisione interna hanno esaminato la posizione dell’indirizzo IP di Cristina – il numero univoco di un dispositivo – e l’hanno confrontato con i dati IP di un numero imprecisato di membri del proprio staff, per cercare di stabilire chi stesse incontrando segretamente la stampa. Per fare questo però hanno “abusato della loro autorità” e hanno agito senza autorizzazione. Cristina non sa per quanto tempo sia stata monitorata, né con quale frequenza, ma sa che è successo l’estate scorsa. “Se la mia posizione è stata monitorata 24 ore su 24, 7 giorni su 7, questo non si limita solo alle mie azioni al lavoro, che non sarebbero state corrette anche se lo fossero state, ma riguardava anche la mia vita privata. Quando uscivo con gli amici, quando andavo in vacanza, c’erano tutte queste cose” ha concluso Cristina. L’account TikTok era sul suo cellulare personale e a nome del suo gatto, Buffy. Il suo nome e la sua occupazione non erano menzionati nella biografia. Aveva circa 170 follower e in circa tre anni aveva caricato una ventina di video di Buffy, visti in media un paio di centinaia di volte.

Secondo quanto riferito da due fonti alla fine dello scorso anno il più grande fornitore di dati finanziari della Cina, Wind Information, ha comunicato ad alcuni clienti che stava limitando l’accesso a determinati dati economici e aziendali da parte degli utenti offshore, a causa delle nuove regole sui dati dell’autorità di regolamentazione della cybersicurezza. La restrizione dell’accesso a Wind da parte degli utenti offshore arriva mentre la Cina intensifica l’attenzione sull’utilizzo dei dati e sulla sicurezza, in un contesto di crescenti tensioni geopolitiche e di preoccupazioni per la privacy nella seconda economia mondiale. La mossa di Wind, i cui servizi sono utilizzati da economisti, gestori di fondi e altri, arriva anche nel momento in cui la Cina sta cercando di attrarre maggiori investimenti stranieri e di rilanciare un’economia che sta lottando per il decollo post-Covid. Le limitazioni includono anche l’accesso ai dettagli sulla struttura azionaria di alcune società. Wind, società con sede a Shanghai, dal settembre dello scorso anno ha reso inaccessibili agli utenti che non risiedono nella Cina continentale parte dei suoi dati, come i numeri di vendita delle case, che venivano aggiornati regolarmente. Un addetto alle vendite di Wind ha riferito che a settembre l’azienda aveva apportato le modifiche in base alle istruzioni della Cyberspace Administration of China (CAC), che le aveva chiesto di non fornire più determinati dati agli utenti offshore. Lo scorso luglio l’autorità di regolamentazione della cybersecurity ha emanato le norme finali che impongono alle esportazioni di dati di sottoporsi a verifiche di sicurezza, nell’ambito di un nuovo quadro normativo che interesserà centinaia, se non migliaia, di aziende cinesi. Le nuove norme sono entrate in vigore a partire dal 1° settembre. Negli ultimi anni Pechino ha emanato nuove leggi sulla cybersecurity, sui dati e sulla privacy che impongono alle organizzazioni con grandi basi di utenti di sottoporsi a valutazioni e approvazioni quando gestiscono i dati che raccolgono. Il mese scorso, inoltre, i legislatori hanno approvato un ampio aggiornamento della legislazione antispionaggio di Pechino, vietando il trasferimento di qualsiasi informazione relativa alla sicurezza nazionale e ampliando la definizione di spionaggio.

In Tanzania la legge sulla protezione dei dati personali è entrata in vigore il 1° maggio 2023, cinque mesi dopo la sua approvazione in Parlamento. La nuova legge è stata presentata per la prima volta in Parlamento nel settembre 2022 e approvata dal Parlamento nel novembre 2022. “Questo avviso indica che il 1° maggio 2023 è stato scelto come inizio ufficiale dell’utilizzo della legge sulla protezione dei dati personali nel Paese”, si legge in una parte dell’informativa firmata da Nape. Nel novembre 2022, il Parlamento ha approvato la legge sulla protezione dei dati personali (Personal Data Protection Bill 2022), mentre i legislatori hanno illustrato congiuntamente i vantaggi della legge prevista dopo l’approvazione da parte del Presidente Samia Suluhu Hassan. Parlando durante il Forum Connect 2 Connect dello scorso settembre, Nape ha dichiarato: “Poiché sempre più attività sociali ed economiche si spostano su piattaforme online, l’importanza della privacy e della protezione dei dati è sempre più inevitabile: dobbiamo rendere sicuro il nostro cloud”. Tuttavia, al momento della presentazione del disegno di legge per la seconda lettura in Parlamento, il Ministro Nape ha sostenuto che la legge, una volta promulgata, avrebbe dovuto attrarre un maggior numero di investitori, soprattutto nel settore delle tecnologie dell’informazione e della comunicazione. “Dopo la firma della nuova legge da parte del Presidente, assisteremo a un’ondata di investitori”. Nel mondo di oggi, gli investitori non vanno a investire in Paesi in cui non esiste una legge sulla protezione dei dati personali. Non c’è dubbio che con questa legge attireremo più investitori, in particolare nel settore delle TIC” ha concluso Nape. Nel corso dell’attuazione della legge sulla protezione dei dati personali, la Tanzania prenderà spunto dai Paesi che hanno già applicato la stessa legge e così facendo, la Tanzania sarà in grado di affrontare le sfide associate alla legge, rendendola così valida per gli utenti.

English version

Two days before Christmas, TikTok called London-based journalist Cristina Criddle to tell her that two of its employees in China and two in the United States had accessed user data from her personal account without her knowledge or consent. “I was at my family home with my teenage sister and my teenage cousins, who all use TikTok,” said the Financial Times technology correspondent. This is what TikTok and its parent company, ByteDance, have always denied happens, which is why she decided to tell BBC News about it. TikTok confirmed that members of its internal audit department examined the location of Cristina’s IP address-the unique number of a device-and compared it with the IP data of an unspecified number of its staff members to try to determine who was secretly meeting with the press. To do this, however, they “abused their authority” and acted without authorization. Cristina does not know how long she was monitored or how often, but she does know that it happened last summer. “If my position was monitored 24/7, this is not limited only to my actions at work, which would not have been correct even if they were, but it also affected my private life. When I went out with friends, when I went on vacation, there were all these things,” Cristina concluded. The TikTok account was on her personal cell phone and in the name of her cat, Buffy. Her name and occupation were not mentioned in the bio. She had about 170 followers and in about three years had uploaded about 20 videos of Buffy, viewed on average a couple of hundred times.

China’s largest financial data provider, Wind Information, told some customers late last year that it was restricting access to certain economic and corporate data by offshore users due to new data rules from the cybersecurity regulator, according to two sources. The restriction of access to Wind by offshore users comes as China intensifies its focus on data use and security amid rising geopolitical tensions and privacy concerns in the world’s second-largest economy. The move by Wind, whose services are used by economists, fund managers and others, also comes at a time when China is trying to attract more foreign investment and revive an economy struggling to take off post-Covid. The restrictions also include access to details about the shareholding structure of some companies. Wind, a Shanghai-based company, has since September last year made inaccessible to users outside mainland China some of its data, such as home sales numbers, which used to be updated regularly. A Wind sales official reported that in September the company had made the changes based on instructions from the Cyberspace Administration of China (CAC), which had asked it to stop providing certain data to offshore users. Last July, the cybersecurity regulator issued final rules requiring data exports to undergo security audits as part of a new regulatory framework that will affect hundreds, if not thousands, of Chinese companies. The new regulations went into effect on September 1. In recent years, Beijing has enacted new cybersecurity, data and privacy laws that require organizations with large user bases to undergo assessments and approvals when handling the data they collect. Last month, lawmakers also approved a broad update to Beijing’s anti-espionage legislation, banning the transfer of any information related to national security and expanding the definition of espionage.

In Tanzania, the Data Protection Act came into effect on May 1, 2023, five months after it was passed in Parliament. The new law was first introduced in Parliament in September 2022 and passed by Parliament in November 2022. “This notice indicates that May 1, 2023 has been chosen as the official start of the use of the Personal Data Protection Law in the country,” reads a part of the notice signed by Nape. In November 2022, Parliament passed the Personal Data Protection Bill 2022 as lawmakers jointly explained the benefits of the planned law after it was passed by President Samia Suluhu Hassan. Speaking during the Connect 2 Connect Forum last September, Nape said, “As more and more social and economic activities move to online platforms, the importance of privacy and data protection is increasingly unavoidable-we must secure our cloud.” However, when presenting the bill for second reading in Parliament, Minister Nape argued that the law, once enacted, should attract more investors, especially in the information and communication technology sector. “After the President signs the new law, we will see a wave of investors.” In today’s world, investors are not going to invest in countries where there is no data protection law. There is no doubt that with this law we will attract more investors, especially in the ICT sector,” Nape concluded. In the course of implementing the Data Protection Act, Tanzania will take a cue from countries that have already implemented the same law, and by doing so, Tanzania will be able to address the challenges associated with the law, thus making it work for users.

Diamo poco valore alla privacy perché sentiamo di averne abbastanza

Stanno facendo il giro dei social alcuni video, per quel che si sa ripresi dalle telecamere di sorveglianza dei magazzini Wildberries, gigante russo dell’e-commerce, che ritraggono il personale obbligato a spogliarsi, sino a restare in intimo, in uscita dallo stabilimento. Si tratterebbe di una procedura per contrastare il furto di prodotti pare particolarmente diffuso. La società, richiesta, nei mesi scorsi, di un commento dai giornalisti di Pravda, si è trincerata dietro a un secco no comment.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui

Le mani di Facebook e TikTok sugli acquisti online in farmacia per alimentare il mercato pubblicitario

Avete presente la linea gialla che oggi campeggia davanti ai banchi di tutte o quasi le farmacie italiane? È il risultato di un provvedimento adottato dal Garante per la protezione dei dati personali italiano oltre vent’anni fa per garantirci, almeno in farmacia, un briciolo di riservatezza e consentirci di acquistare le medicine di cui abbiamo bisogno al riparo da sguardi e orecchie indiscrete.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui

PRIVACY DAILY 86/2023

L’Autorità garante privacy del Regno Unito (ICO) ha annunciato una sanzione pecuniaria pari a 12,7 milioni di sterline a TikTok per non aver protetto adeguatamente la privacy dei bambini. Secondo un’indagine dell’ICO, il sito di condivisione video ha utilizzato i dati di minori di età inferiore ai 13 anni senza il consenso dei genitori. Secondo le stime, TikTok ha permesso a 1,4 milioni di bambini britannici infra-tredicenni di utilizzare la piattaforma nel 2020. Nonostante le regole di TikTok prevedano che i minori di 13 anni debbano avere il consenso dei genitori per utilizzare la piattaforma, l’ICO ha dichiarato che molti sono riusciti a creare account senza tale consenso. Secondo l’ICO, i dati dei bambini potrebbero essere stati utilizzati per tracciarne il profilo e presentare loro contenuti potenzialmente dannosi o inappropriati. Il commissario per le informazioni John Edwards ha dichiarato: “Ci sono leggi in vigore per garantire che i nostri bambini siano sicuri nel mondo digitale come in quello fisico. TikTok non ha rispettato queste leggi. Di conseguenza, circa un milione di minori di 13 anni ha avuto accesso alla piattaforma in modo inappropriato e TikTok ha raccolto e utilizzato i loro dati personali. Un portavoce di TikTok ha dichiarato alla BBC: “pur non essendo d’accordo con la decisione dell’ICO, che si riferisce al periodo maggio 2018 – luglio 2020, siamo lieti che la multa annunciata oggi sia stata ridotta a meno della metà dell’importo proposto lo scorso anno. Continueremo a rivedere la decisione e stiamo valutando le prossime mosse”. TikTok può fare ricorso contro l’entità della multa e ha 28 giorni di tempo per presentare le proprie osservazioni. In caso di esito positivo, l’ICO potrebbe ridurre l’importo finale. L’autorità ha a disposizione un massimo di 16 settimane, dall’emissione dell’avviso di proposta di multa all’emissione della decisione finale.

L’Unione Europea e il Giappone procedono insieme nell’implementazione della protezione dei dati personali. Didier Reynders, Commissario europeo per la Giustizia, e Mieko Tanno, Presidente della Commissione giapponese per la protezione dei dati personali (PPC), hanno accolto con favore la conclusione positiva della prima revisione dell’accordo di adeguatezza reciproca tra Giappone e UE. Nel 2019, l’UE e il Giappone hanno riconosciuto i rispettivi sistemi di protezione dei dati come “equivalenti”, consentendo così la libera circolazione dei dati personali. Questo accordo ha creato la più grande area al mondo di flussi di dati liberi e sicuri. In questo modo, integra e amplifica i vantaggi dell’Accordo di partenariato economico Giappone-UE. L’accordo di adeguatezza reciproca è stato sottoposto a una prima revisione, che si è ora conclusa con l’adozione delle relazioni della Commissione europea e del PPC sul funzionamento delle rispettive decisioni di adeguatezza. Il riesame ha dimostrato che la convergenza tra i quadri normativi dell’UE e del Giappone in materia di protezione dei dati è ulteriormente aumentata negli ultimi anni e che l’accordo di adeguatezza reciproca funziona bene, consentendo la circolazione dei dati con fiducia, con notevoli vantaggi per i cittadini e le imprese. Entrambe le parti riconoscono che la cooperazione sull’accordo di adeguatezza reciproca offre un’opportunità unica per continuare a rafforzare il partenariato tra l’UE e il Giappone in questo settore, anche promuovendo un approccio all’economia digitale incentrato sull’uomo a livello globale.

La maggior parte dei consumatori irlandesi è preoccupata per la privacy e per l’uso dei propri dati quando si tratta di pubblicità mirata. Lo ha rivelato un’analisi della Commissione europea sulle esperienze dei consumatori in tutto il continente, la quale ha rilevato che il 94% dei consumatori irlandesi ha timori sulla privacy e sulla pubblicità mirata online. Quasi l’80% teme che i dati personali possano essere utilizzati per altri scopi e condivisi con altri, mentre tre quarti temono che venga creato un profilo su di loro senza che ne siano a conoscenza o che venga data loro esplicitamente la possibilità di acconsentire. Circa il 60% è sospettoso dell’installazione di cookie, mentre la metà dichiara di non gradire il fatto che non si possa rinunciare a questo tipo di informazioni. Il sondaggio condotto su un campione di 1.000 persone mostra che i consumatori irlandesi sono molto più diffidenti rispetto alle loro controparti europee. Quattro quinti sono stati esposti a pubblicità che ritengono sia stata fatta su misura per loro, mentre due terzi hanno ricevuto recensioni che non ritengono autentiche. Più di tre quinti dicono di aver avuto a che fare con i cosiddetti “influencer” dei social media che sembrano essere stati pagati per promuovere determinati prodotti, ma non lo dichiarano chiaramente. Quasi un terzo dei consumatori irlandesi ha avuto difficoltà a cancellare un contratto stipulato online, citando esempi come l’impossibilità di trovare l’opzione di cancellazione sul sito web o sull’app.

English version

The UK Privacy Authority (ICO) announced a £12.7 million fine to TikTok for failing to adequately protect children’s privacy. According to an investigation by the ICO, the video-sharing site used the data of children under the age of 13 without parental consent. According to estimates, TikTok allowed 1.4 million UK children under 13 to use the platform in 2020. Despite the fact that TikTok’s rules state that under-13s must have parental consent to use the platform, the ICO stated that many were able to create accounts without such consent. According to the ICO, children’s data may have been used to profile them and present them with potentially harmful or inappropriate content. Information Commissioner John Edwards said: ‘There are laws in place to ensure that our children are as safe in the digital world as in the physical one. TikTok has failed to comply with these laws. As a result, around one million children under the age of 13 have accessed the platform inappropriately and TikTok has collected and used their personal data. A TikTok spokesperson told the BBC: ‘While we disagree with the ICO’s decision, which covers the period May 2018 – July 2020, we are pleased that the fine announced today has been reduced to less than half of the amount proposed last year. We will continue to review the decision and are considering next steps.” TikTok can appeal the size of the fine and has 28 days to submit its comments. If successful, the ICO could reduce the final amount. The authority has a maximum of 16 weeks from the issuance of the notice of proposed fine to the issuance of the final decision.

The European Union and Japan are moving forward together in the implementation of personal data protection. Didier Reynders, European Commissioner for Justice, and Mieko Tanno, President of the Japanese Personal Data Protection Commission (PPC), welcomed the successful conclusion of the first review of the mutual adequacy agreement between Japan and the EU. In 2019, the EU and Japan recognised each other’s data protection systems as ‘equivalent’, thus enabling the free movement of personal data. This agreement created the world’s largest area of free and secure data flows. In this way, it complements and amplifies the benefits of the Japan-EU Economic Partnership Agreement. The mutual adequacy agreement underwent an initial review, which has now been concluded with the adoption of the European Commission and PPC reports on the functioning of their respective adequacy decisions. The review has shown that convergence between the EU and Japanese data protection regulatory frameworks has further increased in recent years and that the Mutual Adequacy Agreement works well, allowing data to flow with confidence, with significant benefits for citizens and businesses. Both sides recognise that cooperation on the Mutual Adequacy Agreement offers a unique opportunity to continue to strengthen the partnership between the EU and Japan in this area, including by promoting a human-centred approach to the digital economy globally.

The majority of Irish consumers are concerned about privacy and the use of their data when it comes to targeted advertising. This was revealed by a European Commission analysis of consumer experiences across the continent, which found that 94% of Irish consumers have concerns about privacy and targeted advertising online. Almost 80% fear that personal data could be used for other purposes and shared with others, while three quarters fear that a profile will be created about them without their knowledge or explicit consent. Some 60 per cent are suspicious of the installation of cookies, while half say they dislike the fact that they cannot opt out. The survey of 1,000 people shows that Irish consumers are much more wary than their European counterparts. Four-fifths have been exposed to advertising that they believe has been tailored to them, while two-thirds have received reviews that they do not believe to be authentic. More than three-fifths say they have dealt with so-called social media ‘influencers’ who appear to have been paid to promote certain products, but do not state this clearly. Nearly one-third of Irish consumers have experienced difficulties cancelling a contract made online, citing examples such as not being able to find the cancellation option on the website or app.

PRIVACY DAILY 76/2023

L’amministratore delegato di TikTok, Shou Chew, ha fatto la sua prima apparizione davanti al Congresso ed è stato immediatamente colpito da critiche feroci da parte dei legislatori. La presidente del Comitato per l’energia e il commercio della Camera, ha aperto l’audizione attaccando TikTok e dicendo: “La vostra piattaforma dovrebbe essere vietata”. “Mi aspetto che oggi diciate qualsiasi cosa per evitare questo risultato”, ha continuato, puntualizzando che “quando si festeggiano i 150 milioni di utenti americani su TikTok, si sottolinea l’urgenza che il Congresso agisca. Sono 150 milioni di americani su cui il Partito Comunista Cinese può raccogliere informazioni sensibili”. Rispondendo al fuoco di fila, Chew ha cercato di sottolineare l’indipendenza di TikTok dalla Cina e ha messo in risalto i suoi legami con gli Stati Uniti. “Abbiamo sedi a Los Angeles e Singapore e abbiamo 7.000 dipendenti negli Stati Uniti”, ha dichiarato. “Il punto cruciale è che si tratta di dati americani conservati su suolo americano da un’azienda americana e supervisionati da personale americano”. Sempre Chew ha affermato che “ByteDance non è un agente della Cina o di qualsiasi altro Paese”, facendo poi riferimento a tutte le misure che l’azienda ha adottato e intende adottare per risolvere i timori che il governo cinese possa accedere ai dati degli utenti di TikTok attraverso la sua potenziale influenza su ByteDance. Tra queste misure c’è la promessa di “mettere al riparo” i dati degli utenti statunitensi da “accessi stranieri non autorizzati”. Con la sua apparizione, Chew spera di mitigare l’accesa retorica di Washington sull’app, ma per farlo deve affrontare un enorme scetticismo da parte dei legislatori su TikTok e su se stesso. C’è da dire, però, che alla vigilia dell’udienza, decine di creators di TikTok che si oppongono al divieto hanno tenuto un’appassionata conferenza stampa in Campidoglio con il deputato Jamaal Bowman.

Aumenta la politicizzazione del tema delle cryptovalute e della privacy. Questa settimana, il governatore della Florida Ron DeSantis ha proposto una legge per cercare di impedire al governo federale di distribuire una Central Bank Digital Currency (CBDC) nel suo Stato. Accanto a uno striscione che recita “Il dollaro digitale del Grande Fratello”, il governatore DeSantis – che dovrebbe sfidare Donald Trump per la nomination repubblicana alla presidenza nel 2024 – sostiene che i CBDC possono consentire la sorveglianza da parte del governo federale, minacciando la privacy individuale e la libertà economica. Il suo progetto proibirebbe l’accettazione di un CBDC americano ai sensi del Codice commerciale uniforme della Florida e imporrebbe altri limiti ai CBDC di Paesi stranieri. Inoltre, ha invitato “gli Stati affini a unirsi alla Florida nell’adozione di divieti simili per contrastare questo concetto cryptovaluta a livello nazionale”. Ciò in quanto, a seconda di come verrà progettato tecnicamente e regolato legalmente, un CBDC rivolto ai consumatori potrebbe potenzialmente accumulare e immagazzinare grandi volumi di informazioni personali sugli acquisti e gli spostamenti quotidiani degli individui. A livello nazionale, gruppi come l’American Civil Liberties Union hanno ripetutamente sottolineato l’importanza di mantenere una privacy simile a quella del denaro contante, nel caso in cui il ramo esecutivo e il Congresso procedano con un dollaro digitale. A livello internazionale, vi sono fondati timori che i CBDC possano essere utilizzati, in particolare da Paesi non democratici, come strumento di sorveglianza e controllo pervasivo dei propri cittadini.

L’ufficio per la tutela dei consumatori della Commissione europea lancerà un’iniziativa volontaria per abbandonare i banner sui cookie. È il preludio a una proposta legislativa? L’iniziativa sui cookie sarà annunciata martedì 28 marzo durante lo European Consumer Summity, dove una sessione sarà dedicata alla pubblicità online e alle sfide poste dai cookie. Dopodiché, le parti interessate, come i gruppi di consumatori, gli editori, gli inserzionisti e le aziende tecnologiche, saranno invitate a una serie di tavole rotonde dopo la pausa pasquale. L’impulso politico dell’iniziativa proviene direttamente dal Commissario europeo per la Giustizia e i Consumatori Didier Reynders che già da tempo ha anticipato l’intenzione di affrontare la crescente “stanchezza da cookie” degli utenti online. L’impegno volontario proposto dal dipartimento dei consumatori è destinato a scontrarsi con il settore della politica digitale della Commissione, che nel 2017 ha proposto il regolamento ePrivacy per aggiornare l’attuale regime delle comunicazioni elettroniche, la direttiva ePrivacy, .Tuttavia, le discussioni sul regolamento ePrivacy sono state dirottate da una coalizione di Stati membri, guidata dalla Francia, che voleva introdurre disposizioni che consentissero alle forze dell’ordine di accedere e conservare i dati relativi alle comunicazioni elettroniche private. Dopo anni di stallo politico dovuto prima alle divergenze tra Parigi e Berlino e poi tra il Consiglio e il Parlamento dell’UE, è probabile che il Regolamento ePrivacy venga ritirato se non verrà raggiunto un accordo entro la fine di questo mandato europeo. L’idea è che agli utenti non venga chiesto il consenso tramite un banner di cookie ogni volta che approdano su un sito web. Al contrario, la loro preferenza verrebbe espressa una sola volta nell’ambito delle impostazioni del browser, con spiegazioni dettagliate sul motivo per cui vengono richiesti i loro dati, sui potenziali benefici e sul modello aziendale alla base del trattamento.

English version

TikTok CEO Shou Chew made his first appearance before Congress and was immediately met with fierce criticism from lawmakers. The chairwoman of the House Energy and Commerce Committee, opened the hearing by attacking TikTok and saying: ‘Your platform should be banned. “I expect you to say anything today to prevent this outcome,” she continued, pointing out that “when you celebrate 150 million American users on TikTok, it underscores the urgency for Congress to act. These are 150 million Americans on whom the Chinese Communist Party can collect sensitive information’. Responding to the barrage, Chew sought to emphasise TikTok’s independence from China and highlighted its ties to the United States. “We have offices in Los Angeles and Singapore and we have 7,000 employees in the US,” he said. “The bottom line is that this is American data stored on American soil by an American company and overseen by American staff.” Chew again stated that “ByteDance is not an agent of China or any other country,” going on to refer to all the measures the company has taken and intends to take to address fears that the Chinese government could access TikTok user data through its potential influence on ByteDance. Among these measures is a promise to ‘shield’ US user data from ‘unauthorised foreign access’. With his appearance, Chew hopes to mitigate Washington’s heated rhetoric about the app, but to do so he faces enormous scepticism from lawmakers about TikTok and himself. It must be said, however, that on the eve of the hearing, dozens of TikTok creators opposing the ban held an impassioned press conference on Capitol Hill with Congressman Jamaal Bowman.

The politicisation of the cryptocurrency and privacy issue is increasing. This week, Florida Governor Ron DeSantis proposed a bill to try to prevent the federal government from deploying a Central Bank Digital Currency (CBDC) in his state. Flanked by a banner reading ‘Big Brother’s Digital Dollar’, Governor DeSantis – who is expected to challenge Donald Trump for the Republican nomination for president in 2024 – argues that CBDCs can enable surveillance by the federal government, threatening individual privacy and economic freedom. His plan would prohibit the acceptance of a US CBDC under the Florida Uniform Commercial Code and impose other limits on CBDCs of foreign countries. In addition, he called on ‘like-minded states to join Florida in adopting similar bans to counter this cryptocurrency concept nationwide’. This is because, depending on how it is technically designed and legally regulated, a consumer-facing CBDC could potentially accumulate and store large volumes of personal information about individuals’ daily purchases and movements. At the national level, groups such as the American Civil Liberties Union have repeatedly stressed the importance of maintaining cash-like privacy should the executive branch and Congress proceed with a digital dollar. Internationally, there are well-founded fears that CBDCs could be used, particularly by non-democratic countries, as a tool for pervasive surveillance and control of their citizens.

The European Commission’s consumer protection office will launch a voluntary initiative to abandon cookie banners. Is this the prelude to a legislative proposal? The cookie initiative will be announced on Tuesday 28 March during the European Consumer Summity, where one session will be dedicated to online advertising and the challenges posed by cookies. Afterwards, stakeholders such as consumer groups, publishers, advertisers and technology companies will be invited to a series of roundtables after the Easter break. The political impetus for the initiative comes directly from European Commissioner for Justice and Consumers Didier Reynders, who has long anticipated the intention to tackle the growing ‘cookie fatigue’ of online users. The voluntary effort proposed by the consumer department is bound to clash with the Commission’s digital policy area, which in 2017 proposed the ePrivacy Regulation to update the current electronic communications regime, the ePrivacy Directive, .However, discussions on the ePrivacy Regulation were hijacked by a coalition of member states, led by France, which wanted to introduce provisions allowing law enforcement to access and retain private electronic communications data. After years of political deadlock due first to differences between Paris and Berlin and then between the EU Council and Parliament, the ePrivacy Regulation is likely to be withdrawn if no agreement is reached by the end of this European term. The idea is that users will not be asked for consent via a cookie banner every time they land on a website. Instead, their preference would be expressed only once within the browser settings, with detailed explanations as to why their data is being requested, the potential benefits, and the business model behind the processing.

Della cicatrice francese e di altri demoni da tenere lontano dalla portata dei bambini

L’ultimo allarme lo ha appena lanciato l’Autorità Antitrust italiana aprendo un’istruttoria nei confronti di TikTok nell’ambito della quale contesta alla società di non aver fatto abbastanza per evitare che tra i suoi video spopolassero quelli che invitano i più giovani a farsi l’ormai drammaticamente celebre “cicatrice francese”, diventata, in qualche mese, protagonista di una delle tante challenge che impazzano sui social di tutto il mondo: qui vince chi si crea l’ematoma più visibile, più grave, più simile a una vera cicatrice.

Se vuoi leggere il mio pezzo nella rubrica Governare il futuro su HuffingtonPost lo trovi qui

PRIVACY DAILY 74/2023

Il Governo Britannico chiamato in tribunale per l’uso dei dati personali dei migranti. L’alta Corte del Regno Unito è stata investita di un ricorso riguardante il trattamento dei dati personali dei migranti da parte dell’esecutivo. La Corte è chiamata a decidere in particolare se la cosiddetta “immigration exception”, che consente il trattamento dei dati personali senza il consenso, sia compatibile con l’art. 23 del GDPR britannico. Il Data Protection Act del 2018 stabilisce specifici diritti, ma include anche la “immigration exception”, la disposizione per cui i diritti delle persone possono essere limitati proprio per questioni relative all’immigrazione. Un’“exception” che può essere attivata solo dal Segretario di Stato e dal Ministro dell’Interno al fine di consentire un “efficace controllo dei flussi migratori”. Per bocca di una sua responsabile Meg Foulkes, Open Right Group contesta tale impostazione, sottolineando che “Il rifiuto del Governo di affrontare il problema dei dati dei migranti dimostra che la sua priorità è mantenere un ambiente digitale ostile, piuttosto che un sistema di immigrazione equo e trasparente”. Non è la prima volta che il Governo viene trascinato in tribunale per aver fatto ricorso all’exception migratoria. Già 3million e la stessa Open Rights Group, a seguito di un ricorso alla giustizia britannica, avevano ottenuto che il sistema di limitazione dei diritti fosse corretto, introducendo le necessarie salvaguardie. Open Rights Group e the3million sono rappresentati da Waleed Sheikh, partner di Leigh Day e dall’avvocato Erin Alcock i quali dichiarano che “I nostri clienti continuano a essere preoccupati per la mancanza di tutele nell’ambito dell’esenzione per l’immigrazione. Ritengono fermamente che le misure adottate dal governo per rimediare ai difetti individuati dalla Corte d’Appello non siano sufficienti per raggiungere la conformità con il GDPR”. “Molte persone soggette a controlli sull’immigrazione – concludono – sono altamente vulnerabili ed è fondamentale che i loro diritti fondamentali siano salvaguardati”.

Parte il contropiede di TikTok a seguito delle crescenti pressioni occidentali sui temi della cybersicurezza e della privacy. L’amministratore delegato Shou Zi Chew è atteso giovedì davanti ai legislatori del Congresso degli Stati Uniti, dove sarà interrogato sulle pratiche dell’azienda – ovviamente con uno speciale focus su protezione dei dati e sicurezza – e sui rapporti con il governo cinese. Chew ha dichiarato in un video di TikTok che l’audizione “arriva in un momento cruciale” per l’azienda, dopo che i legislatori hanno iniziato a lavorare a misure che potrebbero portare ad un vero e proprio divieto statunitense dell’app. “Alcuni politici hanno iniziato a parlare di vietare TikTok. Ora questo potrebbe togliere TikTok a tutti i 150 milioni di voi”, ha detto Chew, vestito in modo casual con jeans e felpa blu con cappuccio, con la cupola del Campidoglio degli Stati Uniti a Washington sullo sfondo. Ha, poi, aggiunto: “Questa settimana testimonierò davanti al Congresso per condividere tutto ciò che stiamo facendo per proteggere gli americani che utilizzano l’app”. TikTok ha anche presentato regole e standard aggiornati per i contenuti e gli utenti in una serie riorganizzata di linee guida della comunità che includono otto principi per guidare le decisioni di moderazione dei contenuti. Queste misure, che entreranno in vigore il 21 aprile, sono state rielaborate dalle regole esistenti di TikTok con ulteriori dettagli e spiegazioni. Tra le modifiche più significative vi sono ulteriori dettagli sulle restrizioni ai deepfakes, noti anche come media sintetici creati dalla tecnologia dell’intelligenza artificiale. TikTok espone più chiaramente la sua politica, affermando che tutti i deepfake o i contenuti manipolati che mostrano scene realistiche devono essere etichettati per indicare che sono falsi o alterati in qualche modo. I deepfake di personaggi pubblici sono accettabili in determinati contesti, come ad esempio per i contenuti artistici o educativi, ma non per gli endorsement politici o commerciali.

Il maglione che rende invisibile esiste ed è un’invenzione tutta italiana. Ad idearlo Rachele Didero dottoranda di ricerca in “Textile and machine learning for privacy” al Politecnico di Milano. Didero è co-fondatrice della startup Cap-able, che produce maglioni e tessuti che confondono le telecamere con riconoscimento facciale. L’idea è nata nel 2019, quando Didero si trovava a New York dove venne a sapere di alcuni cittadini che avevano vinto una causa contro il complesso residenziale in cui vivevano, che aveva installato delle telecamere con riconoscimento biometrico. L’obiettivo della startup è produrre capi d’abbigliamento che preservino la privacy e i dati sensibili delle persone dalle telecamere con riconoscimento facciale. La startup è stata creata nel 2022 con l’aiuto di altri professionisti del settore tessile e dell’ingegneria. La collezione di capi d’abbigliamento della startup è stata chiamata “Collezione Manifesto”, con capi appariscenti che vogliono evidenziare i rischi dell’uso improprio di determinate tecnologie. E se qualcuno crede che tutto questo non sia legale, si sbaglia: al contrario, secondo il “patto per la sicurezza urbana tra sindaco e prefettura”, oggi in Italia non è possibile utilizzare telecamere con riconoscimento biometrico in luoghi pubblici (a meno di eventi di ordine pubblico).

English version

British government summoned to court over use of migrants’ personal data. The UK High Court has been seized with an appeal concerning the executive’s processing of migrants’ personal data. The Court is asked to decide in particular whether the so-called ‘immigration exception’, which allows the processing of personal data without consent, is compatible with Article 23 of the UK GDPR. The Data Protection Act 2018 sets out specific rights, but also includes the ‘immigration exception’, the provision whereby individuals’ rights can be restricted precisely because of immigration issues. An ‘exception’ that can only be activated by the Secretary of State and the Home Secretary in order to enable ‘effective control of migration flows’. Through one of its officers, Meg Foulkes, the Open Right Group challenges this approach, pointing out that ‘the government’s refusal to address the issue of migrant data shows that its priority is to maintain a hostile digital environment, rather than a fair and transparent immigration system’. This is not the first time that the government has been dragged into court over its use of migration exception. Already 3million and the Open Rights Group itself, following an appeal to the British courts, had obtained that the system of restricting rights be corrected by introducing the necessary safeguards. Open Rights Group and the3million are represented by Waleed Sheikh, partner at Leigh Day and lawyer Erin Alcock who state that ‘Our clients continue to be concerned about the lack of safeguards under the immigration exemption. They feel strongly that the steps taken by the government to remedy the defects identified by the Court of Appeal are not sufficient to achieve compliance with the GDPR.” “Many people subject to immigration controls,” they conclude, “are highly vulnerable and it is vital that their fundamental rights are safeguarded.

TikTok’s counter-attack starts in the wake of growing Western pressure on cybersecurity and privacy issues. CEO Shou Zi Chew is expected to appear before lawmakers in the US Congress on Thursday, where he will be questioned about the company’s practices – obviously with a special focus on data protection and security – and its relationship with the Chinese government. Chew said in a TikTok video that the hearing “comes at a crucial time” for the company, after lawmakers began working on measures that could lead to a full-fledged US ban on the app. “Some politicians have started talking about banning TikTok. Now this could take TikTok away from all 150 million of you,” said Chew, dressed casually in jeans and a blue hoodie, with the dome of the US Capitol in Washington in the background. He added: “This week I will testify before Congress to share everything we are doing to protect Americans who use the app. TikTok also presented updated rules and standards for content and users in a reorganised set of community guidelines that include eight principles to guide content moderation decisions. These measures, which will go into effect on 21 April, have been reworked from existing TikTok rules with additional details and explanations. Among the most significant changes are further details on restrictions on deepfakes, also known as synthetic media created by artificial intelligence technology. TikTok sets out its policy more clearly, stating that all deepfakes or manipulated content showing realistic scenes must be labelled to indicate that they are fake or altered in some way. Deepfakes of public figures are acceptable in certain contexts, such as for artistic or educational content, but not for political or commercial endorsements.

The jumper that makes you invisible exists and is an all-Italian invention. It was invented by Rachele Didero, a PhD student in ‘Textile and machine learning for privacy’ at the Politecnico di Milano. Didero is co-founder of the startup Cap-able, which produces jumpers and textiles that confuse cameras with facial recognition. The idea was born in 2019, when Didero was in New York where he heard about some citizens who had won a lawsuit against the apartment complex they lived in, which had installed cameras with biometric recognition. The startup’s goal is to produce clothing that preserves people’s privacy and sensitive data from facial recognition cameras. The startup was created in 2022 with the help of other textile and engineering professionals. The startup’s clothing collection has been called the ‘Manifesto Collection’, with flashy garments intended to highlight the risks of misuse of certain technologies. And if anyone believes that all this is not legal, they are mistaken: on the contrary, according to the ‘urban security pact between the mayor and the prefecture’, in Italy today it is not possible to use cameras with biometric recognition in public places (unless for public order events).

PRIVACY DAILY 72/2023

Gli Stati Uniti stanno valutando la possibilità di vietare completamente l’uso di TikTok, ma è improbabile che l’Europa segua la stessa strada. Così ha dichiarato Theo Bertram, vicepresidente delle relazioni governative e delle politiche pubbliche per l’Europa di TikTok. “Quando si parla di libertà di parola per il pubblico, credo che le regole siano chiare. Dovreste avere una base legale molto forte per vietare qualsiasi app in qualsiasi Paese d’Europa”. Bertram ha detto che “c’è una chiara comprensione” tra i responsabili, gli esperti e i politici con cui ha parlato nelle ultime settimane e che un divieto generale dell’app di social media nei Paesi europei sarebbe “un livello di scala completamente diverso”. Negli Stati Uniti, l’amministrazione Biden ha vietato l’applicazione dai dispositivi del governo federale. Proprio questa settimana, inoltre, ha ordinato al proprietario cinese di TikTok, ByteDance, di disinvestire dall’applicazione o di affrontare un possibile divieto negli Stati Uniti, ricordando una minaccia simile sotto la precedente amministrazione guidata da Donald Trump. Questo mese l’azienda ha lanciato un’offensiva di charme con i governi europei, denominata Project Clover, incentrata sul mantenimento di un maggior numero di dati degli utenti su server in Europa e sull’individuazione di una società europea per la verifica dei controlli sulla sicurezza informatica e sulla protezione dei dati. Bertram ha dichiarato che l’amministratore delegato dell’azienda, Shou Zi Chew, ha inviato una lettera alla Commissione Europea chiedendo un’udienza e che esponenti dell’azienda responsabili degli affari legali, della sicurezza e della privacy europea si sono recati a Bruxelles per cercare di incontrare il dipartimento IT della Commissione. Un portavoce della Commissione avrebbe dichiarato di essere disponibile a incontrare TikTok e di dover fissare una data.

Hunter Biden ha citato in giudizio un riparatore di computer del Delaware per violazione della privacy e pubblicazione di informazioni private. Questa azione legale risponde alla causa per diffamazione intentata dallo stesso riparatore, John Mac Isaac, il quale avrebbe violato privacy del figlio del Presidente degli Stati Uniti accedendo e condividendo indebitamente i suoi dati personali con diversi soggetti nel 2019. Mac Isaac ha dichiarato di aver ottenuto le informazioni dal computer portatile di Hunter Biden in modo legale e ha affermato che egli stesso lo ha lasciato nell’aprile 2019 e non è mai tornato a reclamarlo. Dopo aver atteso 90 giorni, ha considerato il computer abbandonato. I legali di Biden sostengono però che la clausola di abbandono di 90 giorni inserita da Mac Isaac nel contratto di riparazione non è conforme alla legge del Delaware, in quanto essa stabilisce che la proprietà materiale non va considerata abbandonata fino a quando non sia trascorso un anno intero, e prima che un’altra parte ne prenda possesso, un tribunale deve inviare un avviso al proprietario e affiggere l’avviso “in cinque o più luoghi pubblici” e “in un giornale”. L’azione legale è l’ultima mossa di un cambiamento strategico da parte del figlio del presidente, mirato a respingere in modo deciso gli attacchi feroci da parte di alleati e collaboratori dell’ex presidente Donald Trump. La causa arriva infatti in un momento in cui i repubblicani al Congresso stanno intensificando le indagini sugli affari all’estero che Hunter Biden ha intrapreso quando suo padre Joe era vicepresidente. Gli avvocati di Biden sostengono che nel settembre 2019, Mac Isaac scrisse all’avvocato di Trump, Rudy Giuliani, e “pianificò di creare una pen drive con i dati in suo possesso che consistevano in documenti chiave” . Giuliani avrebbe poi fornito una copia all’ex stratega della Casa Bianca Stephen Bannon, che a sua volta li avrebbe consegnati al magnate cinese Guo Wengui per far diffondere le informazioni ai suoi seguaci su WhatsApp.

Niente più controlli biometrici negli stadi spagnoli. Nelle ultime settimane, migliaia di tifosi hanno ricevuto dai loro club l’invito a presentarsi allo stadio con la carta d’identità e l’abbonamento per poter accedere agli spalti. Questo passo ha fatto seguito alla protesta avviata dai tifosi del Burgos. Con lo slogan “No all’impronta digitale”, hanno decretato uno sciopero del tifo e invitato gli spalti dello stadio El Plantío a non fornire i propri dati. Finora si entrava attraverso dei tornelli con controllo biometrico o identificandosi con l’impronta digitale, misura adottata dal Ministero degli Interni e dal Consejo Superior de Deportes per aumentare la sicurezza quasi un decennio fa, dopo l’omicidio di un tifoso del Deportivo de La Coruña in una rissa. Ma adesso tutto è stato congelato per volere dell’Agenzia spagnola per la protezione dei dati (AEPD). Vari gruppi di tifosi stanno festeggiando, poiché ritenevano che questi controlli una violazione dei loro diritti. Il presidente della Liga, Javier Tebas, però, chiede al governo di avviare una modifica della normativa per ripristinare la misura. Il sistema si basava su un accordo della Commissione statale contro la violenza, il razzismo, la xenofobia e l’intolleranza, ai sensi della legge contro la violenza nello sport approvata nel 2007 dal governo Zapatero. La Liga si è appellata anche al GPDR, sostenendo che sussistesse un “interesse pubblico” da individuare nella prevenzione dei “crimini d’odio”. La AEPD però ha concluso che “l’installazione di sistemi biometrici per il controllo di tutti gli accessi alle tribune dei tifosi che consentono l’identificazione univoca dei tifosi che vi accedono non è conforme alle norme sulla protezione dei dati”.

English version

The US is considering a complete ban on the use of the TikTok social media application, but Europe is unlikely to follow suit. So said Theo Bertram, vice president of government relations and public policy for Europe at TikTok. “When it comes to free speech for the public, I think the rules are clear. You should have a very strong legal basis to ban any app in any country in Europe.” Bertram said that “there is a clear understanding” among policymakers, experts and politicians he has spoken to in recent weeks that a blanket ban on social media app use in European countries would be “a completely different level of scale”. In the US, the Biden administration banned the app from federal government devices in December. This week, the administration ordered TikTok’s Chinese owner, ByteDance, to divest from the app or face a possible ban in the US, recalling a similar threat under the previous Donald Trump-led administration. This month, the company launched a charm offensive with European governments, dubbed Project Clover, focused on keeping more user data on servers in Europe and granting far-reaching access to a European security firm to audit cybersecurity and data protection controls. Bertram said that the company’s CEO, Shou Zi Chew, had sent a letter to the Commission requesting a hearing and that the company’s CEOs in charge of European legal, security and privacy affairs had travelled to Brussels to try to meet with the Commission’s IT department. A spokesperson for the Commission reportedly said they were willing to meet with TikTok and would have to set a date.

Hunter Biden has sued a Delaware computer repairman for invasion of privacy and publishing private information. This is in response to a defamation lawsuit filed by the same repairman, John Mac Isaac, who allegedly violated his privacy by improperly accessing and sharing his personal information with several individuals in 2019. Mac Isaac claimed that he obtained the information from Hunter Biden’s laptop in a legal manner and claimed that he himself left it in April 2019 and never returned to claim it. After waiting 90 days, he considered the computer abandoned. Biden’s attorneys argue, however, that the 90-day abandonment clause inserted by Mac Isaac in the repair agreement does not comply with Delaware law, as it states that tangible property is not to be considered abandoned until one full year has passed, and before another party takes possession, a court must send notice to the owner and post the notice “in five or more public places” and “in a newspaper.” The lawsuit is the latest move in a strategic shift by the president’s son, aimed at decisively fending off vicious attacks from allies and associates of former President Donald Trump. Indeed, the lawsuit comes at a time when Republicans in Congress are stepping up investigations into the foreign dealings Hunter Biden undertook when his father Joe was vice president. Biden’s lawyers claim that in September 2019, Mac Isaac wrote to Trump’s lawyer, Rudy Giuliani, and “planned to create a pen drive with data in his possession that consisted of key documents”. Giuliani would then provide a copy to former White House strategist Stephen Bannon, who in turn would hand it over to Chinese tycoon Guo Wengui to spread the information to his followers on WhatsApp.

No more biometric controls in Spanish stadiums. In recent weeks, thousands of fans have been asked by their clubs to present themselves at the stadium with their identity card and season ticket in order to enter the stands. This step followed the protest initiated by the Burgos fans. With the slogan ‘No to fingerprinting’, they declared a supporters’ strike and invited the stands of the El Plantío stadium not to provide their data. Until now, one entered through turnstiles with biometric control or by identifying oneself with a fingerprint, a measure adopted by the Ministry of the Interior and the Consejo Superior de Deportes to increase security almost a decade ago, after the murder of a Deportivo de La Coruña fan in a brawl. But now everything has been frozen at the behest of the Spanish Data Protection Agency (AEPD). Various fan groups are celebrating, as they considered these controls a violation of their rights. The president of La Liga, Javier Tebas, however, is asking the government to initiate a change in the legislation to reinstate the measure. The system was based on an agreement of the State Commission against Violence, Racism, Xenophobia and Intolerance, under the law against violence in sport approved in 2007 by the Zapatero government. La Liga also appealed to the GPDR, arguing that there was a ‘public interest’ to be found in the prevention of ‘hate crimes’. The AEPD, however, concluded that ‘the installation of biometric systems to control all access to the supporters’ stands that allow the unambiguous identification of fans accessing them does not comply with data protection regulations’.

PRIVACY DAILY 70/2023

Anche ai funzionari governativi del Regno Unito è stato vietato di utilizzare TikTok. Il Cabinet Minister Oliver Dowden, che ha tra le deleghe del suo portafoglio quella alla cybersicurezza, ha dichiarato in Parlamento che il divieto è una mossa “precauzionale” ma che entrerà in vigore immediatamente. TikTok ha negato con forza le accuse di trasmettere i dati degli utenti al governo cinese. Theo Bertram, vicepresidente dell’app per le relazioni con i governi e le politiche pubbliche in Europa, ha dichiarato di ritenere che la decisione fosse basata “più sulla geopolitica che su altro”. “Abbiamo chiesto di essere giudicati non in base alle paure della gente, ma in base ai fatti”, ha aggiunto. Dowden ha dichiarato di non voler sconsigliare al pubblico l’uso di TikTok, ma di dover sempre “considerare le politiche sui dati di ogni piattaforma di social media prima di scaricarla e utilizzarla”. A quanto pare, il Primo Ministro Rishi Sunak ha subito forti pressioni politiche affinché seguisse gli Stati Uniti e l’Unione Europea nel vietare l’utilizzo dell’app di condivisione video dai dispositivi ufficiali del governo. Ma i dipartimenti governativi – e i singoli ministri – avevano abbracciato TikTok come un modo per trasmettere il loro messaggio ai più giovani. E, infatti, Downing Street – che l’ultima volta ha postato su TikTok un video di Larry il gatto che prediceva i risultati del calcio – ha dichiarato che continuerà a usare TikTok per diffondere il messaggio del governo. Ha dichiarato che in alcune circostanze sono previste delle deroghe al divieto.

Informazioni sensibili sono state pubblicate online a seguito della “significativa violazione dei dati” del mercato delle assicurazioni sanitarie di Washington della scorsa settimana. Il data breach ha colpito anche i membri del Congresso, secondo quanto riferito da funzionari del Senato. In un’email inviata agli uffici del Senato, i membri del Comitato per l’Intelligence hanno dichiarato di aver appreso che le informazioni violate sono già online e comprendono tra gli altri nome, indirizzo, numero di previdenza sociale, data di nascita, numero di telefono dell’ufficio. Il 6 marzo, prima che la violazione fosse resa pubblica, un utente su un forum del dark web popolare tra gli hacker criminali ha affermato di avere accesso ai dati di una manciata di utenti del DC Health Link, il marketplace dell’Affordable Care Act che gestisce i piani di assistenza sanitaria per i membri del Congresso e per alcuni dipendenti di Capitol Hill, oltre che per altre persone nell’area di Washington. E ha offerto l’intero database in vendita. NBC News non ha verificato l’autenticità dei dati. Un altro utente ha poi reso pubblici i file sul sito. Il database, visionato da NBC News, include le presunte informazioni di oltre 65.000 persone, tra cui più di 1.000 con informazioni relative al lavoro svolto per la Camera o il Senato. In una comunicazione inviata agli utenti interessati, DC Health Link ha dichiarato di essere venuta a conoscenza della violazione dopo essere stata informata il 6 marzo della pubblicazione dei dati sul forum pubblico, di aver immediatamente avviato un’indagine approfondita in collaborazione con gli investigatori forensi e le forze dell’ordine e di offrire ai clienti interessati tre anni di monitoraggio gratuito dell’identità e del credito. La polizia di Capitol Hill e l’FBI stanno indagando

La Privacy Commission federale del Canada sta indagando sulla gestione dei dati sensibili dei dipendenti da parte della CBC. L’istruttoria è stata avviata dopo che la stampa ha riferito che alcuni dipendenti della CBC e di Radio-Canada si erano sentiti “traditi” nello scoprire che informazioni strettamente riservate, come l’orientamento sessuale, la religione, erano apparsi nel loro profilo personale su un nuovo programma di risorse umane basato sul cloud, chiamato Workday. I dipendenti avevano dichiarato di aver fornito le informazioni durante un “censimento culturale confidenziale” e volontario, credendo che i dati sarebbero stati anonimizzati e aggregati in modo da non poter essere ricondotti a loro. In una dichiarazione, il portavoce del Privacy Commissioner of Canada, Vito Pilieci, ha confermato che l’ufficio sta cercando di ottenere “ulteriori informazioni” dall’emittente pubblica, anche rispetto alla possibilità che i dati siano stati ospitati su server situati all’estero e quindi meno sicuri. In generale, Pilieci ha affermato che la legge sulla privacy impone ai datori di lavoro di comunicare ai dipendenti quali informazioni personali vengono raccolte, le finalità e i tempi di conservazione. Infine, ha dichiarato che la legge sulla privacy obbliga le istituzioni a garantire che le informazioni siano gestite da terzi in modo da essere “protette da ogni possibile rischio legato alla questione dei flussi di dati transfrontalieri”.

English version

UK government officials have also been banned from using TikTok. Cabinet Minister Oliver Dowden, who has cybersecurity as one of his portfolio mandates, said in Parliament that the ban was a ‘precautionary’ move but would come into effect immediately. TikTok has strongly denied allegations of passing on user data to the Chinese government. Theo Bertram, the app’s vice president for government relations and public policy in Europe, said he believed the decision was based “more on geopolitics than anything else”. “We asked to be judged not by people’s fears, but by the facts,” he added. Dowden said he did not want to advise the public against using TikTok, but that they should always ‘consider the data policies of any social media platform before downloading and using it’. Apparently, Prime Minister Rishi Sunak came under intense political pressure to follow the US and EU in banning the use of the video-sharing app from official government devices. But government departments – and individual ministers – had embraced TikTok as a way to get their message across to younger people. And, indeed, Downing Street – which last posted a video of Larry the cat predicting football results on TikTok – said it would continue to use TikTok to spread the government’s message. He stated that there are exceptions to the ban in certain circumstances.

Sensitive information has been posted online following last week’s ‘significant data breach’ of Washington’s health insurance marketplace targeting members of Congress, according to Senate officials. In an email sent to Senate offices, Intelligence Committee members said they learned that the breached information is already online and includes name, address, social security number, date of birth, office phone number, among others. On 6 March, before the breach was made public, a user on a dark web forum popular with criminal hackers claimed to have access to the data of a handful of users of DC Health Link, the Affordable Care Act marketplace that manages health care plans for members of Congress and some Capitol Hill employees, as well as others in the Washington area. And he offered the entire database for sale. NBC News did not verify the authenticity of the data. Another user then made the files public on the site. The database, viewed by NBC News, includes the alleged information of more than 65,000 people, including more than 1,000 with information about their work for the House or Senate. In a notice sent to affected users, DC Health Link said it became aware of the breach after being informed on 6 March that the data was posted on the public forum, immediately launched a thorough investigation in cooperation with forensic investigators and law enforcement, and offered affected customers three years of free identity and credit monitoring. Capitol Hill police and the FBI are investigating

The Federal Privacy Commission of Canada is investigating the CBC’s handling of sensitive employee data. The investigation was initiated after the press reported that some CBC and Radio-Canada employees had felt ‘betrayed’ to discover that strictly confidential information, such as sexual orientation and religion, had appeared in their personal profiles on a new cloud-based human resources programme called Workday. Employees had claimed to have provided the information during a voluntary ‘confidential cultural census’, believing that the data would be anonymised and aggregated so that it could not be traced back to them. In a statement, Privacy Commissioner of Canada spokesman Vito Pilieci confirmed that the office is seeking ‘further information’ from the public broadcaster, including on the possibility that the data was hosted on servers located abroad and therefore less secure. In general, Pilieci stated that the Privacy Act requires employers to tell employees what personal information is being collected, the purposes for which it is being collected, and when it is being stored. Finally, he stated that the Privacy Act obliges institutions to ensure that information is managed by third parties in such a way that it is ‘protected from any possible risk related to the issue of cross-border data flows’.