Privacy Daily 27/2023

Anche San Marino sanziona Meta. La Corte d’Appello della Repubblica del Titano ha confermato la decisione dell’Autorità Garante per la Protezione dei Dati personali sanmarinese – già convalidata in primo grado dal Tribunale – con la quale sono stati inflitti quattro milioni di euro di multa alla società di Menlo Park. L’Autorità aveva contestato a Meta di aver permesso la diffusione illecita dei dati personali di circa 12.700 sanmarinesi, non avendo preso le opportune misure di sicurezza per prevenire il prelievo dei dati degli utenti. Il giudice d’Appello di San Marino, Valeria Pierfelici, ha dunque convenuto con l’Autorità che “la grande mole dei dati acquisiti da terzi ed il volume del traffico generato doveva essere immediatamente riconosciuta come pericolosa anomalia e avrebbe dovuto innescare meccanismi di prevenzione e di difesa, atti ad evitare il perpetrarsi di qualunque azione potenzialmente lesiva della riservatezza dei dati delle persone che aderiscono al sodalizio virtuale”.

“Amministrazioni olandesi, alla larga da TikTok finché non si mette in regola con la privacy!”. Nonostante la popolarità vertiginosa dell’app nei Paesi Bassi, dove conta circa 3,5 milioni di utenti, la Pubblica amministrazione olandese sembra essersi attestata sulla linea di evitare gli account TikTok e di interrompere le comunicazioni governative e i messaggi istituzionali sulla piattaforma. Ciò segue, peraltro, la raccomandazione del Ministero degli Affari generali di “sospendere l’uso di TikTok per il governo fino a quando TikTok non avrà adeguato la sua policy in materia di protezione dei dati”. Sebbene la raccomandazione assomigli a una recente decisione del governo statunitense di dicembre di vietare l’uso di TikTok sui dispositivi governativi, le indicazioni olandesi sono, però, molto più limitate nella portata e nell’applicazione.

I vuoti normativi di alcuni Paesi africani possono essere un pericolo per la privacy. Un esempio è il caso della Namibia, in cui preoccupazioni sempre più forti stanno crescendo per via della raccolta di dati particolari – quali fingerprint e dati biometrici del volto – da parte di società di telecomunicazione. Specialmente nel processo di registrazione delle carte SIM. Un articolo pubblicato dall’Institute for Public Policy Research (IPPR) afferma che vi è una mancanza di tutele poiché la Namibia non dispone di una legge sulla protezione dei dati personali. Il trattamento di informazioni di base – come nomi, date di nascita, indirizzi e copie di documenti d’identità – è prevista da altre fonti normative, come il Communications Act del 2009, il quale stabilisce che gli operatori debbano raccoglierle nella fase di registrazione delle carte SIM. Non vi è, però, nessuna norma specifica sul trattamento dei dati biometrici, né vi sono indicazioni rispetto alla necessità di utilizzare questi dati nelle operazioni di registrazione. Così, in queste zone grigie, in cui non vi sono regole certe, trova spazio chi vuole approfittarsi del fatto che, almeno formalmente, non ci sono divieti o limitazioni. Peraltro, non è affatto chiaro a quale scopo le società raccolgano i dati appartenenti a particolari categorie. E la diffusa mancanza di alfabetizzazione digitale nella popolazione non aiuta.

English version

The Republic of San Marino has fined Meta. The Court of Appeal has confirmed the decision of the San Marino Data Protection Authority – already validated in first instance – with which a fine of four million euro was imposed on the Menlo Park company. The Authority had accused Meta of having allowed the unlawful disclosure of the personal data of around 12,700 San Marino citizens, having failed to take the appropriate security measures to prevent users’ data from being taken. The San Marino Appellate Judge, Valeria Pierfelici, therefore agreed with the Authority that “the large amount of data acquired from third parties and the volume of traffic generated should have been immediately recognised as a dangerous anomaly and should have triggered prevention and defence mechanisms, designed to prevent the perpetration of any action potentially damaging to the confidentiality of the data of the persons joining the virtual association”.

“Dutch administrations, stay away from TikTok until it adjust its policies on data protection!”. Despite the skyrocketing popularity of the app in the Netherlands, where it has around 3.5 million users, the Dutch public administration seems to be sticking to the line of avoiding TikTok accounts and discontinuing governmental communications and institutional messages on the platform. However, this follows the recommendation of the Ministry of General Affairs to ‘suspend the use of TikTok for the government until TikTok has adjusted its data protection policy’. Although the recommendation resembles a recent decision by the US government in December to ban the use of TikTok on government devices, the Dutch recommendation is much more limited in scope and application.

Regulatory gaps in some African countries can be a danger to privacy. One example is the case of Namibia, where concerns are growing over the collection of particular data – such as fingerprints and facial biometrics – by telecommunication companies. Especially in the process of SIM card registration. An article published by the Institute for Public Policy Research (IPPR) states that there is a lack of safeguards because Namibia does not have a Data Protection Act. The processing of basic information – such as names, dates of birth, addresses and copies of identity documents – is provided for in other sources of legislation, such as the Communications Act of 2009, which stipulates that operators must collect it when registering SIM cards. However, there is no specific regulation on the processing of biometric data, nor is there any indication of the need to use these data in registration operations. Thus, in these grey areas, where there are no certain rules, there is room for those who want to take advantage of the fact that, at least formally, there are no prohibitions or limitations. Furthermore, it is not at all clear for what purpose companies collect data belonging to particular categories. And the widespread lack of digital literacy among the population does not help.

Privacy Daily – 18/2023

Continua il “periodo nero” di TikTok negli Stati Uniti. In questi giorni sempre più stati si stanno muovendo per bannare il social network dai dispositivi di proprietà del governo, e i politici cominciano lentamente a considerare le accuse secondo cui l’app è stata utilizzata per spiare i giornalisti statunitensi. Una situazione sempre più difficile, che ha convinto la società madre ByteDance a fare concessioni significative nel suo accordo con i funzionari governativi, pur di evitare un altro ban sul territorio statunitense. Sono mesi che la società sta lavorando con il Comitato per gli investimenti esteri negli Stati Uniti (CFIUS) per definire i termini di un accordo che permetta a TikTok di continuare ad essere presente nel paese. Ma dopo aver archiviato le questioni relative alle limitazioni all’accesso ai dati degli utenti statunitensi da parte del personale ByteDance con sede in Cina e all’archiviazione degli stessi, ora il problema sembra essere un altro: il reale funzionamento dell’algoritmo del social. A quanto pare, infatti, i funzionari statunitensi sono preoccupati che TikTok possa utilizzarlo per manipolare gli utenti. 

IAB Europe compie un passo in avanti verso l’assoluzione del suo Transparency & Consent Framework (lo strumento per la gestione dei consensi all’uso dei dati) agli occhi dell’autorità per la protezione dei dati (DPA) belga, che aveva avanzato accuse rispetto alla non conformità dello strumento al GDPR. L’autorità di Bruxelles, infatti, ha annunciato di avere approvato il piano d’azione di IAB, che prevede un processo di revisione della durata di 6 mesi del TCF, e una serie di modifiche per mettere a posto le caratteristiche della piattaforma che l’agenzia ha ritenuto non conformi alle attuali normative sulla privacy.L’accettazione da parte della DPA del piano d’azione, non pone comunque definitivamente al sicuro il Framework di IAB Europe. Ci sono infatti ancora due punti fondamentali che l’autorità belga ha sollevato davanti alla Corte di Giustizia Europea. La Corte infatti deve ancora decidere se IAB Europe è contitolare del trattamento dei dati per il TCF e, inoltre, se le stringhe del TCF – i pacchetti di dati che segnalano se un utente ha dato il suo consenso per il targeting o le misurazioni – contano come dati personali. La DPA aveva sollevato accuse sulla conformità del TCF al GDPR lo scorso febbraio, ordinando a IAB Europe di pagare una multa di 250.000 euro e di attuare una serie di cambiamenti allo strumento.

Il segretario alla cultura del Governo britannico, Michelle Donelan, ha confermato che il disegno di legge sulla sicurezza online verrà modificato, dopo le pressioni dei backbencher, i deputati conservatori. Le nuove disposizioni prevedono, tra l’altro, una responsabilità personale dei senior manager delle piattaforme tecnologiche che ignorano gli avvisi di Ofcom, il Garante delle comunicazioni UK, sulle violazioni degli obblighi di sicurezza a tutela dei minori. In base al disegno di legge, le società tecnologiche, comprese le società di social media e i motori di ricerca, hanno il dovere di proteggere i bambini da contenuti dannosi come ad esempio materiali online che promuovono l’autolesionismo e i disturbi alimentari. Il disegno di legge impone un obbligo generale di diligenza alle aziende tecnologiche al fine di proteggere gli utenti da contenuti illegali come abusi sessuali su minori e materiale terroristico. Le aziende che violano la legge potrebbero incorrere in multe fino a 18 milioni di sterline o corrispondenti al 10% del fatturato globale.

English Translation

TikTok’s ‘black period’ in the US continues. These days, more and more states are moving to ban the social network from government-owned devices, and politicians are slowly beginning to consider allegations that the app has been used to spy on US journalists. An increasingly difficult situation, which has convinced parent company ByteDance to make significant concessions in its deal with government officials in order to avoid another ban on US soil. The company has been working with the Committee on Foreign Investment in the United States (CFIUS) for months to work out the terms of an agreement that would allow TikTok to continue to have a presence in the country. But after having filed the issues related to the limitations on access to US user data by China-based ByteDance staff and the storage of the same, the problem now seems to be another: the actual functioning of the social’s algorithm. Apparently, in fact, US officials are concerned that TikTok may be using it to manipulate users. 

IAB Europe takes a step closer to absolving its Transparency & Consent Framework (the data usage consent management tool) in the eyes of the Belgian Data Protection Authority (DPA), which had made accusations about the tool’s non-compliance with the GDPR. The Brussels authority, in fact, announced that it had approved the IAB’s action plan, which envisages a six-month review process of the TCF, and a series of changes to put in place the platform’s features that the agency deemed non-compliant with current privacy regulations.The DPA’s acceptance of the action plan, however, does not definitively secure the IAB Europe Framework. There are in fact still two fundamental points that the Belgian authority has raised before the European Court of Justice. The Court still has to decide whether IAB Europe is co-owner of the data processing for the TCF and, moreover, whether TCF strings – the data packets that indicate whether a user has given consent for targeting or measurement – count as personal data. The DPA had raised allegations about TCF’s compliance with the GDPR last February, ordering IAB Europe to pay a €250,000 fine and implement a number of changes to the tool.

The culture secretary, Michelle Donelan, confirmed that the online safety bill would be amended after pressure from Conservative backbenchers. The new provision will target senior managers at tech platforms who ignore enforcement notices from Ofcom, the communications watchdog, about breaches of the legislation’s child safety duties. Under the bill, tech companies including social media firms and search engines have a duty to protect children from harmful content such as material promoting self-harm and eating disorders. The bill also places a duty of care on tech firms to shield users from illegal content such as child sexual abuse and terrorist material. Companies that breach the act could face fines of up to £18m or 10% of global turnover.

Privacy Daily | 1/2023

Negli Stati Uniti il Congresso sembra deciso a provare il tutto per tutto per regolamentare in maniera più stringente l’universo dei social media a cominciare, senza alcuna sorpresa, dalla cinese TikTok.

In Italia, da non perdere la guida per i genitori su Internet e bambini messa a punto dall’associazione Carolina che dice no a Internet sotto i due anni e tutto spento per tutti un’ora prima di andare a letto.

Mentre dalla Francia rimbalza una brutta storia a lieto fine: il componente di un gruppo di hacker attacca un ospedale pediatrico con un ramsoware, il gruppo se ne accorge, si scusa e fornisce la chiave per tornare a utilizzare tutti i dati “sequestrati”.