PRIVACY DAILY 74/2023

Il Governo Britannico chiamato in tribunale per l’uso dei dati personali dei migranti. L’alta Corte del Regno Unito è stata investita di un ricorso riguardante il trattamento dei dati personali dei migranti da parte dell’esecutivo. La Corte è chiamata a decidere in particolare se la cosiddetta “immigration exception”, che consente il trattamento dei dati personali senza il consenso, sia compatibile con l’art. 23 del GDPR britannico. Il Data Protection Act del 2018 stabilisce specifici diritti, ma include anche la “immigration exception”, la disposizione per cui i diritti delle persone possono essere limitati proprio per questioni relative all’immigrazione. Un’“exception” che può essere attivata solo dal Segretario di Stato e dal Ministro dell’Interno al fine di consentire un “efficace controllo dei flussi migratori”. Per bocca di una sua responsabile Meg Foulkes, Open Right Group contesta tale impostazione, sottolineando che “Il rifiuto del Governo di affrontare il problema dei dati dei migranti dimostra che la sua priorità è mantenere un ambiente digitale ostile, piuttosto che un sistema di immigrazione equo e trasparente”. Non è la prima volta che il Governo viene trascinato in tribunale per aver fatto ricorso all’exception migratoria. Già 3million e la stessa Open Rights Group, a seguito di un ricorso alla giustizia britannica, avevano ottenuto che il sistema di limitazione dei diritti fosse corretto, introducendo le necessarie salvaguardie. Open Rights Group e the3million sono rappresentati da Waleed Sheikh, partner di Leigh Day e dall’avvocato Erin Alcock i quali dichiarano che “I nostri clienti continuano a essere preoccupati per la mancanza di tutele nell’ambito dell’esenzione per l’immigrazione. Ritengono fermamente che le misure adottate dal governo per rimediare ai difetti individuati dalla Corte d’Appello non siano sufficienti per raggiungere la conformità con il GDPR”. “Molte persone soggette a controlli sull’immigrazione – concludono – sono altamente vulnerabili ed è fondamentale che i loro diritti fondamentali siano salvaguardati”.

Parte il contropiede di TikTok a seguito delle crescenti pressioni occidentali sui temi della cybersicurezza e della privacy. L’amministratore delegato Shou Zi Chew è atteso giovedì davanti ai legislatori del Congresso degli Stati Uniti, dove sarà interrogato sulle pratiche dell’azienda – ovviamente con uno speciale focus su protezione dei dati e sicurezza – e sui rapporti con il governo cinese. Chew ha dichiarato in un video di TikTok che l’audizione “arriva in un momento cruciale” per l’azienda, dopo che i legislatori hanno iniziato a lavorare a misure che potrebbero portare ad un vero e proprio divieto statunitense dell’app. “Alcuni politici hanno iniziato a parlare di vietare TikTok. Ora questo potrebbe togliere TikTok a tutti i 150 milioni di voi”, ha detto Chew, vestito in modo casual con jeans e felpa blu con cappuccio, con la cupola del Campidoglio degli Stati Uniti a Washington sullo sfondo. Ha, poi, aggiunto: “Questa settimana testimonierò davanti al Congresso per condividere tutto ciò che stiamo facendo per proteggere gli americani che utilizzano l’app”. TikTok ha anche presentato regole e standard aggiornati per i contenuti e gli utenti in una serie riorganizzata di linee guida della comunità che includono otto principi per guidare le decisioni di moderazione dei contenuti. Queste misure, che entreranno in vigore il 21 aprile, sono state rielaborate dalle regole esistenti di TikTok con ulteriori dettagli e spiegazioni. Tra le modifiche più significative vi sono ulteriori dettagli sulle restrizioni ai deepfakes, noti anche come media sintetici creati dalla tecnologia dell’intelligenza artificiale. TikTok espone più chiaramente la sua politica, affermando che tutti i deepfake o i contenuti manipolati che mostrano scene realistiche devono essere etichettati per indicare che sono falsi o alterati in qualche modo. I deepfake di personaggi pubblici sono accettabili in determinati contesti, come ad esempio per i contenuti artistici o educativi, ma non per gli endorsement politici o commerciali.

Il maglione che rende invisibile esiste ed è un’invenzione tutta italiana. Ad idearlo Rachele Didero dottoranda di ricerca in “Textile and machine learning for privacy” al Politecnico di Milano. Didero è co-fondatrice della startup Cap-able, che produce maglioni e tessuti che confondono le telecamere con riconoscimento facciale. L’idea è nata nel 2019, quando Didero si trovava a New York dove venne a sapere di alcuni cittadini che avevano vinto una causa contro il complesso residenziale in cui vivevano, che aveva installato delle telecamere con riconoscimento biometrico. L’obiettivo della startup è produrre capi d’abbigliamento che preservino la privacy e i dati sensibili delle persone dalle telecamere con riconoscimento facciale. La startup è stata creata nel 2022 con l’aiuto di altri professionisti del settore tessile e dell’ingegneria. La collezione di capi d’abbigliamento della startup è stata chiamata “Collezione Manifesto”, con capi appariscenti che vogliono evidenziare i rischi dell’uso improprio di determinate tecnologie. E se qualcuno crede che tutto questo non sia legale, si sbaglia: al contrario, secondo il “patto per la sicurezza urbana tra sindaco e prefettura”, oggi in Italia non è possibile utilizzare telecamere con riconoscimento biometrico in luoghi pubblici (a meno di eventi di ordine pubblico).

English version

British government summoned to court over use of migrants’ personal data. The UK High Court has been seized with an appeal concerning the executive’s processing of migrants’ personal data. The Court is asked to decide in particular whether the so-called ‘immigration exception’, which allows the processing of personal data without consent, is compatible with Article 23 of the UK GDPR. The Data Protection Act 2018 sets out specific rights, but also includes the ‘immigration exception’, the provision whereby individuals’ rights can be restricted precisely because of immigration issues. An ‘exception’ that can only be activated by the Secretary of State and the Home Secretary in order to enable ‘effective control of migration flows’. Through one of its officers, Meg Foulkes, the Open Right Group challenges this approach, pointing out that ‘the government’s refusal to address the issue of migrant data shows that its priority is to maintain a hostile digital environment, rather than a fair and transparent immigration system’. This is not the first time that the government has been dragged into court over its use of migration exception. Already 3million and the Open Rights Group itself, following an appeal to the British courts, had obtained that the system of restricting rights be corrected by introducing the necessary safeguards. Open Rights Group and the3million are represented by Waleed Sheikh, partner at Leigh Day and lawyer Erin Alcock who state that ‘Our clients continue to be concerned about the lack of safeguards under the immigration exemption. They feel strongly that the steps taken by the government to remedy the defects identified by the Court of Appeal are not sufficient to achieve compliance with the GDPR.” “Many people subject to immigration controls,” they conclude, “are highly vulnerable and it is vital that their fundamental rights are safeguarded.

TikTok’s counter-attack starts in the wake of growing Western pressure on cybersecurity and privacy issues. CEO Shou Zi Chew is expected to appear before lawmakers in the US Congress on Thursday, where he will be questioned about the company’s practices – obviously with a special focus on data protection and security – and its relationship with the Chinese government. Chew said in a TikTok video that the hearing “comes at a crucial time” for the company, after lawmakers began working on measures that could lead to a full-fledged US ban on the app. “Some politicians have started talking about banning TikTok. Now this could take TikTok away from all 150 million of you,” said Chew, dressed casually in jeans and a blue hoodie, with the dome of the US Capitol in Washington in the background. He added: “This week I will testify before Congress to share everything we are doing to protect Americans who use the app. TikTok also presented updated rules and standards for content and users in a reorganised set of community guidelines that include eight principles to guide content moderation decisions. These measures, which will go into effect on 21 April, have been reworked from existing TikTok rules with additional details and explanations. Among the most significant changes are further details on restrictions on deepfakes, also known as synthetic media created by artificial intelligence technology. TikTok sets out its policy more clearly, stating that all deepfakes or manipulated content showing realistic scenes must be labelled to indicate that they are fake or altered in some way. Deepfakes of public figures are acceptable in certain contexts, such as for artistic or educational content, but not for political or commercial endorsements.

The jumper that makes you invisible exists and is an all-Italian invention. It was invented by Rachele Didero, a PhD student in ‘Textile and machine learning for privacy’ at the Politecnico di Milano. Didero is co-founder of the startup Cap-able, which produces jumpers and textiles that confuse cameras with facial recognition. The idea was born in 2019, when Didero was in New York where he heard about some citizens who had won a lawsuit against the apartment complex they lived in, which had installed cameras with biometric recognition. The startup’s goal is to produce clothing that preserves people’s privacy and sensitive data from facial recognition cameras. The startup was created in 2022 with the help of other textile and engineering professionals. The startup’s clothing collection has been called the ‘Manifesto Collection’, with flashy garments intended to highlight the risks of misuse of certain technologies. And if anyone believes that all this is not legal, they are mistaken: on the contrary, according to the ‘urban security pact between the mayor and the prefecture’, in Italy today it is not possible to use cameras with biometric recognition in public places (unless for public order events).

PRIVACY DAILY 70/2023

Anche ai funzionari governativi del Regno Unito è stato vietato di utilizzare TikTok. Il Cabinet Minister Oliver Dowden, che ha tra le deleghe del suo portafoglio quella alla cybersicurezza, ha dichiarato in Parlamento che il divieto è una mossa “precauzionale” ma che entrerà in vigore immediatamente. TikTok ha negato con forza le accuse di trasmettere i dati degli utenti al governo cinese. Theo Bertram, vicepresidente dell’app per le relazioni con i governi e le politiche pubbliche in Europa, ha dichiarato di ritenere che la decisione fosse basata “più sulla geopolitica che su altro”. “Abbiamo chiesto di essere giudicati non in base alle paure della gente, ma in base ai fatti”, ha aggiunto. Dowden ha dichiarato di non voler sconsigliare al pubblico l’uso di TikTok, ma di dover sempre “considerare le politiche sui dati di ogni piattaforma di social media prima di scaricarla e utilizzarla”. A quanto pare, il Primo Ministro Rishi Sunak ha subito forti pressioni politiche affinché seguisse gli Stati Uniti e l’Unione Europea nel vietare l’utilizzo dell’app di condivisione video dai dispositivi ufficiali del governo. Ma i dipartimenti governativi – e i singoli ministri – avevano abbracciato TikTok come un modo per trasmettere il loro messaggio ai più giovani. E, infatti, Downing Street – che l’ultima volta ha postato su TikTok un video di Larry il gatto che prediceva i risultati del calcio – ha dichiarato che continuerà a usare TikTok per diffondere il messaggio del governo. Ha dichiarato che in alcune circostanze sono previste delle deroghe al divieto.

Informazioni sensibili sono state pubblicate online a seguito della “significativa violazione dei dati” del mercato delle assicurazioni sanitarie di Washington della scorsa settimana. Il data breach ha colpito anche i membri del Congresso, secondo quanto riferito da funzionari del Senato. In un’email inviata agli uffici del Senato, i membri del Comitato per l’Intelligence hanno dichiarato di aver appreso che le informazioni violate sono già online e comprendono tra gli altri nome, indirizzo, numero di previdenza sociale, data di nascita, numero di telefono dell’ufficio. Il 6 marzo, prima che la violazione fosse resa pubblica, un utente su un forum del dark web popolare tra gli hacker criminali ha affermato di avere accesso ai dati di una manciata di utenti del DC Health Link, il marketplace dell’Affordable Care Act che gestisce i piani di assistenza sanitaria per i membri del Congresso e per alcuni dipendenti di Capitol Hill, oltre che per altre persone nell’area di Washington. E ha offerto l’intero database in vendita. NBC News non ha verificato l’autenticità dei dati. Un altro utente ha poi reso pubblici i file sul sito. Il database, visionato da NBC News, include le presunte informazioni di oltre 65.000 persone, tra cui più di 1.000 con informazioni relative al lavoro svolto per la Camera o il Senato. In una comunicazione inviata agli utenti interessati, DC Health Link ha dichiarato di essere venuta a conoscenza della violazione dopo essere stata informata il 6 marzo della pubblicazione dei dati sul forum pubblico, di aver immediatamente avviato un’indagine approfondita in collaborazione con gli investigatori forensi e le forze dell’ordine e di offrire ai clienti interessati tre anni di monitoraggio gratuito dell’identità e del credito. La polizia di Capitol Hill e l’FBI stanno indagando

La Privacy Commission federale del Canada sta indagando sulla gestione dei dati sensibili dei dipendenti da parte della CBC. L’istruttoria è stata avviata dopo che la stampa ha riferito che alcuni dipendenti della CBC e di Radio-Canada si erano sentiti “traditi” nello scoprire che informazioni strettamente riservate, come l’orientamento sessuale, la religione, erano apparsi nel loro profilo personale su un nuovo programma di risorse umane basato sul cloud, chiamato Workday. I dipendenti avevano dichiarato di aver fornito le informazioni durante un “censimento culturale confidenziale” e volontario, credendo che i dati sarebbero stati anonimizzati e aggregati in modo da non poter essere ricondotti a loro. In una dichiarazione, il portavoce del Privacy Commissioner of Canada, Vito Pilieci, ha confermato che l’ufficio sta cercando di ottenere “ulteriori informazioni” dall’emittente pubblica, anche rispetto alla possibilità che i dati siano stati ospitati su server situati all’estero e quindi meno sicuri. In generale, Pilieci ha affermato che la legge sulla privacy impone ai datori di lavoro di comunicare ai dipendenti quali informazioni personali vengono raccolte, le finalità e i tempi di conservazione. Infine, ha dichiarato che la legge sulla privacy obbliga le istituzioni a garantire che le informazioni siano gestite da terzi in modo da essere “protette da ogni possibile rischio legato alla questione dei flussi di dati transfrontalieri”.

English version

UK government officials have also been banned from using TikTok. Cabinet Minister Oliver Dowden, who has cybersecurity as one of his portfolio mandates, said in Parliament that the ban was a ‘precautionary’ move but would come into effect immediately. TikTok has strongly denied allegations of passing on user data to the Chinese government. Theo Bertram, the app’s vice president for government relations and public policy in Europe, said he believed the decision was based “more on geopolitics than anything else”. “We asked to be judged not by people’s fears, but by the facts,” he added. Dowden said he did not want to advise the public against using TikTok, but that they should always ‘consider the data policies of any social media platform before downloading and using it’. Apparently, Prime Minister Rishi Sunak came under intense political pressure to follow the US and EU in banning the use of the video-sharing app from official government devices. But government departments – and individual ministers – had embraced TikTok as a way to get their message across to younger people. And, indeed, Downing Street – which last posted a video of Larry the cat predicting football results on TikTok – said it would continue to use TikTok to spread the government’s message. He stated that there are exceptions to the ban in certain circumstances.

Sensitive information has been posted online following last week’s ‘significant data breach’ of Washington’s health insurance marketplace targeting members of Congress, according to Senate officials. In an email sent to Senate offices, Intelligence Committee members said they learned that the breached information is already online and includes name, address, social security number, date of birth, office phone number, among others. On 6 March, before the breach was made public, a user on a dark web forum popular with criminal hackers claimed to have access to the data of a handful of users of DC Health Link, the Affordable Care Act marketplace that manages health care plans for members of Congress and some Capitol Hill employees, as well as others in the Washington area. And he offered the entire database for sale. NBC News did not verify the authenticity of the data. Another user then made the files public on the site. The database, viewed by NBC News, includes the alleged information of more than 65,000 people, including more than 1,000 with information about their work for the House or Senate. In a notice sent to affected users, DC Health Link said it became aware of the breach after being informed on 6 March that the data was posted on the public forum, immediately launched a thorough investigation in cooperation with forensic investigators and law enforcement, and offered affected customers three years of free identity and credit monitoring. Capitol Hill police and the FBI are investigating

The Federal Privacy Commission of Canada is investigating the CBC’s handling of sensitive employee data. The investigation was initiated after the press reported that some CBC and Radio-Canada employees had felt ‘betrayed’ to discover that strictly confidential information, such as sexual orientation and religion, had appeared in their personal profiles on a new cloud-based human resources programme called Workday. Employees had claimed to have provided the information during a voluntary ‘confidential cultural census’, believing that the data would be anonymised and aggregated so that it could not be traced back to them. In a statement, Privacy Commissioner of Canada spokesman Vito Pilieci confirmed that the office is seeking ‘further information’ from the public broadcaster, including on the possibility that the data was hosted on servers located abroad and therefore less secure. In general, Pilieci stated that the Privacy Act requires employers to tell employees what personal information is being collected, the purposes for which it is being collected, and when it is being stored. Finally, he stated that the Privacy Act obliges institutions to ensure that information is managed by third parties in such a way that it is ‘protected from any possible risk related to the issue of cross-border data flows’.

PRIVACY DAILY 64/2023

Il Governo britannico presenta la sua nuova privacy: meno burocrazia e più impresa. Così, stando a quanto dichiarato nel comunicato stampa che accompagna la presentazione della nuova proposta normativa in materia di protezione dei dati personali a Westminster. L’obiettivo dichiarato dell’esecutivo guidato da Rishi Sunak è ridurre le pratiche burocratiche inutili per le aziende e i fastidiosi pop-up dei cookie. Il Data Protection and Digital Information Bill, presentato già in estate, a settembre era stato “messo in pausa” per consentire ai ministri di impegnarsi in un processo di co-progettaione con i leader delle imprese e gli esperti di dati. Il Governo vuole assolutamente allontanarsi dall’approccio “unico” del GDPR dell’Unione europea, proponendo una versione britannica della data protection. L’assunto di partenza è che i dati sono fondamentali per alimentare la crescita economica in tutti i settori della società, nonché vitali per lo sviluppo e l’utilizzo di tecnologie innovative come l’intelligenza artificiale. Il commercio basato sui dati ha generato l’85% delle esportazioni totali di servizi del Regno Unito e ha contribuito all’economia per un valore stimato di 259 miliardi di sterline nel 2021. La proposta mira ad introdurre “un quadro semplice, chiaro e favorevole alle imprese che non sarà difficile o costoso da implementare, prendendo i migliori elementi del GDPR e fornendo alle imprese una maggiore flessibilità su come conformarsi alle nuove leggi sui dati”. Oltre a questi nuovi cambiamenti, il disegno di legge aumenterà le sanzioni per le chiamate e gli sms molesti fino al 4% del fatturato globale o fino a 17,5 milioni di sterline (a seconda di quale sia il valore più alto) e mira a ridurre il numero di pop-up di consenso, che consentono ai siti web di raccogliere dati sulla visita di un individuo. Il disegno di legge stabilirà un sistema di digital verification, per consentire alle persone che lo desiderano di avere la propria identità digitale. Inoltre, sarà rafforzata l’Information Commissioner’s Office (l’Autorità garante britannica) attraverso la creazione di uno statutory board con un chair e un chief executive.

Il nuovo compromesso sulla bozza di Data Act mira a rafforzare il segreto industriale, ma fa chiarezza anche rispetto ai rapporti con le norme sulla protezione dei dati e l’applicazione delle disposizioni sul cloud-switching. La presidenza svedese del Consiglio UE ha condiviso la sesta versione del testo del Data Act, in vista della sua discussione il 14 marzo presso l’apposito Gruppo di lavoro. Se la prossima settimana non saranno sollevate opposizioni significative, il testo della presidenza approderà sul tavolo del Comitato dei rappresentanti permanenti (COREPER) il 22 marzo. L’intento è quello di avviare rapidamente i negoziati interistituzionali con il Parlamento europeo, che dovrebbe formalizzare la propria posizione nella sessione plenaria della prossima settimana. Il Data Act introduce il principio secondo cui gli utenti dei dispositivi connessi devono avere il diritto di accedere e condividere i dati che contribuiscono a generare. Tuttavia, quale tipo di dati debba essere coperto da questi obblighi di condivisione è stato un argomento controverso per via del fatto che i dati potrebbero contenere segreti commerciali legati al modo in cui l’organizzazione che controlla i dati li elabora per ottenere approfondimenti e altre informazioni. Un altro aspetto critico della discussione ha riguardato il rapporto tra Data Act e GDPR. La nuova formulazione del testo chiarisce che ogni volta che gli utenti ottengono dati personali che non sono loro, il Data Act non può essere considerato come una valida base giuridica per il trattamento. I titolari dei dati dovranno peraltro garantire che la condivisione dei dati personali sia conforme al GDPR. Inoltre, il Data Act intende promuovere la concorrenza nel mercato del cloud riducendo gli ostacoli al passaggio da un servizio cloud a un altro. A questo proposito, la legge prevede il ritiro completo delle tariffe per il passaggio da un servizio all’altro entro tre anni dalla sua entrata in vigore.

Il Federal Bureau of Investigation (FBI) ha ammesso per la prima volta di aver acquistato dati di localizzazione invece di ottenere un mandato. Sebbene la pratica di acquistare i dati di localizzazione delle persone sia diventata sempre più comune da quando, quasi cinque anni fa, la Corte Suprema degli Stati Uniti ha posto un freno alla capacità del governo di tracciare i telefoni degli americani senza mandato, l’FBI non aveva mai rivelato di aver effettuato tali acquisti. La rivelazione è avvenuta oggi durante un’audizione del Senato degli Stati Uniti a cui hanno partecipato cinque capi dell’intelligence nazionale. Il senatore Ron Wyden ha posto la questione dell’uso di dati commerciali da parte del Bureau al suo direttore, Christopher Wray: “L’FBI acquista informazioni sulla geolocalizzazione dei telefoni statunitensi?”. Wray ha risposto che l’agenzia non lo fa attualmente, ma ha riconosciuto che lo ha fatto in passato; specificando però che: “non acquistiamo informazioni di database commerciali che includano dati di localizzazione derivati dalla pubblicità su Internet”. Ha aggiunto che ora il Bureau si affida a un “processo autorizzato dal tribunale” per ottenere i dati di localizzazione dalle aziende. Come accennato, la Corte Suprema ha stabilito che le agenzie governative che accedono ai dati di localizzazione senza un mandato violano la garanzia del Quarto Emendamento contro le perquisizioni irragionevoli. Ma la sentenza è stata interpretata in modo restrittivo. I sostenitori della privacy affermano che la decisione ha lasciato aperta una clamorosa scappatoia che consente al governo di acquistare semplicemente tutto ciò che non può altrimenti ottenere legalmente. La US Customs and Border Protection e la Defense Intelligence Agency sono tra le agenzie federali note per aver approfittato di questa scappatoia. Il Dipartimento di Sicurezza Nazionale, ad esempio, avrebbe acquistato le geolocalizzazioni di milioni di americani da aziende private di marketing. In quel caso, i dati provenivano da una serie di fonti ingannevolmente benevole, come giochi per cellulari e app meteorologiche.

English version

The British government presents its new privacy: less bureaucracy and more enterprise. So says the press release accompanying the presentation of the new data protection legislation proposal in Westminster. The stated goal of the Rishi Sunak-led executive is to reduce unnecessary paperwork for businesses and annoying cookie pop-ups. The Data Protection and Digital Information Bill, presented back in the summer, had been ‘paused’ in September to allow ministers to engage in a co-drafting process with business leaders and data experts. The government definitely wants to move away from the ‘one-size-fits-all’ approach of the EU GDPR by proposing a UK version of data protection. The starting assumption is that data is fundamental to fuelling economic growth in all sectors of society, as well as vital to the development and use of innovative technologies such as artificial intelligence. Data-driven trade generated 85 per cent of the UK’s total services exports and contributed an estimated £259 billion to the economy by 2021. The proposal aims to introduce ‘a simple, clear and business-friendly framework that will not be difficult or expensive to implement, taking the best elements of GDPR and providing businesses with greater flexibility on how to comply with the new data laws’. In addition to these new changes, the bill will increase penalties for harassing calls and texts to 4% of global turnover or up to £17.5 million (whichever is higher) and aims to reduce the number of consent pop-ups, which allow websites to collect data on an individual’s visit. The bill will establish a system of digital verification, to allow people who wish to have their own digital identity. In addition, the Information Commissioner’s Office (the UK Data Protection Authority) will be strengthened through the creation of a statutory board with a chair and a chief executive.

The new compromise on the draft Data Act aims to strengthen trade secrecy, but also clarifies the relationship with data protection rules and the application of cloud-switching provisions. The Swedish EU Council Presidency shared the sixth version of the Data Act text with a view to its discussion on 14 March at the Data Act Working Party. If no significant opposition is raised next week, the Presidency text will land on the table of the Permanent Representatives Committee (COREPER) on 22 March. The intention is to quickly start inter-institutional negotiations with the European Parliament, which is expected to formalise its position in next week’s plenary session. The Data Act introduces the principle that users of connected devices should have the right to access and share the data they help generate. However, what kind of data should be covered by these sharing obligations was a controversial topic due to the fact that the data could contain trade secrets related to how the organisation controlling the data processes it for insights and other information. Another critical aspect of the discussion concerned the relationship between the Data Act and GDPR. The new wording makes it clear that whenever users obtain personal data that are not their own, the Data Act cannot be considered as a valid legal basis for processing. Data controllers will also have to ensure that the sharing of personal data complies with the GDPR. Furthermore, the Data Act aims to promote competition in the cloud market by reducing barriers to switching from one cloud service to another. In this regard, the Act provides for the complete withdrawal of fees for switching from one service to another within three years of its entry into force.

The Federal Bureau of Investigation (FBI) admitted for the first time that it purchased location data instead of obtaining a warrant. Although the practice of purchasing people’s location data has become increasingly common since the US Supreme Court put a stop to the government’s ability to track Americans’ phones without a warrant almost five years ago, the FBI had never disclosed that it had made such purchases. The revelation came today during a US Senate hearing attended by five national intelligence chiefs. Senator Ron Wyden posed the question of the Bureau’s use of commercial data to its director, Christopher Wray: “Does the FBI purchase geolocation information on US phones?” Wray replied that the agency does not currently, but acknowledged that it has done so in the past; specifying, however, that: “we do not purchase commercial database information that includes location data derived from Internet advertising.” He added that the bureau now relies on a ‘court-authorised process’ to obtain location data from companies. As mentioned, the Supreme Court ruled that government agencies accessing location data without a warrant violates the Fourth Amendment’s guarantee against unreasonable searches. But the ruling has been interpreted narrowly. Privacy advocates say the decision left open a glaring loophole that allows the government to simply buy anything it cannot otherwise legally obtain. US Customs and Border Protection and the Defense Intelligence Agency are among the federal agencies known to have taken advantage of this loophole. The Department of Homeland Security, for instance, allegedly purchased the geolocations of millions of Americans from private marketing companies. In that case, the data came from a variety of deceptively benign sources, such as mobile phone games and weather apps.

PRIVACY DAILY 55/2023

Nonostante le richieste dell’Autorità Garante federale, il Governo tedesco ha deciso, per ora, di mantenere il proprio account di Facebook. “Dal nostro punto di vista, la presenza su Facebook è una parte importante del nostro lavoro di pubbliche relazioni e vogliamo mantenerla per il momento”, ha dichiarato il vice portavoce del governo Wolfgang Büchner. La settimana scorsa, il Bundesdatenschutzbeauftragte, Ulrich Kelber, aveva dato istruzioni all’Ufficio stampa federale di interrompere la gestione della pagina del Governo federale su Facebook. Nella lettera veniva specificata la necessità di provvedere alla chiusura della pagina entro quattro settimane dal ricevimento dell’avviso. Il vice portavoce del governo ha ora affermato che tutte le questioni legali saranno esaminate attentamente entro questo termine. Inoltre, ha aggiunto, “questo non esclude che faremo ricorso contro la decisione dell’Autorità garante”. Al centro della disputa c’è la questione della titolarità dei trattamenti di dati da parte dei gestori di una pagina Facebook. A riguardo, il Governo tedesco ritiene che solo Facebook sia il titolare del trattamento. L’Autorità garante federale sostiene, invece, che, secondo la disciplina in materia di protezione dei dati personali, un’autorità pubblica non potrebbe gestire una pagina fan di Facebook. “Tutte le autorità hanno la responsabilità di rispettare la legge in modo esemplare”, ha sottolineato Ulrich Kelber. Secondo quanto emerso dall’istruttoria svolta dai suoi Uffici, ciò è attualmente impossibile quando si gestisce una pagina fan.

Imprenditori e startupper sono molto interessati a Fintech e Blockchain. Secondo un rapporto di CBInsights, il 2022 è stato un anno positivo per le soluzioni fintech basate sulla blockchain: già al momento delle rilevazioni (terzo trimestre) erano stati raccolti investimenti per 21,7 miliardi di dollari e le previsioni sembrano indicare che complessivamente si arriverà a 28,9 miliardi (nel 2021 erano stati raccolti 26,1 miliardi; nel 2020 solo 3,2). Dal 2018 la maggior parte degli investimenti provenienti dal settore del venture capital è stato destinato a progetti relativi al Web3, agli NFT, al gaming e al metaverso. Nel 2022, considerando i primi 9 mesi, il settore dove sono stati investiti più soldi (il 63%), è il Web3. Uno dei prodotti più di successo della collaborazione tra fintech e blockchain è la cosiddetta DeFI, ossia la finanza decentralizzata, che offre grandi vantaggi e opportunità rispetto a quella tradizionale, sebbene presenti dei rischi. Secondo il rapporto, i vantaggi offerti da questa tecnologia sono: facilità di accesso ai servizi finanziari per coloro che non hanno un conto in banca o hanno poche risorse; esecuzione molto più veloce delle transazioni rispetto a i processi tradizionali di compensazione e regolamento; nessun limite orario per effettuare operazioni; anonimato e nessuna divulgazione dei dati personali. Specialmente l’ultimo fattore, però, suscita opinioni contrastanti: per gli operatori del settore DeFi rappresenta un grande beneficio, tuttavia ciò potrebbe celare anche un potenziale pericolo, poiché l’anonimato non permette di applicare le misure di sicurezza relative all’anti-riciclaggio. Recentemente è emersa quella che tuttavia potrebbe sembrare una soluzione, ossia la CeDeFi, una soluzione DeFi a cui sono integrate delle pratiche di AML che permetterebbe di evitare truffe e furti.

Nel Regno Unito arriva il “Department of Cool”, presentato come una sorta di startup tecnologica del Governo. Il nuovo DSIT (Department for Science, Innovation and Technology) rappresenta una delle iniziative di punta della premiership di Rishi Sunak, accolta con favore anche dall’industria. Sembra essere l’incarnazione della tanto sbandierata promessa di trasformare la Gran Bretagna nella “prossima Silicon Valley del mondo”. Ma alcuni nodi già sono venuti al pettine. A quasi tre settimane, varie questioni relative ai finanziamenti e al personale rimangono irrisolte. Inoltre, uno dei suoi principali atti legislativi, il Data Protection and Digital Information Bill, rischia di restare in sospeso fino alla prossima sessione parlamentare. I critici sostengono che il Governo rischia di perdere terreno prezioso. Infatti, il DSIT dovrà affrettarsi a preparare le proposte legislative in materia di innovazione alla svelta, in vista del Discorso del Re di fine anno (il meccanismo con cui i governi del Regno Unito definiscono la programmazione della propria azione legislativa). L’opposizione contesta che tutto ciò rischia di ritardare l’adozione di provvedimenti fondamentali per far crescere l’economia britannica e tutelare imprese e consumatori. In gioco ci sono, infatti, vari passaggi strategici, tra cui la sostituzione del GDPR con un regime britannico di protezione dei dati. Stando a quanto dichiarato dal Governo, l’Online Safety Bill dovrebbe tornare alla Camera dei Lord il mese prossimo, mentre il Digital Markets, Competition and Consumer Bill arriverà “in questa sessione, non appena il tempo parlamentare lo consentirà”. Sul Data Protection Bill, però, la nota governativa è più cauta: “rimane un impegno” e “proseguirà il suo iter a tempo debito”.

English version

Despite the demands of the Federal Supervisory Authority, the German government has decided to maintain its Facebook account for the time being. ‘From our point of view, the Facebook presence is an important part of our public relations work and we want to keep it for the time being,’ said deputy government spokesman Wolfgang Büchner. Last week, the Bundesdatenschutzbeauftragte, Ulrich Kelber, had instructed the Federal Press Office to discontinue the operation of the federal government’s page on Facebook. The letter specified that the page should be shut down within four weeks of receipt of the notice. The deputy government spokesman has now stated that all legal issues will be carefully examined within this deadline. Moreover, he added, ‘this does not exclude that we will appeal the decision of the Supervisory Authority’. At the centre of the dispute is the question of the ownership of data processing by the operators of a Facebook page. In this respect, the German government believes that only Facebook is the data controller. The Federal Data Protection Authority argues, on the other hand, that according to data protection regulations, a public authority could not operate a Facebook fan page. “All authorities have a responsibility to comply with the law in an exemplary manner,” emphasised Ulrich Kelber. According to the findings of the investigation carried out by his offices, this is currently impossible when running a fan page.

Entrepreneurs and startuppers are very interested in fintech and blockchain. According to a report by CBInsights, 2022 was a good year for blockchain-based fintech solutions: already at the time of the findings (Q3), $21.7 billion in investments had been raised, and forecasts seem to indicate that a total of $28.9 billion will be raised (in 2021, $26.1 billion had been raised; in 2020, only $3.2 billion). Since 2018, most of the investments from the venture capital sector have been for projects related to Web3, NFT, gaming and metaverse. In 2022, considering the first 9 months, the sector where the most money (63%) has been invested is Web3. One of the most successful products of the collaboration between fintech and blockchain is the so-called DeFI, i.e. decentralised finance, which offers great advantages and opportunities compared to traditional finance, albeit with risks. According to the report, the advantages offered by this technology are: easy access to financial services for those who do not have a bank account or have few resources; much faster execution of transactions compared to traditional clearing and settlement processes; no time limits for making transactions; anonymity and no disclosure of personal data. Especially the last factor, however, arouses conflicting opinions: for DeFi operators, this is a great benefit, however, it could also represent a potential danger, as anonymity does not allow for the application of anti-money laundering security measures. Recently, what might nevertheless seem to be a solution has emerged, namely CeDeFi, a DeFi solution to which AML practices are integrated that would prevent fraud and theft.

In the UK comes the ‘Department of Cool’, presented as a kind of government technology start-up. The new DSIT (Department for Science, Innovation and Technology) is one of the flagship initiatives of Rishi Sunak’s premiership, also welcomed by industry. It seems to be the embodiment of the much-hyped promise to turn Britain into the ‘next Silicon Valley of the world’. But some knots have already come to the boil. Almost three weeks on, several funding and personnel issues remain unresolved. Moreover, one of its key pieces of legislation, the Data Protection and Digital Information Bill, is likely to remain on hold until the next parliamentary session. Critics argue that the government risks losing valuable ground. Indeed, DSIT will have to hurry to prepare legislative proposals on innovation quickly, in view of the end-of-year King’s Speech (the mechanism by which UK governments schedule their legislative action). The opposition counters that this risks delaying the adoption of key measures to grow the British economy and protect businesses and consumers. There are, in fact, several strategic steps at stake, including the replacement of the GDPR with a British data protection regime. According to the government, the Online Safety Bill is expected to return to the House of Lords next month, while the Digital Markets, Competition and Consumer Bill will arrive ‘in this session, as soon as parliamentary time permits’. On the Data Protection Bill, however, the government note is more cautious: ‘it remains a commitment’ and ‘will continue its progress in due course’.

Privacy Daily – 18/2023

Continua il “periodo nero” di TikTok negli Stati Uniti. In questi giorni sempre più stati si stanno muovendo per bannare il social network dai dispositivi di proprietà del governo, e i politici cominciano lentamente a considerare le accuse secondo cui l’app è stata utilizzata per spiare i giornalisti statunitensi. Una situazione sempre più difficile, che ha convinto la società madre ByteDance a fare concessioni significative nel suo accordo con i funzionari governativi, pur di evitare un altro ban sul territorio statunitense. Sono mesi che la società sta lavorando con il Comitato per gli investimenti esteri negli Stati Uniti (CFIUS) per definire i termini di un accordo che permetta a TikTok di continuare ad essere presente nel paese. Ma dopo aver archiviato le questioni relative alle limitazioni all’accesso ai dati degli utenti statunitensi da parte del personale ByteDance con sede in Cina e all’archiviazione degli stessi, ora il problema sembra essere un altro: il reale funzionamento dell’algoritmo del social. A quanto pare, infatti, i funzionari statunitensi sono preoccupati che TikTok possa utilizzarlo per manipolare gli utenti. 

IAB Europe compie un passo in avanti verso l’assoluzione del suo Transparency & Consent Framework (lo strumento per la gestione dei consensi all’uso dei dati) agli occhi dell’autorità per la protezione dei dati (DPA) belga, che aveva avanzato accuse rispetto alla non conformità dello strumento al GDPR. L’autorità di Bruxelles, infatti, ha annunciato di avere approvato il piano d’azione di IAB, che prevede un processo di revisione della durata di 6 mesi del TCF, e una serie di modifiche per mettere a posto le caratteristiche della piattaforma che l’agenzia ha ritenuto non conformi alle attuali normative sulla privacy.L’accettazione da parte della DPA del piano d’azione, non pone comunque definitivamente al sicuro il Framework di IAB Europe. Ci sono infatti ancora due punti fondamentali che l’autorità belga ha sollevato davanti alla Corte di Giustizia Europea. La Corte infatti deve ancora decidere se IAB Europe è contitolare del trattamento dei dati per il TCF e, inoltre, se le stringhe del TCF – i pacchetti di dati che segnalano se un utente ha dato il suo consenso per il targeting o le misurazioni – contano come dati personali. La DPA aveva sollevato accuse sulla conformità del TCF al GDPR lo scorso febbraio, ordinando a IAB Europe di pagare una multa di 250.000 euro e di attuare una serie di cambiamenti allo strumento.

Il segretario alla cultura del Governo britannico, Michelle Donelan, ha confermato che il disegno di legge sulla sicurezza online verrà modificato, dopo le pressioni dei backbencher, i deputati conservatori. Le nuove disposizioni prevedono, tra l’altro, una responsabilità personale dei senior manager delle piattaforme tecnologiche che ignorano gli avvisi di Ofcom, il Garante delle comunicazioni UK, sulle violazioni degli obblighi di sicurezza a tutela dei minori. In base al disegno di legge, le società tecnologiche, comprese le società di social media e i motori di ricerca, hanno il dovere di proteggere i bambini da contenuti dannosi come ad esempio materiali online che promuovono l’autolesionismo e i disturbi alimentari. Il disegno di legge impone un obbligo generale di diligenza alle aziende tecnologiche al fine di proteggere gli utenti da contenuti illegali come abusi sessuali su minori e materiale terroristico. Le aziende che violano la legge potrebbero incorrere in multe fino a 18 milioni di sterline o corrispondenti al 10% del fatturato globale.

English Translation

TikTok’s ‘black period’ in the US continues. These days, more and more states are moving to ban the social network from government-owned devices, and politicians are slowly beginning to consider allegations that the app has been used to spy on US journalists. An increasingly difficult situation, which has convinced parent company ByteDance to make significant concessions in its deal with government officials in order to avoid another ban on US soil. The company has been working with the Committee on Foreign Investment in the United States (CFIUS) for months to work out the terms of an agreement that would allow TikTok to continue to have a presence in the country. But after having filed the issues related to the limitations on access to US user data by China-based ByteDance staff and the storage of the same, the problem now seems to be another: the actual functioning of the social’s algorithm. Apparently, in fact, US officials are concerned that TikTok may be using it to manipulate users. 

IAB Europe takes a step closer to absolving its Transparency & Consent Framework (the data usage consent management tool) in the eyes of the Belgian Data Protection Authority (DPA), which had made accusations about the tool’s non-compliance with the GDPR. The Brussels authority, in fact, announced that it had approved the IAB’s action plan, which envisages a six-month review process of the TCF, and a series of changes to put in place the platform’s features that the agency deemed non-compliant with current privacy regulations.The DPA’s acceptance of the action plan, however, does not definitively secure the IAB Europe Framework. There are in fact still two fundamental points that the Belgian authority has raised before the European Court of Justice. The Court still has to decide whether IAB Europe is co-owner of the data processing for the TCF and, moreover, whether TCF strings – the data packets that indicate whether a user has given consent for targeting or measurement – count as personal data. The DPA had raised allegations about TCF’s compliance with the GDPR last February, ordering IAB Europe to pay a €250,000 fine and implement a number of changes to the tool.

The culture secretary, Michelle Donelan, confirmed that the online safety bill would be amended after pressure from Conservative backbenchers. The new provision will target senior managers at tech platforms who ignore enforcement notices from Ofcom, the communications watchdog, about breaches of the legislation’s child safety duties. Under the bill, tech companies including social media firms and search engines have a duty to protect children from harmful content such as material promoting self-harm and eating disorders. The bill also places a duty of care on tech firms to shield users from illegal content such as child sexual abuse and terrorist material. Companies that breach the act could face fines of up to £18m or 10% of global turnover.

Le iniziative delle altre Autorità

SANZIONE RECORD AD UN SOGGETTO PUBBLICO:

L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO

L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.

L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.

L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.

All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.

Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.

Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.

Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.

Le iniziative delle altre Autorità

MEZZO MILIONE DI CHIAMATE PER TELEMARKETING ILLECITO IN UK: L’ICO (il Garante inglese) INTERVIENE E SANZIONA CINQUE SOCIETÀ

Nel Regno Unito, cinque società sono state condannate al pagamento di sanzioni del valore complessivo di 435.000 sterline dall’Autorità garante per la privacy (Information Commissioner’s Office, ICO) per aver effettuato quasi mezzo milione di chiamate a persone registrate presso il Telephone Preference Service (TPS) – corrispondente del Registro delle opposizioni italiano –. Secondo la legge britannica, è infatti vietato chiamare per finalità di marketing chiunque sia registrato presso il TPS, a meno che questi non fornisca un’espressa e specifica autorizzazione in tal senso.

In particolare le chiamate avevano lo scopo di convincere i destinatari (tra cui tante persone anziane e vulnerabili) a sottoscrivere contratti di assicurazione sugli elettrodomestici (es. lavatrice, utensili da cucina, caldaie ecc.). Dalle indagini dell’ICO, è emerso che, in alcuni casi, le compagnie si rivolgevano deliberatamente a un gruppo demografico specifico: proprietari di case, over 60, con un telefono fisso. È stato, inoltre, dimostrato che alcune delle società hanno usato evidenti tattiche di pressione al fine di ottenere i dati di pagamento dalle persone.

Secondo quanto riportato dall’ICO, infatti, nei reclami ricevuti veniva lamentato che alcuni operatori delle società sanzionate avessero peraltro atteggiamenti insistenti ed invadenti nel corso delle chiamate illegittime. Ad esempio, ad una signora ultraottantenne veniva detto che occorreva rinnovare l’assicurazione della caldaia – circostanza, tra l’altro, non vera – e, con l’occasione, l’operatore continuava a domandare dati superflui come l’età anagrafica della signora, dove e come facesse la spesa, le modalità di pagamento e perfino i dettagli della carta di credito. Proprio quest’ultima domanda, in più di un caso, ha suscitato allarme nei destinatari delle chiamate, specialmente tra i più anziani, i quali hanno attivato le procedure di reclamo.

L’ICO ha recentemente rilasciato una guida aggiornata sul marketing diretto con l’intenzione di sostenere le imprese decise a conformarsi alla legge. Tuttavia, così come dichiarato anche dal capo del dipartimento Investigations, l’Autorità ribadisce la sua volontà di indagare e di prendere provvedimenti severi laddove vengano riscontrate palesi inosservanze della legge che possano danneggiare le persone. Così come in questo caso, in cui in tanti (specialmente anziani soli) si sono sentiti in dovere di consegnare i propri dati bancari semplicemente per avere qualcuno con cui parlare al telefono.