PRIVACY DAILY 110/2023

Meta Platforms Inc. ha dichiarato di opporsi al un piano della Federal Trade Commission che gli vieta di trarre profitto dai dati dei bambini, mettendo alla prova i limiti della capacità dell’Agenzia di definire le politiche sulla privacy attraverso l’applicazione delle norme. Il 3 maggio l’agenzia ha accusato Meta di aver violato un precedente ordine della FTC e il successivo accordo che ha costretto il gigante tecnologico a pagare una multa di 5 miliardi di dollari per la cattiva gestione dei dati dei consumatori e a implementare una serie di meccanismi di controllo della privacy. Ora la Commissione chiede ulteriori restrizioni sulle pratiche di Meta in materia di dati, tra cui il divieto di vendere le informazioni raccolte sui giovani utenti per annunci mirati o di utilizzare in altro modo tali dati a fini commerciali. Il divieto si applicherebbe alle piattaforme Facebook, Instagram, WhatsApp, Messenger e Oculus di Meta. L’FTC potrebbe però essere contestata per aver potenzialmente superato la sua autorità, così hanno dichiarato ex funzionari dell’agenzia, anche se in passato la commissione ha trovato flessibilità nelle sue ampie responsabilità di protezione dei consumatori. “Ciò che la Commissione propone è un regime piuttosto rigido” per la protezione dei dati dei minori, ha dichiarato David Vladeck, professore presso la facoltà di legge dell’Università di Georgetown che in passato ha diretto l’Ufficio per la protezione dei consumatori della FTC durante l’amministrazione Obama. Vladeck ha aggiunto che la potenziale espansione dell’ordine esistente della FTC nei confronti di Meta “potrebbe non essere adeguatamente mirata agli errori qui suggeriti”. La commissione sostiene che, a causa di errori di codifica, Meta ha ingannato i genitori sulla loro capacità di controllare con chi i loro figli comunicano sulla sua applicazione Messenger Kids. Meta ha risposto in un post sul blog, affermando che l’azienda ha rapidamente corretto gli errori e ne ha informato la FTC e gli utenti. Meta ha definito l’azione della FTC “una trovata politica”. L’azienda si è impegnata a combattere contro l’agenzia e ha dichiarato che si aspetta di vincere. Un portavoce di Meta ha rifiutato di commentare oltre il post sul blog. Uno dei tre democratici della commissione, Alvaro Bedoya, ha messo in dubbio che l’agenzia abbia le basi legali per applicare limiti all’uso dei dati dei minori sulla base delle presunte violazioni della privacy. Secondo Matthew Schettenhelm, analista di Bloomberg Intelligence, se Meta presenterà un ricorso contro l’azione proposta dalla FTC, è probabile che un tribunale si trovi d’accordo con i timori di un superamento dell’autorità dell’agenzia.

Il Privacy Advisory Board della città di San Diego, recentemente istituito, ha votato la scorsa settimana la creazione di un comitato ad hoc che raccolga ulteriori ricerche e commenti pubblici sulla proposta del Dipartimento di Polizia della città di installare centinaia di lampioni intelligenti e lettori automatici di targhe. Lo scopo del Comitato sarà quello di garantire che il consiglio abbia maggiori input dalla comunità prima che i suoi membri decidano se raccomandare la proposta al Consiglio comunale. La riunione del 27 aprile – alla quale hanno partecipato circa 50 membri del pubblico di persona e un numero imprecisato di persone via Zoom – è stata la seconda da quando il comitato si è riunito per la prima volta a marzo. Gli otto membri del comitato consultivo sono stati nominati dal sindaco Todd Gloria nel 2022. Durante l’incontro, i rappresentanti del Dipartimento di Polizia hanno presentato il “Rapporto d’impatto sui lampioni intelligenti”, che include informazioni sullo scopo della tecnologia, sulla sua collocazione, sul costo e sulla salvaguardia dei dati raccolti. San Diego ha già installato telecamere nei lampioni, ma una volta che il pubblico l’ha scoperto, la protesta ha portato la città a bloccare tutti gli accessi nel 2020. In seguito la città ha approvato un’ordinanza sulla sorveglianza e ha creato il Comitato consultivo per la privacy per valutare le tecnologie di sorveglianza che la città possiede o vuole acquistare. La polizia ha accolto le telecamere come uno strumento investigativo e vuole usarle nuovamente. La polizia chiede di installare o aggiornare le telecamere e i lettori di targhe in 500 punti della città. Il tenente della polizia di San Diego Adam Sharki ha detto al consiglio durante la presentazione che la nuova tecnologia permetterebbe alla polizia di catturare i numeri di targa alla ricerca di veicoli rubati o ricercati. Le telecamere registrerebbero anche costantemente, consentendo alla polizia di utilizzare le prove video nelle indagini sui crimini violenti, ha detto Sharki. I dati verrebbero archiviati in un’area sicura con accesso limitato agli investigatori autorizzati, ha detto Sharki. Il mese scorso la polizia ha presentato il piano nel corso di nove incontri comunitari – uno per ogni distretto – in vari luoghi della città. I partecipanti hanno posto domande alla polizia sul programma e un video di uno degli incontri è stato pubblicato online. Alcuni residenti presenti agli incontri hanno appoggiato l’idea, affermando che i lampioni ad alta tecnologia potrebbero aiutare la polizia a risolvere o prevenire crimini gravi. Ma molti hanno espresso preoccupazioni sulla privacy, sull’eccesso di polizia nelle comunità di colore e sulle modalità di archiviazione e raccolta delle informazioni. I commenti sono stati in gran parte contrari al programma in due riunioni tenutesi a Mission Valley e a Mountain View, rispettivamente l’8 e il 9 marzo. Dei 394 commenti lasciati sulla registrazione online di uno degli incontri, 324 erano contrari al programma. Dopo la presentazione di Sharki al municipio il 27 aprile, i membri del consiglio hanno posto domande sul programma e alcuni di loro hanno fatto eco alle preoccupazioni sulla privacy espresse dal pubblico.

I truffatori, soprattutto se si tratta di quelli che operano in ambiente informatico, utilizzano sempre nuove strategie e molti “agganciano” le proprie vittime al telefono riuscendo cosi a prenderne i dati personali. Secondo un sondaggio condotto dalla Grassroots Influence Foundation venerdì scorso a Taiwan il 72% dei cittadini ritiene che il crescente numero di casi di frode sia diventato un problema di sicurezza nazionale, mentre quasi il 90% ha affermato che il governo dovrebbe consentire ai tribunali di comminare pene più severe ai truffatori. Una leggera maggioranza del pubblico (53%) ha dichiarato di non essere soddisfatta degli sforzi compiuti dal governo per reprimere le frodi, mentre solo il 27% degli intervistati approva la gestione delle frodi da parte del governo e il 20% non ha alcuna opinione. Il sondaggio ha anche mostrato che il 92% dei taiwanesi ha ricevuto telefonate o messaggi di testo da sospetti truffatori. Il risultato ha mostrato che l’82% è d’accordo sul fatto che le pene per i truffatori sono troppo clementi e l’88% vorrebbe che il governo permettesse pene più severe. Il sondaggio è stato condotto dal 18 al 21 aprile, con 1.071 risposte valide, con un margine di errore del 3%. “Il governo dovrebbe intraprendere un’analisi approfondita per determinare quali sono le fasce demografiche inclini alle frodi, per poi elaborare delle misure di prevenzione”, ha dichiarato Yen Yung-shen, coordinatore della fondazione per i sondaggi pubblici. Yen ha poi detto che vorrebbe vedere pene più severe per le frodi e che Il governo dovrebbe incaricare degli esperti di studiare i metodi di truffa emergenti e le misure preventive. ”Gli sforzi anti-frode dovrebbero anche concentrarsi sulle professioni e sull’istruzione delle vittime ed esaminare le questioni sociali che le portano a essere truffate, ha detto il professore di criminologia Cheng Jui-lung. Il professore di giustizia penale Wang Po-chi ha esortato il governo a concentrarsi sull’applicazione della scienza e della tecnologia per combattere il crimine, poiché i truffatori sviluppano continuamente nuovi metodi per frodare le persone. Il governo deve anche adottare un “pensiero strategico” per sviluppare contromisure, ha detto il professore di scienze sociali Tseng Kung-chiu. In risposta alle critiche su quelle che, secondo alcuni, sono pene leggere per le frodi, i funzionari dell’Agenzia nazionale di polizia hanno dichiarato che le agenzie governative hanno spinto gli emendamenti per consentire pene più pesanti.

English version

Meta Platforms Inc. said it is opposing a Federal Trade Commission plan prohibiting it from profiting from children’s data, testing the limits of the agency’s ability to set privacy policies through enforcement. On May 3, the agency charged Meta with violating an earlier FTC order and subsequent settlement that forced the tech giant to pay a $5 billion fine for mishandling consumer data and implementing a series of privacy control mechanisms. Now the commission is calling for additional restrictions on Meta’s data practices, including a ban on selling information collected about young users for targeted ads or otherwise using that data for commercial purposes. The ban would apply to Meta’s Facebook, Instagram, WhatsApp, Messenger and Oculus platforms. The FTC could be challenged for potentially exceeding its authority, former agency officials said, although the commission has found flexibility in its broad consumer protection responsibilities in the past. “What the commission is proposing is a fairly rigid regime” for protecting children’s data, said David Vladeck, a professor at Georgetown University Law School who formerly headed the FTC’s Office of Consumer Protection during the Obama administration. Vladeck added that the potential expansion of the FTC’s existing order against Meta “may not adequately target the errors suggested here.” The commission alleges that, due to coding errors, Meta misled parents about their ability to control who their children communicate with on its Messenger Kids app. Meta responded in a blog post, saying the company quickly corrected the errors and informed the FTC and users. Meta called the FTC’s action “a political stunt.” The company has pledged to fight the agency and said it expects to win. A Meta spokesman declined to comment beyond the blog post. One of the three Democrats on the committee, Alvaro Bedoya, questioned whether the agency has the legal basis to enforce limits on the use of children’s data based on alleged privacy violations. According to Matthew Schettenhelm, an analyst at Bloomberg Intelligence, if Meta files an appeal of the FTC’s proposed action, a court is likely to agree with concerns that the agency’s authority has been exceeded.

The newly established City Of San Diego Privacy Advisory Committee voted last week to create an ad hoc committee to gather further research and public comment on the city Police Department’s proposal to install hundreds of smart streetlights and automatic license plate readers. The purpose of the committee will be to ensure that the council has more input from the community before its members decide whether to recommend the proposal to the City Council. The April 27 meeting-attended by about 50 members of the public in person and an unknown number of people via Zoom-was the second since the committee first met in March. The eight members of the advisory committee were appointed by Mayor Todd Gloria in 2022. During the meeting, representatives from the Police Department presented the Smart Streetlights Impact Report, which includes information on the purpose of the technology, its placement, cost, and safeguarding of collected data. San Diego has already installed cameras in streetlights, but once the public found out, protest led the city to block all access in 2020. The city later passed a surveillance ordinance and created the Privacy Advisory Committee to evaluate surveillance technologies the city owns or wants to purchase. Police have embraced the cameras as an investigative tool and want to use them again. Police are asking to install or upgrade cameras and license plate readers at 500 locations in the city. San Diego Police Lt. Adam Sharki told the council during the presentation that the new technology would allow police to capture license plate numbers in search of stolen or wanted vehicles. The cameras would also record constantly, allowing police to use video evidence in investigating violent crimes, Sharki said. The data would be stored in a secure area with access limited to authorized investigators, Sharki said. Last month, police presented the plan at nine community meetings-one for each district-at various locations around the city. Participants asked police questions about the program, and a video of one of the meetings was posted online. Some residents attending the meetings supported the idea, saying the high-tech streetlights could help police solve or prevent serious crimes. But many expressed concerns about privacy, over-policing in communities of color, and how information would be stored and collected. Comments were largely against the program at two meetings held in Mission Valley and Mountain View on March 8 and 9, respectively. Of the 394 comments left on the online recording of one of the meetings, 324 were against the program. After Sharki’s presentation at the town hall on April 27, council members asked questions about the program and some of them echoed privacy concerns expressed by the public.

Fraudsters, especially those operating in the cyber environment, are always using new strategies, and many “hook” their victims over the phone and succeed in taking their personal information. According to a survey conducted by the Grassroots Influence Foundation on Friday in Taiwan, 72 percent of citizens believe that the growing number of fraud cases has become a national security problem, while nearly 90 percent said the government should allow the courts to impose harsher punishments on fraudsters. A slight majority of the public (53 percent) said they were dissatisfied with the government’s efforts to crack down on fraud, while only 27 percent of respondents approved of the government’s handling of fraud and 20 percent had no opinion. The survey also showed that 92 percent of Taiwanese have received phone calls or text messages from suspected fraudsters. The result showed that 82% agreed that penalties for scammers are too lenient and 88% would like the government to allow harsher penalties. The survey was conducted from April 18 to 21, with 1,071 valid responses, with a margin of error of 3 percent. “The government should undertake a thorough analysis to determine which demographics are prone to fraud, and then come up with preventive measures,” said Yen Yung-shen, the foundation’s coordinator for public surveys. Yen went on to say that he would like to see harsher penalties for fraud and that The government should commission experts to study emerging fraud methods and preventive measures. “Anti-fraud efforts should also focus on the professions and education of victims and examine the social issues that lead them to be defrauded, said criminology professor Cheng Jui-lung. Criminal justice professor Wang Po-chi urged the government to focus on applying science and technology to fight crime, as fraudsters are constantly developing new methods to defraud people. The government must also adopt “strategic thinking” to develop countermeasures, said social science professor Tseng Kung-chiu. In response to criticism of what some say are light penalties for fraud, officials from the National Police Agency said government agencies have pushed amendments to allow heavier penalties.

PRIVACY DAILY 109/2023

Due giorni prima di Natale, TikTok ha chiamato la giornalista londinese Cristina Criddle per dirle che due dei suoi dipendenti in Cina e due negli Stati Uniti avevano consultato i dati degli utenti del suo account personale senza che lei ne fosse a conoscenza o avesse dato il suo consenso. “Ero a casa della mia famiglia con mia sorella adolescente e i miei cugini adolescenti, che usano tutti TikTok” ha dichiarato la giornalista corrispondente per la tecnologia del Financial Times . Questo è quello che  TikTok e la sua società madre, ByteDance, hanno sempre negato che accada, ed è per questo che lei  ha deciso di raccontarlo a BBC News. TikTok ha confermato che alcuni membri del suo dipartimento di revisione interna hanno esaminato la posizione dell’indirizzo IP di Cristina – il numero univoco di un dispositivo – e l’hanno confrontato con i dati IP di un numero imprecisato di membri del proprio staff, per cercare di stabilire chi stesse incontrando segretamente la stampa. Per fare questo però hanno “abusato della loro autorità” e hanno agito senza autorizzazione. Cristina non sa per quanto tempo sia stata monitorata, né con quale frequenza, ma sa che è successo l’estate scorsa. “Se la mia posizione è stata monitorata 24 ore su 24, 7 giorni su 7, questo non si limita solo alle mie azioni al lavoro, che non sarebbero state corrette anche se lo fossero state, ma riguardava anche la mia vita privata. Quando uscivo con gli amici, quando andavo in vacanza, c’erano tutte queste cose” ha concluso Cristina. L’account TikTok era sul suo cellulare personale e a nome del suo gatto, Buffy. Il suo nome e la sua occupazione non erano menzionati nella biografia. Aveva circa 170 follower e in circa tre anni aveva caricato una ventina di video di Buffy, visti in media un paio di centinaia di volte.

Secondo quanto riferito da due fonti alla fine dello scorso anno il più grande fornitore di dati finanziari della Cina, Wind Information, ha comunicato ad alcuni clienti che stava limitando l’accesso a determinati dati economici e aziendali da parte degli utenti offshore, a causa delle nuove regole sui dati dell’autorità di regolamentazione della cybersicurezza. La restrizione dell’accesso a Wind da parte degli utenti offshore arriva mentre la Cina intensifica l’attenzione sull’utilizzo dei dati e sulla sicurezza, in un contesto di crescenti tensioni geopolitiche e di preoccupazioni per la privacy nella seconda economia mondiale. La mossa di Wind, i cui servizi sono utilizzati da economisti, gestori di fondi e altri, arriva anche nel momento in cui la Cina sta cercando di attrarre maggiori investimenti stranieri e di rilanciare un’economia che sta lottando per il decollo post-Covid. Le limitazioni includono anche l’accesso ai dettagli sulla struttura azionaria di alcune società. Wind, società con sede a Shanghai, dal settembre dello scorso anno ha reso inaccessibili agli utenti che non risiedono nella Cina continentale parte dei suoi dati, come i numeri di vendita delle case, che venivano aggiornati regolarmente. Un addetto alle vendite di Wind ha riferito che a settembre l’azienda aveva apportato le modifiche in base alle istruzioni della Cyberspace Administration of China (CAC), che le aveva chiesto di non fornire più determinati dati agli utenti offshore. Lo scorso luglio l’autorità di regolamentazione della cybersecurity ha emanato le norme finali che impongono alle esportazioni di dati di sottoporsi a verifiche di sicurezza, nell’ambito di un nuovo quadro normativo che interesserà centinaia, se non migliaia, di aziende cinesi. Le nuove norme sono entrate in vigore a partire dal 1° settembre. Negli ultimi anni Pechino ha emanato nuove leggi sulla cybersecurity, sui dati e sulla privacy che impongono alle organizzazioni con grandi basi di utenti di sottoporsi a valutazioni e approvazioni quando gestiscono i dati che raccolgono. Il mese scorso, inoltre, i legislatori hanno approvato un ampio aggiornamento della legislazione antispionaggio di Pechino, vietando il trasferimento di qualsiasi informazione relativa alla sicurezza nazionale e ampliando la definizione di spionaggio.

In Tanzania la legge sulla protezione dei dati personali è entrata in vigore il 1° maggio 2023, cinque mesi dopo la sua approvazione in Parlamento. La nuova legge è stata presentata per la prima volta in Parlamento nel settembre 2022 e approvata dal Parlamento nel novembre 2022. “Questo avviso indica che il 1° maggio 2023 è stato scelto come inizio ufficiale dell’utilizzo della legge sulla protezione dei dati personali nel Paese”, si legge in una parte dell’informativa firmata da Nape. Nel novembre 2022, il Parlamento ha approvato la legge sulla protezione dei dati personali (Personal Data Protection Bill 2022), mentre i legislatori hanno illustrato congiuntamente i vantaggi della legge prevista dopo l’approvazione da parte del Presidente Samia Suluhu Hassan. Parlando durante il Forum Connect 2 Connect dello scorso settembre, Nape ha dichiarato: “Poiché sempre più attività sociali ed economiche si spostano su piattaforme online, l’importanza della privacy e della protezione dei dati è sempre più inevitabile: dobbiamo rendere sicuro il nostro cloud”. Tuttavia, al momento della presentazione del disegno di legge per la seconda lettura in Parlamento, il Ministro Nape ha sostenuto che la legge, una volta promulgata, avrebbe dovuto attrarre un maggior numero di investitori, soprattutto nel settore delle tecnologie dell’informazione e della comunicazione. “Dopo la firma della nuova legge da parte del Presidente, assisteremo a un’ondata di investitori”. Nel mondo di oggi, gli investitori non vanno a investire in Paesi in cui non esiste una legge sulla protezione dei dati personali. Non c’è dubbio che con questa legge attireremo più investitori, in particolare nel settore delle TIC” ha concluso Nape. Nel corso dell’attuazione della legge sulla protezione dei dati personali, la Tanzania prenderà spunto dai Paesi che hanno già applicato la stessa legge e così facendo, la Tanzania sarà in grado di affrontare le sfide associate alla legge, rendendola così valida per gli utenti.

English version

Two days before Christmas, TikTok called London-based journalist Cristina Criddle to tell her that two of its employees in China and two in the United States had accessed user data from her personal account without her knowledge or consent. “I was at my family home with my teenage sister and my teenage cousins, who all use TikTok,” said the Financial Times technology correspondent. This is what TikTok and its parent company, ByteDance, have always denied happens, which is why she decided to tell BBC News about it. TikTok confirmed that members of its internal audit department examined the location of Cristina’s IP address-the unique number of a device-and compared it with the IP data of an unspecified number of its staff members to try to determine who was secretly meeting with the press. To do this, however, they “abused their authority” and acted without authorization. Cristina does not know how long she was monitored or how often, but she does know that it happened last summer. “If my position was monitored 24/7, this is not limited only to my actions at work, which would not have been correct even if they were, but it also affected my private life. When I went out with friends, when I went on vacation, there were all these things,” Cristina concluded. The TikTok account was on her personal cell phone and in the name of her cat, Buffy. Her name and occupation were not mentioned in the bio. She had about 170 followers and in about three years had uploaded about 20 videos of Buffy, viewed on average a couple of hundred times.

China’s largest financial data provider, Wind Information, told some customers late last year that it was restricting access to certain economic and corporate data by offshore users due to new data rules from the cybersecurity regulator, according to two sources. The restriction of access to Wind by offshore users comes as China intensifies its focus on data use and security amid rising geopolitical tensions and privacy concerns in the world’s second-largest economy. The move by Wind, whose services are used by economists, fund managers and others, also comes at a time when China is trying to attract more foreign investment and revive an economy struggling to take off post-Covid. The restrictions also include access to details about the shareholding structure of some companies. Wind, a Shanghai-based company, has since September last year made inaccessible to users outside mainland China some of its data, such as home sales numbers, which used to be updated regularly. A Wind sales official reported that in September the company had made the changes based on instructions from the Cyberspace Administration of China (CAC), which had asked it to stop providing certain data to offshore users. Last July, the cybersecurity regulator issued final rules requiring data exports to undergo security audits as part of a new regulatory framework that will affect hundreds, if not thousands, of Chinese companies. The new regulations went into effect on September 1. In recent years, Beijing has enacted new cybersecurity, data and privacy laws that require organizations with large user bases to undergo assessments and approvals when handling the data they collect. Last month, lawmakers also approved a broad update to Beijing’s anti-espionage legislation, banning the transfer of any information related to national security and expanding the definition of espionage.

In Tanzania, the Data Protection Act came into effect on May 1, 2023, five months after it was passed in Parliament. The new law was first introduced in Parliament in September 2022 and passed by Parliament in November 2022. “This notice indicates that May 1, 2023 has been chosen as the official start of the use of the Personal Data Protection Law in the country,” reads a part of the notice signed by Nape. In November 2022, Parliament passed the Personal Data Protection Bill 2022 as lawmakers jointly explained the benefits of the planned law after it was passed by President Samia Suluhu Hassan. Speaking during the Connect 2 Connect Forum last September, Nape said, “As more and more social and economic activities move to online platforms, the importance of privacy and data protection is increasingly unavoidable-we must secure our cloud.” However, when presenting the bill for second reading in Parliament, Minister Nape argued that the law, once enacted, should attract more investors, especially in the information and communication technology sector. “After the President signs the new law, we will see a wave of investors.” In today’s world, investors are not going to invest in countries where there is no data protection law. There is no doubt that with this law we will attract more investors, especially in the ICT sector,” Nape concluded. In the course of implementing the Data Protection Act, Tanzania will take a cue from countries that have already implemented the same law, and by doing so, Tanzania will be able to address the challenges associated with the law, thus making it work for users.

PRIVACY DAILY 108/2023

Le autorità di regolamentazione statunitensi affermano che Facebook ha ingannato i genitori e non ha protetto la privacy dei bambini che utilizzano la sua applicazione Messenger Kids, tra l’altro dichiarando erroneamente l’accesso ai dati privati degli utenti fornito agli sviluppatori di app. Di conseguenza, mercoledì la Federal Trade Commision ha proposto modifiche radicali a un ordine sulla privacy del 2020 con Facebook – ora Meta – che proibirebbe alla società di trarre profitto dai dati raccolti sugli utenti minori di 18 anni. Questo includerebbe i dati raccolti attraverso i suoi prodotti di realtà virtuale. La FTC ha dichiarato che l’azienda non ha rispettato pienamente l’ordine del 2020. Meta sarà inoltre soggetta ad altre limitazioni, anche per quanto riguarda l’uso della tecnologia di riconoscimento facciale, e dovrà fornire ulteriori protezioni della privacy ai suoi utenti. “Facebook ha ripetutamente violato le sue promesse in materia di privacy”, ha dichiarato Samuel Levine, direttore del Bureau of Consumer Protection della FTC. “L’imprudenza dell’azienda ha messo a rischio i giovani utenti e Facebook deve rispondere delle sue mancanze”. Meta ha definito l’annuncio una “trovata politica”: “Nonostante tre anni di impegno continuo con la FTC in merito al nostro accordo, non ci hanno fornito alcuna opportunità di discutere questa nuova teoria, del tutto inedita. Chiariamo cosa sta cercando di fare la FTC: usurpare l’autorità del Congresso di stabilire standard per l’intero settore e invece escludere un’azienda americana, consentendo alle aziende cinesi, come TikTok, di operare senza vincoli sul territorio americano”, ha dichiarato Meta. L’azienda di Menlo Park, California, ha aggiunto che “combatterà vigorosamente” l’azione della FTC e si aspetta di vincere. Facebook ha lanciato Messenger Kids nel 2017, presentandolo come un modo per i bambini di chattare con i membri della famiglia e gli amici approvati dai genitori. L’applicazione non fornisce ai bambini account Facebook o Messenger separati, ma  funziona come un’estensione dell’account di un genitore e i genitori ottengono controlli come la possibilità di decidere con chi i figli possono chattare. All’epoca, Facebook aveva dichiarato che Messenger Kids non avrebbe mostrato annunci pubblicitari o raccolto dati per il marketing, anche se avrebbe raccolto alcuni dati necessari per il funzionamento del servizio.

La CGUE ha confermato che gli utenti hanno diritto a un risarcimento nel momento in cui i loro dati personali sono stati trattati illegalmente. Come per qualsiasi richiesta di risarcimento danni, la CGUE richiede l’esistenza di una violazione, di un danno e di un nesso di causalità. Anche se la CGUE osserva che non è possibile rivendicare un diritto senza un danno effettivo. Max Schrems ha dichiarato:  “Accogliamo con favore i chiarimenti della CGUE. Un’intera industria ha cercato di reinterpretare il GDPR per evitare di dover pagare i danni agli utenti di cui ha violato i diritti”. La comunità giuridica tedesca ha cercato di limitare ulteriormente l’applicazione del GDPR. Soprattutto in Germania, molti membri della comunità legale hanno cercato di implementare una “soglia” per le richieste di risarcimento del GDPR, che esisteva nella legge tedesca già prima dell’introduzione del GDPR. Il GDPR non prevede infatti tale soglia, tuttavia molti tribunali nazionali hanno respinto le richieste di risarcimento basate sul concetto di “soglia” per i danni emotivi. Anche la Corte Suprema austriaca ha cercato di conformarsi i al punto di vista tedesco. Questo punto di vista è stato per ora respinto. Max Schrems: “Abbiamo già visto molti casi di GDPR respinti senza una buona ragione. Se ci fosse stata una soglia, sarebbe stato molto difficile definirla. Per quanti minuti bisognava arrabbiarsi o piangere? La legge non prevede una soglia del genere, così come non esiste una soglia per qualsiasi altra richiesta di risarcimento. Si può intentare una causa anche per 5 centesimi, la realtà è che nessuno lo fa”. La CGUE ha anche sottolineato che le procedure nazionali per il GDPR non devono essere più complicate di altri ricorsi giudiziari nazionali. Ciò è particolarmente importante in quanto molti Stati membri calcolano i danni sulla base di una persona media, non del singolo ricorrente. Ciò evita ai ricorrenti di sottoporsi a interrogatori incrociati su quanto una pubblicazione illecita o un osso rotto li abbia effettivamente danneggiati. Max Schrems: “Abbiamo buone leggi e pratiche per gestire i danni immateriali in altri campi del diritto. I tribunali nazionali non possono ora sviluppare un sistema più complicato per le richieste di risarcimento del GDPR”.

Martedì 2 maggio, la presidenza svedese del Consiglio dei ministri dell’UE ha condiviso con gli altri rappresentanti nazionali un aggiornamento, successivamente visionato da EURACTIV, sul Data Act, una normativa di riferimento che regola le modalità di accesso, trasferimento e condivisione dei dati. Il dossier si trova nell’ultima fase del processo legislativo dell’UE, i cosiddetti triloghi, che riuniscono Consiglio, Parlamento e Commissione dell’UE per definire un accordo politico. Dal primo trilogo del 29 marzo, il lavoro a livello tecnico è attualmente in corso. A questo livello, il capitolo relativo alla possibilità per le autorità pubbliche di accedere ai dati in possesso di privati è stato in gran parte concordato. Rimangono tuttavia alcuni punti in sospeso che richiederanno una discussione politica nel prossimo trilogo del 23 maggio. La presidenza svedese ha quindi chiesto agli Stati membri di essere flessibili nel negoziare le questioni aperte relative al Business-to-Government (B2G). L’ostacolo principale è rappresentato dal tipo di dati che gli enti pubblici possono richiedere. Il Parlamento europeo ha limitato la portata delle disposizioni ai dati industriali, mentre il Consiglio dell’UE ha mantenuto i dati personali nel campo di applicazione. “Per consentire il mantenimento dei dati personali nell’ambito di applicazione, possono essere previste ulteriori garanzie e limitazioni per gli enti pubblici e/o le istituzioni dell’UE per l’accesso e l’ulteriore condivisione dei dati”, si legge nella nota. Un’altra questione è se le piccole e micro imprese debbano essere esentate da questi obblighi B2G, dato che il Consiglio ha eliminato questa esenzione dalla proposta originale. In questo caso, la presidenza osserva che potrebbe essere necessaria una certa flessibilità. Inoltre, gli eurodeputati hanno eliminato la possibilità per le autorità pubbliche di richiedere dati privati per mitigare o recuperare un’emergenza pubblica, limitandola a risposte immediate a situazioni come pandemie o terremoti. Allo stesso tempo, la legge sui dati prevede invece che un’autorità pubblica possa richiedere dati privati per svolgere un compito di interesse pubblico a determinate condizioni. Per la presidenza, gli aspetti di mitigazione e recupero potrebbero rientrare in questa misura. Un ultimo aspetto riguarda le istituzioni e gli organi dell’UE che potranno godere di questo potere. Il Consiglio dell’UE ha limitato l’ambito di applicazione alla Commissione europea, alla Banca centrale europea e agli organismi dell’Unione, mentre gli eurodeputati vogliono mantenere tutte le istituzioni e le agenzie dell’UE. “La questione può essere considerata insieme al tipo di dati che rientrano nell’ambito di applicazione”, si legge infine nel documento.

English version

U.S. regulators say Facebook misled parents and failed to protect the privacy of children using its Messenger Kids app by, among other things, misrepresenting access to private user data provided to app developers. As a result, the Federal Trade Commission on Wednesday proposed sweeping changes to a 2020 privacy order with Facebook-now called Meta-that would prohibit Facebook from profiting from data collected on users under the age of 18. This would include data collected through its virtual reality products. The FTC said the company has not fully complied with the 2020 order. Meta will also be subject to other restrictions, including on the use of facial recognition technology, and will have to provide additional privacy protections for its users. “Facebook has repeatedly broken its privacy promises,” said Samuel Levine, director of the FTC’s Bureau of Consumer Protection. “The company’s recklessness has put young users at risk, and Facebook must be held accountable for its failures.” Meta called the announcement a “political stunt”: “Despite three years of continued engagement with the FTC on our settlement, they have not provided us with any opportunity to discuss this new, wholly novel theory. Let’s clarify what the FTC is trying to do: usurp Congress’s authority to set standards for the entire industry and instead exclude an American company, allowing Chinese companies, like TikTok, to operate unfettered on U.S. soil,” Meta said. The Menlo Park, California-based company added that it will “vigorously fight” the FTC action and expects to win. Facebook launched Messenger Kids in 2017, presenting it as a way for children to chat with family members and friends approved by their parents. The app does not provide children with separate Facebook or Messenger accounts, but works as an extension of a parent’s account, and parents get controls such as the ability to decide who their children can chat with. At the time, Facebook stated that Messenger Kids would not show advertisements or collect data for marketing, although it would collect some data necessary for the service to function.

The CJEU confirmed that users are entitled to compensation when their personal data have been processed illegally. As with any claim for damages, the CJEU requires the existence of a breach, damage, and a causal link. Although the CJEU notes that it is not possible to claim a right without actual damage. Max Schrems said, “We welcome the CJEU’s clarification. An entire industry tried to reinterpret GDPR to avoid having to pay damages to users whose rights it violated.” The German legal community has sought to further restrict the application of the GDPR. Especially in Germany, many members of the legal community have tried to implement a “threshold” for GDPR claims, which existed in German law even before the GDPR was introduced. The GDPR does not in fact provide for such a threshold, yet many national courts have rejected claims based on the concept of a “threshold” for emotional damages. Even the Austrian Supreme Court has tried to conform i to the German viewpoint. This view has been rejected for now. Max Schrems: “We have already seen many GDPR cases dismissed without good reason. If there had been a threshold, it would have been very difficult to define it. For how many minutes did one have to get angry or cry? There is no such threshold in the law, just as there is no threshold for any other claim. One can file a lawsuit even for 5 cents, the reality is that no one does.” The CJEU also emphasized that national procedures for GDPR should not be more complicated than other national judicial remedies. This is particularly important because many member states calculate damages on the basis of an average person, not the individual claimant. This saves claimants from being cross-examined about how much an illegal publication or a broken bone actually harmed them. Max Schrems: “We have good laws and practices for dealing with intangible harm in other areas of law. National courts cannot now develop a more complicated system for GDPR claims.”

On Tuesday 2 May , the Swedish presidency of the EU Council of Ministers shared an update, later seen by EURACTIV, with the other national representatives about the Data Act, a landmark legislation regulating how data is accessed, ported and shared. The file is at the last phase of the EU legislative process, so-called trilogues, as they gather the EU Council, Parliament and Commission to nail down a political agreement. Since the first trilogue on 29 March, the work on the technical level has been underway. At this level, the chapter concerning the possibility for public authorities to access privately held data has been mostly agreed upon. Still, a few points remain open and will require a political discussion at the next trilogue on 23 May. Thus, the Swedish presidency returned to the member states to request whether they would be flexible in negotiating these open questions related to Business-to-Government (B2G). The major hurdle is which type of data public bodies can request. The European Parliament limited the scope of the provisions to industrial data, whilst the EU Council maintained personal data in the scope. “Additional safeguards and further limitations for public sector bodies and/or EU institutions to access and further share data may be envisaged to allow keeping personal data in scope,” reads the note. Another question is whether small and micro enterprises should be exempted from these B2G obligations, as the Council has removed this exemption from the original proposal. Here the presidency notes that some flexibility might be needed. In addition, MEPs have removed the capacity for public authorities to request private data to mitigate or recover from a public emergency, limiting it to immediate responses to things like pandemics or earthquakes. At the same time, the Data Act provides that a public authority might also ask for privately-controlled data to carry out a task in the public interest under certain conditions. For the presidency, the mitigation and recovery aspects could be covered under this measure. A final aspect concerns which EU institutions and bodies will be able to enjoy this power. The EU Council limited the scope to the European Commission, the European Central Bank and Union bodies, whilst the MEPs want to keep all EU institutions and agencies.“This issue may be considered together with the type of data in scope,” the document reads.

PRIVACY DAILY 107/2023

La triste storia di una ragazza irlandese che si è tolta la vita nel 2018 potrebbe ancora vedere concretizzarsi un grande risultato nella lotta al cyberbullismo. Nicole “Coco” Fox si è impiccata all’età di 21 anni, dopo aver subito abusi fisici e online per tre anni. Da allora, sua madre Jackie ha condotto una campagna incessante per promuovere una legislazione che punisca il bullismo. Nel 2021 l’Irlanda ha adottato la cosiddetta legge di Coco, che prevede fino a sette anni di carcere per chi distribuisce o pubblica immagini intime di una persona senza consenso. Ora la battaglia di Jackie viene portata avanti a livello europeo. “L’abuso online è molto peggiore dell’abuso fisico, perché una volta che ti entra in testa, la tua salute mentale è completamente compromessa”, ha dichiarato a Euronews Jackie Fox, madre di Nicole. “È molto più difficile togliersi dalla testa l’abuso mentale online che l’abuso fisico”. “Ci sono persone in prigione in questo momento per la legge di Coco. Ci sono 105 persone perseguite e molte persone indagate”, ha aggiunto Fox. “Quindi, penso che non dovrebbe essere solo in Irlanda: se questa legge ha funzionato come ha funzionato in Irlanda, perché non portarla in tutta Europa?”. Altri Paesi hanno già iniziato ad affrontare il cyberbullismo, come l’Italia e la Francia. Ma alcuni eurodeputati, tra cui l’irlandese Frances Fitzgerald, vorrebbero avere un quadro comune a livello europeo. “Alcuni altri Paesi hanno una legislazione parziale, ma quello che stiamo dicendo ora è che abbiamo bisogno di una legislazione completa in tutta Europa”, ha detto in un’intervista a Euronews la deputata, concludendo “Abbiamo bisogno di una legge europea, di una direttiva europea per garantire che il cyberbullismo venga affrontato in modo efficace, perché porta alla morte”. Il gruppo del PPE al Parlamento europeo ha dichiarato che chiederà un dibattito sul cyberbullismo nella prossima plenaria di Strasburgo, in modo che Jackie Fox possa portare la storia di sua figlia anche agli eurodeputati.

Anche l’Ufficio del commissario australiano per l’informazione sarà ripristinato con una struttura a tre commissari. I laburisti nominano un commissario dedicato alla privacy per combattere le violazioni dei dati. Mark Dreyfus ha rivelato nella tarda serata di martedì che il governo ripristinerà anche l’Ufficio del Commissario australiano per l’informazione (OAIC) con una struttura a tre commissari, affermando che le nomine sono necessarie per affrontare “le crescenti minacce alla sicurezza dei dati e l’aumento del volume e della complessità delle questioni relative alla privacy”. “Gli australiani si aspettano giustamente che il loro regolatore della privacy abbia le risorse e i poteri necessari per affrontare le continue sfide dell’era digitale e proteggere le loro informazioni personali”, ha continuato Dreyfus. “Le violazioni di dati su larga scala avvenute nel 2022 sono state fonte di preoccupazione per milioni di australiani, i cui dati personali sensibili sono stati esposti al rischio di truffe e frodi di identità”. Il ruolo del commissario per la privacy è quello di garantire che le agenzie governative e le grandi si attengano alla legge nel trattamento dei dati personali. Secondo quanto risulta a Guardian Australia, nel prossimo bilancio federale saranno stanziati ulteriori fondi per l’OAIC, che si occuperà specificamente di questioni relative alla privacy dei dati. L’espansione dell’OAIC arriva dopo le violazioni di dati avvenute l’anno scorso presso Medibank e Optus, in cui gli hacker hanno rubato i dati personali di 9,7 milioni di clienti attuali ed ex della compagnia di assicurazione sanitaria e di 9,8 milioni di clienti della telco. A questi incidenti è seguita una violazione ancora più grande presso Latitude Financial Services nel marzo di quest’anno, in cui sono stati esposti i dati di 14 milioni di clienti, tra cui numeri di patente di guida, numeri di passaporto e rendiconti finanziari, e alcune informazioni risalenti al 2005.

Nello Stato americano dello Utah, la nuova legge impone ai siti web pornografici di verificare l’età degli utenti ogni volta che utilizzano il sito per non incorrere in potenziali azioni legali. I residenti dello Stato che visitano il sito web di Pornhub ora sono ora accolti da un messaggio che sostiene che la legge che impone la verifica dell’età metterà la privacy “a rischio”. La legge sulla verifica dell’età nello Utah, nota come SB287, è stata approvata dai legislatori statali e firmata dal governatore Spencer Cox a marzo. Come parte della legge, le aziende pornografiche devono verificare l’età degli utenti utilizzando una “carta di verifica digitalizzata”, che secondo i funzionari aiuterà a impedire ai giovani di accedere a contenuti sessualmente espliciti. A partire da martedì scorso, i residenti dello Utah che hanno tentato di accedere a Pornhub hanno visto un messaggio video con l’attrice di film per adulti – e un tempo aspirante presidente degli Stati Uniti – Cherie DeVille nel quale afferma “Sebbene la sicurezza e la conformità siano in primo piano nella nostra missione, fornire la carta d’identità ogni volta che si desidera visitare una piattaforma per adulti non è la soluzione più efficace per proteggere i nostri utenti”. Il video invita i legislatori a “identificare gli utenti in base al loro dispositivo” piuttosto che in base al loro ID digitale, e sostiene che questa mossa potrebbe spingere gli utenti verso “siti con misure di sicurezza molto meno efficaci”. Lo stesso messaggio viene mostrato agli utenti dello Utah che tentano di accedere ad altri siti web per adulti gestiti dalla società madre di Pornhub, la canadese MindGeek, con sede a Cipro. Una legge simile che richiede un ID digitale è entrata in vigore a gennaioanche in Louisiana, dove Pornhub è ancora disponibile. Il senatore dello Stato dello Utah Todd Weiler, citato dall’emittente locale Fox 13, ha dichiarato di aspettarsi che Pornhub “alla fine si adeguerà” alla legge. L’attuazione della legge sulla verifica dell’età nello Utah arriva nel contesto di crescenti richieste di verifica dell’età degli utenti su Internet. Anche il Mississippi e la Virginia hanno già approvato leggi simili sulla verifica dell’età.

English version

Irish MEP calls for EU-wide law on cyberbullying, as mother of victim raises awareness in Brussels. The sad story of an Irish girl who took her own life in 2018 could still see a great achievement materialise in the fight against cyberbullying. Nicole ‘Coco’ Fox hanged herself at age of 21, after being abused physically and online for three years. Since then, her mother Jackie has been relentlessly campaigning to promote legislation that punishes bullying. In 2021 Ireland adopted the so-called Coco’s law, with up to seven years in jail for those who distribute or publish intimate images of a person without consent. Now, Jackie’s battle is being taken up at a European level. “So, online abuse is much worse than the physical abuse, because once it gets inside your head, you know, your mental health is all messed up,” the mother of Nicole, Jackie Fox, told Euronews. “It’s so much harder to get it out of your head mentally online than physical abuse. That’s from her experience.” “There are people in prison right now under Coco’s law. There are 105 people up for prosecution. So many people under investigation,” Fox added. “So, I think it shouldn’t be only in Ireland: if this law has worked the way it has in Ireland, why not bring it Europe-wide?” Other countries have already started to tackle cyberbullying, such as Italy and France. But some MEPs, including Frances Fitzgerald from Ireland, would like to have a common EU framework. “Some other countries have partial legislation, but what we’re saying now is that we need comprehensive legislation right across Europe,” she said in an interview with Euronews. “We need a European law, European directive to ensure that we are dealing effectively with cyberbullying because it leads to death.” The EPP Group in the European Parliament have said they will request a debate on cyberbullying in the next plenary agenda in Strasbourg so that Jackie Fox can bring her daughter’s story also to MEPs.

The Office of the Australian Information Commissioner will also be reinstated with a three-commissioner structure. Labor appoints a dedicated privacy commissioner to combat data breaches. Mark Dreyfus revealed late Tuesday evening that the government will also reinstate the Office of the Australian Information Commissioner (OAIC) with a three-commissioner structure, saying the appointments are necessary to address “the growing threats to data security and the increasing volume and complexity of privacy issues.” “Australians rightly expect their privacy regulator to have the resources and powers to address the continuing challenges of the digital age and protect their personal information,” Dreyfus continued. “The large-scale data breaches that occurred in 2022 have been a source of concern for millions of Australians whose sensitive personal information has been exposed to the risk of identity fraud and scams.” The role of the privacy commissioner is to ensure that government agencies and large ones abide by the law when handling personal data. According to Guardian Australia, additional funds will be allocated in the upcoming federal budget for the OAIC to deal specifically with data privacy issues. The OAIC’s expansion comes after data breaches last year at Medibank and Optus, in which hackers stole the personal data of 9.7 million current and former customers of the health insurance company and 9.8 million telco customers. These incidents were followed by an even larger breach at Latitude Financial Services in March this year, in which the data of 14 million customers was exposed, including driver’s license numbers, passport numbers and financial statements, and some information dating back to 2005.

New law requires pornographic websites to verify users’ ages every time they use the site to avoid potential legal action. Utah residents who visit the Pornhub website are now greeted by a message claiming that the law requiring age verification will put privacy “at risk.” Utah’s age verification law, known as SB287, was passed by state lawmakers and signed into law by Governor Spencer Cox in March. As part of the law, porn companies must verify users’ ages using a “digitized verification card,” which officials say will help prevent young people from accessing sexually explicit content. As of last Tuesday, Utah residents attempting to access Pornhub have seen a video message featuring adult film actress-and onetime U.S. presidential aspirant-Cherie DeVille in which she states “While safety and compliance are at the forefront of our mission, providing ID every time you want to visit an adult platform is not the most effective way to protect our users.” The video urges lawmakers to “identify users by their device” rather than by their digital ID, and argues that this move could push users to “sites with far less effective security measures.” The same message is shown to Utah users attempting to access other adult websites operated by Pornhub’s parent company, Canadian-based MindGeek. A similar law requiring a digital ID also went into effect in January in Louisiana, where Pornhub is still available. Utah State Senator Todd Weiler, quoted by local broadcaster Fox 13, said he expects Pornhub will “eventually comply” with the law. The implementation of the age verification law in Utah comes amid growing demands for age verification of users on the Internet. Mississippi and Virginia have also already passed similar age verification laws.

PRIVACY DAILY 106/2023

Nei Paesi Bassi l’Autoriteit Persoonsgegevens (AP) ha convocato il ministro degli Esteri Wopke Hoekstra per ottenere spiegazioni  sull’uso di un algoritmo segreto e potenzialmente illegale per valutare i richiedenti il visto. Secondo un’indagine del NRC e del collettivo giornalistico Lighthouse Reports, dal 2015 il ministero degli Affari esteri ha utilizzato il sistema di profilazione per analizzare il rischio determinato dalle persone che richiedono visti per soggiorni di breve durata nell’area Schengen. Secondo Lighthouse e il NRC, il sistema ha profilato milioni di richiedenti il visto in base alla loro nazionalità, al sesso e all’età. Coloro che sono considerati “ad alto rischio” vengono automaticamente spostati in un “percorso intensivo”, che può comportare lunghi ritardi nell’elaborazione della domanda e aumentare la probabilità di un rifiuto. Il sistema era già stato criticato da Niels Westerlaken, funzionario del Ministero degli Affari Esteri addetto alla protezione dei dati, che nel 2022 aveva dichiarato che in quell’anno il 17% delle domande di visto presentate da uomini provenienti dal Suriname era stato inserito nel percorso intensivo. Ha quindi chiesto al ministero di smettere di “profilare i richiedenti il visto, ma la richiesta di Westerlaken non ha avuto seguito,  come  ha dichiarato un portavoce dell’AP al giornale. Un portavoce del ministero degli Affari esteri ha confermato che è stata presentata una richiesta di maggiori informazioni sulla “necessità e proporzionalità del trattamento dei dati”. Infatti i Paesi Bassi sono stati più volte accusati di utilizzare algoritmi distorti. All’inizio di quest’anno, l’AP ha dichiarato di aver iniziato a monitorare l’uso degli algoritmi come parte di un programma governativo per prevenire la discriminazione e l’esclusione. Lo scandalo dei sussidi per l’infanzia, scoppiato nel 2020, ne è un esempio. Tra il 2004 e il 2019, migliaia di genitori sono stati ingiustamente etichettati come truffatori. La doppia cittadinanza era uno degli indicatori di un potenziale rischio di frode e i dati dei doppi cittadini venivano elaborati in modo illegale e discriminatorio. Un altro esempio è il programma governativo di rilevamento delle frodi SyRI, che è stato giudicato in violazione dei diritti umani in seguito a una causa giudiziaria.

I comuni di Burgos e Aranda de Duero fanno parte – anche se per motivi diversi – dell’elenco delle 14 amministrazioni pubbliche che nell’ultimo anno non hanno rispettato i requisiti dell’Agenzia spagnola per la protezione dei dati (AEPD) e sono statIisanzionati per non aver rispettato le norme sul trattamento dei dati personali dei cittadini sotto la loro giurisdizione. Si tratta di una questione estremamente delicata, vista la proliferazione degli attacchi informatici e dell’uso criminale dei dati personali protetti. In particolare, il 21 agosto 2020 il Consiglio comunale della capitale è stato sanzionato per aver inviato e-mail senza utilizzare l’opzione BCC (blind carbon copy), che impedisce ai destinatari di accedere ai dati personali di altri destinatari. Nello specifico è stato ricevuto un reclamo da parte di un utente perché la sua e-mail e il suo numero identificativo non erano nascosti, il che, secondo la risoluzione dell’AEPD, “implica la violazione dei principi di “limitazione delle finalità” e di “integrità e riservatezza” regolamentati […], nonché la responsabilità proattiva del titolare del trattamento di dimostrare la conformità”. Il 28 agosto, l’AEPD ha chiesto quindi al Comune di dimostrare, entro un mese, di aver adottato le misure necessarie per conformarsi alla normativa.Il Comune non ha risposto entro un mese, né ha risposto nelle altre due occasioni in cui l’AEPD lo ha sollecitato (l’8 ottobre 2020 e il 16 settembre 2021).
Visto il silenzio del Comune, il 21 marzo 2022 il direttore dell’AEPD, Mar España Martí, ha avviato un procedimento disciplinare, al quale l’amministrazione in questione non ha presentato alcuna accusa. La risoluzione sottolinea che il Comune rischia sanzioni amministrative fino a 20 milioni di euro, considerando “molto grave” il mancato rispetto delle risoluzioni emesse dall’autorità di protezione dei dati. Per il momento, l’AEPD ha optato per una sanzione di avvertimento, per la comunicazione della risoluzione al Mediatore e per l’inserimento del Comune nell’elenco delle amministrazioni segnalate. Nel caso del Comune di Aranda de Duero, sono la mancanza di un responsabile della protezione dei dati e il silenzio in risposta alle due notifiche inviate dall’AEPD che hanno portato alla sanzione. Il responsabile della protezione dei dati può essere un dipendente comunale o una società esterna ma è obbligatorio e la sua assenza può comportare una sanzione amministrativa fino a 10 milioni di euro. Le diffide al Comune di Arandino risalgono al febbraio e all’aprile del 2022 e il procedimento sanzionatorio è datato 15 luglio 2022, senza che siano state mosse accuse. La risoluzione resa pubblica dall’AEPD stabilisce una sanzione di avvertimento, imponendo la nomina di un responsabile della protezione dei dati entro un mese. Burgos e Aranda fanno parte di un elenco di soggetti sanzionati che comprende, tra gli altri, la Direzione Generale della Guardia Civile, l’Azienda Municipale di Trasporto Urbano di Gijón, case di riposo delle Asturie e altri consigli comunali con più di 20.000 abitanti, come quelli di Oria, Majadahonda, Llanos de Aridane, Cambre, Arrecife, Moncada, Algete e San Andrés de Rabanedo.

Le class action contro le aziende per aver violato la legge sulla privacy biometrica dell’Illinois sono più che raddoppiate sulla scia di una sentenza della Corte Suprema dello Stato del febbraio scorso, che ha ampliato il potenziale di risarcimento di danni elevati. Il numero di cause intentate nei tribunali dell’Illinois per violazioni della legge sulla protezione delle informazioni biometriche del 2008 è aumentato del 65%, raggiungendo 122 casi, nei due mesi successivi alla sentenza Cothron v. White Castle System Inc. del 17 febbraio, secondo un’analisi di Bloomberg Law degli atti fino al 17 aprile. Nei due mesi precedenti la decisione, tra il 17 dicembre e il 17 febbraio, erano state intentate 74 cause. Per contro, il totale delle cause depositate presso il tribunale della contea di Cook (Ill) – il tribunale in cui viene depositata la maggior parte delle azioni collettive BIPA dell’Illinois – è aumentato complessivamente solo del 2,8% nello stesso periodo. Anche i tribunali federali hanno registrato un modesto aumento di nuove cause BIPA. “Credo che le cause continueranno ad avere un ritmo sostenuto, visti i cinque anni di prescrizione, l’entrata in scena di nuovi attori e le nuove teorie di responsabilità”, ha dichiarato in Mary Smigielski, partner di Lewis Brisbois Bisgaard & Smith LLP. Haskell Garfinkel, socio fondatore del Garfinkel Group LLC, ha affermato infatti che l’aumento dei casi è probabilmente legato a una crescente consapevolezza della legge e dei divieti che essa impone. Anche le piccole aziende sono sempre più consapevoli della legge, ma le cause continueranno a essere intentate contro aziende di tutte le dimensioni che non rispettano lo statuto.La legge dell’Illinois prevede che le aziende che raccolgono dati biometrici, tra cui le impronte digitali e il riconoscimento facciale, debbano ricevere il consenso scritto da parte di dipendenti e clienti e sviluppare una politica scritta sulla loro raccolta, conservazione e distruzione. L’Illinois, è il primo stato a emanare una legge di questo tipo, ha visto la sua corte suprema emettere quest’anno alcune delle più importanti sentenze giudiziarie statali che interpretano i diritti alla privacy biometrica. Il caso White Castle ha aumentato la possibilità di multe salate in caso di violazione. La sentenza Tims v. Black Horse Carriers Inc. del 2 febbraio ha chiarito che la prescrizione di cinque anni – e non di un anno – si applica a tre specifiche violazioni della legge.

English version

In the Netherlands, the Autoriteit Persoonsgegevens (AP) has summoned Foreign Minister Wopke Hoekstra for explanations on the use of a secret and potentially illegal algorithm to assess visa applicants. According to an investigation by the NRC and the journalism collective Lighthouse Reports, since 2015 the Ministry of Foreign Affairs has used the profiling system to analyze the risk determined by people applying for short-stay visas in the Schengen area. According to Lighthouse and the NRC, the system has profiled millions of visa applicants based on their nationality, gender, and age. Those deemed “high risk” are automatically moved to an “intensive path,” which can lead to long delays in processing the application and increase the likelihood of rejection. The system had already been criticized by Niels Westerlaken, a Ministry of Foreign Affairs data protection officer, who said in 2022 that 17 percent of visa applications submitted by men from Suriname were placed on the intensive pathway that year. He then asked the ministry to stop “profiling” visa applicants, but Westerlaken’s request went unheeded, an AP spokesman told the newspaper. A spokesperson for the Ministry of Foreign Affairs confirmed that a request was made for more information on the “necessity and proportionality of data processing.” In fact, the Netherlands has repeatedly been accused of using biased algorithms. Earlier this year, the PA said it had begun monitoring the use of algorithms as part of a government program to prevent discrimination and exclusion. The child benefit scandal, which erupted in 2020, is one example. Between 2004 and 2019, thousands of parents were unfairly labeled as cheaters. Dual citizenship was one of the indicators of a potential risk of fraud, and data from dual citizens were processed in an illegal and discriminatory way. Another example is the government’s SyRI fraud detection program, which was found to be in violation of human rights following a court case.

The municipalities of Burgos and Aranda de Duero are part – albeit for different reasons – of the list of 14 public administrations that have failed to comply with the requirements of the Spanish Data Protection Agency (AEPD) over the past year and have been statIisanctioned for failing to comply with the rules on the processing of personal data of citizens under their jurisdiction. This is an extremely sensitive issue given the proliferation of cyber attacks and criminal use of protected personal data. Specifically, on August 21, 2020, the Capital City Council was sanctioned for sending emails without using the BCC (blind carbon copy) option, which prevents recipients from accessing the personal data of other recipients. Specifically, a complaint was received from a user because his e-mail and ID number were not hidden, which, according to the AEPD resolution, “implies a violation of the regulated principles of ‘purpose limitation’ and ‘integrity and confidentiality’ […] as well as the proactive responsibility of the data controller to demonstrate compliance.” On August 28, the AEPD then asked the municipality to demonstrate, within one month, that it had taken the necessary measures to comply with the regulations.The municipality did not respond within one month, nor did it respond on the other two occasions when the AEPD urged it to do so (on October 8, 2020 and September 16, 2021).
Given the municipality’s silence, AEPD director Mar España Martí initiated disciplinary proceedings on March 21, 2022, to which the administration in question did not file charges. The resolution points out that the municipality risks administrative penalties of up to 20 million euros, considering the failure to comply with the resolutions issued by the data protection authority to be “very serious.” For the time being, the AEPD has opted for a warning sanction, communication of the resolution to the Ombudsman, and inclusion of the municipality on the list of reported administrations. In the case of the municipality of Aranda de Duero, it is the lack of a data protection officer and the silence in response to the two notifications sent by the AEPD that led to the sanction. The data protection officer can be a municipal employee or an external company, but it is mandatory and its absence can result in an administrative penalty of up to 10 million euros. The warnings to the municipality of Arandino date back to February and April 2022, and the sanction proceedings are dated July 15, 2022, with no charges brought. The resolution made public by the AEPD establishes a warning sanction, requiring the appointment of a data protection officer within one month. Burgos and Aranda are part of a list of sanctioned entities that includes, among others, the General Directorate of the Civil Guard, the Municipal Urban Transport Company of Gijón, nursing homes in Asturias, and other municipal councils with more than 20,000 inhabitants, such as those of Oria, Majadahonda, Llanos de Aridane, Cambre, Arrecife, Moncada, Algete, and San Andrés de Rabanedo.

Class actions accusing companies of violating the Illinois Biometric Privacy Act have more than doubled in the wake of a February state Supreme Court ruling that expanded the potential for high damages. The number of lawsuits filed in Illinois courts for violations of the Biometric Information Protection Act of 2008 increased by 65 percent, to 122 cases, in the two months since the Feb. 17 Cothron v. White Castle System Inc. ruling, according to a Bloomberg Law analysis of records through April 17. In the two months prior to the decision, between Dec. 17 and Feb. 17, 74 cases had been filed. By contrast, the total number of lawsuits filed in Cook County (Ill)-the court where most Illinois BIPA class actions are filed-increased overall by only 2.8 percent over the same period. Federal courts also saw a modest increase in new BIPA lawsuits. “I think lawsuits will continue at a brisk pace given the five-year statute of limitations, the entry of new plaintiffs and new theories of liability,” said in Mary Smigielski, partner at Lewis Brisbois Bisgaard & Smith LLP. In fact, Haskell Garfinkel, founding partner of the Garfinkel Group LLC, said the increase in cases is likely related to a growing awareness of the law and the prohibitions it imposes. Small businesses are also increasingly aware of the law, but lawsuits will continue to be filed against companies of all sizes that fail to comply with the statute.Illinois law requires that companies that collect biometric data, including fingerprints and facial recognition, must receive written consent from employees and customers and develop a written policy on its collection, storage and destruction. Illinois, is the first state to enact such a law, has seen its Supreme Court issue some of the most important state court rulings interpreting biometric privacy rights this year. The White Castle case raised the possibility of steep fines in the event of a violation. The Tims v. Black Horse Carriers Inc. ruling on Feb. 2 clarified that the five-year statute of limitations-and not the one-year statute of limitations-applies to three specific violations of the law.