On the occasion of tomorrow’s European Data Protection Day, EU lawmakers are addressing the European Commission in a cross-party letter: They warn that the draft legislation announced by the Commission for March 2022 on indiscriminate message and chat control on all mobile phones would result in mass surveillance of the private communications of all EU citizens. Moreover, the legislation threatens secure encryption and IT security in general.

Similar to Apple’s highly controversial „SpyPhone“ plans, the EU Commission plans to „protect children“ by requiring providers of digital communication services to bulk intercept, monitor, and scan the contents of all citizens’ communications.

A draft legislation is to be presented on 2 March. Communications that have so far been securely end-to-end encrypted would need to be screened on all mobile phones and, in case of suspicion, automatically redirected and reported to the police. „Indiscriminately and generally monitoring everybody’s online activities ‚just in case‘ causes devastating collateral damage,” MEPs appeal to the responsible EU Commissioners Margrethe Vestager, Margaritis Schinas, Věra Jourová, Thierry Breton, Didier Reynders and Ylva Johansson. The proposed surveillance requirement “fails to respect the essence of the fundamental right to confidential communications (Article 7 of the Charter), and is therefore neither necessary nor proportionate “, the letter continues.

„It has a chilling effect on the exercise of fundamental rights online, including of children and victims, minorities, LGBTQI people, political dissidents, journalists etc. It sets a precedent for expanding it to other purposes in Europe as well. The outsourcing of law enforcement activities (crime detection) to private corporations and their machines removes the protection afforded by the independence and qualification of public investigators, as well as the institutional oversight over their activities.“

MEPs express concern about recent media reports that investigators shut down child sexual abuse platforms such as “Boystown” but failed to report the linked content for removal. This means that thousands of gigabytes of illegal images remain accessible.

„Investigators argue that they lack capacities to report material they are aware of. Adding thousands and thousands of mostly false reports of alleged circulation of well-known material via major communications services to their burden would fail victims whose safety depends on focusing all resources on preventing abuse and the production of abuse imagery in the first place,“ underline the MEPs.

MEP and civil liberties defender Patrick Breyer (German Pirate Party) comments:

“This EU Big Brother attack on our mobile phones by error-prone denunciation machines searching our entire private communications threatens to lead to a Chinese-style surveillance state. Will the next step will be for the post office to open and scan all letters? Indiscriminately searching all correspondence violated fundamental rights and is the wrong approach to protecting children. It actually puts their private pictures at risk of falling into the wrong hands and criminalises children in many cases. Flooding overburdened law enforcement officers, who don’t even have time to sift through already known child pornography, with mostly false machine-generated reports is irresponsible with regard to the victims of ongoing abuse.”

Marcel Kolaja Member and Quaestor of the European Parliament (Czech Pirate Party) adds:

“Monitoring across large platforms will only lead to criminals moving to platforms where chat control will be technically impossible. As a result, innocent people will be snooped on a daily basis while tracking down criminals will fail. Moreover, it will discourage victims from seeking help digitally. Not to mention that e.g. witnesses or harassment victims, whose lives may be in danger, are highly dependent on confidentiality of their communications. Therefore, chat control would only cause widespread uncertainty and distrust. Rather than mass surveillance of digital correspondence, the Commission should focus on assistance to victims, prevention of child sexual abuse, and coordination of targeted investigations.”

Background:

Apple’s plans, announced in August, to search personal photos for suspicious content prompted a public outcry. More than 90 organizations called on the company to scrap the plans. Apple eventually put its plans on hold.

MEPs warn that the Commission’s plans would trigger a similar storm of protest. Providers would need to implement a backdoor in their software („client-side scanning“) to enable such monitoring. Implementing a routine for automatically reporting suspected communications content in case of a match would break safe end-to-end encryption altogether and eliminate the security and trust that comes with it. Individuals, businesses and government rely on end-to-end encryption to safeguard their personal, commercial and state secrets.

patrick-breyer.de/en/members-o…

Lo scorso 13 gennaio, il Garante Privacy ha emesso parere favorevole circa lo “Schema di decreto del Presidente della Repubblica concernente regolamento recante sostituzione del regolamento di cui al decreto del Presidente della Repubblica 7 settembre 2010, n. 178, in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali”. La bozza dell’atto legislativo ha recepito le osservazioni sollevate dall’Authority e la normativa nazionale ha colmato le lacune di disciplina che frenavano l’esito positivo della consultazione avviata.

Con provvedimento n. 3 del 13 gennaio 2022 il Garante per la Protezione dei Dati Personali ha emesso parere favorevole al nuovo “Schema di decreto del Presidente della Repubblica concernente regolamento recante sostituzione del regolamento di cui al decreto del Presidente della Repubblica 7 settembre 2010, n. 178, in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali”.

Lo Schema di decreto in esame deve sostituire il regolamento di cui al d.P.R. 7 settembre 2010, n. 178 e s.m.i., intervenendo sulla disciplina del Registro Pubblico delle Opposizioni (RPO) al fine di estenderne l’operatività alle numerazioni telefoniche nazionali, sia fisse che mobili, non incluse in elenchi dei contraenti.

Trattandosi di un atto legislativo relativo al trattamento dei dati, il Ministero dello sviluppo economico attivava la procedura di cui all’art. 36, par. 4, GDPR, chiedendo un consulto all’Authority circa la conformità dello Schema di decreto alle disposizioni della normativa in materia di trattamento dei dati personali.

Nel parere il Garante ripercorre le tappe che hanno segnato la fase di interlocuzione con il Mise ed evidenzia gli obiettivi raggiunti nell’ambito della consultazione, come l’accoglimento delle osservazioni espresse dal Garante con due precedenti pareri.

Rileva, poi, che le perplessità sollevate con l’ultima nota del 24 giugno 2021 sono state superate dall’emanazione del D.L. n. 139 dell’8 ottobre 2021, il quale ha provveduto ad estendere l’efficacia revocatoria del consenso derivante dall’inscrizione al registro anche alle chiamate eseguite con modalità automatizzate.

In ragione della complessiva ragionevolezza delle soluzioni proposte a seguito della novella legislativa, dunque, il Garante ha ritenuto non residuassero rilievi ulteriori da esprimere e ha emesso parere favorevole all’adozione dello Schema di decreto.

Grazie alle modifiche operate, i consumatori potranno opporsi alla ricezione sia delle chiamate indesiderate eseguite tramite operatore, che di quelle effettuate con l’uso di sistemi automatizzati, modalità di contatto che sino ad ora era sfuggita alle limitazioni sancite dalla disciplina previgente.

L’iscrizione al RPO comporterà poi, tra le altre cose, la revoca dei precedenti consensi espressi dai consumatori, così da evitare il perdurare di eventuali abusi.

Il 21 gennaio u.s. il Consiglio dei Ministri si è riunito a Palazzo Chigi per discutere, tra le altre cose, lo Schema di d.P.R., approvandolo in esame definitivo.

Brevemente, si rammentano le novità più rilevanti che comporterà l’adozione del decreto:

• sarà regolamentato il trattamento delle numerazioni telefoniche mediante l’impiego del telefono e l’invio di posta cartacea per la diffusione di materiale pubblicitario o la vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.;
• la disciplina del RPO verrà estesa a tutte le numerazioni nazionali fisse e mobili, comprendendo anche quelle non riportate negli elenchi telefonici, cartacei o elettronici, attualmente escluse;
• verrà estesa anche alle comunicazioni via posta cartacea la possibilità per gli utenti di indicare i soggetti nei confronti dei quali intendono revocare l’opposizione al trattamento dei dati personali.

Maria Vittoria Aprigliano

L'articolo Telemarketing e Registro delle opposizioni: il Garante Privacy emette parere favorevole sullo Schema di decreto del Presidente della Repubblica. proviene da E-Lex.

As part of the Digital Decade, the EU Commission today presented its draft principles that are supposed to strengthen fundamental rights in the digital era. According to EU Vice-President Margrethe Vestager, the text shall serve as a benchmark and guideline for corporations and policymakers, when implementing new technologies in the future. EU civil society and the representation of its fundamental digital rights, such as privacy, empowerment and inclusion shall be at the heart of policy.

Patrick Breyer, MEP for the German Pirate Party and digital rights activist, is skeptical:

“It is positive to see the EU Commission not only talking fundamental rights, but wanting to put them into practise. However, in light of the actual policies of von der Leyen’s Commission, this announcement turns out to be nothing but smoke and mirrors. You cannot, on the one hand, point to the right to confidential communications, while at the same time pursue chat control to monitor EU citizens’ private messages without suspicion. You cannot, on the one hand, publish a survey, according to which 91% of citizens consider the right to confidential communications of paramount importance, while at the same time pursuing data retention plans to collect information about the communications of the entire population. You cannot, on the one hand, promise ‘artificial intelligence’ that conforms to fundamental rights, while at the same time reject a ban on biometric mass surveillance in public spaces. All in all, the suspicion is growing that this ‘declaration’ is only a smoke screen, while the actions of the EU Commission seem rather inspired by the model of the Chinese surveillance state.

“Extremely dangerous and hostile to fundamental rights is the statement that children needed to be protected from ‘harmful content’, that they have a ‘right to be protected from all crimes, committed via or facilitated through digital technologies’, and that all crime should be ‘prevented’. Preventing all crime is impossible in a free society, and trying to do so would result in creating a totalitarian Stasi state. Without asking for their opinion, children are currently being instrumentalised by politicians to justify policies such as indiscriminate chat control as well as attacks on secure encryption. Children have a right to be protected from political instrumentalisation!”

patrick-breyer.de/en/hypocriti…

Il giorno 28 gennaio 2022, dalle ore 15.00 alle 17.00, in occasione della giornata inaugurale del Master di II livello in Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert, si svolgerà il Webinar “La protezione dei dati personali durante le emergenze: quale equilibrio possibile?

Sarà possibile partecipare all’incontro collegandosi alla Piattaforma Microsoft Teams tramite il seguente link: teams.microsoft.com/l/meetup-j…“

L'articolo 28 Gennaio 2022 – La protezione dei dati personali durante le emergenze: quale equilibrio possibile? proviene da E-Lex.

submitted by realcaseyrollins to fediverse
1 points | 1 comments
fedi.ninja/

Looks like fediverse.network is back, in a different form!

fedi.ninja/

Gli Stati Uniti potrebbero intervenire in via legislativa per arginare il fenomeno del dark pattern.

In estrema sintesi, possono essere definite come pratiche di dark pattern tutte le interfacce con cui i programmatori confondono consapevolmente gli utenti, complicando le modalità per esprime le proprie preferenze effettive o manipolando gli utenti affinché intraprendano determinate azioni. Pertanto, sono pratiche che incidono sulla libertà di manifestazione del consenso, sfruttando baias cognitivi, al fine, in genere, di favorire i consumatori online ad acquistare beni e servizi che non desiderano o a rivelare informazioni personali che preferirebbero non divulgare.

Secondo una ricerca del 2019 della Princeton University, su 11.000 siti passati in rassegna, circa il 10% conterrebbe dark pattern. È interessante notare che, in una ricerca dell’anno successivo, si evidenzia invece che ben il 95% app gratuite disponibili sul PlayStore Google conterrebbe elementi che incidono negativamente sulle modalità di manifestazione del consenso da parte degli utenti. Si tratta di dati forse approssimativi, che però spiegano sia l’estensione del ricorso a tali pratiche, sia, al contempo, la velocità con cui si stanno diffondendo.

Del resto, è opinione diffusa che internet stia vivendo una nuova stagione e che si sia passati da servizi informatici che controllavano gli utenti a servizi informatici che incidono, in maniera manipolativa, sui loro comportamenti. Quindi non siamo più semplicemente al cospetto di un uso dei dati – per lo più in forma aggregata, quali big data – per le finalità più disparate (influenza commerciale, politica, ecc.), ma siamo oramai entrati nell’era in cui i nostri comportamenti sono indirizzati dalle piattaforme. Basti pensare, a titolo di banale esemplificazione, alle immagini che spesso gli utenti condividono sui social network (Instagram, Facebook, TikTok) e alla ripetitività delle situazioni e dei contesti ritratti: foto di caffè, pizze con gli amici, foto in ascensore e così via discorrendo. Immagini (foto o video) che riprendono momenti di assoluta quotidianità, che, di per sé, non hanno nulla di eccezionale, ma che denotano l’esigenza, per dir così, degli utenti di sentirsi vivi e di dimostrarlo all’esterno, coinvolgendo amici e semplici conoscenti nelle proprie attività, spesso banali e ripetitive.

Il dark pattern è alla base di una proposta di legge statunitense, il Deceptive Experiences To Online Users Reduction (DETOUR) Act. Si tratta di una proposta non ancora approvata in via definitiva, per quanto è dato sapere, ma che, ciononostante, offre degli spunti di riflessione interessanti.

Innanzitutto, l’ambito di applicazione soggettiva è circoscritto alle sole piattaforme online più popolari, quelle cioè con oltre cento milioni di utenti attivi mensilmente. Un simile approccio, è noto, è stato seguito anche a livello europeo nella direttiva europea in materia di copyright, recentemente recepita a livello interno, le cui regole di responsabilità sono si basano sul numero di utenti delle piattaforme informatiche, con una esenzione nel caso delle piattaforme più piccole: un modo, questa è la lettura prevalente in dottrina, di non limitare lo sviluppo dei nuovi operatori e, quindi, di non radicalizzare le posizioni monopolistiche o oligopolistiche già presenti sul mercato.

In secondo luogo, il presupposto per l’applicazione – questa volta sotto il profilo oggettivo – è il ricorso ad interfacce che compromettano intenzionalmente l’autonomia, il processo decisionale o la scelta dell’utente. La normativa, laddove dovesse essere confermato il testo in discussione, troverebbe quindi campo solo dinanzi ad un dolo da parte del gestore della piattaforma.

Una scelta che, naturalmente, sarebbe difficilmente imitabile in sede comunitaria, attesa la già ricordata estensione delle pratiche commerciali sleali anche ai casi in cui l’incidenza sui processi volontaristici del consumatore sia determinata da una condotta colposa. Allo stesso modo, adottando una simile conclusione si genererebbe una sorta di probatio diabolica in capo all’utente, chiamato a dover dimostrare la volontarietà della condotta del gestore della piattaforma.

Il punto interessante – seppur ancor vago nella sua formulazione – è quello che riguarda il divieto della suddivisione o segmentazione dei consumatori ai fini di profilazione (o altri esperimenti comportamentali) senza una preventiva informativa al consumatore, informativa che deve essere chiaramente visibile e non “sepolta” in un contratto di servizi.

La soluzione è interessante e tiene conto delle peculiarità anche del mezzo informatico: alcune ricerche accademiche hanno dimostrato chiaramente che la maggior parte degli utenti non legge le condizioni generali dettate unilateralmente dai fornitori dei servizi (un esempio classico sono le licenze per l’utilizzo dei software). La proposta di legge statunitense impone quindi di dare un’evidenza, anche da un punto di vista grafico, a tali comunicazioni: si pensi, ad esempio, all’uso di pop-up, che potrebbero attirare più semplicemente l’attenzione dell’utente.

Si crea, per questa via, una categoria di informazioni che non solo devono essere fornite al consumatore, ma devono essere portate a conoscenza di quest’ultimo separatamente dalle altre.

Ma v’è di più. I grandi operatori delle piattaforme on-line, così come precedentemente qualificati, hanno altresì l’obbligo di inviare un’ulteriore comunicazione agli utenti, con scadenza almeno trimestrale, rammentando l’uso delle informazioni personali per fini di profilazione comportamentale o psicologica degli stessi. Anche in questo caso, l’opzione legislativa sembra finalizzata, più che a imporre una regola formale, a determinare un’effettività della stessa.

Il legislatore americano, quindi, sembra essere consapevole che le informazioni necessarie a determinare consapevolezza negli utenti non raggiungono l’obiettivo prefissato essendo calati in un regolamento contrattuale lungo e di ardua comprensione e che, dunque, siano necessari degli strumenti differenti.

Infine, si prevede una competenza in capo alla Federal Trade Commission, che avrà il compito d fissare i requisiti della nuova normativa. Peraltro, in maniera apprezzabile, si vorrebbe affidare a tale autorità anche la funzione di aggiornare tali requisiti in funzione delle evoluzioni tecnologiche del settore.

Giovanni Maria Riccio

L'articolo Dark Pattern: nuove strategie legislative dagli Stati Uniti proviene da E-Lex.