Today, the Internal Market and Consumer Protection Committee (IMCO) called for a “right to repair”.[1] Software functionality updates should be reversible and not lead to diminished performance of the device, the report says. For MEP Patrick Breyer (Pirate Party), the paper does not go far enough:

“We Pirates want users to have control over the technology they use in their daily lives. Users need the right to modify and repair devices. Copyright and patent rights of manufacturers must no longer stand in the way!

While commercial manufacturers of IT devices must provide updates for a reasonable period of time according to current laws, there is so far no obligation to patch known vulnerabilities in a timely manner. There is also a lack of manufacturer liability for the often devastating consequences of such vulnerabilities.

When a manufacturer decides to abandon a product that is still in widespread use, the source code and development tools should have to be made public to allow the community to maintain it.

Pirates will continue to advocate for the rights of the consumer, something that has long become lost in the intellectual property debate with corporate interests having steamrollered the development of intellectual property law.”

The EU Commission is considering proposing a draft law on a right to repair in the third quarter of 2022. According to a Eurobarometer survey, 79% of EU citizens believe that manufacturers should be obliged to facilitate the repair of digital devices or the replacement of their individual parts, and 77% would rather have their devices repaired than replaced.

[1] Report, press release

patrick-breyer.de/en/pirates-r…

RT @EP_Justice
🔴 Coming up tomorrow 9.00 CET:
Hearing on GDPR implementation & enforcement

Read more:
europarl.europa.eu/news/en/pre…

Streaming link:
multimedia.europarl.europa.eu/…

mastodon.social/@noybeu/107966…

As a member of @edri, noyb contributed to a set of recommendations for better #GDPR enforcement: more resources for DPAs, harmonised processes and better use of enforcement tools is what we demand in our joint open letter: edri.org/wp-content/uploads/20…

mastodon.social/@noybeu/107965…

La nuova arma di contrasto della Federal Trade Commissione per contrastare le violazioni della privacy

La Federal Trade Commission ha lottato nel corso degli anni per trovare modi per combattere le pratiche ingannevoli dei dati digitali utilizzando la sua serie limitata di opzioni di applicazione. Nuovi standard per contrastare le violazioni della privacy e l’utilizzo di pratiche di dati ingannevoli.

protocol.com/policy/ftc-algori…

Iowa House approva un disegno di legge completo sulla privacy

La Iowa House ha approvato House File 2506 con un voto di 91-2. L’attuale disegno di legge segue da vicino lo Utah Consumer Privacy Act. HF 2506 non prevede disposizioni per opt-out o un diritto di azione privato. La data di entrata in vigore del disegno di legge è il 1 gennaio 2024. La sessione legislativa dell’Iowa si aggiorna il 19 aprile, ma il Senato deve riferire HF 2506 da una commissione entro il 18 marzo per ulteriori considerazioni.

legis.iowa.gov/legislation/Bil…

Newsletter del Garante per la protezione dei dati personali

Sanità: Anagrafe nazionale degli assistiti, ok del Garante privacy – Siti web della Pa: sì del Garante privacy alle Linee guida AgID – Garante privacy: sì al nuovo regolamento Bankitalia sull’analisi degli esposti – Responsabilità civile e AI: i Garanti europei scrivono alla Commissione Ue.

garanteprivacy.it/home/docweb/…

guidoscorza.it/privacy-daily-1…

RT @edri
1/9 We demand real solutions to the flaws of the law guarding our #DataProtection & #privacy! #GDPR

Though a new record high fines were issued in 2021, people still face barriers to exercising rights like access to remedy & benefiting from a harmonised enforcement mechanism.

mastodon.social/@noybeu/107965…

La label indipendente francese Pigmé Records (sempre viva le piccole etichette!) ha assemblato una interessantissima compilation, intitolata "BOMB YOUR BRAIN – BEST OF BASTARD COMPILATION VOL. 1",

iyezine.com/aa-vv-bomb-your-br…

AA VV – BOMB YOUR BRAIN VOL. 1

- La label indipendente francese Pigmé Records (sempre viva le piccole etichette!) ha assemblato una interessantissima compilation, intitolata "BOMB YOUR

^{In Your Eyes ezine}

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at noyb.eu/en/traineeship

mastodon.social/@noybeu/107959…

La Data Protection Authority belga, con decisione n. 21 del 2 febbraio 2022, ha stabilito che la versione 2.0 del Transparency & Consent Framework (TCF) di IAB Europe non è conforme al Regolamento (UE) 2016/679. Si tratta di una pronuncia dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale fondano la propria attività sugli standard fissati dal TCF.

Secondo la Data Protection Authority belga (DPA), il TCF predisposto da IAB (Interactive Advertising Bureau) Europe, con il supporto di IAB Tech Lab, per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari online, viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679 (di seguito GDPR) e, per tale ragione, ha comminato nei confronti di IAB Europe una sanzione di 250.000 euro.

La decisione, peraltro, è solo formalmente emessa dal Garante belga, il quale ha operato in qualità di Lead Authority che guida e decide nei casi che coinvolgono contemporaneamente più territori dell’Unione (c.d. “one-stop-shop” previsto dall’art. 60 del GDPR), cooperando con le Autorità di tutti gli Stati membri dell’UE.

1. Il TCF e la pubblicità digitaleIl TCF di IAB Europe, diffuso nel 2018 e aggiornato nel 2020, è un framework che si pone l’obiettivo di rendere conformi alla disciplina in materia di protezione dei dati personali, in particolare al GDPR, le modalità con cui gli editori, i fornitori di adtech e le agenzie possono gestire e fornire annunci pubblicitari.

Il TCF, tra l’altro, consente di accedere ad una Consent Management Platform (CMP), vale a dire una piattaforma in cui gli editori di siti web possono comunicare ai visitatori/utenti quali dati vengono raccolti e con quali aziende collaborano per la loro elaborazione. Le CMP, in particolare, assicurano, da un lato, l’implementazione tecnica di un banner attraverso il quale gli interessati possono indicare le loro scelte in merito al trattamento dei loro dati personali. Dall’altro, consentono la condivisione tra gli aderenti al framework delle preferenze stesse dell’utente registrate in un file, la “TC string”, che le memorizza sotto forma di cookie euconsent-v2, al fine di contribuire al Real Time Bidding (o asta in tempo reale), denominato anche “OpenRTB”1.

2. Violazioni del GDPRNonostante lo scopo prefissato da IAB Europe con la predisposizione del TCF, ovvero garantire la conformità al GDPR delle modalità di gestione e fornitura degli annunci pubblicitari, la DPA ha riscontrato alcune violazioni della normativa, che possono essere sintetizzate come segue.

• Mancata qualificazione di IAB Europe come titolare del trattamento

La DPA ha constatato che IAB, non qualificandosi come titolare del trattamento, non ha adempiuto ai principali obblighi e alle responsabilità che il GDPR attribuisce ai titolari del trattamento.

Tuttavia, dalla ricostruzione effettuata dal Garante è emerso che IAB Europe, nella propria attività, stabilisce i mezzi di elaborazione della TC string e del cookie euconsent-v2, sia per il servizio specifico che per i consensi di portata globale, e, pur limitandosi a raccomandare alle CMP di utilizzare un cookie di prima parte, senza imporre un meccanismo specifico per memorizzare il consenso degli utenti nel browser, può fornire un elenco di possibili meccanismi per collegare la TC String a un singolo utente.

Per tali ragioni e tenuto conto della definizione di cui all’art. 4 (n. 7), quindi, il Garante ha qualificato IAB Europe come titolare del trattamento dei dati personali, mentre i soggetti partecipanti al mercato della pubblicità digitale – secondo la DPA – devono essere inquadrati come contitolari del trattamento ai sensi dell’art. 26 del GDPR.

• 2.2 Liceità e correttezza del trattamentoLa prima conseguenza della mancata qualificazione come titolare è che IAB Europe non ha identificato una base legale per l’elaborazione della stringa TC. Inoltre, le basi legali fornite dal TCF per l’ulteriore elaborazione da parte dei fornitori di adtech sono inadeguate.

Il Garante, infatti, ha evidenziato la mancanza di un consenso inequivocabile espresso da parte dagli utenti al trattamento e l’impossibilità di ipotizzare, in extremis, l’interesse legittimo (art. 6, par. 1, lett. f, GDPR) come base del trattamento, poiché l’interesse legittimo di IAB Europe non può essere ritenuto prevalente rispetto ai diritti e alle libertà degli interessati.

• 2.3. Mancanza di trasparenzaL’Autorità ha rilevato, inoltre, la violazione degli obblighi derivanti dal principio di trasparenza disciplinato dal GDPR (artt. 12, 13, 14), poiché le modalità con cui le informazioni sono fornite agli interessati, stabilite da IAB Europe, non sono conformi ai requisiti di trasparenza, comprensibilità e accessibilità. In linea generale, infatti, gli interessati devono sempre essere in grado di determinare in anticipo la portata e le conseguenze del trattamento e non dovrebbero essere messi a conoscenza a posteriori di trattamenti non previsti concernenti i propri dati personali.

• 2.4. Violazioni concernenti il principio di accountability, le misure di sicurezza e i principi di privacy by default/by designInoltre, IAB Europe non ha provveduto a:

• adottare misure organizzative e tecniche conformi al principio della protezione dei dati sin dalla progettazione e per impostazione predefinita, per garantire, tra l’altro, l’esercizio effettivo dei diritti degli interessati e la validità e integrità della verifica delle scelte dell’utente;
• aggiornare gli attuali registri delle attività di trattamento includendo il trattamento dei dati personali nel TCF da parte di IAB Europe, in conformità con l’articolo 30 del GDPR;
• effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR;
• nominare un Data Protection Officer (DPO), nel rispetto gli artt. 37-39 GDPR.

3. DecisioneIl Garante belga, oltre a sanzionare IAB Europe, ha ordinato alla società di allineare il trattamento dei dati personali nel contesto del TCF alle disposizioni del GDPR, adottando le seguenti misure:

● individuare una valida base giuridica per il trattamento e la diffusione delle preferenze dell’utente ai sensi del TCF, nonché vietare l’uso del legittimo interesse come base per il trattamento dei dati personali da parte delle organizzazioni partecipanti al TCF;

● assicurare efficaci misure di monitoraggio tecnico e organizzativo al fine di garantire l’integrità e la riservatezza della TC String;

● verificare a fondo i soggetti partecipanti al TCF per assicurarsi che soddisfino i requisiti del GDPR;

● adottare misure tecniche e organizzative per impedire che il consenso al trattamento sia espresso per impostazione predefinita nelle interfacce CMP e per impedire l’autorizzazione automatica alla comunicazione dei dati degli utenti ai venditori partecipanti, sulla scorta del presunto interesse legittimo per le loro attività di trattamento;

● far sì che le CMP adottino un approccio uniforme e conforme al GDPR per le informazioni da trasmettere agli utenti;

● aggiornare gli attuali registri delle attività di trattamento, includendo il trattamento dei dati personali nel TCF da parte di IAB Europe;

● effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR (DPIA) in relazione alle attività di trattamento svolte nell’ambito del TCF;

● nominare un responsabile della protezione dei dati (DPO).

Tali misure di conformità dovranno essere implementate entro sei mesi dalla convalida di un piano d’azione da parte del Garante belga e, in caso di mancato rispetto del suddetto termine, è prevista un’ulteriore sanzione di 5.000 euro per ogni giorno di ritardo.

A seguito di tale decisione, da un lato, IAB Europe sarà chiamata ad intervenire sensibilmente su molte delle sue prassi; dall’altro, gli aderenti al framework di IAB saranno tenuti ad intraprendere alcune azioni per conformarsi al GDPR, come, ad esempio:

• procedere alla sottoscrizione di un apposito accordo di contitolarità volto a regolamentare l’assetto dei rapporti privacy tra le parti, anche al fine di determinare le rispettive responsabilità (art. 26 GDPR);
• analizzare i rischi e valutare l’impatto sulla protezione dei dati personali in relazione al trattamento dei dati personali nell’ambito del TCF;
• aggiornare le informative alla luce delle valutazioni del Garante belga.

Nei prossimi mesi dovranno essere attentamente valutati gli effetti della decisione, in particolar modo sotto il profilo commerciale. Infatti, le società che fino ad ora hanno fatto affidamento su un sistema di marketing fondato sugli standard fissati dal TCF saranno costrette a rivedere le proprie strategie promozionali.

Alessandro Perotti

1 L’OpenRTB (o RTB), in linea generale, è una modalità di compravendita all’asta di spazi pubblicitari online, che prende avvio nel momento in cui un utente carica nel browser una pagina che contiene uno spazio pubblicitario. A quel punto, le informazioni riguardanti la pagina e l’utente vengono trasmesse ad un software per lo scambio di annunci, che le mette all’asta e le vende all’inserzionista disposto a pagare il prezzo più alto. Gli inserzionisti (advertisers), che in genere utilizzano le Demand Slide Platform (DSP) per decidere quali impressions acquistare e quando, da un lato, e gli editori (publishers), che utilizzano le Sell Side Platform (SSP) per cercare di ottimizzare la vendita degli spazi pubblicitari a loro disposizione, dall’altro, si incontrano negli Ad Exchange, veri e propri “mercati di impressions” nel quale l’asta si conclude nel giro di pochi istanti con il caricamento dell’annuncio vincente nella pagina web.

L'articolo Il Transparency & Consent Framework di IAB Europe viola il GDPR proviene da E-Lex.

Secondo disco per il gruppo punk oi della bergamasca Prodotti Locali, E’ Tutto Vero, autoprodotto.

iyezine.com/prodotti-locali-e-…

Prodotti Locali - E' Tutto Vero - Storie Vere Storie Vissute - Autoproduzione 2022

^{In Your Eyes ezine}

The negotiators of the largest political groups in the European Parliament agreed Wednesday night on a deal to reform the European election law. German-led EPP achieved agreement to the introduction of a 3.5% threshold for European elections in Germany in order to bypass several rulings of the Federal Constitutional Court invalidating national thresholds. On the basis of the latest election results, the threshold could prevent six small German parties from being represented and hand over their 9 seats to large parties. This would prevent for example the anti-establishment German Pirate Party and the satirical political party Die PARTEI (led by MEP Martin Sonneborn) from being reelected in 2024. As a result EPP could expect to grow by 3 German MEPs while Greens/EFA stands to lose 2.

In exchange for agreement to the threshold EPP agreed to demands by S&D, Renew and Greens/EFA to introduce transnational lists and a gender parity requirement for electoral lists to European elections. The formal vote on the deal in the European Parliament is yet to take place. The EU governments will then have the final say, having to reach an agreement in the Council and needing the consent of all national parliaments.

German Pirate Party MEP Patrick Breyer condemns the deal:

“This threshold is an attack on democracy. With the envisaged threshold of 3.5%, 3.1 million votes cast for six small parties in Germany would have been invalidated in the most recent European elections. This exceeds the total votes cast in the smallest 6 EU Member States! The small parties‘ parliamentary seats would fall into the hands of the political establishment which voters intended to oppose.

Leaving millions of citizens who are disillusioned with the established parties no other choice will either drive them into the arms of authoritarian nationalists or make them turn their backs on democracy altogether. Both will damage our democracy and endanger the future of Europe. Europe needs to be more inclusive, not less. “

While the German Constitutional Court annulled thresholds for elections to the European Parliament so far, there is a theoretical threshold of about 200,000 votes needed to win a seat. A 3.5% threshold would require a German party to win more than a million votes in order to be represented in the European Parliament.

patrick-breyer.de/en/electoral…