Nuovo appuntamento con la rubrica #LIBRARY. Oggi sono con Giuseppe Mobilio, ricercatore in diritto costituzionale all’Università degli Studi di Firenze, che ringrazio, per parlare del suo libro “Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative”.

Guarda il video:

youtube.com/embed/0jC22IAFq24?…

guidoscorza.it/nuovo-appuntame…

Un’App per la perdita di peso ha raccolto per anni dati di bambini e li ha utilizzati per fornire loro un servizio e addestrare i propri algoritmi all’insaputa dei genitori. La Federal Trade Commission ora ha detto basta.

È una decisione preziosa quella appena adottata dalla Federal Trade Commission americana contro “Kurbo” una App gestita dalla WW International che per anni ha fornito servizi per la perdita di peso a bambini anche minori di 13 anni senza il consenso dei genitori in aperta violazione della disciplina americana e raccolto egualmente in violazione della medesima disciplina tonnellate di dati personali, anche sanitari, degli stessi bambini.

Una decisione bella non solo perché richiama l’attenzione una volta di più sulla piaga delle App che propongono anche ai bambini diete e sistemi più o meno affidabili e talvolta niente affatto affidabili per la perdita di peso, facendo leva sulle loro debolezze e sulla loro immaturità.

Ma anche e soprattutto perché ribadisce un principio che dobbiamo trovare la forza di fissare una volta per tutte. Chi ha l’obbligo come accade negli Stati Uniti a chi fornisce servizi digitali di verificare che i propri utenti abbiano almeno una certa età, 13 anni nel caso degli Stati Uniti, o si iscrivano al servizio con il permesso dei genitori, non può limitarsi a credere a quello che i bambini dichiarano sulla porta dell’App o del sito, ovvero di avere più di 13 anni o addirittura di essere i loro genitori.

Troppo facile, troppo poco serio, troppo inaffidabile. E nel caso di specie la Federal Trade Commission mette nero su bianco non solo che il fornitore di servizio si accontentava che i suoi utenti, anche bambini di 8, 9, 10 anni dichiarassero di averne 13, ma che continuava ad erogare il servizio ai suoi giovanissimi utenti anche dopo che questi ultimi una volta entrati impostavano l’età corretta per potersi fare calcolare il loro peso forma.

I gestori dell’App dunque conoscevano o almeno avrebbero potuto conoscere la circostanza di avere a bordo dei bambini minori di 13 anni entrati dichiarando di averne di più, ma non assumevano alcuna iniziativa al riguardo. E naturalmente trattavano i loro dati personali, li davano in pasto ai loro algoritmi. Si tratta di un fenomeno che diete a parte è drammaticamente diffuso e contro il quale occorre correre ai ripari il prima possibile.

Anche online non tutto è per tutti e i rischi connessi all’uso da parte di un bambino di un servizio non adatto alla sua età sono enormi. Ma la Federal Trade Commission ha rimproverato ai gestori dell’App anche di aver nascosto dietro un link quasi inaccessibile l’informativa sul trattamento dei dati personali e sul funzionamento dell’App e di aver così ostacolato la comprensione da parte degli utenti delle modalità di funzionamento del servizio e delle tipologie di dati trattati.

Un altro principio importante troppo spesso dimenticato anche da questa parte dell’oceano. Gli obblighi di informazione e trasparenza sono una cosa seria e non si può pensare di adempiervi nascondendo questo o quel link con la speranza che nessuno lo veda o ci clicchi sopra.

Bene anche l’ordine che la Federal Trade Commission ha indirizzato ai gestori dell’App, non solo cancellare tutti i dati personali dei bambini raccolti illecitamente e pagare una multa salata, ma anche distruggere tutti gli algoritmi sviluppati o addestrati utilizzando questi dati. E si tratta di una misura alla quale negli anni che verranno bisognerà pensare con attenzione. Un algoritmo cresciuto grazie al contributo di dati personali che non avrebbe dovuto trattare merita di essere distrutto perché altrimenti violare le regole a cominciare da quelle sulla privacy per addestrare gli algoritmi rischia di diventare economicamente vantaggioso per tanti, per troppi.
Buona giornata!

Ascolta il podcast su HuffPostItalia.

guidoscorza.it/governare-il-fu…

Sicurezza informaticaAumenta il rischio cyber per le pubbliche amministrazioni italiane

Il conflitto tra Russia e Ucraina ha scatenato in Europa anche una vera e propria cyberwar. In queste settimane l’Agenzia per la cybersicurezza nazionale e il Computer Security Incident Response Team – Italia hanno più volte messo in evidenza che anche le amministrazioni italiane devono prestare particolare attenzione alla sicurezza informatica alla luce dell’aumentare delle attività malevole.

Leggi la news

Cloud della PAOnline la Circolare esplicativa AGID

L’Agenzia per l’Italia Digitale ha pubblicato una nuova Circolare, la n.1 del 28 febbraio 2022, sul tema del cloud della PA. Il documento fornisce alle amministrazioni e ai loro fornitori alcuni chiarimenti, indicazioni ed elementi informativi per l’applicazione univoca delle norme del nuovo Regolamento sul “Cloud della PA” pubblicato lo scorso dicembre.

Consulta la circolare

AccessibilitàDisponibile lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità

L’Agenzia per l’Italia Digitale ha pubblicato lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità. A partire da quest’anno, la pubblicazione degli obiettivi di accessibilità potrà essere effettuata dal Responsabile della transizione digitale (RTD) sul portale form.agid.gov.it nella apposita sezione dedicata agli Obiettivi di Accessibilità.

Ricordiamo che le amministrazioni devono provvedere entro il 31 marzo prossimo.

Consulta la nota AGID

Identità digitale AGID adotta le Linee guida SPID per minori

L’Agenzia per l’Italia Digitale ha pubblicato le Linee guida operative per il rilascio dell’identità digitale in favore dei minori. Le Linee guida consentiranno ai ragazzi – dai 5 anni in poi – di ottenere e usare SPID per l’accesso ai servizi digitali sotto la supervisione dei genitori.

Leggi la notizia

Anticorruzione e trasparenzaPrevenzione della corruzione e della trasparenza: istituito il Registro dei Responsabili

L’Autorità nazionale anticorruzione ha istituito il Registro dei Responsabili della prevenzione della corruzione e della trasparenza (Rpct). L’introduzione del registro ha il fine di rendere rapida ed efficace l’interlocuzione tra i responsabili presenti nelle amministrazioni e negli enti.

La costituzione del Registro è, inoltre, funzionale alla creazione di una rete nazionale dei Responsabili stessi.

Consulta la nota ANAC

L'articolo What’s new in Italy on Digital Administration<BR> n.2 – Marzo 2022 proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Tik Tok: l’ok dell’Alta Corte del Regno Unito ad un’azione collettiva sulla privacy dei minori

TechCrunch riferisce che l’Alta Corte di giustizia del Regno Unito ha stabilito la procedibilità di un’azione legale collettiva contro TikTok relativa a presunte violazioni nei confronti della privacy di minori. Un portavoce di TikTok ha dichiarato che la società ha “politiche, processi e tecnologie solide in atto per aiutare a proteggere tutti gli utenti, e in particolare i nostri utenti adolescenti”. L’azione legale è stata intentata nel dicembre 2020 da una ragazza di 12 anni, cui è stato concesso l’anonimato dal tribunale, secondo cui il social network elabora i dati dei bambini in modo illegale.

techcrunch.com/2022/03/08/tikt…

Cookies e privacy le novità per gli utenti: il video informativo del Garante

Gruppo di lavoro Articolo 29: Linee guida 5/2020 sulconsenso ai sensi del regolamento (UE) 2016/679 4 maggio 2020. Corte di giustizia dell’Unione europea: Sentenza nella causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV / Planet49 GmbH – Per l’installazione di cookie è necessario il consenso attivo degli utenti di Internet.

gpdp.it/web/guest/temi/cookie

Dubai lancia una piattaforma per rilevare le vulnerabilità dei siti web del governo

Il Dubai Electronic Security Center (DESC), parte della Dubai Digital Authority, ha lanciato una piattaforma di sicurezza informatica per rilevare le vulnerabilità nel governo e in altri siti web. La piattaforma TIRS è uno dei pilastri del Dubai Cyber ​​Index, lanciato a metà del 2020 per supportare le prestazioni complessive della sicurezza informatica presso le istituzioni governative dell’Emirato.

smartcitiesworld.net/data-priv…

guidoscorza.it/privacy-daily-1…

Dobbiamo ritenere responsabili le piattaforme di social media per l’esperimento sociale che stanno conducendo sui nostri figli per profitto. È il momento di rafforzare le tutele alla privacy, vietare la pubblicità mirata ai bambini e chiedere alle società tecnologiche di smetterla di raccogliere i dati personali dei nostri figli”. Lo ha detto il presidente degli Stati Uniti d’America Joe Biden nel suo primo discorso alla nazione.

Sono parole dure anzi durissime, probabilmente le più dure sin qui mai utilizzate da un presidente degli Stati Uniti d’America in carica all’indirizzo dell’industria tecnologica nazionale e in particolare dei gestori delle grandi piattaforme di social network e non solo che hanno avuto i natali proprio negli USA.

Niente più profilazione a scopo commerciale dei più piccoli e soprattutto l’immagine dei più piccoli come cavie da laboratorio nelle mani delle Big Tech. Un’immagine fortissima. Almeno attorno alla questione della tutela dei più piccoli davanti ai rischi connessi al trattamento massiccio dei loro dati personali da parte di Google, di Facebook, di Apple, e delle altre Big Tech, la distanza tra la politica americana e quella europea sembra ormai ridottissima.

Le parole di Biden infatti sono in linea con quanto la disciplina europea già prevede con riguardo ai cosiddetti fornitori di servizi media audiovisivi e con quanto si intende prevedere in maniera generalizzata attraverso il Digital Service Act, il nuovo regolamento attualmente in discussione davanti al Parlamento Europeo secondo il quale sono vietate le tecniche di targeting o amplificazione che trattano, rivelano, o inferiscono i dati personali dei minori.

Perché non c’è dubbio che la raccolta massiccia di dati personali dei bambini che si consuma quotidianamente mentre usano le piattaforme e i servizi digitali forniti dalle Big Tech e non solo dalle Big Tech per le finalità più disparate, dallo studio al divertimento, è ormai sempre più spesso e con poche eccezioni strumentale alla creazione di profili di consumo, e non solo di consumo, di questi ultimi da utilizzarsi a scopo commerciale quando non anche a scopi meno nobili.

Continua ad ascoltare il HuffPostItalia.

guidoscorza.it/governare-il-fu…