Con Diego Dimalta, avvocato ed esperto di privacy, e Angelo Leone, ingegnere ed esperto di sistemi informatici e privacy, abbiamo fatto una bella chiacchierata a #LIBRARY sul loro ultimo libro “La privacy nelle istituzioni scolastiche. La protezione dei dati ai tempi del GDPR. Manuale pratico per dirigenti, personale scolastico e DPO”.
Nel video alcune anticipazioni:

youtube.com/embed/i3_rHm1mWP4?…

guidoscorza.it/nuovo-appuntame…

Nell’Unione Europea sono in corso i lavori per portare avanti un pacchetto legislativo antiriciclaggio proposto dalla Commissione Europea a luglio dello scorso anno. Oltre ad aggiornare la normativa esistente, l’intenzione è di estenderne l’applicazione anche al settore crypto.

Come vedremo, questo pacchetto legislativo fa parte di un attacco coordinato a livello globale al settore crypto, e arriva direttamente dal FATF - un’organizzazione sconosciuta che dal 1989 detta legge dalla sua sede di Parigi.

Oggi cercheremo di capire di cosa stiamo parlando, quali sono i punti salienti di questo pacchetto normativo e quali sono le implicazioni per la nostra vita privata e libertà.

Subscribe now

Il pacchetto legislativo AML-CFT

Tutto inizia il 20 luglio 2021. La Commissione Europea presentò un “ambizioso pacchetto” per potenziare la normativa anti riciclaggio e contro il finanziamento al terrorismo (AML-CFT).

Il pacchetto è composto di quattro proposte di legge:

• A Regulation establishing a new EU AML/CFT Authority
• A Regulation on AML/CFT, containing directly-applicable rules, including in the areas of Customer Due Diligence and Beneficial Ownership
• A sixth Directive on AML/CFT (“AMLD6”), replacing the existing Directive 2015/849/EU (the fourth AML directive as amended by the fifth AML directive)
• A revision of the 2015 Regulation on Transfers of Funds to trace transfers of crypto-assets (applicazione della c.d. “travel rule”).

Quello di cui stanno parlando in molti in questo periodo è la quarta proposta, che è stata votata e adottata il 31 marzo 2022 dalle commissioni del parlamento europeo ECON (Economic and Monetary Affairs) e LIBE (Civil Liberties, Justice and Home Affairs), con più di 80 emendamenti rispetto alla proposta originaria della Commissione.

La proposta così adottata sarà votata ad aprile in sede plenaria dal Parlamento europeo, per poi passare agli step legislativi successivi.

Subscribe now

Nuove regole AML-CFT

Prima di passare all’esame della proposta che estende la “travel rule” alle transazioni crypto, vale la pena evidenziare alcuni aspetti importanti delle nuove regole generali in tema di AML-CFT, cioè la seconda proposta del pacchetto.

Il primo aspetto saliente è che l’Unione Europea ha deciso di attaccare con tutte le sue forze qualsiasi istanza di anonimato in ambito finanziario, compreso quello crypto.

L’articolo 58 del Regolamento AML-CFT è molto chiaro:

Agli enti creditizi, agli enti finanziari e ai fornitori di servizi per le cripto-attività è fatto divieto di tenere conti anonimi, libretti di risparmio anonimi, cassette di sicurezza anonime o portafogli di cripto-attività anonimi, nonché qualsiasi conto che consenta altrimenti l'anonimizzazione dell'intestatario del conto cliente.

Un’altro aspetto saliente delle nuove regole AML / CTF è che la guerra all’anonimato passa anche dal caro vecchio contante.

Nei piani c’è infatti il divieto generale di pagamenti in contanti che superano i €10.000, sia in unico pagamento che attraverso transazioni di valore inferiore collegate tra loro.

Le persone che commerciano beni o forniscono servizi possono accettare o effettuare un pagamento in contanti fino a un importo di 10 000 EUR o importo equivalente in valuta nazionale o estera, indipendentemente dal fatto che la transazione sia effettuata con un'operazione unica o con diverse operazioni che appaiono collegate.

La premessa di tutto il nuovo pacchetto normativo per l’antiriciclaggio è che in Europa non deve esistere alcuno spazio di anonimato; salvo per quel minimo di contante che per il momento non può essere eliminato del tutto.

Subscribe now

La famigerata travel rule

Vediamo ora in cosa consiste la quarta proposta di legge del pacchetto, “riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività”.

Questa proposta di regolamento andrà a sostituire il Regolamento 2015/847, estendendo la c.d. “travel rule” anche al settore crypto.

Ambito di applicazione della legge

La legge si applicherà a tutti i trasferimenti di “crypto asset” inviati o ricevuti attraverso un intermediario. Per “crypto asset” si intende:

a digital representation of a value or a right that uses cryptography for security purposes and is in the form of a coin or a token, or any other digital medium, which is able to be transferred and stored electronically, using distributed ledger technology or similar technology

Una definizione che praticamente abbraccia qualsiasi cosa, dagli stablecoin a Bitcoin, fino ad arrivare anche agli NFT.

Da notare che la definizione di crypto asset permetterà l’applicazione della normativa anche a soggetti come Facebook, che dal 2018 ha già annunciato l’intenzione di emettere il proprio crypto-token (originariamente chiamato Libra). Non mi sembra un’ottima idea dare una scusa un più a Facebook di raccogliere ancora più dati personali dai suoi utenti, ma certamente il legislatore avrà fatto le sue valutazioni.

Oltre ai trasferimenti di crypto asset tramite intermediari, la norma si applicherà anche agli ATM, che finora rimanevano invece tra le rare ipotesi senza politiche KYC (know your customer):

This Regulation shall also apply to transfers of crypto-assets executed by means of
kiosks connected to a distributed ledger network known as crypto-asset automated teller machines (‘crypto-ATMs’).

Nelle intenzioni delle Commissioni LIBE ed ECON, la legge si applicherà anche agli “unhosted wallets”, cioè quei wallet le cui chiavi private sono detenute da una persona e non un’azienda. Operatori tipo Coinbase dovrebbero quindi in qualche modo acquisire informazioni sulle transazioni nel momento in cui una persona volesse inviare fondi dal suo wallet a quello di Coinbase. Una misura oltremodo assurda e che rischia di bloccare l’innovazione di un intero settore.

Per ovvie ragioni la legge non si applicherà invece a transazioni da persona fisica a persona fisica (P2P), ma come visto ci saranno comunque implicazioni indirette nel momento in cui le persone si rivolgeranno a intermediari, che dovranno acquisire informazioni e valutare il rischio prima di approvare una transazione.

Quali dati saranno comunicati?

Tutti i trasferimenti di “crypto assets” dovranno essere accompagnati dalle seguenti informazioni:

• Nome, indirizzo wallet e account del mittente
• Stato di residenza e indirizzo del mittente
• Data e luogo di nascita del mittente
• Codice identificativo dell’account del mittente
• Nome e indirizzo wallet del beneficiario

A questi dati vanno chiaramente aggiunti tutti gli altri dati e metadati (informazioni descrittive di eventi informatici) che accompagnano già adesso le transazioni. Purtroppo, le commissioni ECON e LIBE hanno votato per eliminare il limite di € 1.000 originariamente proposto dalla Commissione.

Se la proposta dovesse passare così come emendata, ogni singola transazione sarà soggetta alla travel rule, “a causa del profilo di rischio specifico dei crypto-asset, in quanto ci sono chiare indicazioni sul fatto che le attività criminali e di finanziamento al terrorismo tramite crypto asset sono spesso legate a piccole transazioni”.

Approccio basato sul rischio

Sempre per rimanere in tema, la proposta prevede che i fornitori di servizi di trasferimento di “crypto asset” si astengano dall’autorizzare transazioni con un rischio elevato di riciclaggio, finanziamento al terrorismo e altre attività criminali non meglio specificate.

Il rischio relativo a rapporti con altri intermediari:

• fattori geografici, relativi a giurisdizioni “non cooperative” sul piano fiscale (cioè, paradisi fiscali)
• soggetti che non adottano adeguate politiche KYC
• soggetti che non adottano adeguate politiche di sicurezza
• soggetti collegati ad attività di finanziamento al terrorismo, riciclaggio o altre attività illegali

Il rischio relativo alla tipologia di wallet da cui arriva o viene inviata la transazione:

• privacy wallets (cioè che offrono tecnologie per tutelare privacy e anonimato)
• mixers / tumblers (in pratica, servizi di coinjoin)
• indirizzi, anche “unhosted”, legati a riciclaggio o finanziamento al terrorismo

Nel caso in cui l’intermediario di pagamento riceva una richiesta di transazione da parte di “privacy wallets” o mixer, dovrà ottenere informazioni specifiche sul motivo della transazione e giustificazione dell’uso legittimo dei fondi, prima di autorizzare o negare la transazione.

Subscribe now

Come ci siamo arrivati?

Il tentativo di sottomettere il settore crypto alle assurde regole AML-CFT della finanza tradizionale inizia nel 2018, quando Facebook per la prima volta annuncia di voler creare il suo "stablecoin”: Libra.

Quel momento segnò una vera e propria svolta nella storia: per la prima volta tutti gli Stati del mondo furono messi di fronte a uno scenario impensabile fino a pochi anni prima: l’emissione di moneta più veloce, meno costosa e più user-friendly da parte di un’ente privato con miliardi di utenti. Avrebbe significato, de facto, la fine del monopolio monetario globale.

La questione fu discussa ai più alti livelli, anche nell’ambito del G20, e gli Stati non tardarono ad attivarsi.

E così entrò in scena il FATF (Financial Action Task Force), organizzazione internazionale con sede a Parigi creata dal G7 nel 1989, il cui scopo è fornire raccomandazioni e linee guida in materia di antiriciclaggio.

Nel 2019 il FATF pubblicò la sua “Guidance for a risk-based approach to virtual assets and VASPs”, con l’obiettivo di dare delle linee guida ai legislatori di tutto il mondo per affrontare i rischi derivanti dagli asset virtuali (cryptovalute, token, ecc.).

Senza girarci troppo intorno, queste linee guida hanno lo scopo esplicito di potenziare la sorveglianza finanziaria nel settore crypto e disincentivare il più possibile l’uso di strumenti di tutela della privacy e anonimato.

Questo passaggio è abbastanza esplicativo:

Tolleranza zero sull’anonimato

La forza politica del FATF, che ormai conta più di 200 paesi aderenti, è tale che oggi molti paesi in tutto il mondo stanno adottando le stesse identiche misure in modo coordinato: Canada, Stati Uniti, UK, UE, Singapore, Giappone, Corea del Sud…

Quello che da fuori sembra un processo legislativo democratico è quindi in realtà la mera ratifica di indicazioni e decisioni prese dal FATF - ente indipendente, sconosciuto, senza alcuna responsabilità politica, e non subordinato ad alcun processo democratico.

Share

È sotto l’egida del FATF che la Commissione Europea propone di aggiornare per la sesta volta una normativa che ad ogni upgrade diventa sempre più invadente e pericolosa, e che da anni ormai è oggetto di scrutinio e contestazioni da parte delle autorità europee per la protezione dei dati.

Sistematica violazione di diritti umani

Le norme europee già esistenti, e il pacchetto di aggiornamento, non prevedono nessuna misura di salvaguardia della privacy (minimizzazione dati, limitazione conservazione, privacy by design). Anzi, sono misure che volutamente creano i presupposti per discriminare attivamente le persone che utilizzano tecnologie per proteggere la propria privacy, come i cosiddetti “privacy wallets” o le tecnologie di coinjoin.

Come siamo arrivati a discriminare legalmente persone che cercano di tutelare un loro diritto fondamentale riconosciuto anche dalla Convenzione Europea dei Diritti dell’Uomo? Beh, forse aiuta sapere che la “travel rule”, che l’UE vorrebbe estendere alle transazioni crypto, è figlia del periodo più buio per i diritti umani della storia moderna. Fu infatti approvata per la prima volta negli Stati Uniti proprio dopo agli attacchi dell’11 settembre 2001, insieme al famigerato PATRIOT ACT - una delle leggi più liberticide della storia moderna.

Oltre alla sorveglianza e discriminazione, la normativa manca qualsiasi proporzionalità. L’attuazione non ponderata delle linee guida FATF mette sullo stesso piano contesti molto diversi tra loro, a cui seguono rischi diversi.

Come sottolineato anche dallo European Data Protection Board (EDPB), in una lettera dello scorso anno:

“Il framework AML/CFT dovrebbe rispettare i principi di necessità e proporzionalità. Questo implica che casi diversi dovrebbero essere trattati in modo diverso, proporzionalmente alle loro differenze”.

È chiaro allora che la normativa dovrebbe essere applicata in ragione del rischio concreto di riciclaggio e terrorismo, non certamente in modo indiscriminato, su ogni transazione, a prescindere dal contesto specifico. Come si può considerare una transazione da poche decine di euro “rischiosa” tanto quanto una transazione milionaria?

I criteri di valutazione del rischio poi sono talmente ampi e indefiniti che gli operatori non potranno far altro che adottare un approccio conservativo, che equivale al massimo livello di sorveglianza e censura possibile, per evitare sanzioni.

Un approccio di questo tipo capovolge completamente il principio di presunzione d’innocenza: siamo tutti sorvegliati e potenziali criminali fino a prova contraria, per definizione di legge. A me sembra una chiara presa di posizione: l’Unione Europea è in guerra contro i suoi stessi cittadini.

Share

Transazioni e libertà di pensiero

Come dico spesso, banche e intermediari di pagamento non hanno più alcuna vera utilità, se non quella di essere agenti di sorveglianza e censura dello Stato.

La sorveglianza finanziaria non è soltanto una sproporzionata e ingiustificata ingerenza nella nostra vita privata, ma anche un limite alla nostra libertà di pensiero.

Come scrivevo in “Lo Stato socio occulto di ogni rapporto umano”, le transazioni economiche sono la messa in atto del nostro pensiero. Sono il mezzo attraverso cui esprimiamo le nostre opinioni, ad esempio finanziando campagne politiche e/o persone in cui crediamo. E in questo Bitcoin è l’ultima frontiera umana di libertà di pensiero, proprio grazie al controllo che ci offre sulle nostre transazioni.

Come possiamo però dire di essere liberi quando ogni singola manifestazione del nostro pensiero viene tracciata, monitorata, valutata e infine censurata dallo Stato attraverso i suoi agenti di sorveglianza? Perdere la capacità di avere transazioni private significa perdere la nostra libertà.

Purtroppo, l’estremo tecnicismo di queste normative e l’assoluta mancanza di trasparenza rendono quasi impossibile avere un vero dibattito politico su questi temi. La buona notizia è che oggi il settore crypto è pieno di persone estremamente consapevoli (come i miei lettori) dell’importanza della privacy e dei rischi della sorveglianza.

Ora che sappiamo cosa ci aspetta è nostro dovere di persone libere fare in modo di cambiare questo scenario, usando tutti i mezzi a nostra disposizione: divulgazione, azioni legali e strumenti tecnologici.

Bitcoin Train

Capire Bitcoin partendo dall'attualità
By Federico Rivi

Se vuoi affrontare la questione da un diverso punto di vista, ti suggerisco di leggere l’episodio di oggi di Bitcoin Train di Federico Rivi, in cui parla anche lui delle nuove regole anti-riciclaggio.

Se ti piace Privacy Chronicles considera l’abbonamento (mensile o annuale) per supportare il mio lavoro e avere accesso a tutti gli articoli!

Quando pensiamo ai cambiamenti epocali che la pandemia del COVID-19 ha apportato alle nostre vite, raramente tendiamo a includere nella lista anche il contact-tracing. Vuoi perché in Italia il dibattito sul tema è stato relativamente ridotto o riservato agli “addetti ai lavori”; vuoi perché meno radicale rispetto a misure senza dubbio più restrittive delle nostre libertà personali...

Source

Le 8 avril 2014, la Cour de justice de l’Union européenne (CJEU) annulait la directive européenne sur la conservation des données, elle qui exigeait la collecte en masse des données d’appel et de localisation de tout citoyen. Huit ans plus tard, la Commission européenne et les gouvernements de l’UE réfléchissent à la manière de maintenir ou de rétablir ces programmes de collecte en masse. Dans un avis juridique publié aujourd’hui, l’ancien juge européen et docteur en droit Prof. Vilenas Vadapalas estime que deux des systèmes de conservation des données les plus couram-ment utilisés ne sont “pas conformes à la jurisprudence de la CJEU et aux droits fondamen-taux”:

L’ancien juge réfute la conformité de la voie tentativement choisie par la France et le Danemark consistant à justifier cette conservation au nom d’une menace permanente planant sur le terri-toire créant un risque de sécurité nationale. De même, les plans de la Commission européenne et de la Belgique, visant à capturer la grande majorité de la population par le biais d’une vaste “ré-tention géographiquement ciblée” se font recaler à l’examen juridique.

“La collecte en masse d’informations sur les communications et les mouvements quotidiens de personnes non suspectes constitue une attaque sans précédent contre notre droit à la vie privée, et représente la méthode la plus invasive de surveillance de masse dirigée par l’État contre ses citoyens”, commente Patrick Breyer, membre du Parti pirate au Parlement européen et celui qui a commissionné l’avis juridique. “De plus, les résultats toujours anecdotiques de cette arme de surveillance sont loin d’être à la hauteur des dommages qu’elle inflige à nos sociétés, selon un sondage recent. La violation persistante des droits fondamentaux, le contournement récurent de la jurisprudence pourtant claire, les coups de pression exercés sur les juges et l’ignorance des faits constituent une attaque contre l’État de droit à laquelle nous devons mettre fin !”

Sécurité nationale : La surveillance de masse n’est pas une sinécure

Sous la pression massive des gouvernements de l’UE, la Cour de justice des Communautés européennes a autorisé les États membres à imposer une conservation générale des données de communication lorsque, exceptionnellement, elle est nécessaire pour contrer une menace actuelle ou prévisible pour la sécurité nationale, telle qu’une attaque terroriste. Le Conseil d’Ètat français a toutefois invoqué cette exception de manière permanente, en se basant sur les attentats passés en France, le risque général d’actions terroristes imprévues, ainsi que sur les risques d’espionnage et d’ingérence étrangère. La France a ainsi continué à imposer de manière permanente la conservation aveugle des données en s’appuyant sur cet arrêt.

Toutefois, selon l’avis juridique publié aujourd’hui, l’arrêt du tribunal français « manque de démontrer l’existence d’une menace spécifique pour la sécurité nationale, car … elle fait référence à un simple risque général de terrorisme et aux attentats passés. » « Je n’ai trouvé [dans cet arrêt du Conseil d’État] aucune preuve fournie quant à la préparation spécifique ou identifiée d’une future attaque en particulier, » déclare l’ancien juge européen, en concluant que « dans cette arrêt, la décision n’est donc pas conforme à la jurisprudence de la CJUE et aux droits fondamentaux.” Breyer commente :

“Ne serait-ce que ce qui concerne l’efficacité d’une telle mesure, aucune preuve n’a été fournie ; il n’est pas démontré que la conservation générale (non-ciblée) des données ait jamais empêché ne serait-ce qu’une seule attaque terroriste. Il est bon de rappeler que plusieurs attaques de ce type ont eu lieu en France alors que des obligations de conservation générale des données étaient en vigueur.”

En début de semaine, la CJUE a (dans son jugement concernant l’Irlande) également rejeté l’approche française consistant à justifier la conservation des données par des besoins de sécurité nationale, mais à accéder aux données à d’autres fins (les poursuites pénales).

“Conservation ciblée des données” : Les plans ignorent les droits des citoyens

Un document officieux secret de la Commission européenne, envoyé aux gouvernements des États membres le 10 juin 2021, mettait en avant diverses options pour rendre à nouveau obligatoire la conservation des données dans toute l’UE. L’ancien juge Vadapalas explique dans son avis juridique que plusieurs de ces propositions sont excessives et non conformes. Les propositions de “ciblage géographique […] peuvent conduire à imposer aux fournisseurs [d’opérateurs de communications électroniques] des obligations juridiques injustifiées de conservation des données relatives au trafic et à la localisation dans des zones géographiques très larges et indéfinies”.

Plus précisément :

1) La Commission et la Belgique proposent d’appliquer la conservation des données à toutes les personnes dans les zones où le taux de criminalité est supérieur à la moyenne. Étant donné que les villes ont tendance à avoir un taux de criminalité supérieur à la moyenne, cette approche pourrait exposer plus de 80 % de la population à la conservation des données. L’avis juridique estime que cette approche n’est pas autorisée et qu’il faut une “incidence élevée” de criminalité grave dans une zone pour justifier l’application de la conservation des données (et pas seulement un taux supérieur à la moyenne).

2) La Commission et la Belgique proposent d’appliquer la conservation des données à toutes les personnes se trouvant dans « un certain rayon autour des sites d’infrastructures critiques sensibles, des nœuds de transport, (…) des quartiers aisés, des lieux de culte, des écoles, des lieux culturels et sportifs, des rassemblements politiques et des sommets internationaux, des parlements, des tribunaux, des centres commerciaux, etc. » L’avis juridique estime que cette liste n’est pas conforme aux exigences légales et avertit qu’en appliquant ces critères, la conservation des données « peut même devenir générale et indiscriminée dans de vastes zones couvrant une grande partie du territoire et de l’infrastructure d’un État membre ». Parmi les sites énumérés par la Commission, seuls ceux qui « reçoivent régulièrement un très grand nombre de visiteurs » et sont « particulièrement vulnérables à la commission d’infractions pénales graves » peuvent être couverts. Il n’y a pas non plus de base légale pour couvrir un rayon autour de ces sites. Vadapalas alerte aussi que « les sites de culte et les rassemblements politiques accueillent notamment des activités particulièrement sensibles révélant la religion et l’opinion politique ».

3) La Commission propose aussi d’appliquer la conservation des données à tous les « associés » de suspects potentiels, sans avoir à vérifier que ces personnes représentent une menace spécifique de commettre des actes criminels graves. Cette proposition n’est simplement pas conforme à la jurisprudence de la CJUE et aux droits fondamentaux.

“La collecte générale et indiscriminée de données représente une attaque sans précédent contre notre droit à la vie privée et constitue la méthode la plus invasive de surveillance de masse”, répète Breyer. “La Commission européenne doit maintenant faire son travail et enfin commencer à faire respecter les décisions-clés de la CJUE, au lieu de comploter pour ramener la rétention des données.”

patrick-breyer.de/en/conservat…

EDPB accoglie con favore l’accordo di principio tra UE e USA

L’ European Data Protection Board ha adottato una dichiarazione con la quale accoglie con favore l’accordo di principio sul quadro transatlantico tra l’UE e USA. Andrea Jelinek ha affermato che il quadro proposto per i flussi di dati e “l’impegno delle massime autorità statunitensi a stabilire” ‘misure” è “un primo passo positivo”.

The EDPB welcomes the announcement of a political agreement in principle between the European Commission and the United States on 25 March on a new Trans-Atlantic Data Privacy Framework. This announcement is made at a time where transfers from the European Economic Area to the U.S. face
significant challenges.

edpb.europa.eu/our-work-tools/…

Il Parlamento Europeo approva la legge sulla governance dei dati

Il Parlamento europeo ha votato per l’approvazione della proposta di legge sulla governance dei dati. La normativa mira a fornire alle aziende e alle startup un migliore accesso a più dati allo scopo di sviluppare nuovi prodotti e servizi. “I dati hanno valore solo se sono aggregati, perfezionati e utilizzati nel modo giusto”, ha affermato il membro del Parlamento europeo tedesco Angelika Niebler. La proposta necessita dell’approvazione finale del Consiglio dell’Unione Europea prima di diventare legge.

New EU data sharing legislation will stimulate innovation and help start-ups and businesses use big data. With immense possibilities in areas from farming to health, big data can play a key role in the EU’s digital transformation. The Data Governance Act, adopted by Parliament on 6 April 2022, aims to boost data sharing in the EU, so that companies and start-ups will have access to more data that they can use to develop new products and services. Access to big data is crucial to exploiting the potential of artificial intelligence.

europarl.europa.eu/news/en/hea…

Lettonia DSI pubblica una guida sui cookie

L’ispettorato statale dei dati della Lettonia ha pubblicato una guida sull’uso dei cookie. La guida descrive i tipi di cookie, i dati personali trattati. Il DSI ha affermato che la guida è rilevante per i cittadini e i responsabili del trattamento che trattano quotidianamente i dati personali sui loro siti Web. Il DSI ha esortato gli utenti a leggere le politiche sui cookie e sulla privacy, affermando che l’assenza di una politica sui cookie o dove trovarla “è già essere la prima indicazione di un trattamento inappropriato dei dati”.

Latvia’s Data State Inspectorate published guidance on the use of cookies by merchants providing goods or services. The guidance describes types of cookies, personal data processed. The DSI said the guidance is relevant for citizens and controllers processing personal data on their websites daily. .

dvi.gov.lv/lv/jaunums/dviskaid…

guidoscorza.it/privacy-daily-8…

On 8 April 2014 the European Court of Justice annulled the EU Data Retention Directive which required the bulk collection of any citizens call detail records and location. 8 years later EU Commission and EU governments are scheming how to maintain or restore bulk collection programmes. In a legal opinion published today former EU Judge Prof. Dr. iur. Vilenas Vadapalas finds that two of the most commonly used data retention schemes are “not in line with the ECJ case-law and fundamental rights”:

The French and Danish attempt to justify indiscriminate retention of telephone calling records and location data by claiming a permanent threat to national security is dismissed. Likewise plans of the EU Commission and Belgium to capture the vast majority of the population by way of extensive “geographically targeted retention” fails legal scrutiny.

“The bulk collection of information on non-suspects everyday communications and movements constitutes an unprecedented attack on our right to privacy and is the most invasive method of mass surveillance directed against the state’s own citizens”, comments Patrick Breyer, Pirate Party Member of the European Parliament who commissioned the legal opinion. “The anecdotal results are nowhere close to the damage this surveillance weapon inflicts on our societies, as a recent survey found. The persistent violation of fundamental rights, circumvention of case-law, pressuring of judges and ignorance of facts is an attack on the rule of law we need to stop!”

National Security: No Free Ride for Mass Surveillance

Under massive pressure by EU governments, the European Court of Justice allowed Member States to impose general and indiscriminate retention of all call detail records and location data only where exceptionally needed to counter a present of foreseeable threat to national security, such as a terrorist attack. A French administrative court (Conseil d’Etat) however invoked this exception permanently, pointing to the general risk of terrorism and past attacks in France as well as espionage and foreign interference. France has continued permanently imposing indiscriminate data retention by relying on this ruling.

According to the legal opinion however, the French court’s decision “fails to demonstrate a specific threat to national security because … it refers to a mere general risk of terrorism and past attacks in France. I did not find any evidence given for the specific or identified preparation of a specific future attack. Insofar, the Decision is not in line with the ECJ case-law and fundamental rights.” Breyer comments:

“We are yet to see evidence that untargeted data retention ever prevented even a single terrorist attack. The fact that several such attacks have taken place in France with blanket retention requirements in place does not support this assumption. Setting this issue aside, it is difficult to imagine that a specific terrorist threat could not be countered by means of targeted retention.”

Earlier this week the Court of Justice already dismissed the French approach to justify data retention with national security needs but access the data for other purposes (prosecution of crime).

“Targeted” data retention: Plans violate citizen’s fundamental rights

A secret EU Commission non-paper dated 10 June 2021 suggests to Member State governments a variety of options to making data retention mandatory throughout the EU once again. Several of these proposals are excessive and non-compliant, the legal opinion explains. The proposals for “geographical targeting … may lead to imposing unjustified legal obligations on providers to retain traffic and location data in very broad and indefinite geographic areas”.

More specifically:

1) The Commission proposes to apply data retention to all persons in areas with (even slightly) above average crime rates. Since cities tend to have an above-average crime rate, this approach could expose more than 80% of the population to data retention. The legal opinion finds that this approach is not permitted and a “high” (not just above average) incidence of serious crime in an area is required to justify applying data retention.

2) The Commission proposes to apply data retention to all persons within “a certain radius around sensitive critical infrastructure sites, transport hubs, (…) affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.” The legal opinion finds that this list does not comply to legal requirements and warns that by applying these criteria data retention “may even become general and indiscriminate in broad areas covering a big part of the territory and the infrastructure of a Member State”. Among the sites listed by the Comission only those which “regularly receive a very high volume of visitors” and are “particularly vulnerable to the commission of serious criminal offences” may be covered. There is also no legal basis for covering a radius around those sites. And Prof. Dr. iur. Vilenas Vadapalas warns that “especially the sites of worship and political gatherings host particularly sensitive activities revealing religion and political opinion”.

3) The Commission proposes to apply data retention to all “associates” of potential suspects, without requiring to verify that such persons represent a specific threat of committing serious criminal acts. This is not in line with the ECJ case-law and fundamental rights.

Breyer concludes:

“The EU Commission now finally needs to do its job and start enforcing the landmark rulings, instead of plotting to bring back data retention.”

patrick-breyer.de/en/comeback-…

🕵️‍♂️ You heard of illegal data processing and want to share your knowledge?

👥 Stay anonymous, and drop documents with noyb via SecureDrop! 🔐💧

Find out more on noyb.eu/@noybeu.rss!
▶ noyb.eu/en/securedrop

mastodon.social/@noybeu/108090…

Today, MEPs vote in plenary on a resolution for the “right to repair”, which was presented and adopted by the Internal Market and Consumer Protection Committee (IMCO) in March. According to the text, the repair industry and consumers should have access to repair and maintenance information free of charge. MEPs also call for a longer warranty period as well as for more information on product labelling. According to the European Pirates in the European Parliament, the text is a step in the right direction.

Patrick Breyer, Member of the European Parliament for the German Pirate Party, explains:

“We welcome this initiative because we believe that users should have control over the technology they use on daily basis. The digital products require special attention, so we are happy to see that functionality updates should be reversible and not lead to diminished performance.

“We still believe the right to repair can go even further. While commercial manufacturers of IT devices must provide updates for a reasonable period of time according to current laws, there is so far no obligation to patch known vulnerabilities in a timely manner. There is also a lack of manufacturer liability for the often devastating consequences of such vulnerabilities. This must be changed. The source code and development tools should have to be made public to allow the community to maintain it as soon as a manufacturer decides to abandon a product that is still in widespread use.”

The EU Commission is considering proposing a draft law on a right to repair in the third quarter of 2022. According to a Eurobarometer survey, 79% of EU citizens believe that manufacturers should be obliged to facilitate the repair of digital devices or the replacement of their individual parts, and 77% would rather have their devices repaired than replaced.”

Marcel Kolaja, Member and Quaestor of the European Parliament, member of the Committee on the Internal Market and Consumer Protection (IMCO), explains:Marcel Kolaja, Member and Quaestor of the European Parliament, member of the Committee on the Internal Market and Consumer Protection (IMCO), explains:

“Reduction of e-waste is one of the key pillars for the sustainable and circular economy. Europe must create legislation that is fair. Consumers should have better access to spare parts and independent repairs at reasonable costs and within reasonable time-limits. On top of that, we also call for the legal guarantee of products to be extended. We believe that longer guarantee period will provide an incentive to choose repair over replace.

“It is also crucial to label the products with information on estimated lifetime and provide as much information as possible on repairability. Manufacturers cannot force consumers to buy new products every other year. That is certainly not the right way towards sustainability. Therefore, I am really glad to see that the Parliament calls for strengthening consumers’ rights in today’s resolution.”

patrick-breyer.de/en/right-to-…

USA: la piattaforma di messaggistica crittografata Wickr. da parte della CBP statunitense solleva preoccupazioni

Una lettera della National Archives and Records Administration fa riferimento alle crescenti preoccupazioni per l’uso da parte dei funzionari governativi di alcune app di messaggistica crittografate, in particolare per l’utilizzo da parte della US Customs and Border Protection di Amazon Wickr. News. In una lettera ai funzionari, Laurence Brewer, Chief Records Officer di National Archives and Records Administration, ha affermato che la distribuzione dell’applicazione a livello di agenzia, in grado di eliminare automaticamente i messaggi, “senza politiche e procedure appropriate che ne regolano l’uso”, sia preoccupante.

ttps://www.nbcnews.com/tech/tech-news/border-patrols-use-amazons-wickr-messaging-app-draws-scrutiny-rcna21448

Data Governance Act: dibattito in plenaria e votazione finale

Il Parlamento europeo ha annunciato che la votazione finale sulla legge europea sulla governance dei dati (Data Governance Act). Nel dicembre 2021 è stato concordato un accordo provvisorio tra il Parlamento e il Consiglio dell’Unione europea. La proposta crea un quadro per aiutare le aziende o gli individui a condividere i dati in modo sicuro. La DGA si applicherà alle organizzazioni 15 mesi dopo la sua entrata in legge.

europarl.europa.eu/news/en/pre…

Il NIST invia una richiesta di informazioni per migliorare il quadro di sicurezza informatica

Il National Institute of Standards and Technology degli Stati Uniti ha pubblicato una richiesta di informazioni su “Valutazione e miglioramento delle risorse di sicurezza informatica del NIST: il quadro di sicurezza informatica e la gestione dei rischi della catena della sicurezza informatica”. La RFI Request for Information (RFI) ha sottolineato l’importanza delle prospettive internazionali per aiutare ad aggiornare le risorse del NIST. La RFI cercherà feedback sull’allineamento del quadro di sicurezza informatica del NIST per allinearlo o integrarlo con altri quadri internazionali. Le risposte ufficiali alla RFI sono previste per il 25 aprile.

nist.gov/blogs/cybersecurity-i…

guidoscorza.it/privacy-daily-7…

#JOB
We are currently looking for a part time community manager for our GDPRhub.eu/@noybeu.rss and GDPRtoday projects.
Find out more and apply today: noyb.eu/sites/default/files/20…

mastodon.social/@noybeu/108089…

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at noyb.eu/en/traineeship

mastodon.social/@noybeu/108085…