La governance dei dati per i bambini: un’area prioritaria emergente per i professionisti della privacy

Autorità di regolamentazione, responsabili della protezione dei dati, avvocati della privacy del settore privato e soprattutto governi, hanno partecipato all’IAPP Global Privacy Summit a Washington, DC. I diritti dei bambini sono stati il tema all’ordine del giorno, riflettendo un crescente riconoscimento della loro importanza nella governance dei dati. L’UNICEF ha presieduto una discussione insieme all’Ufficio del Commissario per le informazioni del Regno Unito (ICO), alla Commissione irlandese per la protezione dei dati (DPC) e ad Apple, discutendo sulle modalità di protezione dei dati personali dei bambini. L’obiettivo era raggiungere un pubblico più ampio di professionisti della privacy che potrebbero non pensare sempre ai bambini nel loro lavoro e convincerli che invece devono farlo.

Data governance for children: An emerging priority area for privacy professionals

Over 4,000 privacy professionals – including regulators, data protection officers, and privacy lawyers from the private sector and governments – attended the IAPP Global Privacy Summit in Washington, DC in April. Children’s rights were on the agenda, reflecting a growing recognition of their importance in data governance. UNICEF chaired a discussion alongside the UK Information Commissioner’s Office (ICO), the Irish Data Protection Commission (DPC), and Apple, discussing why all data protection compliance processes should consider children’s data. The aim was to reach a wider audience of privacy professionals who may not always think about children in their work, and convince them that they must.

unicef.org/globalinsight/stori…

ONU: Tecnologia e Sicurezza- Security Council, 9039th meeting. Il “right to privacy” menzionato da vari Stati nel dibattito del Consider di Sicurezza

Mentre le tecnologie digitali offrono “opportunità illimitate” alle Nazioni Unite per rilevare crisi, aiuti umanitari e progettare programmi di costruzione della pace basati sui dati, possono anche influenzare in peggio le dinamiche dei conflitti, ha detto oggi al Consiglio di sicurezza il capo degli affari politici delle Nazioni Unite. “I vantaggi delle tecnologie digitali per il mantenimento della pace e della sicurezza internazionale sono molteplici”, ha affermato Rosemary DiCarlo, sottosegretario generale per gli affari politici e di costruzione della pace. In Yemen, la Missione delle Nazioni Unite a sostegno dell’accordo di Hudaydah ha utilizzato la mappatura, i sistemi di informazione geografica e gli strumenti satellitari per migliorare il monitoraggio del cessate il fuoco, ha osservato, aggiungendo che la Missione di supporto delle Nazioni Unite in Libia (UNSMIL) ha tenuto cinque “dialoghi digitali” accrescendo la legittimità di un processo in cui le comunità vedono che le loro voci possono essere ascoltate. Il right to privacy menzionato da vari Stati nel dibatito del Consider di Sicurezza ONU su information technology, digital space and international peace and security.

Technology and security – Security Council, 9039th meeting.

Whereas digital technologies offer “boundless opportunities” for the United Nations to detect crises, position humanitarian stocks and design data-driven peacebuilding programmes, they can also affect conflict dynamics for the worse, the Organization’s political affairs chief told the Security Council today. “The benefits of digital technologies for the maintenance of international peace and security are manifold,” said Rosemary DiCarlo, Under-Secretary-General for Political and Peacebuilding Affairs. In Yemen, the United Nations Mission to Support the Hudaydah Agreement has used mapping, geographic information systems and satellite tools to enhance its monitoring of the ceasefire, she noted, adding that the United Nations Support Mission in Libya (UNSMIL) has held five digital dialogues — each involving more than 1,000 participants — increasing the legitimacy of a process in which communities see that their voices can be heard.

Technology and security – Security Council, 9039th meeting | UN Web TV

Security Beyond Prevention: The Importance of Effective Breach Disclosures

The FTC has long stressed the importance of good incident response and breach disclosure as part of a reasonable information security program, both through cases and business guidance resources.[1] In some instances, the FTC Act creates a de facto breach disclosure requirement because the failure to disclose will, for example, increase the likelihood that affected parties will suffer harm. Both security breach detection and response are vital to maintaining reasonable security.

Sicurezza oltre la prevenzione: l’importanza di adeguate pratiche sulle violazioni

La Federal Trade Commission degli Stati Uniti e la sua divisione per la protezione della privacy hanno sottolineato l’importanza di adeguate pratiche di divulgazione delle violazioni, compreso il modo in cui possono “adempiere agli obblighi legali ed essere essenziali per consentire ai consumatori e alle altre parti interessate di intraprendere azioni per mitigare i danni derivanti dalla violazione”.

ftc.gov/policy/advocacy-resear…

guidoscorza.it/privacy-daily-2…

Dichiarazione sui 4 anni di GDPR Quando il GDPR è diventato applicabile il 25 maggio 2018, è stato percepito come un momento di svolta. Gli ultimi 4 anni hanno dimostrato che una legge da sola non cambia i modelli di business

noyb.eu/en/statement-4-years-g…

ICO multa la società di database di riconoscimento facciale Clearview AI Inc per oltre 7,5 milioni di sterline e ordina la cancellazione dei dati del Regno Unito

L’Information Commissioner’s Office (ICO) ha multato Clearview AI Inc £ 7.552.800 per aver utilizzato immagini di persone nel Regno Unito raccolte dal Web e dai social media per creare un database online globale che potrebbe essere utilizzato per il riconoscimento facciale. L’ICO ordinando alla società di non utilizzare i dati personali dei residenti nel Regno Unito che sono pubblicamente disponibili su Internet e di eliminare i dati dei residenti nel Regno Unito dai suoi sistemi.

CO fines facial recognition database company Clearview AI Inc more than £7.5m and orders UK data to be deleted

The Information Commissioner’s Office (ICO) has fined Clearview AI Inc £7,552,800 for using images of people in the UK, and elsewhere, that were collected from the web and social media to create a global online database that could be used for facial recognition. The ICO has also issued an enforcement notice, ordering the company to stop obtaining and using the personal data of UK residents that is publicly available on the internet, and to delete the data of UK residents from its systems.

ico.org.uk/about-the-ico/news-…

Lettera aperta sul futuro dei trasferimenti di dati UE-USA
Sebbene molti dettagli non siano ancora chiari, sono emersi sempre più dettagli sul previsto accordo di trasferimento dei dati UE-USA. Questi dettagli sembrano sollevare ulteriori interrogativi come la stabilità di qualsiasi nuovo accordo di adeguatezza da parte della Commissione Europea. Alla luce di questi sviluppi in merito, l’attore principale nei casi “Schrems I” e “Schrems II” ha inviato la seguente lettera aperta (PDF) alle parti interessate. La lettera di NOYB.

Open Letter on the Future of EU-US Data TransfersWhile many details are still unclear, more and more details about the planned EU-US data transfer deal have emerged. These details seem to raise more questions as the the stability of any new adequacy agreement by the European Commission. In the light of these concerning developments, the lead plaintiff in the “Schrems I” and “Schrems II” cases has sent the following open letter (PDF) to the relevant stakeholders. The Open Letter on the Future of EU-US Data Transfers by NOYB

noyb.eu/en/open-letter-future-…

Perù: il governo annuncia la creazione di un’unità per rafforzare la prevenzione dei rischi digitali

La Presidenza del Consiglio dei Ministri (PCM) , in qualità di organo di governo per la sicurezza digitale e la fiducia nel Paese, ha riferito di aver consolidato le azioni per proteggere i cittadini dai rischi e minacce nell’ambiente digitale.

Peru: Gov’t announces creation of unit to strengthen digital risk prevention

Within the framework of the 8th pillar of the Government’s General Policy, the Presidency of the Council of Ministers (PCM), as the governing body for digital security and trust in the country, reported that it has been consolidating actions to protect citizens against risks and threats in the digital environment.

andina.pe/Ingles/noticia-peru-…

guidoscorza.it/privacy-daily-2…

La Federal Trade Commission degli Stati Uniti: maggiore controllo sulle violazioni del del Children’s Online Privacy Protection Act

La Federal Trade Commission (“Commissione”) si impegna a garantire che gli
gli strumenti tecnologici e i vantaggi che ne derivano non diventino occasione per ignorare le tutele fondamentali per la privacy per i bambini. Quando il Congresso ha promulgato la Privacy online dei bambini Protection Act1 (“COPPA”), ha conferito alla Commissione strumenti che vanno oltre ben oltre rispetto dei regimi di preavviso e di consenso. I poteri conferiti dal COPPA permettono l’ applicazione di limitazioni sostanziali significative alla capacità degli operatori di raccogliere, utilizzare e conservare i dati dei bambini e i requisiti per mantenerli al sicuro. La Commissione intende pienamente
far rispettare questi requisiti, anche nelle strutture scolastiche e di apprendimento in cui i genitori possono sentirsi mancano di alternative.

Policy Statement of the Federal Trade Commission on Education Technology and the Children’s Online Privacy Protection Act

The Federal Trade Commission (“Commission”) is committed to ensuring that education technology (“ed tech”) tools and their attendant benefits do not become an excuse to ignore critical privacy protections for children. When Congress enacted the Children’s Online Privacy Protection Act1 (“COPPA”), it empowered the Commission with tools beyond administering compliance with notice and consent regimes. The Commission’s COPPA authority demands enforcement of meaningful substantive limitations on operators’ ability to collect, use, and retain children’s data, and requirements to keep that data secure. The Commission intends to fully enforce these requirements—including in school and learning settings where parents may feel they lack alternatives.

ftc.gov/legal-library/browse/p…

Rapporto: canadesi ignari di come vengono raccolti, utilizzati i loro dati

Un rapporto del Surveillance Studies Center presso la Queen’s University di Kingston, Ontario, ha rilevato che i canadesi non sono a conoscenza di quali informazioni vengono raccolte su di loro o di come vengono utilizzate, riporta The Globe and Mail. Il rapporto cita i progressi nella tecnologia digitale diffusa con le normative incapaci di tenere il passo e afferma che è necessaria una maggiore trasparenza nella raccolta e nell’analisi dei dati. “Pochi possono tenere il passo con la velocità e l’entità dei cambiamenti nell’analisi e nell’utilizzo dei dati, il che significa meno protezione, soprattutto per i più vulnerabili”, afferma il rapporto.

Canadians in the dark about how their data is collected and used, report finds

A new report says digital technology has become so widespread at such a rapid pace that Canadians have little idea what information is being collected about them or how it is used. The report by David Lyon, former director of the Surveillance Studies Centre at Queen’s University in Kingston, Ont., highlights a need for more transparency in data collection and analysis, as well as new digital rights and means of ensuring justice for Canadians.

ctvnews.ca/sci-tech/canadians-…

Il Connecticut emana una legge sulla privacy dei dati dei consumatori

Il 10 maggio 2022, il Connecticut è diventato il quinto stato degli Stati Uniti con una legislazione completa sulla privacy dei consumatori dopo che il governatore Ned Lamont, D-Conn. ha firmato il Senate Bill 6 , An Act Concerning Personal Data Privacy and Online Monitoring, in legge. La maggior parte delle disposizioni della legge entrerà in vigore insieme al Colorado Privacy Act il 1° luglio 2023, dando alle organizzazioni poco meno di 14 mesi per conformarsi.

Connecticut enacts comprehensive consumer data privacy law

On May 10, 2022, Connecticut became the fifth U.S. state with comprehensive consumer privacy legislation after Gov. Ned Lamont, D-Conn., signed Senate Bill 6, An Act Concerning Personal Data Privacy and Online Monitoring, into law. Most provisions of the law will go into effect alongside the Colorado Privacy Act July 1, 2023, giving organizations just under 14 months to come into compliance.

iapp.org/news/a/connecticut-en…

guidoscorza.it/privacy-daily-2…

Lettera aperta sul futuro dei trasferimenti di dati tra UE e USA Mentre emergono sempre più dettagli, Max Schrems ha scritto una lettera aperta sull'annuncio di un nuovo quadro per il trasferimento dei dati tra UE e USA.

noyb.eu/en/open-letter-future-…

È il 21 maggio 2033. Ho appena finito di scrivere il nuovo articolo della mia newsletter, Collectivism Chronicles.

Prendo lo smartphone e apro il mio Smart Citizen Wallet. L’indicatore di credito sociale segna 87 punti. Una faccina sorridente mi dice che sono un cittadino modello. Anche a scuola avevo sempre voti alti in condotta.

Devo fare la spesa, acquisto un biglietto dell’autobus e scendo giù ad aspettare. I pagamenti con l’euro digitale sono istantanei e immediatamente viene aggiornato anche il mio credito sociale: +0.01. Se continuo così, entro fine anno sarò sicuramente a 100. Ho fatto bene a vendere la macchina; la benzina poi costa troppo e inquina.

L’autobus non ci mette molto ad arrivare. Durante il viaggio penso quanto sia meglio ora che la maggior parte delle persone non hanno più un’automobile. C’è pochissimo traffico in giro. Niente più parcheggi selvaggi e flotte di mamme davanti alle scuole. E poi, che bisogno c’è di avere un’auto se ci sono i servizi pubblici?

Scansiono il mio Digital ID ed entro nel supermercato. La spesa sarà veloce, non devo neanche scegliere cosa comprare: da qualche anno tutte le transazioni sono pre-autorizzate dal Ministero della Pianificazione Alimentare. Possiamo acquistare solo ciò di cui abbiamo bisogno, in base al nostro stile di vita, al punteggio sociale e ovviamente tenendo conto delle necessità collettive. È facilissimo e molto comodo: basta scansionare il codice QR sul prodotto. Non c’è neanche più bisogno di passare alla cassa!

Finisco di fare la spesa e guardo l’orologio: sono le 16:40. Fra meno di due ore scatta il coprifuoco. Da circa 4 anni il governo è stato costretto a instaurare un coprifuoco permanente per gestire la crisi energetica e tutelare i cittadini. Dicono sia colpa dell’avidità dei capitalisti del petrolio. Beh, ho comunque tempo di tornare a casa a piedi e accumulare qualche credito per attività fisica.

La strada è piena di telecamere intelligenti acquistate qualche anno fa dal Comune grazie al PNRR. Mi fanno sentire al sicuro; la tecnologia di riconoscimento biometrico ormai è così avanzata che grazie al database europeo sui dati biometrici possono identificare chiunque in tempo reale! Mi tolgo il cappello e alzo leggermente la testa. È un riflesso incodizionato ormai, non vorrei essere segnalato dagli algoritmi come persona non collaborativa.

Subscribe now

Entro in casa, mi tolgo le scarpe e mi butto sul divano. Lo schermo dello smartphone si illumina. È l’Agenzia della Redistribuzione che mi informa dell’accredito del Reddito Universale. È meno del mese precedente; probabilmente c’è chi ne ha più bisogno di me.

Ogni mese il Ministero del Welfare analizza le transazioni, gli spostamenti, i comportamenti e le relazioni familiari dei cittadini per valutare l’importo ottimale per il Reddito di ognuno di noi. Chi ha un punteggio sociale elevato per più di sei mesi consecutivi ha diritto di chiedere l’approvazione di transazioni extra, ad esempio per andare al ristorante.

Il Reddito Universale viene finanziato interamente grazie al lavoro delle aziende, che oggi si chiamano enti sociali. Tutti gli “extra profitti” degli enti sociali vengono redistribuiti dallo Stato verso la popolazione.

Grazie al Reddito Universale moltissime persone neanche lavorano più. Chi ha un punteggio sociale basso è comunque tenuto a lavorare per produrre i beni essenziali di cui la società ha bisogno. Il bene della collettività viene prima di tutto.

Tutti contribuiamo il più possibile. Il Ministero del Welfare monitora ogni transazione e detiene le chiavi di ogni wallet di euro digitale. Questo permette di redistribuire in modo automatizzato e pianificato tutta la ricchezza. È molto meglio ora; siamo tutti uguali.

Sono stanco, è stata una lunga giornata. Vorrei accendermi una sigaretta e stappare una birra ghiacciata ma ho smesso di bere e di fumare. L’alcool e il tabacco non sono vietati ma ogni transazione diminuisce il credito sociale. Non posso permettermi di perdere crediti sociali per un vizio inutile, devo arrivare a 100 entro fine anno!

Prima di dormire controllo le notizie del giorno. Grazie al Digital Services Act europeo il newsfeed automatizzato mi propone soltanto notizie che arrivano da fonti autorevoli e certificate. In questo modo sono certo di non incappare in pericolosa disinformazione.

Apro Whatsapp per dare la buona notte alla mia ragazza; una notifica push mi dice che tutti i messaggi inviati saranno analizzati e scansionati da algoritmi per contrastare pedopornografia, terrorismo e criminalità, nel rispetto della mia privacy. Viviamo davvero in tempi incredibili. Chi l’avrebbe mai detto che sarebbe bastato così poco per combattere la criminalità?

Prima di dormire metto in carica il telefono. Ho ancora il 72% di quota elettrica disponibile per questo mese. Togliere i condizionatori è stata una buona idea.

Subscribe now

Il protagonista di questa fantasia è il mio alter ego. Scrive Collectivism Chronicles e si sente a suo agio sapendo che ogni aspetto della sua vita è gestito da un motore immobile con poteri illimitati. Ha fede cieca dello Stato, nei fact-checker e nelle fonti d’informazione istituzionali. Ama il senso di sicurezza dato dalla sorveglianza e dal controllo centralizzato delle azioni di ogni singola persona. Ha paura del capitalismo e del libero mercato, che rendono le persone imprevedibili. Non capisce la natura della moneta; per lui è semplicemente qualcosa che arriva dalla benevolenza dello Stato e che le persone spendono; un numero su uno schermo.

Ho cercato di descrivere un futuro che mi fa paura e che purtroppo mi sembra sempre più vicino. Io non credo però nel determinismo. Il futuro non è scritto e, se vogliamo, possiamo evitare che finisca così. Bisogna solo avere il coraggio di vivere per se stessi e per la propria felicità, riconoscendo che individuo e Stato non possono sovrapporsi: dove c’è lo Stato, non c’è l’individuo. La privacy è la membrana che separa ontologicamente l’individuo dallo Stato, è ciò che definisce la nostra sfera privata, la nostra libertà di autodeterminazione e capacità di pensiero critico.

Fra non molto, ognuno di noi sarà chiamato a scegliere tra due mondi.

Da una parte c’è il mondo del mio alter ego: welfare estremo e iper-statalismo; reddito universale e moneta digitale controllata dallo Stato; sorveglianza e analisi delle azioni, transazioni1 e comunicazioni2 di ogni singola persona; economia comportamentale3 e social scoring4; manipolazione delle informazioni e censura delle fonti non istituzionali5.

Questo è un mondo già in costruzione.

È un mondo che funziona solo se il comportamento degli individui è standardizzato attraverso incentivi sociali ed economici, così da essere più prevedibile e controllabile. Nello stato di welfare la pianificazione centrale abbraccia ogni attività umana: i pianificatori odiano le variabili. Il pensiero critico e l’individualismo devono essere annientati a favore della fede assoluta nello Stato e nelle sue decisioni. La sorveglianza non è più uno strumento di controllo per esercitare potere politico, ma uno strumento essenziale di pianificazione economica e sociale. Se finora il campo da gioco è stato il digitale, a breve saranno le smart cities.

Si può cambiare rotta, ma bisogna riconoscere che il libero mercato, fuori dall’ingerenza dello Stato, è l’unico sistema che riconosce i diritti individuali, la privacy e la proprietà privata (del corpo, dei beni, dei pensieri); l’unico che prospera con la pace e non con la guerra. Lo statalismo, al contrario, prospera nella divisione sociale, nella dissoluzione dei diritti individuali a favore dei diritti del gruppo di appartenenza; è un sistema che vive grazie sacrificio personale e grazie alla guerra perenne, sia interna che esterna6.

Le persone libere, dotate di principi morali e virtù, non punteranno mai la pistola alla tempia di qualcuno per fare affari. È l’egoismo razionale7 che spinge il panettiere ad alzarsi ogni giorno alle 4 di mattina per sfornare il pane, non certo il suo spirito di sacrificio per la collettività.

Le persone libere hanno anche bisogno di moneta libera e transazioni private (che non significa segrete). Ecco perché, oltre a rigettare ogni forma di statalismo, dobbiamo separare a tutti i costi Stato e moneta8.

Lo scambio di valore è il modo in cui fin dal principio l’essere umano manifesta il suo pensiero. È il modo in cui apprezziamo le azioni e i pensieri del prossimo e il modo in cui veniamo premiati per le nostre azioni e pensieri. Con la moneta digitale, lo Stato diventa socio occulto e censore di ogni rapporto umano9. Lo strumento per evitare che accada, fortunatamente già esiste: si chiama Bitcoin10.

Ora non resta che scegliere. Spero che mi perdonerete per questa newsletter atipica. Alla prossima!

La newsletter che parla di privacy e sorveglianza, di libertà e oppressione. Per chi sa che 1984 di Orwell non era un manuale d'istruzioni.

Share

Privacy Chronicles è una newsletter libera e indipendente che esiste anche grazie alle decine di persone che hanno scelto di abbonarsi, valorizzando il mio lavoro e spronandomi a fare sempre meglio, settimana dopo settimana.

Se ti piace quello che scrivo e vuoi accedere a tutti i contenuti, valuta l’abbonamento!

Vuoi abbonarti a Privacy Chronicles con Bitcoin? Sentiamoci in privato!
1

I nuovi superpoteri dell’Agenzia delle Entrate

2

Chatcontrol, sorveglianza totale delle comunicazioni

3

Smart cities: sorveglianza ed economica comportamentale, i casi di Venezia e Ivrea

4

Cittadinanza a punti e Stato etico: da Roma a Bologna

5

Digital Services Act, l’arma finale dei regolatori della libertà di parola

6

La virtù dell’egoismo

7

Le radici della guerra

8

Moneta digitale di Stato, poteri illimitati e sorveglianza finanziaria

9

Lo Stato socio occulto di ogni rapporto umano

10

Bitcoin, un layer di privacy contro la sorveglianza statale

Aggiornamenti degli obblighi di trasparenza nell’ultimo testo di compromesso della legge sull’IA

La presidenza francese ha elaborato un nuovo testo di compromesso sulla legge sull’IA, proponendo, tra le altre misure, modifiche agli obblighi di trasparenza sui diversi sistemi di intelligenza artificiale. Il documento, ottenuto da EURACTIV, è datato 13 maggio e rivisto lo scorso 17. Si tratta dell’ultimo di una serie di testi di compromesso proposti dalla Francia, che detiene la presidenza di turno del Consiglio europeo fino alla fine di giugno.

Updates to transparency obligations in latest AI Act compromise text

The French Presidency has issued a new compromise text on the AI Act, proposing changes to the transparency obligations on different AI systems, amongst other measures. The document, which EURACTIV obtained, is dated 13 May and reviewed on Tuesday 17 May. It marks the latest in a series of compromise texts issued by France, which holds the European Council’s rotating presidency until the end of June.

euractiv.com/section/digital/n…

Le persone catturate dalle Ring cameras hanno diritti sulla privacy?

In un quartiere residenziale di South Minneapolis, “Karen”, una telecamera di sorveglianza con rilevamento automatico “mimetizzata ad arte” insieme ad altre telecamere di sorveglianza annidate nelle casette degli uccelli, vede tutto. Karen è stata installata dopo i disordini sociali seguiti all’omicidio di George Floyd nella tarda primavera del 2020, ed è diventata rapidamente cibo locale poiché le riprese vengono pubblicate su NextDoor, Facebook e l’account Instagram @karenthecamera.

Do People Caught on Ring Cameras Have Privacy Rights?

In a residential neighborhood in South Minneapolis, “Karen,” an auto-tracking surveillance camera “artfully camouflaged” alongside other surveillance cameras nested in birdhouses, sees everything. Karen was installed after the social unrest following George Floyd’s murder in late spring 2020, and it has quickly become local fodder as footage is posted to NextDoor, Facebook, and the Instagram account @karenthecamera.

wired.com/story/ring-surveilla…

La legislazione che promuove la collaborazione informatica tra il DHS e gli Stati attende la firma di Biden

Dopo aver autorizzato il Senato a gennaio, la legge sulla sicurezza informatica del governo locale e statale è stata approvata martedì alla Camera e ora attende la firma del presidente Joe Biden. Il disegno di legge aggiorna l’House Homeland Security Act per indirizzare il Department of Homeland Security a migliorare la condivisione delle informazioni e il coordinamento con i governi statali e locali che affrontano tutti crescenti rischi di attacchi informatici.

Legislation Promoting Cyber Collaboration Between DHS and States Awaits Biden Signature

Having cleared the Senate in January, the State and Local Government Cybersecurity Act passed the House Tuesday and now awaits President Joe Biden’s signature. The bill updates the House Homeland Security Act to direct the Department of Homeland Security to improve information sharing and coordination with state, local and tribal governments—all of which face growing risks of cyberattack.

nextgov.com/cybersecurity/2022…

guidoscorza.it/privacy-daily-2…

Europol si prepara a raccogliere big data sui cittadini europei dopo che gli eurodeputati hanno votato per espandere il potere di polizia

Il Parlamento europeo ha votato per conferire a Europol ampi poteri per raccogliere ed elaborare dati su individui, comprese persone non sospettate di alcun reato, con una mossa che amplia notevolmente il potere dell’agenzia di polizia europea. I deputati hanno votato il 4 maggio per ampliare il mandato di Europol per raccogliere dati personali dalle società tecnologiche, comprese le telecomunicazioni e fornitori di Internet e società di social media, e per raccogliere e analizzare i dati da paesi al di fuori dell’Unione Europea (UE).

Europol gears up to collect big data on European citizens after MEPs vote to expand policing power

The European Parliament has voted to give Europol wide powers to collect and process data on individuals, including people not suspected of any crime, in a move that significantly widens the power of the European police agency.

MEPs voted on 4 May to widen the mandate of Europol to collect personal data from tech companies, including telecoms and internet suppliers and social media firms, and to collect and analyse data from countries outside the European Union (EU).

computerweekly.com/news/252518…

Hong Kong pensa di bloccare Telegram, afferma il giornale locale

Le autorità di Hong Kong stanno valutando se limitare l’accesso pubblico al servizio di messaggistica Telegram, ha riportato il Sing Tao Daily , facendo potenzialmente rivivere i timori che l’ex colonia britannica si stia avvicinando ai controlli Internet in stile Pechino. Il quotidiano locale ha riferito martedì che il Commissario per la privacy per i dati personali sta valutando la possibilità di invocare regolamenti per limitare l’accesso a una piattaforma che ha ritenuto dilagante con il doxxing. Il diffuso doxxing – o esposizione online di dati sensibili e personali – era rivolto a funzionari governativi e cittadini, ha affermato il quotidiano, citando persone non identificate.

Hong Kong Considers Blocking Telegram, Local Paper Says

Hong Kong authorities are deliberating whether to curtail public access to the messaging service Telegram, the Sing Tao Daily reported, potentially reviving fears the former British colony is moving closer toward Beijing-style internet controls. The Privacy Commissioner for Personal Data is considering invoking regulations for the first time to restrict access to a platform it found to be rampant with doxxing, the local newspaper reported Tuesday. The widespread doxxing — or online exposure of sensitive and personal data — was aimed at government officials as well as citizens, the newspaper said, citing unidentified people.

bloomberg.com/news/articles/20…

La presidenza ceca dell’UE darà la priorità alla lotta contro le minacce ibride, afferma il viceministro

La presidenza ceca del Consiglio dell’UE porrà l’accento sulle minacce ibride, accelerando le discussioni sulla disinformazione e l’interferenza stabilite nella bussola strategica dell’UE, ha dichiarato a EURACTIV il viceministro della Difesa Jan Havranek. L’invasione russa dell’Ucraina ha riportato in primo piano la componente cibernetica e disinformazione della guerra. “Il cyber è parte integrante della guerra”, ha detto Havranek. “Non è necessariamente una guerra che sta accadendo solo nel cyberspazio, ma sta accadendo anche nel cyberspazio e nel dominio dell’informazione”, ha affermato.

Czech EU presidency to prioritise fight against hybrid threats, deputy minister says

The Czech EU Council presidency will put the focus on hybrid threats, by accelerating discussions about disinformation and interference set out in the EU’s Strategic Compass, Deputy Minister of Defence Jan Havranek told EURACTIV. Russia’s invasion of Ukraine has brought the cyber and disinformation component of war back to the forefront. “Cyber is an integral part of the war”, Havranek said. “It’s not necessarily a war that is happening only in cyberspace, but it is also happening in cyberspace and the information domain”, he said.

euractiv.com/section/global-eu…

guidoscorza.it/privacy-daily-1…

‎EDPB: accoglie con favore le norme in materia di cibersicurezza e sicurezza delle informazioni per tutte le EUI

L’EDPB ha pubblicato due pareri, ‎‎uno‎‎ sulla proposta di regolamento che stabilisce misure per un livello comune elevato di‎‎ cibersicurezza‎‎ nelle istituzioni, negli organi e negli organismi dell’UE (IUE) (“‎‎proposta sulla cibersicurezza‎‎”) e ‎‎uno‎‎ sulla ‎‎sicurezza delle informazioni‎‎ nelle IUE (“‎‎proposta sulla sicurezza delle informazioni‎‎”).‎ L’EDPB accoglie con favore l’obiettivo delle proposte di migliorare la cibersicurezza e la sicurezza delle informazioni delle EUI, stabilendo ‎‎norme comuni e requisiti minimi di sicurezza‎‎ in linea con i pertinenti obiettivi della ‎‎strategia dell’UE in materia di cibersicurezza‎‎. Entrambe le proposte sono interconnesse con la ‎‎proposta NIS 2.0‎‎ , che mira ad armonizzare e rafforzare le pratiche di cibersicurezza in tutta l’Unione europea e per la quale il GEPD aveva emesso un ‎‎parere‎‎.‎

EDPS offers opinions on EU institutions’ proposed data security harmonization

the EDPS published two Opinions, one on the Proposal for a Regulation laying down measures for a high common level of cybersecurity in the EU institutions, bodies, offices and agencies (EUIs) (‘Cybersecurity Proposal’) and one on the information security in the EUIs (‘Information Security Proposal’’). The EDPS welcomes the aim of the Proposals to improve the cybersecurity and information security of EUIs, by establishing common rules and minimum-security requirements that are aligned with relevant objectives of the EU’s Cybersecurity Strategy. Both Proposals are interlinked with the NIS 2.0 Proposal , which aims to harmonise and strengthen cybersecurity practices across the European Union, and for which the EDPS had issued an Opinion.

EDPS welcomes much-needed harmonised rules on cybersecurity and information security for all EUIs. | European Data Protection Supervisor (europa.eu)

Singapore: PDPC pubblica una guida sull’uso responsabile dei dati biometrici nelle applicazioni di sicurezza

La Commissione per la protezione dei dati personali («PDPC») ha pubblicato la sua Guida sull’uso responsabile dei dati biometrici nelle applicazioni di sicurezza. In particolare, la guida mira ad aiutare le organizzazioni, compresi i proprietari di edifici e locali, le società di servizi di sicurezza e i datori di lavoro, a garantire l’uso responsabile delle telecamere di sicurezza e dei sistemi di riconoscimento biometrico. A questo proposito, la guida fornisce una panoramica della terminologia chiave, delle migliori pratiche per raccogliere, utilizzare e divulgare i dati biometrici in modo responsabile e dell’applicazione della legge sulla protezione dei dati personali del 2012 (n. 26 del 2012) (“PDPA”) in relazione ai dati biometrici. Inoltre, la guida include guide pratiche per l’implementazione di telecamere di sicurezza e sistemi di controllo degli accessi, nonché un elenco di controllo di esempio per le organizzazioni per determinare se possono fare affidamento sui loro legittimi interessi per effettuare l’elaborazione biometrica.

Singapore: PDPC issues guide on responsible use of biometric data in security applications

The Personal Data Protection Commission (‘PDPC’) published its Guide on the Responsible Use of Biometric Data in Security Applications. In particular, the guide aims to help organisations, including owners of buildings and premises, security services companies, and employers, to ensure the responsible use of security cameras and biometric recognition systems. In this regard, the guide provides an overview of key terminology, best practices to collect, use, and disclose biometric data responsibly, and the application of the Personal Data Protection Act 2012 (No. 26 of 2012) (‘PDPA’) in relation to biometric data. Furthermore, the guide includes practical guides for deploying security cameras and access control systems, as well as a sample checklist for organisations to determine whether they may rely on their legitimate interests to carry out biometric processing.

PDPC | Guide on the Responsible Use of Biometric Data in Security Applications Now Available

Slovenia: la PI pubblica la relazione annuale 2021

ll Commissario per l’informazione («IP») ha pubblicato la sua relazione annuale per l’anno 2021. In particolare, l’IP ha registrato 1.360 segnalazioni riguardanti violazioni in materia di protezione dei dati personali, e 313 denunce riguardanti l’esercizio dei diritti individuali. In particolare, l’IP ha osservato nelle sue indagini che la reattività dei titolari del trattamento è spesso inadeguata, in particolare nell’attuazione della trasparenza del trattamento, nonché il diritto costituzionale di accedere ai dati personali. Inoltre, il PI ha evidenziato che un numero elevato di segnalazioni riguardava le misure dello Stato relative alla pandemia di Covid-19.

Slovenia: IP publishes 2021 annual report

The Information Commissioner (‘IP’) published, on 18 May 2022, its annual report for the year of 2021. In particular, the IP recorded 1,360 reports regarding violations in the field of personal data protection, and 313 complaints regarding the exercise of individual rights. Specifically, the IP noted in its investigations that the responsiveness of data controllers is often inadequate, especially in the implementation of transparency of processing, as well as the constitutional right to access personal data. Furthermore, the IP highlighted that a high number of reports dealt with the State’s measures relating to the COVID-19 pandemica.

Informacijski pooblaščenec Državnemu zboru posredoval Letno poročilo za leto 2021 – IPRS (ip-rs.si)

guidoscorza.it/privacy-daily-1…

‎EDPB: accoglie con favore le norme in materia di cibersicurezza e sicurezza delle informazioni per tutte le EUI

L’EDPB ha pubblicato due pareri, ‎‎uno‎‎ sulla proposta di regolamento che stabilisce misure per un livello comune elevato di‎‎ cibersicurezza‎‎ nelle istituzioni, negli organi e negli organismi dell’UE (IUE) (“‎‎proposta sulla cibersicurezza‎‎”) e ‎‎uno‎‎ sulla ‎‎sicurezza delle informazioni‎‎ nelle IUE (“‎‎proposta sulla sicurezza delle informazioni‎‎”).‎ L’EDPB accoglie con favore l’obiettivo delle proposte di migliorare la cibersicurezza e la sicurezza delle informazioni delle EUI, stabilendo ‎‎norme comuni e requisiti minimi di sicurezza‎‎ in linea con i pertinenti obiettivi della ‎‎strategia dell’UE in materia di cibersicurezza‎‎. Entrambe le proposte sono interconnesse con la ‎‎proposta NIS 2.0‎‎ , che mira ad armonizzare e rafforzare le pratiche di cibersicurezza in tutta l’Unione europea e per la quale il GEPD aveva emesso un ‎‎parere‎‎.‎

EDPS offers opinions on EU institutions’ proposed data security harmonization

the EDPS published two Opinions, one on the Proposal for a Regulation laying down measures for a high common level of cybersecurity in the EU institutions, bodies, offices and agencies (EUIs) (‘Cybersecurity Proposal’) and one on the information security in the EUIs (‘Information Security Proposal’’). The EDPS welcomes the aim of the Proposals to improve the cybersecurity and information security of EUIs, by establishing common rules and minimum-security requirements that are aligned with relevant objectives of the EU’s Cybersecurity Strategy. Both Proposals are interlinked with the NIS 2.0 Proposal , which aims to harmonise and strengthen cybersecurity practices across the European Union, and for which the EDPS had issued an Opinion.

EDPS welcomes much-needed harmonised rules on cybersecurity and information security for all EUIs. | European Data Protection Supervisor (europa.eu)

Singapore: PDPC pubblica una guida sull’uso responsabile dei dati biometrici nelle applicazioni di sicurezza

La Commissione per la protezione dei dati personali («PDPC») ha pubblicato la sua Guida sull’uso responsabile dei dati biometrici nelle applicazioni di sicurezza. In particolare, la guida mira ad aiutare le organizzazioni, compresi i proprietari di edifici e locali, le società di servizi di sicurezza e i datori di lavoro, a garantire l’uso responsabile delle telecamere di sicurezza e dei sistemi di riconoscimento biometrico. A questo proposito, la guida fornisce una panoramica della terminologia chiave, delle migliori pratiche per raccogliere, utilizzare e divulgare i dati biometrici in modo responsabile e dell’applicazione della legge sulla protezione dei dati personali del 2012 (n. 26 del 2012) (“PDPA”) in relazione ai dati biometrici. Inoltre, la guida include guide pratiche per l’implementazione di telecamere di sicurezza e sistemi di controllo degli accessi, nonché un elenco di controllo di esempio per le organizzazioni per determinare se possono fare affidamento sui loro legittimi interessi per effettuare l’elaborazione biometrica.

Singapore: PDPC issues guide on responsible use of biometric data in security applications

The Personal Data Protection Commission (‘PDPC’) published its Guide on the Responsible Use of Biometric Data in Security Applications. In particular, the guide aims to help organisations, including owners of buildings and premises, security services companies, and employers, to ensure the responsible use of security cameras and biometric recognition systems. In this regard, the guide provides an overview of key terminology, best practices to collect, use, and disclose biometric data responsibly, and the application of the Personal Data Protection Act 2012 (No. 26 of 2012) (‘PDPA’) in relation to biometric data. Furthermore, the guide includes practical guides for deploying security cameras and access control systems, as well as a sample checklist for organisations to determine whether they may rely on their legitimate interests to carry out biometric processing.

PDPC | Guide on the Responsible Use of Biometric Data in Security Applications Now Available

Slovenia: la PI pubblica la relazione annuale 2021

ll Commissario per l’informazione («IP») ha pubblicato la sua relazione annuale per l’anno 2021. In particolare, l’IP ha registrato 1.360 segnalazioni riguardanti violazioni in materia di protezione dei dati personali, e 313 denunce riguardanti l’esercizio dei diritti individuali. In particolare, l’IP ha osservato nelle sue indagini che la reattività dei titolari del trattamento è spesso inadeguata, in particolare nell’attuazione della trasparenza del trattamento, nonché il diritto costituzionale di accedere ai dati personali. Inoltre, il PI ha evidenziato che un numero elevato di segnalazioni riguardava le misure dello Stato relative alla pandemia di Covid-19.

Slovenia: IP publishes 2021 annual report

The Information Commissioner (‘IP’) published, on 18 May 2022, its annual report for the year of 2021. In particular, the IP recorded 1,360 reports regarding violations in the field of personal data protection, and 313 complaints regarding the exercise of individual rights. Specifically, the IP noted in its investigations that the responsiveness of data controllers is often inadequate, especially in the implementation of transparency of processing, as well as the constitutional right to access personal data. Furthermore, the IP highlighted that a high number of reports dealt with the State’s measures relating to the COVID-19 pandemica.

Informacijski pooblaščenec Državnemu zboru posredoval Letno poročilo za leto 2021 – IPRS (ip-rs.si)

guidoscorza.it/privacy-daily-1…

Il Consiglio approva il Data Governance Act
Dopo il Parlamento europeo, il Consiglio ha approvato oggi una nuova legge per promuovere la disponibilità dei dati e creare un ambiente affidabile per facilitarne l’uso per la ricerca e la creazione di nuovi servizi e prodotti innovativi. Il Data Governance Act (DGA) istituirà meccanismi per facilitare il riutilizzo di alcune categorie di dati protetti del settore pubblico, aumentare la fiducia nei servizi di intermediazione dei dati e promuovere l’altruismo dei dati in tutta l’UE. È una componente importante della strategia europea per i dati, che mira a rafforzare l’economia dei dati. Le nuove regole si applicheranno 15 mesi dopo l’entrata in vigore del regolamento.

Council approves Data Governance Act
After the European Parliament, the Council today approved a new law to promote the availability of data and build a trustworthy environment to facilitate their use for research and the creation of innovative new services and products. The Data Governance Act (DGA) will set up robust mechanisms to facilitate the reuse of certain categories of protected public-sector data, increase trust in data intermediation services and foster data altruism across the EU.It is an important component of the European strategy for data, which aims to bolster the data economy. The new rules will apply 15 months after the entry into force of the regulation.

consilium.europa.eu/en/press/p…

Le carenze digitali della Repubblica Ceca potrebbero essere risolte con i fondi dell’UE per la ripresa

I fondi di risanamento dell’UE possono aiutare la Repubblica Ceca a riparare i suoi costi di connessione a banda larga e la sua mancanza di personale digitalmente qualificato. La Repubblica ceca utilizzerà circa 1,6 miliardi di euro dei 7,2 miliardi di euro del piano nazionale di ripresa per sviluppare l’e-government, il commercio elettronico e la trasformazione digitale, ha dichiarato il vice primo ministro per la digitalizzazione e lo sviluppo regionale Ivan Bartoš alla Repubblica ceca digitale.

EU recovery funds may help Czechia fix its broadband connection costs and its lacking digitally qualified personnel.

The Czech Republic will use around €1.6 billion of the €7.2 billion from the National Recovery Plan to develop e-government, e-commerce and digital transformation, Deputy Prime Minister for Digitisation and Regional Development Minister Ivan Bartoš, said at the Digital Czech Republic

euractiv.com/section/politics/…

Attacco di hacker russi manda in tilt sette siti italiani

Un attacco hacker rivendicato su Telegram da un gruppo informatico filo-russo chiamato “Killnet” ha mandato fuori uso, nel pomeriggio, sette siti italiani – sia istituzionali e sia di aziende private – tra cui quello del Senato, quello dell’Istituto superiore di sanità e quello dell’Automobile club italiano.

Russian hacker attack against seven Italian web sites

A hacker attack claimed on Telegram by a pro-Russian IT group called “Killnet” knocked out, in the afternoon, seven Italian websites – both institutional and private companies – including that of the Senate, that of the Higher Institute of Health and that of the Italian Automobile Club.

agi.it/cronaca/news/2022-05-11…

guidoscorza.it/privacy-daily-1…

RT @edri
🐌The Irish DPC is taking 4 years to draft a decision enforcing basic #GDPR rights. @edri member @noybeu brings to attention the extensive delays in cases against #BigTech in Ireland, which end up being paid from taxpayers’ money. Read more in #EDRigram: edri.org/our-work/irish-dpc-bu…

mastodon.social/@noybeu/108311…

Diritti per rider e autisti: ecco il piano del Parlamento europeo

A dicembre, la Commissione europea ha presentato una proposta legislativa per regolamentare il mercato del lavoro delle piattaforme, formato dai lavoratori che dipendono dalle varie app come gli autisti di Uber e i riders di Deliveroo. Il fenomeno di questo tipo di economia è esploso recentemente, arrivando a coinvolgere 28 milioni di lavoratori in Europa, una cifra destinata a salire a 43 milioni entro il 2025 secondo le stime della Commissione europea.

Rights for riders and drivers: the plan of the European Parliament

In December, the European Commission presented a legislative proposal to regulate the platform labor market, made up of workers who depend on various apps such as Uber drivers and Deliveroo riders. The phenomenon of this type of economy has exploded recently, reaching 28 million workers in Europe, a figure destined to rise to 43 million by 2025 according to estimates by the European Commission.

italian.tech/2022/05/10/news/d…

USA: il prrogetto di legge per proteggere le informazioni personali dei giudici bloccato di nuovi in Senato

Il Daniel Anderl Judicial Security and Privacy Act, un disegno di legge presentato dal senatore statunitense Bob Menendez, D-N.J., è stato nuovamente bloccato dal collega senatore Rand Paul, R-Ky., rapporti del New Jersey Globe. La proposta di legge limiterebbe la condivisione delle informazioni personali dei giudici federali degli Stati Uniti. Il disegno di legge prende il nome dal figlio del giudice del tribunale distrettuale degli Stati Uniti Esther Salas, assassinato nella casa della sua famiglia da un “estremista antifemminista” il cui caso è stato assegnato a Salas nel 2020. Paul ha detto che voleva che il disegno di legge fosse esteso ai membri del Congresso.

Bill to protect judges’ personal information blocked in US Senate

The Daniel Anderl Judicial Security and Privacy Act, a bill brought by U.S. Sen. Bob Menendez, D-N.J., was again blocked by fellow Sen. Rand Paul, R-Ky., New Jersey Globe reports. The proposed legislation would limit sharing of federal judges’ personal information and increase funding for the U.S. Marshals Service. The bill is named after U.S. District Court Judge Esther Salas’ son, who was murdered in his family’s home by an “antifeminist extremist” whose case was assigned to Salas in 2020. Paul said he wanted the bill extended to members of Congress.

newjerseyglobe.com/congress/me…

Il nuovo presidente del Costa Rica dichiara lo stato di emergenza dopo l’attacco ransomware Conti

Il neo-presidente del Costa Rica – Rodrigo Chaves – ha dichiarato lo stato di emergenza a causa di un devastante attacco ransomware lanciato dal gruppo Conti. Dopo la sua cerimonia di giuramento domenica, Chaves ha tenuto il suo primo consiglio di governo, dove ha annunciato un’emergenza nazionale e l’ha attribuita agli effetti dell’attacco sul ministero delle Finanze, che è stato il più colpito dall’attacco.

Costa Rica’s new president declares state of emergency after Conti ransomware attack

The newly-inaugurated president of Costa Rica – Rodrigo Chaves – declared a state of emergency due to a devastating ransomware attack launched by the Conti group. Following his swearing-in ceremony on Sunday, Chaves held his first government council, where he announced a national emergency and attributed it to the attack’s effects on the Ministry of Finance, which has been hit hardest by the attack.

therecord.media/costa-ricas-ne…

guidoscorza.it/privacy-daily-1…

Oggi parliamo di come l’Unione Europea voglia creare il peggior regime di sorveglianza di massa mai visto in occidente. Complottismo? Fantascienza? Nah, è lo scopo di una legge appena proposta dalla Commissione Europea.

Dagli amici viene chiamata Chatcontrol 2.0, ma il suo nome completo è “Regulation laying down rules to prevent and combat child sexual abuse”.

Oggi cercherò di spiegarvi in modo semplice di cosa parla il Chatcontrol, di come si applicherà questo folle e totalitario regime di sorveglianza, e se è possibile tutelarsi.

Puoi abbonarti a Privacy Chronicles anche con Bitcoin! Sentiamoci in privato!

Read more

Le istituzioni dell’UE pubblicano il testo finale del Digital Markets Act

Il Comitato dei Rappresentanti Permanenti dei Governi degli Stati Membri presso l’Unione Europea ha approvato e pubblicato il testo definitivo dell’accordo provvisorio per la Legge sui Mercati Digitali. L’approvazione del Committee of Permanent Representatives (COREPER) è arrivata senza ulteriori modifiche rispetto all’ultima versione modificata del testo DMA dello scorso 18 aprile . La DMA regola la concorrenza nel mercato digitale dell’UE, ma comporta obblighi e riferimenti simili al regolamento generale sulla protezione dei dati dell’UE.

EU institutions publish final text for Digital Markets Act

The Committee of the Permanent Representatives of the Governments of the Member States to the European Union approved and published the final text of the provisional agreement for the Digital Markets Act. The COREPER’s approval came with no further changes compared to the last amended version of the DMA text from April 18. The DMA regulates competition in the EU digital marketplace, but carries similar obligations and references to the EU General Data Protection Regulation.

iapp.org/news/a/eu-institution…

LEAK: Commissione per forzare la scansione delle comunicazioni per combattere la pornografia infantile

La Commissione europea proporrà un obbligo di scansione generalizzato per i servizi di messaggistica, secondo una bozza di proposta ottenuta da EURACTIV. L’esecutivo europeo svelerà mercoledì la sua proposta per combattere la circolazione online di materiale pedopornografico – CSAM in breve.

Commission to force scanning of communications to combat child pornography

The European Commission is to put forward a generalised scanning obligation for messaging services, according to a draft proposal obtained by EURACTIV. . The European executive is to unveil on Wednesday (11 May) its proposal to fight the online circulation of child sexual abuse material – CSAM in short.

euractiv.com/section/data-prot…

Polemica sul nuovo protocollo sulla criminalità informatica, il voto in plenaria è ancora in bilico

Mentre la data per la ratifica del Secondo Protocollo aggiuntivo sulla criminalità informatica da parte del Parlamento europeo deve ancora essere fissata, la società civile e alcuni eurodeputati hanno chiesto il parere della Corte di giustizia europea in merito a questioni relative a dati e privacy. Nelle ultime ore è stato aperto alla firma del Consiglio d’Europa a Strasburgo il Secondo Protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica. Nel novembre 2021 i ministri del Consiglio d’Europa hanno formalmente approvato il Protocollo. Ora, dopo la firma dei paesi il 12 e 13 maggio, il testo deve essere approvato dal Parlamento europeo.

Controversy surrounds new cybercrime protocol as plenary vote still hangs in the balance

While the date for the ratification of the Second Additional Cybercrime Protocol by the European Parliament is yet to be set, civil society and some MEPs have called for the opinion of the European Court of Justice over data and privacy concerns. The Second Additional Protocol to the Budapest Convention on Cybercrime was opened for signature at the Council of Europe in Strasbourg. It is modernising the original convention of 2001 to adapt to the challenges of the 21st century, aiming to ensure a common and cooperative criminal policy approach. In November 2021, Ministers at the Council of Europe formally approved the Protocol. Now, after the countries’ signing on 12 and 13 May, the text needs to be given consent by the European Parliament.

euractiv.com/section/data-prot…

guidoscorza.it/privacy-daily-1…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Denmark at gdprhub.eu/Datatilsynet_(Denma…
📥 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#persoonsgegevens

mastodon.social/@noybeu/108288…

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at noyb.eu/en/traineeship

mastodon.social/@noybeu/108287…

La CNIL pubblica il “Rapporto di attività 2021”

L’autorità francese per la protezione dei dati, Commission nationale de l’informatique et des libertés, ha pubblicato il suo “Rapporto di attività 2021”. Il rapporto ha evidenziato la creazione di una “sandbox” di dati personali per la salute. La CNIL ha risposto a 22 audizioni parlamentari e ha emesso 121 pareri su progetti di legge, 16 dei quali riguardavano l’elaborazione dei dati in risposta al COVID-19. Il Garante ha elaborato 576 autorizzazioni sanitarie e rilasciato 54 autorizzazioni di ricerca in merito al COVID-19. Sono state 14.143 le denunce presentate alla CNIL e 12.522 sono state archiviate. Ci sono state 135 diffide e 18 sanzioni con sanzioni superiori a 214 milioni di euro.

CNIL publishes ‘2021 Activity Report’

The French data protection authority, Commission nationale de l’informatique et des libertés, published its “2021 Activity Report.” The report highlighted the creation of a personal data “sandbox” for health. The CNIL responded to 22 parliamentary hearings and issued 121 opinions on bills, 16 of which concerned data processing in response to COVID-19. The DPA processed 576 health authorizations and issued 54 research authorizations regarding COVID-19. There were 14,143 complaints lodged with the CNIL and 12,522 were closed. There were 135 formal notices and 18 sanctions with fines exceeding 214 million euros.

cnil.fr/fr/la-cnil-publie-son-…

Il Regno Unito riforma la protezione dei dati, mettendo in dubbio l’adeguatezza dell’UE

L’agenda legislativa del Regno Unito per il prossimo anno include un disegno di legge sulla riforma dei dati che potrebbe mettere in dubbio il futuro della sentenza dell’UE sull’adeguatezza dei dati, la decisione che ha continuato a facilitare i trasferimenti di dati attraverso la Manica dopo che il Regno Unito ha lasciato il blocco nel gennaio 2020. Il disegno di legge era tra quelli inclusi nel discorso della regina di quest’anno, l’apertura formale del Parlamento, in cui il monarca espone i piani legislativi del governo per il prossimo anno. Quest’anno, però, la regina non ha partecipato per motivi di salute e l’ordine del giorno è stato presentato dai principi Carlo e William.

UK to reform data protection, throwing EU adequacy ruling into doubt

The UK’s legislative agenda for the next year includes a data reform bill that could cast doubts on the future of the EU’s data adequacy ruling, the decision that continued to facilitate data transfers across the Channel after the UK left the bloc in January 2020. The bill was amongst those included in this year’s Queen’s Speech, the formal opening of Parliament, in which the monarch sets out the government’s legislative plans for the upcoming year. This year, however, the Queen did not attend for health reasons and the agenda was presented by Princes Charles and William.

euractiv.com/section/digital/n…

Le autorità canadesi per la privacy firmano un accordo per migliorare la collaborazione

L’Ufficio del Commissario per la privacy del Canada, il Commissario per l’informazione e la privacy dell’Alberta, il Commissario per l’informazione e la privacy della Columbia Britannica e la Commission d’accès à l’information du Québec hanno firmato un memorandum d’intesa per rafforzare la collaborazione sulle questioni relative alla privacy del settore privato . Attraverso l’accordo, le autorità possono condividere informazioni, consultarsi sull’applicazione e sulle politiche e sviluppare documenti di conformità e iniziative di istruzione pubblica. Alberta IPC Jill Clayton ha dichiarato: “La necessità di collaborazione per far rispettare efficacemente le leggi sulla privacy del Canada non è mai stata così grande”.

Privacy guardians sign collaboration agreement

A new Memorandum of Understanding (MOU) will promote greater collaboration between the Office of the Privacy Commissioner of Canada (OPC), the Information and Privacy Commissioner of Alberta, the Information and Privacy Commissioner for British Columbia and the Commission d’accès à l’information du Québec. Domestic and international enforcement cooperation in the area of privacy law is increasingly critical in a digitized world where data flows transcend borders. Cross-jurisdictional collaboration helps to ensure better protection of the rights of citizens. It can also benefit organizations by streamlining investigative processes and promoting a greater harmonization in the application of laws.

priv.gc.ca/en/opc-news/news-an…

guidoscorza.it/privacy-daily-1…

Troppo bello!
by @Obscurus

Obscurus

2022-05-08 00:12:32

Come evitare l'affaticamento da privacy
Ottima scaletta di tips di Michael Bazzell

Il #whistleblowing all'italiana...
"L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti"

"Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria."

gpdp.it/web/guest/home/docweb/…

Ringraziamo il #GarantePrivacy per la sua istruttoria e per l'ordinanza emessa!
"sono emersi ulteriori illeciti imputabili alla società informatica che si era avvalsa di un fornitore esterno per il servizio di hosting senza dare istruzioni adeguate!

Chissà se questo tipo di problemi riguarda anche altre PA che hanno configurato lo stesso software?
Dovremmo seguire di più l'esempio di chi già pratica corrette condotte di gestione del #whistleblowing e improvvisare di meno...

[descrizione della GIF animata: Il presentatore televisivo, interpretato dall'attore Benny Hill, si siede sulla sedia oscurata dove doveva sedere il whistleblower; quando si scambiano di posto il danno è stato fatto e dopo pochi secondi il whistleblower viene assassinato. Link al video originale: youtube.com/watch?v=vJki8XXqVw… ]

Le questioni legali, non le infrastrutture, ostacolano la ricerca nella rivoluzione dei dati sanitari

Secondo uno stakeholder finlandese, uno spazio europeo dei dati sanitari (EHDS) potrebbe avere un enorme impatto sulla ricerca sanitaria se riuscisse a superare le barriere all’uso secondario transfrontaliero dei dati sanitari e creare fiducia tra i cittadini. Queste barriere sono state analizzate dalla Joint Action Towards the European Health Data Space (TEHDAS) , coordinatore Markus Kalliola, project director per il progetto Health Data 2030 presso il Finnish Innovation Fund Sit EURACTIV in un’intervista.

Legal issues, not infrastructure hampers research in health data revolution

A European Health Data Space (EHDS) could enormously impact health research if it can overcome barriers to cross-border secondary use of health data and create trust amongst citizens, according to a Finnish health data stakeholder. These barriers have been carefully analysed by the Joint Action Towards the European Health Data Space (TEHDAS), coordinator Markus Kalliola, project director for the Health Data 2030 project at the Finnish Innovation Fund Sitra, told EURACTIV in an interview.

euractiv.com/section/health-co…

HDPA rilascia linee guida di conformità dei siti Web che utilizzano tracker

L’autorità ellenica per la protezione dei dati in Grecia ha pubblicato linee guida di conformità per i siti Web informativi che utilizzano tracker. L’autorità ha analizzato diversi siti Web e le loro modalità per ottenere il consenso all’uso dei tracker, in particolare i pop-up di cookie banner, osservando la non conformità in diversi punti del Regolamento generale sulla protezione dei dati dell’UE. L’HDPA ha affermato di aver condotto un audit di 30 siti Web, concedendo loro 15 giorni per essere conformi. Tutti i siti Web, con un’eccezione, lo hanno fatto entro la scadenza. L’autorità esorta tutti i siti web ad adeguarsi alle linee guida.

euractiv.com/section/health-co…

HDPA releases guidelines on website-tracking compliance

The Hellenic Data Protection Authority in Greece released compliance guidelines for informational websites using trackers. The authority observed several websites whose methods for obtaining consent to use trackers — specifically, cookie banner pop-ups — did not comply with several points of the EU General Data Protection Regulation. The HDPA said it conducted an audit of 30 informative websites, giving them 15 days to achieve compliance. All websites, with one exception, did so by the deadline. The authority urges all websites to adapt to the guidelines.

iapp.org/news/a/hdpa-releases-…

EDPB discute le sanzioni GDPR, l’uso del riconoscimento facciale da parte delle forze dell’ordine

Il Comitato europeo per la protezione dei dati ha annunciato che le linee guida per il calcolo delle sanzioni amministrative ai sensi del regolamento generale sulla protezione dei dati dell’UE saranno discusse durante la sessione plenaria del 12 maggio. L’EDPB discuterà anche le linee guida sull’uso della tecnologia di riconoscimento facciale da parte delle forze dell’ordine e la prossima conferenza di giugno “Il futuro della protezione dei dati: un’applicazione efficace nel mondo digitale”.

EDPB to discuss GDPR fines, law enforcement facial recognition use

The European Data Protection Board announced guidelines for calculating administrative fines under the EU General Data Protection Regulation will be discussed during its May 12 plenary session. The EDPB will also discuss guidelines around law enforcement’s use of facial recognition technology and the upcoming June conference “The Future of Data Protection — Effective enforcement in the digital world.”

iapp.org/news/a/edpb-to-discus…

guidoscorza.it/privacy-daily-1…

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at noyb.eu/en/traineeship

mastodon.social/@noybeu/108277…

Washington va all’offensiva globale sulla privacy dei dati

Il Congresso USA è in stallo sulle regole federali sulla privacy. Gli Stati Uniti sono impegnati nel Forum mondiale delle norme sulla privacy transfrontaliere, un gruppo internazionale di paesi tra cui Stati Uniti, Singapore, Giappone e altri tra quelli della Cooperazione economica dell’Asia del Pacifico. Funzionari di 20 giurisdizioni – e non solo dell’APEC – si sono riuniti alle Hawaii la scorsa settimana per elaborare dettagli sulle potenziali norme sulla protezione dei dati a livello mondiale che consentirebbero alle informazioni personali (query di ricerca, informazioni sulle buste paga) di fluire senza soluzione di continuità attraverso i confini e le giurisdizioni.

Washington goes on the global data privacy offensive

Washington’s deadlocked Congress isn’t going to pass federal privacy rules any time soon. But on the global stage, the United States wants to show its allies that it means business — even if that means butting heads with the European Union. Central to the United States’ pitch is the newly created Global Cross-Border Privacy Rules Forum, an international group of countries including the U.S., Singapore, Japan and others from the Asia Pacific Economic Cooperation, a regional trade group. Officials from 20 jurisdictions — and not just from APEC — gathered in Hawaii last week to hammer out details on potential worldwide data protection rules that would allow people’s personal information like search queries and payroll information to flow seamlessly across borders.

politico.eu/article/washington…

Il Parlamento europeo critica la mancanza di iniziativa sull’uso di spyware da parte degli Stati

I membri del Parlamento europeo hanno criticato la mancanza di azione da parte della Commissione europea sull’uso da parte degli Stati membri dello spyware Pegasus del gruppo NSO, riferisce Euractiv. Le rivelazioni dell’anno scorso hanno scoperto che il gruppo NSO ha fornito ai governi lo spyware, consentendo agli utenti l’accesso inosservato a tutti i contenuti e gli scambi e tracciando la geolocalizzazione dei cellulari. Secondo quanto riferito, lo spyware è stato utilizzato per sorvegliare i dispositivi di politici, giornalisti e attivisti di tutto il mondo. Il Parlamento europeo ha incaricato una commissione di indagare sull’uso di Pegasus da parte degli Stati membri dell’UE a marzo.

Pegasus: MEPs lash out at EU Commission for inaction

Members of European Parliament criticized the lack of action by the European Commission over member states’ use of NSO Group’s Pegasus spyware, Euractiv reports. Revelations last year uncovered that NSO Group provided governments with the spyware, allowing users undetected access to all content and exchanges, and track the geolocation of cellphones. Reportedly, the spyware was used to surveil the devices of politicians, journalists and activists around the world. The European Parliament tasked a committee to investigate into EU member states’ use of Pegasus in March.

euractiv.com/section/digital/n…

L’ultima decisione di Google Analytics non ha alcuna influenza sui trasferimenti di dati

Lynn Goldstein, CIPP/USA, Senior Foundation Strategist della Information Accountability Foundation, ha scritto un editoriale spiegando come una seconda decisione dell’Autorità austriaca per la protezione dei dati in merito ai trasferimenti di dati effettuati tramite Google Analytics “non dovrebbe ostacolare i trasferimenti di dati odierni”. A seguito di una sentenza iniziale sui trasferimenti illegali tramite gli strumenti web di Google Analytics, l’Autorità di protezione dei dati si è recentemente pronunciata contro un approccio ai trasferimenti basato sul rischio. Goldstein ha osservato che l’ultima decisione “è mal motivata” e basata su “due ‘fatti’ obsoleti” relativi all’interpretazione del regolamento generale sulla protezione dei dati dell’UE e alle procedure relative alle clausole contrattuali standard.

Op-ed: Latest Google Analytics decision has no bearing on data transfers

Information Accountability Foundation Senior Foundation Strategist Lynn Goldstein, CIPP/US, wrote an op-ed explaining how a second decision by the Austrian Data Protection Authority regarding data transfers carried out through Google Analytics “should not hinder today’s data transfers.” Following an initial ruling on illegal transfers using Google Analytics web tools, the DPA recently ruled against a risk-based approach to transfers. Goldstein noted the latest decision “is poorly reasoned” and based on “two outdated ‘facts'” related to interpretation of the EU General Data Protection Regulation and procedures around standard contractual clauses.

informationaccountability.org/…

guidoscorza.it/privacy-daily-1…

Il governo annuncia il disegno di legge sulla riforma dei dati nel discorso della regina

Sky News riferisce che il governo annuncerà un nuovo disegno di legge sulla riforma dei dati nel discorso della regina inteso a consentire al Regno Unito di deviare dalla legislazione dell’UE sulla privacy. I rappresentanti del settore hanno detto a Sky News che ritengono che il Regno Unito possa trarre vantaggio dalle riforme, ma si teme che se fatte in modo improprio alla fine costerebbero all’economia più di quanto non forniscano.

Government to announce data reform bill in Queen’s Speech
The government will announce a new data reform bill in the Queen’s Speech intended to allow the UK to deviate from EU privacy legislation, Sky News has learnt. Industry representatives told Sky News they believe the UK could benefit from the reforms, but there are concerns that if done improperly they would ultimately cost the economy more than they deliver.

news.sky.com/story/government-…

La legge sul monitoraggio dei dipendenti di New York entra in vigore

E’ entrato in vigore l’ emendamento al New York Civil Rights Act che richiede ai datori di lavoro privati ​​con sedi di attività in qualsiasi parte dello stato di fornire ai dipendenti un avviso scritto se il datore di lavoro stesso monitora o intercetta le e-mail dei dipendenti, l’accesso a Internet o le conversazioni telefoniche. L’avviso scritto deve comunicare che “qualsiasi conversazione o trasmissione telefonica, posta elettronica o trasmissioni, o accesso a Internet o utilizzo da parte di un dipendente da parte di qualsiasi dispositivo o sistema elettronico . . . può essere soggetto a monitoraggio in qualsiasi momento con qualsiasi mezzo lecito”.

New York Employee Monitoring Law Goes Into Effect

An amendment to the New York Civil Rights Act goes into effect that requires private employers with places of business anywhere in the state to provide employees a written notice if the employer monitors or intercepts employee emails, internet access or usage, or telephone conversations. The written notice must communicate that “any and all telephone conversations or transmissions, electronic mail or transmissions, or internet access or usage by an employee by any electronic device or system . . . may be subject to monitoring at any and all times by any lawful means.”

bytebacklaw.com/2022/05/new-yo…

La raccolta di dati Big Tech viene nel mirino della Bank for International Settlements (BIS)

Un documento pubblicato dalla Bank for International Settlements chiede di dare alle persone un maggiore controllo sui propri dati raccolti da società e banche Big Tech, riferisce Reuters. La BSI ha affermato che le autorità dovrebbero adottare sistemi di governance dei dati per “rendere eque le condizioni di concorrenza tra interessati e responsabili del trattamento”, aggiungendo: “Quando i dati sono condivisi tra fornitori di dati e utenti di dati, il sistema di governance dei dati dovrebbe specificare quali dati sono richiesti per la condivisione, per quanto tempo saranno conservati dagli utenti dei dati e chi li elaborerà.

Big Tech data harvesting comes under fire by world central bank group

A paper published by the Bank for International Settlements calls for giving individuals more control over their data collected by Big Tech companies and banks, Reuters reports. The BIS said authorities should adopt data governance systems to “level the playing field between data subjects and data controllers,” adding, “When data are shared between data providers and data users, the data governance system should specify which data are requested for sharing, how long they will be retained by data users, and who will process them.”

reuters.com/technology/big-tec…

guidoscorza.it/privacy-daily-9…

Il Data Act dell’UE: la protezione dei dati deve prevalere per responsabilizzare gli interessati

Il Garante europeo della protezione dei dati (GEPD) e il Comitato europeo per la protezione dei dati (EDPB) hanno pubblicato un parere congiunto sulla proposta di legge sui dati. Il GEPD e l’EDPB accolgono con favore gli sforzi compiuti per garantire che la legge sui dati non influisca sull’attuale quadro di protezione dei dati. Allo stesso tempo il GEPD e l’EDPB esortano i legislatori a garantire che i diritti degli interessati siano debitamente tutelati. L’accesso, l’uso e la condivisione dei dati personali da parte di soggetti diversi dagli interessati deve avvenire nel pieno rispetto di tutti i principi e le regole in materia di protezione dei dati. Inoltre, i prodotti dovrebbero essere progettati in modo tale che agli interessati sia offerta la possibilità di utilizzare i dispositivi in ​​modo anonimo o nel modo meno invasivo possibile per la privacy.

The EU’s Data Act: data protection must prevail to empower data subjects

he European Data Protection Supervisor (EDPS) and the European Data Protection Board (EDPB) published their Joint Opinion on the proposed Data Act. The EDPS and EDPB welcome the efforts made to ensure that the Data Act does not affect the current data protection framework. At the same time, since the Data Act would also apply to highly sensitive personal data, the EDPS and EDPB urge the co-legislators to ensure that data subjects’ rights are duly protected. The access, use and sharing of personal data by entities other than data subjects should occur in full compliance with all data protection principles and rules. Moreover, products should be designed in such a way that data subjects are offered the possibility to use devices anonymously or in the least privacy intrusive way possible.

edps.europa.eu/press-publicati…

Il futuro della protezione dei dati e della privacy: come il Parlamento europeo sta rispondendo alle aspettative dei cittadini

Il Parlamento europeo ha pubblicato una sintesi di uno scambio di opinioni sulla protezione dei dati dell’UE in occasione della Conferenza sul futuro dell’Europa. Il CoFoE è un forum progettato per consentire ai cittadini di esprimere aspettative, offrendo al Parlamento l’opportunità di valutare le sue risposte in corso o elaborare nuove iniziative sulla base delle opinioni. Il Parlamento ha affermato di aver “in gran parte tenutosi in linea con le preoccupazioni dei cittadini” sulla protezione dei dati, cittadini che hanno commentato una serie di argomenti, tra cui i controlli sugli utenti, la privacy dei bambini e la riduzione al minimo della sorveglianza.

The future of data protection and privacy: How the European Parliament is responding to citizens’ expectations

European Parliament published a summation of an exchange of views on EU data protection at the Conference on the Future of Europe. The CoFoE is a forum designed for citizens to express expectations, giving Parliament the opportunity to gauge its ongoing responses or devise new initiatives based on the views. Parliament said it has “largely kept pace with citizens’ concerns” on data protection, with citizens commenting on a range of topics, including user controls, children’s privacy and minimizing surveillance.

europarl.europa.eu/thinktank/e…

Canada: la Camera dei Comuni pubblica un rapporto sulla raccolta e l’uso da parte del governo dei dati sulla mobilità

La Camera dei Comuni del Canada ha pubblicato il rapporto del Comitato permanente della Camera per l’accesso alle informazioni, la privacy e l’etica (“ETHI”) sulla raccolta e l’uso dei dati sulla mobilità da parte del governo canadese. In particolare, il rapporto affronta l’uso da parte del governo dei dati sulla mobilità alla luce della pandemia di COVID-19 e dei relativi rischi per la privacy che ciò ha creato, oltre ad affrontare le discussioni sulla anonimizzazione e la possibile reidentificazione dei dati e sui rischi al riguardo . Inoltre, il rapporto affronta la necessità di una legislazione federale sulla privacy più forte e formula raccomandazioni che possono essere utilizzate per garantire che vi sia un quadro giuridico appropriato per l’uso dei dati in Canada.

Canada: House of Commons releases report on government’s collection and use of mobility data

The House of Commons of Canada released, on 2 May 2022, the House Standing Committee on Access to Information, Privacy and Ethics’ (‘ETHI’) report on the Collection and Use of Mobility Data by the Government of Canada. In particular, the report addresses the government’s use of mobility data in light of the COVID-19 pandemic and related privacy risks that this created, as well as addressing discussions around the de-identification and possible re-identification of data and risks in this regard. Moreover, the report addresses the need for stronger federal privacy legislation, and makes recommendations that can be used to ensure that an appropriate legal framework for data use in Canada is in place.

dataguidance.com/news/canada-h…

guidoscorza.it/privacy-daily-6…

Se a livello europeo le maglie della sorveglianza e controllo vengono tessute in modo parallelo su diversi ambiti, in Italia la situazione è diversa: la nostra punta di diamante, quando si tratta di sorvegliare e controllare la popolazione, è senza dubbio l’Agenzia delle Entrate.

Subscribe now

Dopo aver parlato della follia e del pericolo di dare all’Agenzia delle Entrate la capacità di trattare dati sanitari, per scovare e punire i “novax”, oggi parliamo dei suoi nuovi super-poteri “anti-evasione”, che da qualche mese interessano anche l’attività del Garante Privacy.

Rischio fiscale, tutti colpevoli fino a prova contraria

Di recente il Garante Privacy ha dato un parere in merito allo schema di decreto proposto dal MEF per dare attuazione alla legge di Bilancio 20201. Lo schema prevede le misure per attivare un nuovo potere dell’Agenzia delle Entrate: l’analisi dei dati per valutare il “rischio fiscale”.

La legge definisce rischio fiscale come il “rischio di comportamenti attuati in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalità dell’ordinamento tributario”. Non confondiamo il rischio, che è la possibilità astratta che possa verificarsi un evento, con la certezza di commissione di un illecito. Qui di certo non c’è nulla.

L’analisi sarà fatta grazie all’intreccio di diversi dati, come i dati relativi ai rapporti finanziari, cioè i movimenti sui conti corrente, ai dati su depositi e prelievi, oltre che alle banche dati della Guardia di Finanza. Al centro ci sarà il codice fiscale delle persone, che sarà usato come punto fermo a cui collegare tutte le altre informazioni. Lo scopo è in buona sostanza usare milioni di dati per valutare il comportamento delle persone e valutare il rischio fiscale.

Nella pratica saranno usati due dataset diversi: uno di analisi, che comprenderà dati nella disponibilità dell’Agenzia, e uno di controllo, che invece riguarderà i dati caratterizzati da rischio fiscale. I dati di analisi saranno cancellati ogni 8 anni, mentre quelli di controllo ogni 10.

Superando la coltre di tecnicismi, la valutazione del rischio fiscale non è nient’altro che una valutazione sistematica e globale di azioni, comportamenti e dati (anche probabilistici), sulla quale si fonderanno decisioni, anche automatizzate, che avranno effetti giuridici molto rilevanti su milioni di persone. In una parola: profilazione.

È un sistema che per sua natura capovolge il principio di presunzione d’innocenza: siamo tutti sospetti e quindi potenzialmente soggetti a sorveglianza e profilazione, fino a prova contraria.

Il nuovo potere di profilazione conferma un trend iniziato con la fatturazione elettronica, e si va a sommare ai poteri informativi già incredibili di cui gode l’Agenzia da qualche anno. Le fatture elettroniche, che non sono altro che un file XML pieno zeppo di dati. Un tesoro informativo che dà all’Agenzia delle Entrate il potere di conoscere ogni singolo aspetto della nostra vita. Basta pensare che ogni anno in Italia vengono emesse più di 2 miliardi di fatture per i motivi più disparati: divertimento, questioni di salute, lavoro, educazione, e servizi di ogni tipo.

Recentemente il Garante ha definito così il trattamento di dati legato alla fatturazione elettronica:

“La memorizzazione integrale dei file XML, corredati dei relativi allegati […] comporta comunque la concentrazione presso l’Agenzia delle entrate di miliardi di fatture elettroniche contenenti dati, anche appartenenti a categorie particolari o relativi a condanne penali e reati, riferiti a ogni aspetto della vita quotidiana, abitudini e scelte di consumo delle persone fisiche. […] determinano un’ingerenza, sistematica e preventiva, nella sfera privata più intima delle persone fisiche, non proporzionata all’obiettivo di interesse pubblico.”

Non è la prima volta che il Garante si espone sul tema. Già nel 2020 aveva dato un parere negativo sullo schema attuativo per la conservazione dei dati della fatturazione elettronica proposto dal Direttore dell’Agenzia delle Entrate, paragonandolo a un sistema di sorveglianza di massa degli italiani:

“[…] Configura un sistema di controllo irragionevolmente pervasivo della vita privata di tutti i contribuenti, senza peraltro migliorare il doveroso contrasto dell’evasione fiscale.“

Subscribe now

La limitazione dei nostri diritti

Non ci sono solo la profilazione e la sorveglianza di massa a preoccuparmi, ma anche un secondo aspetto relativo ai nostri diritti. Lo schema in esame prevede infatti ampie limitazioni dei diritti su dati previsti dalla normativa europea. Quei diritti cioè che permettono alle persone di controllare i loro dati e, quindi la loro vita.

La prima limitazione è relativa al diritto di accesso ai dati, che prevede il potere di conoscere se è in corso o meno un trattamento di dati e di ottenere informazioni significative. Ecco, questo non sarà possibile. Lo schema propone infatti di escludere il diritto di accesso, almeno fino a dopo aver ricevuto l’invito a regolarizzare la propria posizione fiscale. Solo quando l’Agenzia delle Entrate avrà deciso che siamo colpevoli, avremo allora diritto di chiedere l’accesso ai dati.

Il motivo della limitazione del diritto di accesso è chiaro: il legislatore vuole proteggere a tutti i costi la segretezza delle attività di sorveglianza dell’Agenzia, come se fosse a tutti gli effetti un organo di intelligence o di polizia. L’Agenzia ha il diritto di metterci sotto sorveglianza, ma noi non abbiamo il diritto di saperlo - se non a giochi fatti. Il culmine dello stato di diritto.

Lo schema attuativo limita anche altri diritti, come la possibilità di richiedere la limitazione del trattamento, il diritto di opposizione e il diritto di cancellazione. Una volta entrati nel sistema è impossibile uscirne.

Questi diritti sono uno strumento fondamentale per proteggere attivamente la nostra vita contro possibili abusi, errori e conseguenze giuridiche derivanti da profilazione e processi decisionali automatizzati. La limitazione ex lege ci lascia alla mercé del potere, pressoché illimitato, dell’Agenzia delle Entrate. Anche il Garante Privacy la pensa allo stesso modo, affermando nel parere sullo schema che la limitazione “rischia di ostacolare più in generale il diritto di difesa del cittadino, protraendo anche condotte illecite”.

Come posso, ad esempio accertarmi che i dati su di me siano corretti e aggiornati, e nel caso in cui non lo siano, correggere l’azione dell’Agenzia delle Entrate, se non ho neanche il diritto di sapere che c’è un trattamento di dati che mi riguarda?

Queste limitazioni assurde spostano tutto il carico di responsabilità sul contribuente, che si troverà in condizione di doversi difendere da una decisione presa dall’Agenzia delle Entrate sulla base di dati e processi decisionali non conoscibili da nessuno.

Share

Un Leviatano inarrestabile

L’Agenzia delle Entrate somiglia sempre più a un’agenzia di intelligence, con mandato di sorvegliare, profilare e sanzionare sistematicamente e in massa la popolazione italiana.

Il contrasto all’evasione fiscale e al riciclaggio sono ormai assi piglia tutto che servono a giustificare ingerenze sempre più pervasive nella vita delle persone, senza alcuna proporzionalità.

La stessa fatturazione elettronica, spacciata come un processo di “trasformazione digitale” è in realtà semplicemente uno schema di sorveglianza di massa. Il direttore dell’Agenzia delle Entrate, Ruffini2, non ne fa mistero:

"La fatturazione elettronica non ha dato gli effetti sperati non perché non sia la via giusta ma perché abbiamo un armadio pieno di dati che non siamo in grado di utilizzare perché non siamo autorizzati a farlo per la privacy".

[…] La partita è impari dal lato del Fisco. Le partite Iva sono 6 milioni e noi siamo 32 mila servitori dello Stato. Immaginare di poter accertare sistematicamente 4 o 5 milioni di partite Iva attive è difficile. [...] ai privati cediamo i nostri diritti alla privacy e poi ci difendiamo dallo Stato che siamo noi stessi".

Quindi lo scopo dela fatturazione elettronica, come ammesso dal Direttore, era accumulare dati e usarli contro i contribuenti. E che significa “accertamento sistematico” se non sorveglianza di massa?

E poi il caro Ruffini paragona lo Stato con le aziende private. Ma le aziende private trattano dati in modo non violento e squisitamente consensuale3 per vendere i loro prodotti. Le aziende private o le banche non mi mandano le guardie armate se i loro algoritmi determinano un qualche profilo di rischio nei miei confronti. Al massimo, sceglieranno di non fare affari con me.

Lo Stato invece è un’altra bestia. Ci sorveglia in modo violento e pervasivo, senza alcuna possibilità di difesa, come se fossimo criminali. Ci costringe a renderci trasparenti di fronte ai suoi organi inquisitori e punisce i cittadini innocenti che cercano di difendersi dalla sorveglianza, come nel caso in cui qualcuno usi “troppi” contanti. E quelle poche difese legali che abbiamo, come il diritto di accesso, ci vengono ora tolte per decreto. Il tutto viene condito da una narrativa pubblica che trasforma in criminale chiunque non voglia sottoporsi a questo regime di sorveglianza. Non c’è una terza strada: chi non è assolutamente trasparente ha qualcosa da nascondere, e quindi deve essere discriminato.

Lo Stato non siamo noi. Lo Stato è un collettivo di burocrati il cui unico scopo è assicurare la propria sopravvivenza a discapito di chi, nonostante tutto, cerca di vivere e produrre, per il proprio bene e quello degli altri. Lo Stato è un regime che colpevolizza e criminalizza pubblicamente chiunque ribadisca la propria dignità umana e il diritto a non subire ingerenze arbitrarie nella propria vita.

Come scriveva Ayn Rand in Atlas Shrugged: "There's no way to rule innocent men. The only power any government has is the power to crack down on criminals. Well, when there aren't enough criminals one makes them4”. E l’Agenzia delle Entrate è qui per questo.

Leave a comment

La newsletter che parla di privacy e sorveglianza, di libertà e oppressione. Per chi sa che 1984 di Orwell non era un manuale d'istruzioni.

Privacy Chronicles è un progetto libero e indipendente che esiste anche grazie alle decine di persone che hanno scelto di abbonarsi, valorizzando il mio lavoro e spronandomi a fare sempre meglio, settimana dopo settimana.

Se ti piace quello che scrivo e vuoi accedere a tutti i contenuti, valuta l’abbonamento mensile o annuale!

Vuoi abbonarti a Privacy Chronicles con Bitcoin? Sentiamoci in privato!
1

Legge 27 dicembre 2019, n. 160

2

Intervista a Ruffini

3

Prima che qualcuno dica: “eh ma Facebook tratta i miei dati senza il mio consenso”. Il consenso di cui parlo è relativo alla libertà delle persone di scegliere se usare o meno questi servizi. Nessuno ci punta una pistola alla testa per obbligarci a usare Facebook o i servizi Google.

4

Non c’è modo di governare uomini innocenti. Il governo ha solo il potere di reprimere i criminali. E quando non ci sono abbastanza criminali, bisogna crearli.

Il Parlamento del Regno Unito invita Musk a discutere su Twitter

La CNBC riferisce che il Parlamento del Regno Unito ha invitato Elon Musk a parlare con il suo comitato ristretto per il digitale, la cultura, i media e lo sport in merito al futuro di Twitter, che Musk ha recentemente acquistato per 44 miliardi di dollari.

cnbc.com/2022/05/04/elon-musk-…

Il Parlamento europeo adotta le raccomandazioni dell’IA Act della Commissione

Il Parlamento europeo ha annunciato l’adozione delle raccomandazioni della sua Commissione speciale sull’intelligenza artificiale per migliorare la proposta di legge sull’AI dell’UE.

europarl.europa.eu/news/en/pre…

ANPD pubblica uno studio che delinea gli usi dei dati personali per la ricerca accademica nell’ambito della LGPD

L’Autorità brasiliana per la protezione dei dati, Autoridade Nacional de Proteção de Dados, ha pubblicato il suo studio tecnico che evidenzia come i dati personali possono essere elaborati per la ricerca accademica ai sensi della legge generale sulla protezione dei dati.

gov.br/anpd/pt-br/assuntos/not…

guidoscorza.it/privacy-daily-5…

Stati Uniti e 60 partner globali lanciano la dichiarazione per il futuro di Internet

Internet è stato rivoluzionario. Offre opportunità senza precedenti alle persone di tutto il mondo di connettersi ed esprimersi e continua a trasformare l’economia globale, offrendo opportunità economiche a miliardi di persone. Eppure ha anche creato anche serie sfide politiche. A livello globale, stiamo assistendo a una tendenza all’aumentare dell’autoritarismo digitale in cui alcuni stati agiscono per reprimere la libertà di espressione, censurare i siti di notizie indipendenti, interferire con le elezioni, promuovere la disinformazione e negare ai propri cittadini altri diritti umani. Allo stesso tempo, milioni di persone devono ancora affrontare barriere all’accesso e i rischi e le minacce alla sicurezza informatica minano la fiducia e l’affidabilità delle reti. I governi democratici e altri partner stanno raccogliendo la sfida. Oggi, gli Stati Uniti con 60 partner da tutto il mondo hanno lanciato la Dichiarazione per il futuro di Internet.

United States and 60 Global Partners Launch Declaration for the Future of the Internet

The Internet has been revolutionary. It provides unprecedented opportunities for people around the world to connect and to express themselves, and continues to transform the global economy, enabling economic opportunities for billions of people. Yet it has also created serious policy challenges. Globally, we are witnessing a trend of rising digital authoritarianism where some states act to repress freedom of expression, censor independent news sites, interfere with elections, promote disinformation, and deny their citizens other human rights. At the same time, millions of people still face barriers to access and cybersecurity risks and threats undermine the trust and reliability of networks. Democratic governments and other partners are rising to the challenge. Today, the United States with 60 partners from around the globe launched the Declaration for the Future of the Internet.

whitehouse.gov/briefing-room/s…

Australia: l’OAIC pubblica una dichiarazione congiunta con le autorità di regolamentazione della privacy australiane sulla privacy

L’Office of the Australian Information Commissioner (“OAIC”) ha pubblicato una dichiarazione congiunta con l’Information and Privacy Commissioner, Office of the Victorian Information Commissioner, Office of the Information Commissioner (Queensland), Privacy Committee of South Australia , Difensore civico della Tasmania e Commissario per l’informazione del Territorio del Nord. In particolare, la dichiarazione sottolinea che le autorità per la privacy di tutta l’Australia si stanno unendo per evidenziare la privacy come fondamento della fiducia tra la comunità, le imprese e le agenzie governative. La dichiarazione aggiunge che le autorità australiane per la privacy continueranno a collaborare per sostenere la protezione della privacy e promuovere la consapevolezza dei diritti e delle responsabilità di individui, aziende e agenzie governative.

Privacy: The foundation of trust – Joint statement by Privacy Authorities Australia

The Office of the Australian Information Commissioner (‘OAIC’) published, on 29 April 2022, a joint statement with the Information and Privacy Commissioner, Office of the Victorian Information Commissioner, Office of the Information Commissioner (Queensland), Privacy Committee of South Australia, Ombudsman Tasmania, and Information Commissioner of the Northern Territory. In particular, the statement highlights that privacy authorities from around Australia are joining together to highlight privacy as the foundation of trust between the community, businesses, and government agencies. The statement adds that Australia’s privacy authorities will continue to work together to uphold privacy protections and promote awareness of rights and the responsibilities of individuals, businesses, and government agencies.

oaic.gov.au/updates/news-and-m…

Il Commissario canadese per la privacy comparirà davanti al comitato che esamina la tecnologia di riconoscimento facciale

Il commissario canadese per la privacy Daniel Therrien apparirà davanti al Comitato permanente della Camera dei Comuni per l’accesso alle informazioni, la privacy e l’etica ( ETHI ) per partecipare al suo studio sull’uso e l’impatto della tecnologia di riconoscimento facciale . Di fronte al comitato compariranno anche la commissaria per l’informazione e la privacy dell’Ontario Patricia Kosseim e Diane Poitras, presidente della Commission d’accès à l’information du Québec.

Privacy Commissioner of Canada to appear before committee examining facial recognition technology

Privacy Commissioner of Canada Daniel Therrien will appear before the House of Commons Standing Committee on Access to Information, Privacy and Ethics (ETHI) to participate in its study into the use and impact of facial recognition technology. Information and Privacy Commissioner of Ontario Patricia Kosseim and Diane Poitras, president of the Commission d’accès à l’information du Québec will also appear before the committee.

priv.gc.ca/en/opc-news/news-an…

guidoscorza.it/privacy-daily-4…

I watchdog digitali del Regno Unito gurdano più da vicino gli algoritmi tra i piani per l’anno a venire

Il Digital Regulation Cooperation Forum del Regno Unito, un intergruppo di lavoro con i quattro regolatori digitali del paese, ha pubblicato il suo piano di lavoro 2022-2023 . DRCF ha delineato gli obiettivi all’interno del piano strategico per il prossimo anno, tra i quali: la privacy dei bambini, la privacy e la concorrenza nella pubblicità online e la trasparenza algoritmica. L’amministratore delegato della DRCF Gill Whitehead ha affermato che il lavoro cooperativo del gruppo è “significativo” e intende “dare un contributo importante al panorama digitale del Regno Unito a vantaggio delle persone e delle imprese online”.

UK’s digital watchdogs take a closer look at algorithms as plans set out for year ahead

The U.K. Digital Regulation Cooperation Forum, a collaborative workgroup featuring the country’s four digital regulators, released its 2022-2023 workplan. DRCF outlined the focuses within the strategic plan for the coming year, including children’s privacy, privacy and competition in online advertising, and algorithmic transparency. DRCF Chief Executive Gill Whitehead said the group’s cooperative work is “significant” and it intends to “make an important contribution to the UK’s digital landscape to the benefit of people and businesses online.
Businessman sitting on a chair and studying math formulas on blackboard
gov.uk/government/news/uk-s-di…

Le DPA decidono una cooperazione più stretta per sulle questioni strategiche

In una riunione di due giorni ad alto livello tenutasi a Vienna, i membri dell’EDPB hanno convenuto di rafforzare ulteriormente la cooperazione su casi strategici e di diversificare la gamma dei metodi di cooperazione utilizzati. Andrea Jelinek, Presidente dell’European Data Protection Board, ha dichiarato: “Negli ultimi quattro anni, abbiamo investito molte risorse nell’interpretazione e nell’applicazione coerente del GDPR approvando e adottando non meno di 57 Linee guida e 6 Raccomandazioni. L’applicazione da parte delle autorità per la protezione dei dati (DPA) è aumentata con sanzioni cumulative che ammontano a 1,55 miliardi di € alla fine del 2021.

DPAs decide on closer cooperation for strategic files

At a two-day high level meeting in Vienna, EDPB Members have agreed to further enhance cooperation on strategic cases and to diversify the range of cooperation methods used. Andrea Jelinek, Chair of the European Data Protection Board, said: “In the past four years, we have invested a great deal of resources in the interpretation and consistent application of the GDPR by endorsing and adopting no less than 57 Guidelines and 6 Recommendations. Enforcement by the data protection authorities (DPAs) has ramped up with cumulative fines adding up to 1.55Bn€ at the end of 2021.

edpb.europa.eu/news/news/2022/…

L’ anteprima per sviluppatori di Privacy Sandbox su Android

“Di recente abbiamo annunciato Privacy Sandbox su Android per abilitare nuove soluzioni pubblicitarie che migliorano la privacy degli utenti e forniscono a sviluppatori e aziende gli strumenti per avere successo sui dispositivi mobili. Dall’annuncio, abbiamo ascoltato gli sviluppatori di tutto l’ecosistema sulle nostre proposte di progettazione iniziali . Il tuo feedback è fondamentale per assicurarci di creare soluzioni che funzionino per tutti, quindi continua a condividerlo tramite il sito per sviluppatori Android” dice il blog degli Android Developers Blog

The first developer preview of Privacy Sandbox on Android

“We recently announced the Privacy Sandbox on Android to enable new advertising solutions that improve user privacy, and provide developers and businesses with the tools to succeed on mobile. Since the announcement, we’ve heard from developers across the ecosystem on our initial design proposals. Your feedback is critical to ensure we build solutions that work for everyone, so please continue to share it through the Android developer site”. said the Android Developers Blog

android-developers.googleblog.…

guidoscorza.it/privacy-daily-3…

“Dai un pesce a un uomo e lo nutrirai per un giorno; insegnagli a pescare e lo nutrirai per tutta la vita.”

Dopo un anno passato a raccontarvi di sorveglianza di massa, abusi e repressione, è arrivato il momento di imparare a pescare! Con questa rubrica periodica vorrei darvi le nozioni e conoscenze per proteggere privacy, identità e informazioni sensibili in modo ragionato e in base al profilo di rischio personale.

Nei prossimi mesi parleremo insieme di diversi temi: della metodologia conosciuta oggi come “operations security”, di casi pratici e di fallimenti, ma anche di crittografia, threat modeling, minacce, contromisure di difesa, eccetera.

Oggi iniziamo con un po’ di storia, perché per capire il concetto di operations security e tutto ciò che ne deriva bisogna prima capire come ci siamo arrivati.

Vuoi usare Bitcoin per abbonarti a Privacy Chronicles? Sentiamoci in privato!

Read more

AGGIORNAMENTO sui 101 reclami di noyb: La DPA austriaca respinge "l'approccio basato sul rischio" per i trasferimenti di dati a paesi terzi Mentre alcune DPA hanno investigato a fondo i 101 casi del noyb sui trasferimenti di dati UE-USA, altre hanno semplicemente iniziato a respingere i casi per ragioni discutibili. Lo sforzo coordinato promosso dall'EDPB sta fallendo?

noyb.eu/en/update-noybs-101-co…

Le nazioni lanciano la “Dichiarazione per il futuro di Internet”

Sessantuno nazioni hanno firmato la ” Dichiarazione per il futuro di Internet “, che delinea vari impegni digitali relativi al mantenimento del commercio su Internet.

whitehouse.gov/briefing-room/s…

Il DPA norvegese pubblica linee guida sul consenso dei minori

L’Autorità norvegese per la protezione dei dati, Datatilsynet, ha pubblicato una guida sulla condivisione e l’elaborazione dei dati personali e del consenso dei bambini.

datatilsynet.no/personvern-pa-…

La violazione dei dati interrompe il reclutamento dell’esercito britannico

Il portale di reclutamento online dell’esercito britannico è offline da più di un mese a seguito di una violazione dei dati. I funzionari hanno chiuso il sistema di iscrizione computerizzato a metà marzo per precauzione dopo che i dati personali di oltre 100 reclute dell’esercito sono stati trovati messi in vendita sul dark web.

infosecurity-magazine.com/news…

guidoscorza.it/privacy-daily-2…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Germany at gdprhub.eu/VG_Ansbach_-_AN_14_…
📥 6.731 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#TeamDatenschutz

mastodon.social/@noybeu/108214…

🆕 Today, noyb filed a new complaint against C-Planet in an ongoing case regarding a massive political data breach. We finally want to find out, where the personal data of almost every Maltese voter came from! 🔍 noyb.eu/en/political-data-brea…

mastodon.social/@noybeu/108214…

La notizia della settimana è che Elon Musk ha comprato Twitter. Ma c’è un’altra notizia, collegata, di cui dobbiamo parlare: il Consiglio e il Parlamento europeo hanno raggiunto un accordo sulla proposta di legge chiamata Digital Services Act (DSA)1.

Il DSA è un regolamento proposto dalla Commissione a fine 2020. Fa parte del “pacchetto digitale” europeo e da molti è stato annunciato come la risposta salvifica alla disinformazione e all’illegalità online: “quello che è illegale offline deve essere illegale online”.

Oggi vediamo insieme in che modo questo regolamento è già diventato un’arma puntata contro la tempia di Elon Musk - e per certi versi, anche la nostra.

Read more

Violazione dei dati politici a Malta: C-Planet rifiuta il diritto di accesso e informazione La società informatica C-Planet ha divulgato i dati personali di quasi tutta la popolazione votante maltese. Una nuova denuncia di noyb mira a rivelare la fonte dei dati che C-Planet ha, per ora, taciuto.

noyb.eu/en/political-data-brea…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Hungary at gdprhub.eu/NAIH_(Hungary)_-_NA…
📥 6.731 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#privacidad

mastodon.social/@noybeu/108213…

💥 The Irish DPC burns tens of thousands in taxpayer money over a 47-month delay in cases against Whatsapp and Instagram! 🕐💸
noyb.eu/en/irish-dpc-burns-tax…

mastodon.social/@noybeu/108209…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Netherlands at gdprhub.eu/Rb._Rotterdam_-_ROT…
📥 6.731 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#privacidad

mastodon.social/@noybeu/108209…

Il DPC irlandese brucia i soldi dei contribuenti per i casi di ritardo Il DPC irlandese risolve il caso di ritardo con il noyb davanti all'Alta Corte irlandese, accettando di pagare le spese legali in decine di migliaia per aver avuto bisogno di quasi quattro anni per emettere un primo progetto di decisione.

noyb.eu/en/irish-dpc-burns-tax…