Il DPC irlandese brucia i soldi dei contribuenti per i casi di ritardo Il DPC irlandese risolve il caso di ritardo con il noyb davanti all'Alta Corte irlandese, accettando di pagare le spese legali in decine di migliaia per aver avuto bisogno di quasi quattro anni per emettere un primo progetto di decisione.

noyb.eu/en/irish-dpc-burns-tax…

L’acquisto di Twitter di Elon Musk campo minato della privacy

Elon Musk si è assicurato un accordo per acquistare Twitter per circa 44 miliardi di dollari. Nei suoi commenti iniziali, Musk ha parlato di una serie di obiettivi tra i quali “rendere gli algoritmi open source e aumentare la fiducia”, affrontare gli spambot. Non sono ancora disponibili ulteriori informazioni su come Musk guiderà Twitter. Non mancano le preoccupazione degli attivisti della privacy e avvertono sul rischio di fidarsi troppo delle piattaforme per le nostre informazioni private.

Elon Musk’s Twitter Buy Exposes a Privacy Minefield

Elon Musk secured an agreement on Monday to buy Twitter for about $44 billion and take the company private. In his initial comments about the move, Musk discussed a range of goals from “making the algorithms open source to increase trust” to addressing spambots and “authenticating all humans.” There isn’t more information available yet on how Musk will steer Twitter but privacy and security proponents say that these initial comments paint a mixed picture of where the social media giant could be headed under its new leadership—and reveal the risks of trusting platforms to protect our private information.

wired.com/story/elon-musk-twit…

Proposto un nuovo quadro di autoregolamentazione per la privacy degli adolescenti

Attraverso il suo Center for Industry Self-Regulation (CISR), BBB National Programs ha annunciato il lancio del TeenAge Privacy Program (TAPP). Il TAPP introduce un quadro di autoregolamentazione proposto che cerca di aiutare le aziende a mitigare i rischi di danni ai consumatori adolescenti e a raccogliere e gestire i dati degli adolescenti in modo responsabile. Creato con il contributo dei leader aziendali nei settori dei beni di consumo, del marketing per bambini e della tecnologia wireless e dei media, il TAPP riflette i crescenti riflettori sulla privacy online degli adolescenti e un numero crescente di ricerche sulla vulnerabilità degli adolescenti online.

Growing Pains: New Self-Regulatory Framework for Teenage Privacy Proposed

Through its newly launched Center for Industry Self-Regulation (CISR), BBB National Programs announced last week the launch of the TeenAge Privacy Program (TAPP). The TAPP introduces a proposed self-regulatory framework that seeks to help companies to mitigate risks of harms to teenage consumers and to collect and manage teen data responsibly. Built with input from business leaders in the consumer goods, children’s marketing, and wireless and media technology spheres, the TAPP reflects the growing spotlight on teen online privacy and an increasing body of research regarding the vulnerability of teens online.

jdsupra.com/legalnews/growing-…

L’attacco ransomware in Costa Rica potrebbe annunciare una nuova ondata di criminalità informatica proveniente dalla Russia

Un attacco ransomware che ha paralizzato i sistemi IT del governo del Costa Rica sta entrando nella sua seconda settimana senza alcuna soluzione in vista. Il gruppo di ransomware Conti ha rubato almeno un terabyte di dati e, dopo aver visto respinte le sue richieste di riscatto di 10 milioni di dollari, oggi ha dichiarato di aver rilasciato l’80% delle informazioni sul dark web.

Costa Rica ransomware attack could herald new wave of Russian cybercrime

A ransomware attack that has crippled Costa Rica’s government IT systems is entering its second week with no resolution in sight. Ransomware group Conti has stolen at least a terabyte of data, and having seen its demands for $10m ransom rebuffed, today stated it has released 80% of the information onto the dark web.

techmonitor.ai/technology/cybe…

guidoscorza.it/privacy-daily-2…

UE: domande e risposte su mercati digitali equi e aperti

La Commissione europea ha pubblicato un documento sulle domande frequenti che delinea gli aspetti chiave del Digital Markets Act. Le FAQ discutono dell’applicabilità, degli obblighi, delle procedure di indagine e applicazione e altro ancora. Più specificamente, la sezione “cosa fare e cosa non fare” copre i diritti utente richiesti che le piattaforme devono offrire ai sensi della legge e quali attività e pratiche sono vietate, compreso l’uso di determinati dati e il tracciamento degli utenti.

Questions and Answers: Digital Markets Act: Ensuring fair and open digital markets*

The European Commission published a frequently-asked-questions document outlining key aspects of the Digital Markets Act. The FAQ discusses applicability, obligations, investigation and enforcement procedures, and more. More specifically, the “do’s and don’ts” section covers the required user rights platforms must offer under the law and what activities and practices are banned, including certain data use and user tracking.

ec.europa.eu/commission/pressc…

Google afferma che la legge federale sulla privacy è una “necessità urgente”

In un evento dell’R Street Institute sulla legge sulla privacy degli Stati Uniti, il presidente degli affari globali di Google Kent Walker ha discusso la posizione della sua azienda sul dibattito sulla legislazione federale sulla privacy. Walker ha affermato che “il momento di agire è ora” sulla legislazione federale, aggiungendo che “ci allineerebbe tutti sulle misure sulla privacy e promuoverebbe la fiducia nelle aziende statunitensi e nel nostro ecosistema digitale”.

The urgent necessity of enacting a national privacy law

At an R Street Institute event on U.S. privacy law, Google President of Global Affairs Kent Walker discussed his company’s take on the federal privacy legislation debate. Walker said, “the time to act is now” on federal legislation, adding that it “would align us all on the privacy measures that people want and promote confidence in U.S. companies and our digital ecosystem.”

blog.google/outreach-initiativ…

L’UE pianifica di aprire un ufficio nella base della Silicon Valley alle luce delle nuove regole per i giganti della tecnologia

L’Unione Europea ha in programma di aprire un ufficio a San Francisco per impegnarsi con i giganti della tecnologia della Silicon Valley. Alcuni dei giganti della tecnologia più potenti del mondo hanno sede nella più ampia area della baia di San Francisco, nel nord della California, tra cui Apple, Google e Meta Platforms. Tutti devono affrontare restrizioni severe e un monitoraggio più attento dalle norme dell’UE di recente adozione, come la legge sui mercati digitali e la legge sui servizi digitali .

EU plans Silicon Valley base as tech crackdown looms

The European Union is planning to open a San Francisco office to engage with Silicon Valley tech giants under close scrutiny from new digital rules, EU officials close to the matter have told POLITICO. Some of the world’s most powerful tech giants are based in the wider San Francisco Bay area in Northern California, including Apple, Google and Meta Platforms. All face tough restrictions and more careful monitoring from newly adopted EU rules, such as the Digital Markets Act and the Digital Services Act.

politico.eu/article/as-big-tec…

guidoscorza.it/privacy-daily-2…

Accordo politico raggiunto sul Digitale Services Act

Le istituzioni dell’UE hanno annunciato un accordo politico sul testo finale della legge sui servizi digitali. La normativa contiene disposizioni per diversi divieti sulla pubblicità mirata, in particolare la mira ai minori e la pubblicità basata su dati personali sensibili. Il commissario europeo per il mercato interno Thierry Breton ha affermato che la DSA mostra che “il tempo in cui le grandi piattaforme online si comportano come se fossero” troppo grandi per preoccuparsene “sta volgendo al termine”, mentre la presidente della Commissione europea Ursula von der Leyen ha affermato che il regolamento “aggiornerà le regole di base per tutti i servizi online nell’UE.” Il DSA entrerà in vigore immediatamente una volta adottato ma si applica alle piattaforme 15 mesi dopo il suo ingresso

Political agreement reached on Digital Services Act

EU institutions announced a political agreement on the final text for the Digital Services Act. The legislation includes provisions for various prohibitions on targeted advertising, specifically, the targeting of minors and ads based on sensitive personal data. European Commissioner for the Internal Market Thierry Breton said the DSA shows “the time of big online platforms behaving like they are ‘too big to care’ is coming to an end,” while European Commission President Ursula von der Leyen said the regulation “will upgrade the ground-rules for all online services in the EU.” The DSA will immediately take force once adopted but applies to platforms 15 months after its entry.

ec.europa.eu/commission/pressc…

L’Ombusdsman spagnolo indaga sul presunto spionaggio informatico di figure catalane

Il difensore civico spagnolo ha aperto un’indagine sul presunto spionaggio dei leader separatisti catalani da parte del governo tra il 2017 e il 2020, riferisce Reuters. Anche il Centro nazionale di intelligence spagnolo avrebbe condotto le proprie indagini. Le doppie indagini sono arrivate a seguito del fatto che il gruppo canadese per i diritti digitali Citizen Lab ha riferito che più di 60 persone legate al movimento separatista catalano, inclusi diversi membri del Parlamento europeo, politici locali, avvocati e attivisti, sono state prese di mira con lo spyware Pegasus durante il fallimento della regione autonoma offerta di indipendenza.

Spanish ombudsman to investigate alleged spying of Catalan leaders

Spain’s ombudsman said on Sunday it would investigate the government’s alleged spying of Catalan separatist figures during the height of the region’s bid for independence, while the government announced a separate inquiry by its CNI intelligence agency. The probes come following intense pressure on the government to explain itself after Canada’s Citizen Lab group, a digital rights group, said more than 60 people linked to the Catalan separatist movement, including several MEPs, politicians, lawyers and activists, had been targets of “Pegasus” spyware made by Israel’s NSO Group

reuters.com/world/europe/spain…

reuters.com/world/europe/spain…

Il rapporto semestrale di Microsoft sulla privacy

Microsoft ha pubblicato il suo rapporto semestrale sulla privacy, delineando le opzioni per gli utenti per gestire e controllare i propri dati, l’apertura di nuovi data center in diversi paesi e il supporto per “protezione dei dati significativa e regolamentazione della privacy”.

Microsoft Privacy Report

Microsoft released its biannual Privacy Report, outlining options for users to manage and control their data, the opening of new datacenters in several countries, and support for “meaningful data protection and privacy regulation.”

privacy.microsoft.com/en-US/pr…

guidoscorza.it/privacy-daily-2…

Ciao a tutti,

siamo ormai quasi in 500, e sono curioso di sapere cosa leggono i lettori di Privacy Chronicles. Perché allora non condividere qualche titolo tra noi?

Comincio io, con qualche libro in tema:

• Permanent Record, Edward Snowden - autobiografia di Snowden, una vera spy-story che non può mancare in libreria
• Weapons of Math Destruction, Cathy ‘O Neil - un libro che parla in modo semplice e discorsivo di come siamo sempre più vittime inconsapevoli di algoritmi e sistemi decisionali automatizzati
• Il Capitalismo della sorveglianza, Shoshana Zuboff - libro corposo che spiega i meccanismi della data economy creata da Google e Facebook, da leggere anche solo per conoscere la storia di Google

E poi, un paio di libri che non c’entrano nulla con la privacy, ma che ho letto ultimamente e consiglio:

• The Virtue of Selfishness, Ayn Rand - un libro che racconta della filosofia di Ayn Rand, che condivido in pieno. Un libro per chi non ha paura dell’individualismo e del sano egoismo. Che poi, cos’è la privacy se non proprio questo?
• Il Mistero dell’Erebus, Michael Palin - la storia della spedizione perduta di Sir John Franklin, partita verso il Polo Nord per trovare il passaggio a nord-ovest e mai più tornata

(questo è un thread, sentitevi liberi di rispondere e commentare)

privacychronicles.substack.com…

Oggi parliamo di due casi diversi ma uniti dallo stesso filo rosso, quello delle smart cities e dell’improvviso boom di sistemi pervasivi di sorveglianza e controllo del comportamento delle persone.

La storia inizia con un tweet del sindaco di Venezia Luigi Brugnaro, che si rallegrava della ripartenza della stagione turistica e della sperimentazione con la prenotazione online che sarà obbligatoria per accedere alla città come turista.

A due giorni di distanza da quel tweet sul Corriere del Veneto usciva un’altra notizia, sempre connessa alla stagione turistica veneziana, che ha catturato la mia attenzione. Il titolo era: “Venezia, 20mila turisti-fantasma sono in città ma non risultano: le tracce dei telefoni li inchiodano”.

Subscribe now

Un passaggio in particolare dell’articolo mi aveva interessato:

L’articolo non spiegava cosa fosse la Smart Control Room di cui parlavano, ma specificava che grazie a questa l’amministrazione di Venezia riesce a vedere qualsiasi cellulare in città, la loro provenienza e dove si trovano.

Una questione che valeva la pena di approfondire, e così ho fatto.

La “Smart Control Room” di Venezia

A quanto pare, la Smart Control Room (SCR) è una sorta di cabina di regia operativa h24 collegata a tutti i sistemi di sorveglianza e sensori della città. È stata sviluppata da Venis (Venezia Informatica e Sistemi SpA) insieme a TIM e inaugurata a settembre 2020.

Sul sito di TIM la SCR è descritta in questo modo:

Una centrale di controllo unificata, dotata delle ultime tecnologie e attrezzata per ricevere le informazioni di quanto sta accadendo non solo nella città di Venezia, ma nell’intera area metropolitana. […]

Un’enorme quantità di dati e flussi video arriva alla Smart Control Room dalle centrali e dai sensori dislocati sul territorio. Si tratta ad esempio del numero di persone presenti a Venezia, la tipologia di barche nei canali, i passaggi dei mezzi pubblici stradali e acquei, il flusso dei turisti, le previsioni meteo e la situazione dei parcheggi. Ad analizzarli, con l’aiuto di sistemi di elaborazione che garantiscono la privacy […]

Scavando un po’ di più ho trovato poi un video di un evento durante la Milano Digital Week 2021, in cui Susanna Jeandi TIM parlava proprio del caso “Smart Venice”, descrivendolo così1:

“Un progetto innovativo composto da diverse componenti e da un layer orizzontale che raccoglie informazioni in tempo reale, con videoanalisi, sensoristica, IoT, e tutti i sistemi preesistenti. L’obiettivo è dare all’amministrazione e alle forze dell’ordine una visione in tempo reale e continuativa di ciò che avviene, anche grazie a machine learning e data analytics per previsioni e simulazioni. Il layer in Cloud si sostanzia in una Smart Control Room fisica, che è il luogo di aggregazione delle varie componenti.”

Passando poi al sito di Venis SpA, che ha curato la parte tecnologica, ho trovato queste informazioni:

Nella SCR confluiscono le immagini delle 400 telecamere di sorveglianza, le previsioni meteo, i dati sulle presenze fisiche sul territorio, che permettono per esempio di individuare eventuali assembramenti (elemento critico soprattutto in questo periodo di emergenza) e dati sull’andamento del traffico sia su acqua che su terra. […] Tutti questi dati vengono poi rielaborati, garantendo il rispetto della privacy, per ottimizzare i servizi pubblici e progettarne di nuovi, basandosi su dati scientifici.

Ricapitolando: sensori, telecamere, Big Data, IoT e machine learning. Il tutto, impacchettato e disponibile all’uso per amministratori e forze dell’ordine nella Smart Control Room.

Sia TIM che Venis ci tengono a sottolineare che è tutto fatto “garantendo il rispetto della privacy”. Eppure, a parte le dichiarazioni di marketing, non ho trovato nessuna garanzia concreta.

Da nessuna parte sono riuscito a trovare informazioni, anche di base, sul trattamento di dati personali; così come non sono riuscito a trovare nessuna informazione in merito alle garanzie per i diritti e libertà delle persone che si trovano ad essere sorvegliate h24 da una centrale operativa di questo genere.

Qualcuno potrebbe dire: “ma sai Matte, sono dati aggregati, quindi anonimi, la privacy è tutelata così”.

Non proprio.

Subscribe now

Pur ammettendo, come plausibile, che agli operatori della SCR arrivino soltanto dati aggregati, quei dati sono frutto di un’elaborazione che viene fatta a monte (da TIM e/o altri soggetti) a partire da dati personali e metadati2 ottenuti grazie a sensori, telecamere e reti telefoniche presenti in città.

Se poi vogliamo far fede a quanto scritto dal Corriere del Veneto, non possiamo certo negare di essere in presenza di un trattamento di dati personali molto pervasivo: “il sistema riesce a vedere qualsiasi cellulare in città […] si contano gli smartphone alle 4 di notte. Se ne riesce a comprendere la provenienza e dove si trovano”.

È fuori da ogni dubbio che quello realizzato a Venezia sia un trattamento che prevede un utilizzo sistematico di enormi quantità di dati per l’osservazione, il monitoraggio e il controllo delle persone, oltre che un trattamento di metadati per ragioni organizzative e di “sicurezza” della città.

Essendo il trattamento fatto per conto del Comune, è questo che deve garantire il rispetto dei diritti e libertà dei cittadini e mitigare i rischi che derivano dal trattamento di dati - come previsto anche dalla normativa europea.

Dove sono trasparenza, proporzionalità, legittimità, e valutazione del rischio? Chissà…

Questa particolare tipologia di trattamento di dati rientra anche nelle categorie ad alto rischio individuate dal Garante Privacy nel 2018, per i quali è obbligatorio svolgere una valutazione d’impatto:

E che dire poi del tema sicurezza, che viene ripreso molte volte da tutti i comunicati stampa? In che modo è stato valutato l’impatto positivo di questa sorveglianza pervasiva sulla sicurezza dei cittadini? Ma soprattutto - sicurezza da cosa?

Come sottolineavo anche in questo articolola politica italiana da anni fa perno sulla percezione di sicurezza (o di insicurezza) per giustificare l’uso sempre più intensivo di tecnologie di sorveglianza fisica. Ma oltre la percezione, non c’è nulla. Anzi: i dati dicono il contrario: il tasso di criminalità solitamente non ha nulla a che fare con la quantità di videocamere in città.

Subscribe now

Prenotazioni e control room

Per chiudere il cerchio su Venezia mi ricollego infine alla notizia sulla sperimentazione delle prenotazioni per accedere alla città.

Che succede quando uniamo prenotazioni riferibili a persone identificate a un sistema di controllo come quello della SCR? Beh, succede che abbiamo tutti i presupposti per far diventare Venezia una gabbia a cielo aperto.

Il sistema di prenotazione consentirà all’amministrazione comunale di identificare ogni singola persona in visita presso Venezia, mentre la SCR permetterà di sorvegliarne spostamenti e modalità di soggiorno. Incrociare i dati, secondo necessità, sarà un gioco da ragazzi.

I turisti (italiani e stranieri) sono consapevoli che saranno sottoposti a sorveglianza continuativa dal momento in cui metteranno piede a Venezia fino al momento in cui usciranno? E i residenti?

L’esperimento “Smart Ivrea”

Durante le ricerche sulla Smart Control Room mi sono imbattuto in un altro progetto a cui TIM ha partecipato, quello di “Smart Ivrea”.

Il progetto “Smart Ivrea” è un’iniziativa di cui AgID è capofila, finanziata dal MISE. È anche il primo prototipo per la sperimentazione di una piattaforma nazionale per la gestione delle comunità intelligenti3.

La sperimentazione ha avuto inizio nel primo trimestre del 2020 e oggi è quasi arrivata alla sua conclusione. L’idea è di replicare e scalare a livello nazionale la piattaforma, in base ai risultati del test su Ivrea.

Gli obiettivi della piattaforma sono descritti nella documentazione relativa ai fondi di finanziamento del MISE:

La novità risiede nello sviluppo di un modello Smart cities-as a service (Scaas), volto ad ottimizzare l’erogazione dei servizi pubblici esistenti, introducendo alcuni principi dell’economia comportamentale (sistema premiale per l’assunzione di comportamenti virtuosi del cittadino, sentiment analysis) e della governance partecipata (eVoting e crowdfunding), determinando una partecipazione attiva del cittadino alla vita sociale, culturale e politica del territorio, arrivando fino al lancio del primo ecosistema nazionale di moneta virtuale (Ivrea-Coin), attraverso cui il cittadino possa acquistare sia i servizi erogati dall’amministrazione che, eventualmente, quelli offerti dalle PMI.

Share

Indagando sul funzionamento della piattaforma ho trovato un’intervista a Marco Pittorri di Trust Technologies (partner TIM), in cui descrive così il sistema4:

I cittadini possono accedere tramite app ai servizi. L’utente si autentica con identità certificata SPID, che viene poi portata su blockchain e associata a un ID wallet usato dal cittadino con due funzioni principali: per pagare servizi pubblici (autobus, imposte, ecc.) e per ricevere indietro una premilità in funzione del corretto svolgimento del suo ruolo di cittadino: pagando tasse in modo regolare, usando servizi pubblici o comprando su negozi convenzionati per valorizzare economia locale, riesce a ottenere indietro IVREA COIN, che potrà riutilizzare per pagare servizi del Comune. Il vantaggio per i cittadini è la partecipazione alla vita del Comune e la premiazione del comportamento corretto.

Il fulcro del progetto gira intorno al concetto di economia comportamentale e degli Ivrea Coin, che incentivano il cittadino a compiere sono i comportamenti ritenuti corretti da chi ha sviluppato e implementato il sistema.

Processo automatizzato per ricevere IVREA COIN dopo aver eseguito azioni da cittadino modello

Nudging e hypernudging

Il tema dell’economia comportamentale è strettamente legato a quello della “nudge theory” sviluppata da Thaler e Sunstein nel 2008. Definivano il “nudge” così:

A nudge, as we will use the term, is any aspect of the choice architecture that alters people's behavior in a predictable way without forbidding any options or significantly changing their economic incentives.

Dalla loro definizione capiamo due cose: il nudge è il risultato di una scelta compiuta da chi pensa e sviluppa un determinato sistema, che può essere lo scaffale del supermercato come anche un’app legata alla smart city. È un meccanismo che, senza vietare o obbligare la persona verso determinate scelte, riesce ad alterare il loro comportamento in modo prevedibile.

In sostanza, il nudge è un meccanismo per standardizzare i comportamenti umani e renderli prevedibili.

Quando gli incentivi sono collegati a sistemi digitali pervasivi, con tecnologie di intelligenza artificiale e Big Data in grado di simulare e prevedere i comportamenti umani, la questione si complica parecchio.

Qualcuno parla, in questi casi, di hypernudging.

Gli algoritmi di machine learning sono spesso usati per elaborare dati relativi alle decisioni e azioni delle persone, come accade ad esempio sui social network, creando il c.d. effetto “filter bubble”: l’algoritmo raccoglie dati sulle nostre interazioni e ci propone contenuti sulla base delle nostre azioni passate. Così si instaura un circolo vizioso retroattivo, in cui la persona viene spinta a compiere determinate azioni in base alle scelte fatte in precedenza.

L’effetto hypernudging porta a una coercizione subdola: ciò che sembra una scelta è in realtà un set definito di opzioni standardizzate create dal sistema. Il contrario del libero arbitrio e della libertà di autodeterminazione.

Probabilmente l’esperimento di Ivrea non arriva ancora a questo tipo di capacità, ma la strada è certamente segnata.

Share

La negazione di ciò che ci rende umani

Nel 1998 James C. Scott5 affermava che ogni tentativo, da parte dello Stato, di razionalizzare, semplificare e standardizzare la società ha sempre portato alla creazione di forze autoritarie, che spesso sfogano in veri e propri totalitarismi e tragedie umane.

La Cina è stata forse tra i primi paesi al mondo a teorizzare su questi aspetti, con il famoso paper di Lin Junyue di cui parlavo qui. Lo scopo era incentivare gli individui a compiere determinati comportamenti per modellare e razionalizzare la società nella sua interezza.

Come dico spesso, il problema degli incentivi è proprio che funzionano.

Nell’articolo “Cittadinanza a punti e Stato etico, da Roma a Bologna”, dicevo che i sistemi di social scoring sono la messa in pratica dello Stato Etico, in cui il cittadino diventa un ingranaggio del sistema, senza alcuna vera libertà di scelta.

Non è un caso che si parli sempre di comportamenti “virtuosi” o “corretti”: sono aggettivi necessari a rafforzare l’idea della rettitudine e dignità delle persone soltanto all’interno della collettività, formata da persone che si comportano “correttamente”, secondo standard prestabiliti da terzi. Chi fuoriesce dagli standard, resta fuori dalla collettività, perdendo quindi ogni dignità di cittadino. In parte, lo abbiamo visto col Green Pass.

I sistemi di social scoring/premiali automatizzati sono il rifiuto di ogni individualismo, pensiero critico e comportamento divergente dallo standard. In pratica, la negazione di tutto ciò che ci rende esseri umani.

Lo scopo è chiaro: standardizzare il comportamento umano, e quindi la società, rende le persone più controllabili, tassabili, censurabili e manipolabili.

Non penso che i sindaci italiani facciano ragionamenti di questo tipo. Piuttosto, si lasciano ammaliare da progetti spinti da tecnocrati alla ricerca di gloria e fondi pubblici, in un periodo storico dove intelligenza artificiale, IoT e blockchain sono le buzzwords per ottenere ogni tipo di finanziamento.

Vendono questi sistemi con belle parole, presentazioni e comunicati stampa accattivanti. Ci dicono che sono per la nostra sicurezza e per l’efficienza pubblica. Che l’innovazione è bella. Che le persone saranno al centro di ecosistema di servizi.

La mia sensazione è che, sì, l’uomo sarà sempre più al centro… ma di un recinto hi-tech; come bestiame al pascolo, in attesa della macellazione.

Se ti piace Privacy Chronicles considera l’abbonamento per supportare il mio lavoro!

1

Testo parafrasato, link all’intervista

2

Per metadati si intendono quelle informazioni non direttamente riferibili a persone fisiche, ma chscrivono eventi, azioni o altre informazioni. Un esempio tipico di metadato sono i dati di localizzazione (longitutine e latitudine di un dispositivo in un determinato momento).

3

agid.gov.it/it/agenzia/stampa-…

4

Testo parafrasato, link all’intervista

5

Seeing Like a State: How Certain Schemes to Improve the Human Condition Have Failed

L’IA può fare ciò che gli umani non possono?

Ogni anno, circa 1,35 milioni di persone muoiono in incidenti sulle strade del mondo e ben 50 milioni di altri sono gravemente feriti, secondo l’Organizzazione Mondiale della Sanità. Negli Stati Uniti, le vittime sono aumentate drasticamente durante la pandemia, portando al più grande picco di sei mesi mai registrato, secondo le stime del Dipartimento dei Trasporti degli Stati Uniti. Eccesso di velocità, distrazione, guida compromessa e non indossare la cintura di sicurezza sono state le cause principali. L’intelligenza artificiale viene già utilizzata per migliorare la sicurezza di guida: app per cellulari che monitorano il comportamento al volante e premiano i conducenti sicuri con vantaggi e veicoli connessi che comunicano tra loro e con le infrastrutture stradali.

Can A.I. All but End Car Crashes? The Potential Is There

Each year, about 1.35 million people are killed in crashes on the world’s roads, and as many as 50 million others are seriously injured, according to the World Health Organization. In the United States, fatalities rose drastically during the pandemic, leading to the largest six-month spike ever recorded, according to estimates from the U.S. Department of Transportation. Speeding, distraction, impaired driving and not wearing a seatbelt were top causes. Artificial intelligence is already being used to enhance driving safety: cellphone apps that monitor behavior behind the wheel and reward safe drivers with perks and connected vehicles that communicate with each other and with road infrastructure.

Can A.I. All but End Car Crashes? The Potential Is There. – The New York Times (nytimes.com)

La richiesta da parte di un’azienda cinese di controllare la carica della batteria del telefono dei dipendenti accende il dibattito sulla privacy

Un’azienda cinese ha acceso il dibattito sulla privacy dopo aver chiesto di controllare la carica della batteria dei dipendenti prima che potessero lasciare il lavoro, chiedendo loro di inviare schermate dello stato della batteria del telefono alla direzione per dimostrare di non aver perso tempo sul lavoro. Un post virale su Weibo ha mostrato che i dipendenti devono inviare un messaggio diretto su WeChat con uno screenshot allegato della carica della batteria, insieme a dati che mostrano il consumo energetico utilizzato da app specifiche.

Demand from Chinese company to check employee phone battery power sparks privacy debate

A company in central China is in hot water for making its employees send screenshots of their phone battery status to management to ensure their staff is not wasting time when they could be working. The company, which is based in Wuhan, in Hubei province, and whose name was not disclosed, made their staff show their remaining battery power before getting off work for the day. A viral post on Weibo showed that the staff must send a direct message on WeChat with an attached screenshot of their battery power, along with data that shows the power consumption used by specific apps.

scmp.com/news/people-culture/s…

Connecticut, legge sulla privacy e il monitoraggio online

Il Senato del Connecticut ha votato 35-0 per far avanzare il Senate Bill 6, un atto riguardante la privacy dei dati personali e il monitoraggio online, alla Camera. Il disegno di legge contiene disposizioni per “dark pattern”, riconoscimento di meccanismi di opt-out globali, misure esplicite sulla privacy dei bambini.

Connecticut Senate passes comprehensive privacy bill

The Connecticut Senate voted 35-0 to advance Senate Bill 6, an act concerning personal data privacy and online monitoring, to the House. The bill features provisions for “dark patterns,” recognition of global opt-out mechanisms, explicit children’s privacy measures.
Map of Connecticut State.
C G A (ct.gov)

guidoscorza.it/privacy-daily-2…

Cari lettori,

Da questo mese Privacy Chronicles si arricchisce di una nuova rubrica interna, chiamata Agenda OpSec.

Cosa

Agenda OpSec è una rubrica che parlerà di “Operation Security”, cioè quell’insieme di metodologie, processi e tecnologie che permettono di proteggere privacy, identità e informazioni sensibili in modo strutturato e pianificato, senza lasciare nulla al caso.

Lo scopo di questa rubrica è descrivere i processi di OpSec per permettere alle persone di applicare questo tipo di approccio alla vita di tutti i giorni, secondo il proprio livello di rischio e di accettazione del rischio.

Quasi tutte le guide online su come “proteggere la privacy” si concentrano sull’aspetto tecnologico, consigliando strumenti specifici o invitando le persone ad evitarne alcuni.

Questo però è un approccio sbagliato, che parte da quella che invece dovrebbe essere la conclusione (l’adozione di “contromisure tecniche”) di un processo ragionato che parte da una metodologia precisa.

Con Agenda OpSec cercheremo di capire come si affrontano in modo organizzato le minacce alla nostra privacy e/o informazioni che vogliamo proteggere.

Come

Agenda OpSec uscirà 1 volta al mese.

I contenuti saranno riservati agli abbonati e sarà accessibile via posta elettronica o dalla pagina di Privacy Chronicles, cliccando sulla tab “Agenda OpSec”.

privacychronicles.substack.com…

"Bullshit of the Week" brings well-selected absurdities from our daily work directly to your newsfeed. Starting off we would like to share some high-class bullshit that "Clearview AI" treated us to lately. Enjoy! 🤭

mastodon.social/@noybeu/108170…

Bilancio 2021: un’amministrazione efficiente rispetta lo Stato di diritto

L’EDPS ha pubblicato oggi la sua relazione annuale 2021 . La relazione mette in evidenza i risultati conseguiti dall’EDPS in merito alla conformità delle istituzioni dell’Unione europea al quadro sulla protezione dei dati. La relazione sottolinea inoltre il ruolo crescente dell’EDPS nel promuovere il rispetto della privacy e la protezione dei dati nella legislazione dell’UE. Wojciech Wiewiórowski, GEPD, ha dichiarato : “Sono passati un paio di anni dall’entrata in vigore di una serie di leggi dell’UE sulla protezione dei dati. È passato abbastanza tempo per aspettarsi che le istituzioni dell’UE rispettino pienamente queste leggi. L’EDPS vuole istituzioni europee forti. Questa forza può, tuttavia, basarsi solo sul pieno rispetto delle leggi vigenti. Nessun’altra base può portare risultati a lungo termine”.

Annual Report 2021: an efficient administration respects the rule of law

Today, the EDPS published its Annual Report 2021. The report highlights the EDPS’ achievements regarding European Union institutions’ (EU institutions) compliance with the data protection framework. The Report also underscores the EDPS’ increasing role in advocating for the respect of privacy and data protection in EU legislation. Wojciech Wiewiórowski, EDPS, said: “A couple of years have now passed since the entry into application of a set of EU data protection laws. Sufficient time has passed to expect EU institutions to fully comply with these laws. The EDPS wants strong EU institutions. This strength can, however, only be based on the full respect of the applicable laws. No other foundation can bring results in the long term.”

edps.europa.eu/press-publicati…

Commissione d’inchiesta del PE su Pegasus e altri spyware

La nuova commissione d’inchiesta del Parlamento che indaga sull’uso di Pegasus e altri spyware ha tenuto la sua prima riunione, eleggendo un presidente e tre vicepresidenti. Il nuovo comitato ha il compito di indagare sull’uso del software Pegasus e di altri spyware equivalenti e ha tenuto la sua riunione costitutiva il 19 aprile. I membri hanno eletto i seguenti eurodeputati per guidare i lavori della commissione: Presidente: Jeroen Lenaers (PPE, NL)

EP inquiry committee for Pegasus and other spyware launched

On Tuesday, Parliament’s new inquiry committee investigating the use of Pegasus and other spyware had its first meeting, electing a Chair and three Vice-Chairs. The new committee is tasked with investigating the use of Pegasus software and other equivalent spyware, and held its constitutive meeting on 19 April. Members elected the following MEPs to lead the committee’s work: Chair: Jeroen Lenaers (EPP, NL)

europarl.europa.eu/news/en/pre…

Nigeria: il Nigerian Data Protection Bureau esorta a salvaguardare i dati nigeriani

Il commissario nazionale, Nigeria Data Protection Bureau, Vincent Olatunji, ha esortato la National Identity Management Commission a salvaguardare adeguatamente i dati nigeriani. Il commissario nazionale, in una dichiarazione, ha affermato: “La commissione che è il più alto responsabile del trattamento dei dati nel paese dovrebbe essere un modello per altri responsabili del trattamento poiché i dati sono la base di tutto nell’economia digitale del paese”.

NDPB urges NIMC to safeguard Nigerian data

The National Commissioner, Nigeria Data Protection Bureau, Vincent Olatunji, has urged the National Identity Management Commission to adequately safeguard Nigerian data. The National Commissioner, in a statement, said, “The commission which is the highest data controller in the country should be a model for other data controllers since data is the foundation of everything in the country’s digital economy.”

punchng.com/ndpb-urges-nimc-to…

guidoscorza.it/privacy-daily-2…

Il web scraping è legale, afferma la corte d’appello degli Stati Uniti

Buone notizie per archivisti, accademici, ricercatori e giornalisti: secondo una sentenza della corte d’appello degli Stati Uniti, la raccolta di dati pubblicamente accessibili è legale. La sentenza storica del Nono Circuito di Appello degli Stati Uniti è l’ultima di una lunga battaglia legale promossa da LinkedIn con l’obiettivo di impedire a un’azienda rivale di raschiare sul web informazioni personali dai profili pubblici degli utenti. Il caso è arrivato alla Corte Suprema degli Stati Uniti l’anno scorso, ma è stato rinviato al Nono Circuito per la corte d’appello per riesaminare il caso.

Web scraping is legal, US appeals court reaffirms

Good news for archivists, academics, researchers and journalists: Scraping publicly accessible data is legal, according to a U.S. appeals court ruling. The landmark ruling by the U.S. Ninth Circuit of Appeals is the latest in a long-running legal battle brought by LinkedIn aimed at stopping a rival company from web scraping personal information from users’ public profiles. The case reached the U.S. Supreme Court last year but was sent back to the Ninth Circuit for the original appeals court to re-review the case.

techcrunch.com/2022/04/18/web-…

Il presidente catalano chiede indagini: spyware prende di mira i leader indipendentisti

Il presidente catalano ha chiesto al governo spagnolo di avviare un'”indagine ufficiale e indipendente” su come e perché lui e più di 60 figure associate al movimento per l’indipendenza regionale sarebbero stati presi di mira con telefoni cellulari, mediante l’utilizzo dello spyware Pegasus del gruppo NSO. Pere Aragonès ha dichiarato al Guardian che il presunto attacco, rivelato lunedì dagli esperti di sicurezza informatica di Citizen Lab, ha costituito una violazione dei diritti individuali, un attacco alla democrazia e una minaccia al dissenso politico.

Catalan president calls for investigation as spyware targets pro-independence leaders

has called on the Spanish government to launch an “official and independent investigation” into how and why he and more than 60 figures associated with the regional independence movement reportedly had their mobile phones targeted using NSO Group’s Pegasus spyware. Pere Aragonès told the Guardian that the alleged targeting, revealed by Citizen Lab cybersecurity experts on Monday, constituted a violation of individual rights, an attack on democracy, and a threat to political dissent.

theguardian.com/world/2022/apr…

Il governatore della Virginia firma la legge sull’emendamento sul Virginia Consumer Data Protection Act (VCDPA)

L’11 aprile 2022, il governatore della Virginia Glenn Youngkin ha firmato tre progetti di legge di emendamento del Virginia Consumer Data Protection Act (VCDPA). I tre disegni di legge entreranno in vigore il 1° luglio 2022. Con la firma dei disegni di legge, il testo del VCDPA è ora finalizzato in anticipo rispetto alla data di entrata in vigore del 1° gennaio 2023. L’anno scorso, la Virginia è diventata il secondo stato ad approvare la legislazione sulla privacy dei dati dei consumatori quando i legislatori hanno approvato il Virginia Consumer Data Protection Act (VCDPA).

Virginia Governor Signs VCDPA Amendment Bills into Law

On April 11, 2022, Virginia Governor Glenn Youngkin signed three Virginia Consumer Data Protection Act (VCDPA) amendment bills into law. The three bills will go into effect July 1, 2022. With the signing of the bills, the VCDPA’s text is now finalized in advance of its January 1, 2023 effective date. Last year, Virginia became the second state to pass consumer data privacy legislation when lawmakers passed the Virginia Consumer Data Protection Act (VCDPA).

bytebacklaw.com/2022/04/virgin…

guidoscorza.it/privacy-daily-2…

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at lnkd.in/ewWrcDy

mastodon.social/@noybeu/108159…

USA: nuove preoccupazioni sulla privacy per l’utilizzo della tecnologia nel monitoraggio nei confronti degli immigrati

Più di 216.000 persone sono state inserite in un programma di monitoraggio del governo federale. Da quando il presidente Joe Biden è entrato in carica, il numero di immigrati nel programma Alternative alla detenzione (ATD) è più che è raddoppiato, riflettendo l’adozione da parte dell’Amministrazione della nuova tecnologia di sorveglianza come strumento per limitare la dipendenza dai centri di detenzione finanziati dal governo. Mentre i difensori degli immigrati hanno chiesto da tempo all’Immigration and Customs Enforcement (ICE) degli Stati Uniti di ridurre o porre fine all’uso dei centri di detenzione per immigrati, affermano che il programma ATD solleva una nuova serie di preoccupazioni sulla privacy e sui diritti civili degli immigrati

U.S. Officials Deploy Technology to Track More Than 200,000 Immigrants, Triggering a New Privacy Lawsuit

More than 216,000 people with pending cases before U.S. immigration courts have been placed in a federal government tracking program, according federal data released April 14. Since President Joe Biden took office, the number of immigrants in the Alternatives to Detention (ATD) program has more than doubled, reflecting the Administration’s embrace of new surveillance technology as a tool to limit reliance on government-funded detention centers. While immigrant advocates have long called on U.S. Immigration and Customs Enforcement’s (ICE) to reduce or end the use of immigrant detention centers, they say the ATD program raises a fresh set of concerns about immigrants’ privacy and civil rights.

time.com/6167467/immigrant-tra…

DMA: aggiunte significative sono entrate nel testo finale

I colegislatori dell’UE hanno raggiunto un accordo sulla legge sui mercati digitali (DMA). Da allora, le parti hanno cercato di entrare in possesso del testo finale, messo a punto nella massima segretezza fino a quando non è stato finalmente distribuito giovedì (14 aprile). Il testo sarà probabilmente presentato al gruppo di lavoro del Consiglio sulla concorrenza il 28 aprile e approvato dagli ambasciatori dell’UE presso il Comitato dei rappresentanti permanenti (COREPER) il 4 maggio.

DMA: significant additions made it into the final text

The EU co-legislators reached an agreement on the Digital Markets Act (DMA) on 24 March. Since then, stakeholders have been trying to get hold of the final text, fine-tuned in the utmost secrecy until it was finally circulated on Thursday (14 April). The text will likely be presented to the Council’s competition working party on 28 April and approved by the EU ambassadors at the Committee of Permanent Representatives (COREPER) on 4 May.

euractiv.com/section/digital/n…

Il conflitto in Ucraina accresce le vulnerabilità dei dati delle forze armate statunitensi

È la nuova normalità per i componenti del servizio militare e i veterani essere considerati obiettivi di alto valore nella guerra dell’informazione. Gli sforzi di disinformazione russi hanno già preso di mira gli americani con tattiche come la creazione di account falsi per singoli veterani e organizzazioni di servizi di veterani come Vietnam Veterans of America sui social media. Ma la minaccia non si limita ai social media. Vi sono rischi significativi per le operazioni militari a causa dei dati raccolti per la pubblicità mirata. Questi dati possono essere utilizzati per fornire disinformazione e possono persino amplificare la propaganda se i malintenzionati acquistano o accedono ai dati.

Ukraine conflict heightens US military’s data privacy vulnerabilities

It is the new normal for military service members and veterans to be considered high value targets in the information war. Russian disinformation efforts have already targeted Americans with tactics like creating fake accounts for individual veterans and veteran service organizations such as Vietnam Veterans of America on social media. But the threat is not limited to social media. There are significant risks to military operations due to data collected for targeted advertising. This data can be used to deliver misinformation and disinformation, and can even amplify propaganda if bad actors purchase or access the data and weaponize it.

c4isrnet.com/opinion/2022/04/1…

guidoscorza.it/privacy-daily-1…

“L’Europa sta costruendo un enorme sistema internazionale di riconoscimento facciale”. Questo è il titolo di un articolo di Wired uscito la scorsa settimana.

Subscribe now

La notizia è vera, ma la realtà è più complessa di così. Chi mi legge dovrebbe saperlo: l’Unione Europea è da tempo impegnata nella costruzione di un’intricata maglia di sorveglianza, al cui centro di tutto c’è l’EUROPOL.

Read more

Il dibattito su un disegno di legge sulla privacy si avvicina a Capitol Hill

Il Congresso ha cercato per anni di approvare una legge federale sulla privacy dei dati senza riuscirci. Ma dietro le quinte, il dibattito su quali dovrebbero gli standard si fa sempre più prossimo a Capitol Hill. Parlando a un panel al Global Privacy Summit a Washington, importanti collaboratori del Congresso hanno sottolineato come il panorama della privacy sia cambiato negli ultimi anni.

The debate over a privacy bill is inching forward on Capitol Hill

Congress has tried and failed to pass a federal data privacy law for years. But behind the scenes, the debate around what those standards should be is evolving on Capitol Hill. Speaking at a panel at the Global Privacy Summit in Washington on Tuesday, a trio of top congressional aides talked about how the privacy landscape has shifted in recent years, even as lawmakers have struggled to advance any bills out of committee.

washingtonpost.com/politics/20…

You’re Still Being Tracked on the Internet, Just in a Different Way

The internet industry shuddered last year when Apple introduced privacy measures for the iPhone that threatened to upend online tracking and cripple digital advertising. Google pledged similar privacy actions. But in less than a year, another type of internet tracking has started taking over. And it is having the unintended effect of reinforcing the power of some of tech’s biggest titans.

Sei ancora rintracciato su Internet, solo in un modo diverso

L’ industria di Internet ha tremato l’anno scorso quando Apple ha introdotto misure sulla privacy per l’iPhone che hanno minacciato di ribaltare il tracciamento online e paralizzare la pubblicità digitale. Google ha promesso azioni simili sulla privacy. Ma in meno di un anno, un altro tipo di monitoraggio di Internet ha iniziato a prendere il sopravvento. E sta avendo l’effetto indesiderato di rafforzare il potere di alcuni dei più grandi titani della tecnologia.

nytimes.com/2022/04/06/technol…

Finlandia: l’Ombudsman la raccomandazione sui criteri di valutazione della sicurezza delle informazioni della pubblica amministrazione è aperta ai commentiL’Ombudsmanha annunciato che le raccomandazioni del consiglio di gestione delle informazioni su una serie di criteri per la valutazione della sicurezza delle informazioni nelle pubbliche amministrazioni sono aperte a commenti fino al 19 aprile 2022. L’ Ombudsman ha affermato che l’uso dell’insieme di criteri supporta le organizzazioni nella pianificazione, attuazione e valutazione della sicurezza delle informazioni e della protezione dei dati personali, rilevando che può essere utilizzato come strumento per valutare il rispetto dei requisiti di sicurezza previsti dalla legge.

Finland: Ombudsman announces recommendation on public administration information security assessment criteria is open for comments

The Office of the Data Protection Ombudsman (‘the Ombudsman’) announced, on 8 April 2022, that the Information Management Board’s recommendations on a set of criteria for the assessment of information security in public administrations is open for comments until 19 April 2022. The Ombudsman stated that the use of the set of criteria supports organisations in the planning, implementation, and evaluation of information security and the protection of personal data, noting that it can be used as a tool for assessing compliance with the security requirements.

tietosuoja.fi/-/suositus-julki…

guidoscorza.it/privacy-daily-1…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Germany at gdprhub.eu/AG_Pankow_-_4_C_199…
📥 6.671 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#TeamDatenschutz

mastodon.social/@noybeu/108134…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Spain at gdprhub.eu/AEPD_(Spain)_-_PS/0…
📥 6.671 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#DSGVO

mastodon.social/@noybeu/108130…

Le nuove regole per l’intelligenza artificiale al vaglio del Parlamento europeo

Gli europarlamentari Brando Benifei e Dragos Tudorache hanno finalizzato la prima stesura della nuova regolamentazione sull’Intelligenza Artificiale (IA) in quanto correlatori per il Parlamento Europeo, guidando la discussione sulla legge sull’IA nelle commissioni per i diritti civili ed in quella sulla protezione dei consumatori del Parlamento europeo. “Ci sono punti che abbiamo già concordato e saranno nella bozza di relazion e questioni su cui pensiamo di essere d’accordo, ma poiché non abbiamo trovato in questo momento il denominatore comune, non le abbiamo inserite nella relazione ”, ha affermato Tudorache.

Leading MEPs raise the curtain on draft AI rules

The two European Parliament co-rapporteurs finalised the Artificial Intelligence (AI) draft report covering where they have found common ground. The most controversial issues have been pushed further down the line. Liberal Dragoș Tudorache and social-democrat Brando Benifei have been spearheading the discussion on the AI Act for the civil rights and consumer protection committees of the European Parliament, respectively. “There are things that we agreed already, and they will be in the draft report, and things on which we think that we will agree, but because we haven’t found right now the common denominator, we did not put them in the report,” Tudorache said.

euractiv.com/section/digital/n…

Accordo sui flussi di dati UE-USA: “il lavoro continua”

La questione dei flussi di dati UE-USA è stato senza dubbio il problema più discusso nel mondo della privacy dall’annullamento dello scudo UE-USA. Nonostante l’entusiasmo per il recente accordo in linea di principio per stabilizzare i flussi di dati, le osservazioni delle parti coinvolte all’IAPP Global Privacy Summit 2022 indicano che il traguardo è in vista, ma non proprio immediatamente all’orizzonte.

Officials ‘thrilled’ with EU-US data flows agreement, ‘work continues’ on finalization

The state of EU-U.S. data flows has unquestionably been the most talked about issue among data privacy professionals since the invalidation of EU-U.S. Privacy Shield. Despite excitement around the recent agreement in principle to stabilize data flows, remarks from involved parties at the IAPP Global Privacy Summit 2022 indicate the finish line is in sight but not quite on the immediate horizon.

iapp.org/news/a/officials-thri…

Una violazione di dati che colpisce 2,5 milioni di utenti

Il servizio di prestito ipotecario Lakeview Loan Servicing ha rivelato che una violazione dei dati alla fine del 2021 ha compromesso le informazioni personali di oltre 2,5 milioni di clienti,secondo quanto riporta National Mortgage News . I dati sono stati consultati da un hacker esterno tra ottobre e dicembre 2021 e includevano nomi, indirizzi, informazioni sul prestito e numeri di previdenza sociale.

Data breaches compromise data of 2.5M and more

Mortgage servicer Lakeview Loan Servicing revealed a data breach in late 2021 compromised the personal information of over 2.5 million loan customers, National Mortgage News reports. The data was accessed by an external hacker between October and December 2021 and included names, addresses, loan information and Social Security numbers.

nationalmortgagenews.com/news/…

guidoscorza.it/privacy-daily-1…

👉Your Chance to work with the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers (like Mariam in the video below) that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for October 2022 at lnkd.in/ewWrcDy

mastodon.social/@noybeu/108125…

La presidente dell’FTC Lina Khan chiede un cambio di paradigma sulla privacy dei dati

Nel suo primo, importante discorso sulla privacy da quando ha preso il timone della Federal Trade Commission, il presidente Lina Khan ha chiesto al governo federale di incrementare la sorveglianza sugli abusi nei confronti dei dati in considerazione delle ampie possibilità di controllo contentite dalla tecnologia moderna.”Il ruolo centrale che gli strumenti digitali continueranno a svolgere ci invita a considerare se vogliamo vivere in una società in cui le aziende possono condizionare l’accesso a tecnologie e opportunità da parte di utenti che devono arrendersi alla sorveglianza commerciale”, ha affermato Khan durante il discorso programmatico al Global Privacy Summit di Washington.

FTC Chair Lina Khan calls for a paradigm shift on data privacy

In her first major privacy address since taking the helm of the Federal Trade Commission last year, Chair Lina Khan called for the federal government to expand its policing of data abuses to account for the vast “surveillance” enabled by modern technology. “The central role that digital tools will only continue to play invites us to consider whether we want to live in a society where firms can condition access to critical technologies and opportunities on users having to surrender to commercial surveillance,” Khan said during a keynote address at the Global Privacy Summit on Monday in Washington.

washingtonpost.com/politics/20…

L’EDPB esprime preoccupazione per le proposte di riforma per l’APD belga

Il comitato europeo per la protezione dei dati ha espresso preoccupazione per gli sviluppi legislativi proposti che avrebbero ripercussioni sull’autorità belga per la protezione dei dati. In particolare, l’EDPB teme che un disegno di legge “rafforzi il controllo parlamentare” sul DPA. In una lettera alla Camera dei rappresentanti belga, al primo ministro belga e al segretario di Stato belga, l’EDPB ha scritto che il regolamento generale dell’UE sulla protezione dei dati “richiede specificamente che ciascuna autorità di controllo agisca in completa indipendenza nello svolgimento dei propri compiti e nell’esercizio dei propri poteri ( Articolo 52, paragrafo 1, GDPR).”

EDPB expresses concern about proposed reforms for Belgian DPA

The European Data Protection Board expressed concerns about proposed legislative developments that would affect the Belgian Data Protection Authority. Specifically, the EDPB is concerned that a draft law would “strengthen parliamentary oversight” over the DPA. In a letter to the Belgian Chamber of Representatives, the Belgian prime minister and the Belgian state secretary, the EDPB wrote the EU General Data Protection Regulation “specifically requires that each supervisory authority shall act with complete independence in performing its tasks and exercising its powers (Article 52(1) GDPR).”

iapp.org/news/a/edpb-expresses…

Tim Cook di Apple avverte di “conseguenze indesiderate” nella legislazione antitrust sugli app store

L’amministratore delegato di Apple, Tim Cook, è andato all’offensiva contro gli sforzi per regolamentare l’App Store. avvertendo che la proposta di legge intesa a migliorare la concorrenza potrebbe “minare” la protezione della privacy e della sicurezza sui prodotti dell’azienda.

Apple’s Tim Cook warns of ‘unintended consequences’ in app store antitrust legislation

Apple chief executive Tim Cook went on the offensive against efforts to regulate the App Store in a rare public speech on Tuesday, warning that proposed legislation intended to improve competition could “undermine” the privacy and security protections on the company’s products.

edition.cnn.com/2022/04/12/tec…

guidoscorza.it/privacy-daily-1…

ONU: I sistemi di protezione dei dati devono trovare un equilibrio tra tutela della privacy e integrazione economica

Il Relatore alla Privacy delle Nazioni Unite Ana Brian Nougrères ha esortato il Consiglio per i diritti umani affinché ci creai un sempre maggiore equilibrio tra la tutela del diritto fondamentale alla privacy e la libera circolazione di beni, persone, servizi e capitali, garantendo nel contempo l’integrazione economica e sociale. In un rapporto all’HRC, il relatore speciale delle Nazioni Unite sul diritto alla privacy ha affermato che è fondamentale per gli attori statali e non statali porre fine alle pratiche discriminatorie nei campi dell’intelligenza artificiale, della robotica, dell’internet delle cose, del virtuale realtà, realtà aumentata, biotecnologie, tecnologia blockchain e videosorveglianza di massa che potrebbero rappresentare una minaccia per la privacy.

Data protection systems must find balance between protecting privacy and economic integration – UN expert

Data protection systems must find balance between protecting privacy and economic integration, said Anna Brian Nougrères, UN Special Rapporteur on the right to privacy. In a report to the Human Rights Council. Special Rapporteur said it was crucial to overcome potential technological challenges to privacy, particularly discriminatory practices carried out by both State and non-State actors in fields of artificial intelligence, robotics, the internet of things, virtual reality, augmented reality, biotechnology, blockchain technology and mass video-surveillance.

ohchr.org/en/press-releases/20…

L’IMY svedese: parere sul quadro transatlantico UE-USA per la protezione dei dati

‎L’autorità svedese per la protezione dei dati, Integritetsskyddsmyndigheten, ha espresso un parere sull’accordo UE e STATI Uniti per il Trans-Atlantic Data Privacy Framework, affermando che “l’accordo in linea di principio è solo un primo passo nel processo di prendere una decisione su un livello adeguato di protezione che può costituire la base per il trasferimento di dati personali negli Stati Uniti”. Inoltre, l’IMY sottolinea che “l’accordo di principio non comporta alcun cambiamento per coloro che ora vogliono trasferire i dati personali negli Stati Uniti”.

Swedish IMY issues opinion on the EU-US Trans-Atlantic Data Privacy Framework

Sweden’s data protection authority, Integritetsskyddsmyndigheten, issued a statement on the EU and U.S. agreement for the Trans-Atlantic Data Privacy Framework, saying “the agreement in principle is only a first step in the process of making a decision on an adequate level of protection that can form the basis for the transfer of personal data to the U.S.” Further, the IMY emphasizes “the agreement in principle does not entail any change for those who now want to transfer personal data to the United States.”

EDPB uttalar sig om Trans-Atlantic Data Privacy Framework (imy.se)

Reuters: alti funzionari dell’UE presi di mira da spyware

L’anno scorso alti funzionari della Commissione europea sono stati presi di mira attraverso un software spia progettato da una società di sorveglianza israeliana, secondo la documentazione esaminata da Reuters. Tra loro Didier Reynders, già Commissario europeo per la giustizia dal 2019, secondo uno dei documenti. Almeno altri quattro membri del personale della commissione sono stati monitorati. Due funzionari dell’UE hanno confermato che il personale della Commissione fosse stato soggetto a sorveglianza, ma non hanno fornito dettagli.

Reuters: Senior EU officials were targeted with spyware

Senior officials at the European Commission were targeted last year with spy software designed by an Israeli surveillance firm, according to two EU officials and documentation reviewed by Reuters. Among them was Didier Reynders, a senior Belgian statesman who has served as the European Justice Commissioner since 2019, according to one of the documents. At least four other commission staffers were also targeted, according to the document and another person familiar with the matter. The two EU officials confirmed that staffers at the commission had been targeted but did not provide details.

reuters.com/technology/exclusi…

guidoscorza.it/privacy-daily-1…

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at noyb.eu/en/traineeship

mastodon.social/@noybeu/108113…

L’uso del riconoscimento facciale in guerra

Clearview AI viene utilizzato per verificare l’identità dei soldati russi, compresi quelli deceduti, e dei viaggiatori in Ucraina, secondo quanto riporta il New York Times. Clearview ha creato più di 200 account per gli utenti di cinque agenzie governative ucraine, con oltre 5.000 ricerche condotte. I critici, come il vicedirettore di Fight for the Future Evan Greer, hanno sollevato preoccupazioni sull’espansione dell’uso della tecnologia di riconoscimento facciale, ritenendo che dovrebbe essere vietata in tutto il mondo perché i governi l’hanno usata per perseguitare le minoranze e reprimere il dissenso

Services that put a name to a face, including Clearview AI, are being used to identify Russian soldiers, living or dead, and to verify that travelers in Ukraine are who they claim, New York Times reported. Clearview has created more than 200 accounts for users at five Ukrainian government agencies, which have conducted more than 5,000 searches. Evan Greer, a deputy director for the digital rights group Fight for the Future, is opposed to any use of facial recognition technology, and said she believed that it should be banned worldwide because governments had used it to persecute minority groups and suppress dissent.

nytimes.com/2022/04/07/technol…

La Germania ritarda l’attuazione delle norme dell’UE sulla protezione dei dati

Il commissario federale tedesco per la protezione dei dati e la libertà di informazione Ulrich Kelber ha consegnato il rapporto annuale al Bundestag, in cui afferma che il paese ha ritardato l’attuazione della direttiva dell’UE sulla protezione dei dati, riferisce Euractiv. Kelber ha affermato che la Germania è rimasta indietro rispetto ad altre nazioni in particolare nell’ambito degli affari interni e della giustizia. La pandemia, che ha colpito la protezione dei dati e la libertà di informazione in diverse aree è stata uno degli elementi dominanti del rapporto annuale del commissario Kelber.

In the annual report presented to the Bundestag Germany’s data protection commissioner Ulrich Kelber criticised the country for delaying its implementation of the EU data protection directive, particularly in the field of justice and home affairs. EURACTIV Germany reports. The pandemic, which affected data protection and freedom of information in many areas, was a prominent feature in the annual report data protection commissioner Kelber-

euractiv.com/section/data-prot…

I 25 anni di privacy – L’anniversario dell’Autorità Garante per la protezione dei dati personali – il video

“25 anni di privacy in Italia” – L’anniversario del Garante per la protezione dei dati personali – il video e la pagina tematica.

25 years of privacv in Italy – The anniversary of Italian Data Protection Authority,, watch the video and the dedicated page on:

gpdp.it/25-anni-di-privacy-in-…

guidoscorza.it/privacy-daily-1…

Nell’Unione Europea sono in corso i lavori per portare avanti un pacchetto legislativo antiriciclaggio proposto dalla Commissione Europea a luglio dello scorso anno. Oltre ad aggiornare la normativa esistente, l’intenzione è di estenderne l’applicazione anche al settore crypto.

Come vedremo, questo pacchetto legislativo fa parte di un attacco coordinato a livello globale al settore crypto, e arriva direttamente dal FATF - un’organizzazione sconosciuta che dal 1989 detta legge dalla sua sede di Parigi.

Oggi cercheremo di capire di cosa stiamo parlando, quali sono i punti salienti di questo pacchetto normativo e quali sono le implicazioni per la nostra vita privata e libertà.

Subscribe now

Il pacchetto legislativo AML-CFT

Tutto inizia il 20 luglio 2021. La Commissione Europea presentò un “ambizioso pacchetto” per potenziare la normativa anti riciclaggio e contro il finanziamento al terrorismo (AML-CFT).

Il pacchetto è composto di quattro proposte di legge:

• A Regulation establishing a new EU AML/CFT Authority
• A Regulation on AML/CFT, containing directly-applicable rules, including in the areas of Customer Due Diligence and Beneficial Ownership
• A sixth Directive on AML/CFT (“AMLD6”), replacing the existing Directive 2015/849/EU (the fourth AML directive as amended by the fifth AML directive)
• A revision of the 2015 Regulation on Transfers of Funds to trace transfers of crypto-assets (applicazione della c.d. “travel rule”).

Quello di cui stanno parlando in molti in questo periodo è la quarta proposta, che è stata votata e adottata il 31 marzo 2022 dalle commissioni del parlamento europeo ECON (Economic and Monetary Affairs) e LIBE (Civil Liberties, Justice and Home Affairs), con più di 80 emendamenti rispetto alla proposta originaria della Commissione.

La proposta così adottata sarà votata ad aprile in sede plenaria dal Parlamento europeo, per poi passare agli step legislativi successivi.

Subscribe now

Nuove regole AML-CFT

Prima di passare all’esame della proposta che estende la “travel rule” alle transazioni crypto, vale la pena evidenziare alcuni aspetti importanti delle nuove regole generali in tema di AML-CFT, cioè la seconda proposta del pacchetto.

Il primo aspetto saliente è che l’Unione Europea ha deciso di attaccare con tutte le sue forze qualsiasi istanza di anonimato in ambito finanziario, compreso quello crypto.

L’articolo 58 del Regolamento AML-CFT è molto chiaro:

Agli enti creditizi, agli enti finanziari e ai fornitori di servizi per le cripto-attività è fatto divieto di tenere conti anonimi, libretti di risparmio anonimi, cassette di sicurezza anonime o portafogli di cripto-attività anonimi, nonché qualsiasi conto che consenta altrimenti l'anonimizzazione dell'intestatario del conto cliente.

Un’altro aspetto saliente delle nuove regole AML / CTF è che la guerra all’anonimato passa anche dal caro vecchio contante.

Nei piani c’è infatti il divieto generale di pagamenti in contanti che superano i €10.000, sia in unico pagamento che attraverso transazioni di valore inferiore collegate tra loro.

Le persone che commerciano beni o forniscono servizi possono accettare o effettuare un pagamento in contanti fino a un importo di 10 000 EUR o importo equivalente in valuta nazionale o estera, indipendentemente dal fatto che la transazione sia effettuata con un'operazione unica o con diverse operazioni che appaiono collegate.

La premessa di tutto il nuovo pacchetto normativo per l’antiriciclaggio è che in Europa non deve esistere alcuno spazio di anonimato; salvo per quel minimo di contante che per il momento non può essere eliminato del tutto.

Subscribe now

La famigerata travel rule

Vediamo ora in cosa consiste la quarta proposta di legge del pacchetto, “riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività”.

Questa proposta di regolamento andrà a sostituire il Regolamento 2015/847, estendendo la c.d. “travel rule” anche al settore crypto.

Ambito di applicazione della legge

La legge si applicherà a tutti i trasferimenti di “crypto asset” inviati o ricevuti attraverso un intermediario. Per “crypto asset” si intende:

a digital representation of a value or a right that uses cryptography for security purposes and is in the form of a coin or a token, or any other digital medium, which is able to be transferred and stored electronically, using distributed ledger technology or similar technology

Una definizione che praticamente abbraccia qualsiasi cosa, dagli stablecoin a Bitcoin, fino ad arrivare anche agli NFT.

Da notare che la definizione di crypto asset permetterà l’applicazione della normativa anche a soggetti come Facebook, che dal 2018 ha già annunciato l’intenzione di emettere il proprio crypto-token (originariamente chiamato Libra). Non mi sembra un’ottima idea dare una scusa un più a Facebook di raccogliere ancora più dati personali dai suoi utenti, ma certamente il legislatore avrà fatto le sue valutazioni.

Oltre ai trasferimenti di crypto asset tramite intermediari, la norma si applicherà anche agli ATM, che finora rimanevano invece tra le rare ipotesi senza politiche KYC (know your customer):

This Regulation shall also apply to transfers of crypto-assets executed by means of
kiosks connected to a distributed ledger network known as crypto-asset automated teller machines (‘crypto-ATMs’).

Nelle intenzioni delle Commissioni LIBE ed ECON, la legge si applicherà anche agli “unhosted wallets”, cioè quei wallet le cui chiavi private sono detenute da una persona e non un’azienda. Operatori tipo Coinbase dovrebbero quindi in qualche modo acquisire informazioni sulle transazioni nel momento in cui una persona volesse inviare fondi dal suo wallet a quello di Coinbase. Una misura oltremodo assurda e che rischia di bloccare l’innovazione di un intero settore.

Per ovvie ragioni la legge non si applicherà invece a transazioni da persona fisica a persona fisica (P2P), ma come visto ci saranno comunque implicazioni indirette nel momento in cui le persone si rivolgeranno a intermediari, che dovranno acquisire informazioni e valutare il rischio prima di approvare una transazione.

Quali dati saranno comunicati?

Tutti i trasferimenti di “crypto assets” dovranno essere accompagnati dalle seguenti informazioni:

• Nome, indirizzo wallet e account del mittente
• Stato di residenza e indirizzo del mittente
• Data e luogo di nascita del mittente
• Codice identificativo dell’account del mittente
• Nome e indirizzo wallet del beneficiario

A questi dati vanno chiaramente aggiunti tutti gli altri dati e metadati (informazioni descrittive di eventi informatici) che accompagnano già adesso le transazioni. Purtroppo, le commissioni ECON e LIBE hanno votato per eliminare il limite di € 1.000 originariamente proposto dalla Commissione.

Se la proposta dovesse passare così come emendata, ogni singola transazione sarà soggetta alla travel rule, “a causa del profilo di rischio specifico dei crypto-asset, in quanto ci sono chiare indicazioni sul fatto che le attività criminali e di finanziamento al terrorismo tramite crypto asset sono spesso legate a piccole transazioni”.

Approccio basato sul rischio

Sempre per rimanere in tema, la proposta prevede che i fornitori di servizi di trasferimento di “crypto asset” si astengano dall’autorizzare transazioni con un rischio elevato di riciclaggio, finanziamento al terrorismo e altre attività criminali non meglio specificate.

Il rischio relativo a rapporti con altri intermediari:

• fattori geografici, relativi a giurisdizioni “non cooperative” sul piano fiscale (cioè, paradisi fiscali)
• soggetti che non adottano adeguate politiche KYC
• soggetti che non adottano adeguate politiche di sicurezza
• soggetti collegati ad attività di finanziamento al terrorismo, riciclaggio o altre attività illegali

Il rischio relativo alla tipologia di wallet da cui arriva o viene inviata la transazione:

• privacy wallets (cioè che offrono tecnologie per tutelare privacy e anonimato)
• mixers / tumblers (in pratica, servizi di coinjoin)
• indirizzi, anche “unhosted”, legati a riciclaggio o finanziamento al terrorismo

Nel caso in cui l’intermediario di pagamento riceva una richiesta di transazione da parte di “privacy wallets” o mixer, dovrà ottenere informazioni specifiche sul motivo della transazione e giustificazione dell’uso legittimo dei fondi, prima di autorizzare o negare la transazione.

Subscribe now

Come ci siamo arrivati?

Il tentativo di sottomettere il settore crypto alle assurde regole AML-CFT della finanza tradizionale inizia nel 2018, quando Facebook per la prima volta annuncia di voler creare il suo "stablecoin”: Libra.

Quel momento segnò una vera e propria svolta nella storia: per la prima volta tutti gli Stati del mondo furono messi di fronte a uno scenario impensabile fino a pochi anni prima: l’emissione di moneta più veloce, meno costosa e più user-friendly da parte di un’ente privato con miliardi di utenti. Avrebbe significato, de facto, la fine del monopolio monetario globale.

La questione fu discussa ai più alti livelli, anche nell’ambito del G20, e gli Stati non tardarono ad attivarsi.

E così entrò in scena il FATF (Financial Action Task Force), organizzazione internazionale con sede a Parigi creata dal G7 nel 1989, il cui scopo è fornire raccomandazioni e linee guida in materia di antiriciclaggio.

Nel 2019 il FATF pubblicò la sua “Guidance for a risk-based approach to virtual assets and VASPs”, con l’obiettivo di dare delle linee guida ai legislatori di tutto il mondo per affrontare i rischi derivanti dagli asset virtuali (cryptovalute, token, ecc.).

Senza girarci troppo intorno, queste linee guida hanno lo scopo esplicito di potenziare la sorveglianza finanziaria nel settore crypto e disincentivare il più possibile l’uso di strumenti di tutela della privacy e anonimato.

Questo passaggio è abbastanza esplicativo:

Tolleranza zero sull’anonimato

La forza politica del FATF, che ormai conta più di 200 paesi aderenti, è tale che oggi molti paesi in tutto il mondo stanno adottando le stesse identiche misure in modo coordinato: Canada, Stati Uniti, UK, UE, Singapore, Giappone, Corea del Sud…

Quello che da fuori sembra un processo legislativo democratico è quindi in realtà la mera ratifica di indicazioni e decisioni prese dal FATF - ente indipendente, sconosciuto, senza alcuna responsabilità politica, e non subordinato ad alcun processo democratico.

Share

È sotto l’egida del FATF che la Commissione Europea propone di aggiornare per la sesta volta una normativa che ad ogni upgrade diventa sempre più invadente e pericolosa, e che da anni ormai è oggetto di scrutinio e contestazioni da parte delle autorità europee per la protezione dei dati.

Sistematica violazione di diritti umani

Le norme europee già esistenti, e il pacchetto di aggiornamento, non prevedono nessuna misura di salvaguardia della privacy (minimizzazione dati, limitazione conservazione, privacy by design). Anzi, sono misure che volutamente creano i presupposti per discriminare attivamente le persone che utilizzano tecnologie per proteggere la propria privacy, come i cosiddetti “privacy wallets” o le tecnologie di coinjoin.

Come siamo arrivati a discriminare legalmente persone che cercano di tutelare un loro diritto fondamentale riconosciuto anche dalla Convenzione Europea dei Diritti dell’Uomo? Beh, forse aiuta sapere che la “travel rule”, che l’UE vorrebbe estendere alle transazioni crypto, è figlia del periodo più buio per i diritti umani della storia moderna. Fu infatti approvata per la prima volta negli Stati Uniti proprio dopo agli attacchi dell’11 settembre 2001, insieme al famigerato PATRIOT ACT - una delle leggi più liberticide della storia moderna.

Oltre alla sorveglianza e discriminazione, la normativa manca qualsiasi proporzionalità. L’attuazione non ponderata delle linee guida FATF mette sullo stesso piano contesti molto diversi tra loro, a cui seguono rischi diversi.

Come sottolineato anche dallo European Data Protection Board (EDPB), in una lettera dello scorso anno:

“Il framework AML/CFT dovrebbe rispettare i principi di necessità e proporzionalità. Questo implica che casi diversi dovrebbero essere trattati in modo diverso, proporzionalmente alle loro differenze”.

È chiaro allora che la normativa dovrebbe essere applicata in ragione del rischio concreto di riciclaggio e terrorismo, non certamente in modo indiscriminato, su ogni transazione, a prescindere dal contesto specifico. Come si può considerare una transazione da poche decine di euro “rischiosa” tanto quanto una transazione milionaria?

I criteri di valutazione del rischio poi sono talmente ampi e indefiniti che gli operatori non potranno far altro che adottare un approccio conservativo, che equivale al massimo livello di sorveglianza e censura possibile, per evitare sanzioni.

Un approccio di questo tipo capovolge completamente il principio di presunzione d’innocenza: siamo tutti sorvegliati e potenziali criminali fino a prova contraria, per definizione di legge. A me sembra una chiara presa di posizione: l’Unione Europea è in guerra contro i suoi stessi cittadini.

Share

Transazioni e libertà di pensiero

Come dico spesso, banche e intermediari di pagamento non hanno più alcuna vera utilità, se non quella di essere agenti di sorveglianza e censura dello Stato.

La sorveglianza finanziaria non è soltanto una sproporzionata e ingiustificata ingerenza nella nostra vita privata, ma anche un limite alla nostra libertà di pensiero.

Come scrivevo in “Lo Stato socio occulto di ogni rapporto umano”, le transazioni economiche sono la messa in atto del nostro pensiero. Sono il mezzo attraverso cui esprimiamo le nostre opinioni, ad esempio finanziando campagne politiche e/o persone in cui crediamo. E in questo Bitcoin è l’ultima frontiera umana di libertà di pensiero, proprio grazie al controllo che ci offre sulle nostre transazioni.

Come possiamo però dire di essere liberi quando ogni singola manifestazione del nostro pensiero viene tracciata, monitorata, valutata e infine censurata dallo Stato attraverso i suoi agenti di sorveglianza? Perdere la capacità di avere transazioni private significa perdere la nostra libertà.

Purtroppo, l’estremo tecnicismo di queste normative e l’assoluta mancanza di trasparenza rendono quasi impossibile avere un vero dibattito politico su questi temi. La buona notizia è che oggi il settore crypto è pieno di persone estremamente consapevoli (come i miei lettori) dell’importanza della privacy e dei rischi della sorveglianza.

Ora che sappiamo cosa ci aspetta è nostro dovere di persone libere fare in modo di cambiare questo scenario, usando tutti i mezzi a nostra disposizione: divulgazione, azioni legali e strumenti tecnologici.

Bitcoin Train

Capire Bitcoin partendo dall'attualità
By Federico Rivi

Se vuoi affrontare la questione da un diverso punto di vista, ti suggerisco di leggere l’episodio di oggi di Bitcoin Train di Federico Rivi, in cui parla anche lui delle nuove regole anti-riciclaggio.

Se ti piace Privacy Chronicles considera l’abbonamento (mensile o annuale) per supportare il mio lavoro e avere accesso a tutti gli articoli!

EDPB accoglie con favore l’accordo di principio tra UE e USA

L’ European Data Protection Board ha adottato una dichiarazione con la quale accoglie con favore l’accordo di principio sul quadro transatlantico tra l’UE e USA. Andrea Jelinek ha affermato che il quadro proposto per i flussi di dati e “l’impegno delle massime autorità statunitensi a stabilire” ‘misure” è “un primo passo positivo”.

The EDPB welcomes the announcement of a political agreement in principle between the European Commission and the United States on 25 March on a new Trans-Atlantic Data Privacy Framework. This announcement is made at a time where transfers from the European Economic Area to the U.S. face
significant challenges.

edpb.europa.eu/our-work-tools/…

Il Parlamento Europeo approva la legge sulla governance dei dati

Il Parlamento europeo ha votato per l’approvazione della proposta di legge sulla governance dei dati. La normativa mira a fornire alle aziende e alle startup un migliore accesso a più dati allo scopo di sviluppare nuovi prodotti e servizi. “I dati hanno valore solo se sono aggregati, perfezionati e utilizzati nel modo giusto”, ha affermato il membro del Parlamento europeo tedesco Angelika Niebler. La proposta necessita dell’approvazione finale del Consiglio dell’Unione Europea prima di diventare legge.

New EU data sharing legislation will stimulate innovation and help start-ups and businesses use big data. With immense possibilities in areas from farming to health, big data can play a key role in the EU’s digital transformation. The Data Governance Act, adopted by Parliament on 6 April 2022, aims to boost data sharing in the EU, so that companies and start-ups will have access to more data that they can use to develop new products and services. Access to big data is crucial to exploiting the potential of artificial intelligence.

europarl.europa.eu/news/en/hea…

Lettonia DSI pubblica una guida sui cookie

L’ispettorato statale dei dati della Lettonia ha pubblicato una guida sull’uso dei cookie. La guida descrive i tipi di cookie, i dati personali trattati. Il DSI ha affermato che la guida è rilevante per i cittadini e i responsabili del trattamento che trattano quotidianamente i dati personali sui loro siti Web. Il DSI ha esortato gli utenti a leggere le politiche sui cookie e sulla privacy, affermando che l’assenza di una politica sui cookie o dove trovarla “è già essere la prima indicazione di un trattamento inappropriato dei dati”.

Latvia’s Data State Inspectorate published guidance on the use of cookies by merchants providing goods or services. The guidance describes types of cookies, personal data processed. The DSI said the guidance is relevant for citizens and controllers processing personal data on their websites daily. .

dvi.gov.lv/lv/jaunums/dviskaid…

guidoscorza.it/privacy-daily-8…

🕵️‍♂️ You heard of illegal data processing and want to share your knowledge?

👥 Stay anonymous, and drop documents with noyb via SecureDrop! 🔐💧

Find out more on noyb.eu/@noybeu.rss!
▶ noyb.eu/en/securedrop

mastodon.social/@noybeu/108090…

#JOB
We are currently looking for a part time community manager for our GDPRhub.eu/@noybeu.rss and GDPRtoday projects.
Find out more and apply today: noyb.eu/sites/default/files/20…

mastodon.social/@noybeu/108089…

USA: la piattaforma di messaggistica crittografata Wickr. da parte della CBP statunitense solleva preoccupazioni

Una lettera della National Archives and Records Administration fa riferimento alle crescenti preoccupazioni per l’uso da parte dei funzionari governativi di alcune app di messaggistica crittografate, in particolare per l’utilizzo da parte della US Customs and Border Protection di Amazon Wickr. News. In una lettera ai funzionari, Laurence Brewer, Chief Records Officer di National Archives and Records Administration, ha affermato che la distribuzione dell’applicazione a livello di agenzia, in grado di eliminare automaticamente i messaggi, “senza politiche e procedure appropriate che ne regolano l’uso”, sia preoccupante.

ttps://www.nbcnews.com/tech/tech-news/border-patrols-use-amazons-wickr-messaging-app-draws-scrutiny-rcna21448

Data Governance Act: dibattito in plenaria e votazione finale

Il Parlamento europeo ha annunciato che la votazione finale sulla legge europea sulla governance dei dati (Data Governance Act). Nel dicembre 2021 è stato concordato un accordo provvisorio tra il Parlamento e il Consiglio dell’Unione europea. La proposta crea un quadro per aiutare le aziende o gli individui a condividere i dati in modo sicuro. La DGA si applicherà alle organizzazioni 15 mesi dopo la sua entrata in legge.

europarl.europa.eu/news/en/pre…

Il NIST invia una richiesta di informazioni per migliorare il quadro di sicurezza informatica

Il National Institute of Standards and Technology degli Stati Uniti ha pubblicato una richiesta di informazioni su “Valutazione e miglioramento delle risorse di sicurezza informatica del NIST: il quadro di sicurezza informatica e la gestione dei rischi della catena della sicurezza informatica”. La RFI Request for Information (RFI) ha sottolineato l’importanza delle prospettive internazionali per aiutare ad aggiornare le risorse del NIST. La RFI cercherà feedback sull’allineamento del quadro di sicurezza informatica del NIST per allinearlo o integrarlo con altri quadri internazionali. Le risposte ufficiali alla RFI sono previste per il 25 aprile.

nist.gov/blogs/cybersecurity-i…

guidoscorza.it/privacy-daily-7…

👉Your Chance to join the @noybeu Team as a #Trainee! 😊

We are looking for young lawyers that want to gain experience in #GDPR litigation and enforcement.

⏩Find out more & apply now for May 2022 onward at noyb.eu/en/traineeship

mastodon.social/@noybeu/108085…

📢 UPDATE: French CNIL has ordered two more website operators to stop using Google Analytics, following noyb's 101 model complaints.
noyb.eu/en/update-cnil-decides…

mastodon.social/@noybeu/108080…

#JOB
We are currently looking for a part time community manager for our GDPRhub.eu/@noybeu.rss and GDPRtoday projects.
Find out more and apply today: noyb.eu/sites/default/files/20…

mastodon.social/@noybeu/108077…

Il piano dell’Occidente per mantenere i flussi di dati globali

Mentre gli Stati Uniti e l’Unione europea hanno recentemente ottenuto un nuovo accordo in linea di principio, l’UE, gli Stati Uniti e il Regno Unito stanno lavorando per un accordo internazionale tramite l’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) che stabilisca regole di base sul modo in cui le agenzie di sicurezza nazionale accedono alle informazioni delle persone, mantenendo elevati standard di privacy.

www-politico-eu.cdn.ampproject…

Apple e Meta hanno fornito dati utente agli hacker che hanno utilizzato richieste legali contraffatte

Apple Inc. e Meta Platforms Inc. , la società madre di Facebook, hanno fornito i dati dei clienti ad hacker che si sono finti forze dell’ordine. Apple e Meta hanno fornito i dettagli di base degli utenti, come l’indirizzo, il numero di telefono e l’indirizzo IP di un cliente in risposta alle false “richieste di dati di emergenza”. I ricercatori di sicurezza informatica sospettano che alcuni degli hacker che inviano le richieste contraffatte siano minori con sede nel Regno Unito e negli Stati Uniti.

bloomberg.com/news/articles/20…

Il nuovo Privacy Shield con gli USA: da Schrems al Trans-Atlantic Data Privacy Framework

Un quarto d’ora per capire il nuovo PrivacyShield con gli USA: da Schrems al Trans-Atlantic Data Privacy Framework. Ne parla l’avvocato Giuseppe Vaciago con Matteo Flora in questo video su YouTube.

youtube.com/watch?v=SVpFQWJ-RZ…

guidoscorza.it/privacy-daily-5…

#JOB
We are currently looking for experts on the topic of adult education and personal certification.
Find more information and apply today: noyb.eu/sites/default/files/20…

mastodon.social/@noybeu/108072…

I social media non erano pronti per questa guerra. Molte grandi piattaforme stanno scrivendo le regole su odio, violenza, propaganda.

Facebook, YouTube, TikTok e Twitter stanno riscrivendo frettolosamente le loro regole su odio, violenza e propaganda a seguito della guerra in Ucraina. Da Google che blocca gli annunci in Russia e rimuove i video di YouTube che banalizzano la guerra, a Twitter che si rifiuta di raccomandare tweet che si collegano ai media statali russi e TikTok che sospende tutti i caricamenti di video dal paese in risposta alla sua legge sulle “notizie false”, ciascuno dei nelle ultime settimane le più grandi piattaforme di social media hanno intrapreso azioni ad hoc.

washingtonpost.com/technology/…

Facebook e il rilevamento degli abusi sessuali su minori

L’azienda segnala ogni anno milioni di foto e video di sospetti abusi sessuali su minori. Ma quando l’età non è chiara, i più giovani vengono trattati come adulti e le immagini non vengono denunciate alle autorità.

nytimes.com/2022/03/31/busines…

Dati personali di 820.000 studenti di New York compromessi durante un attacco hacker

I dati personali di circa 820.000 attuali ed ex studenti delle scuole pubbliche di New York sono stati compromessi in un hack di gennaio . La violazione è avvenuta nei confronti di Illuminate Education, una società di software finanziata dai contribuenti che il Dipartimento dell’Istruzione della città utilizza per tenere traccia dei voti e della frequenza. L’attacco hacker avrebbe avuto accesso a nomi, date di nascita, etnie, livello di istruzione.

nypost.com/2022/03/26/nyc-stud…

guidoscorza.it/privacy-daily-4…

Come dimostra la notizia condivisa da @Rik, ogni volta che per divertimento, per errore o semplicemente per ignoranza diamo in pasto i nostri dati a chi di sfrutta, stiamo regalando potere e stiamo perdendo libertà.
#Clearview #ReclaimYourFace

Rik

2022-04-03 07:22:38

Clearview AI, una controversa società di riconoscimento facciale che ha costruito un enorme dossier di 20 miliardi di foto della popolazione mondiale per l'uso da parte della polizia e dei governi nazionali sta ora progettando di offrire la sua tecnologia a banche e altre imprese private.

apnews.com/article/russia-ukra…

#Clearview #AI #RiconoscimentoFacciale #polizia #governi #Banche #Privacy

Dire che non ti interessa il diritto alla privacy perché non hai nulla da nascondere non è diverso dal dire che non ti importa della libertà di parola perché non hai nulla da dire.

È un principio profondamente antisociale perché i diritti non sono solo individuali, sono collettivi e ciò che potrebbe non avere valore per te oggi può avere valore per un’intera popolazione, un intero popolo, un intero modo di vivere domani.

E se non lo difendi tu, chi lo farà?

theguardian.com/us-news/video/…

In questi giorni hanno fatto notizia le dichiarazioni del Sindaco di Bologna Matteo Lepore e dell’assessore al digitale Massimo Bugani sul piano d’innovazione digitale di Bologna 2022-2024 che prevede un nuovo sistema di “cittadinanza a punti”.

Con la newsletter di questa settimana vorrei fare un approfondimento sul tema, che in realtà nasce da ben prima del progetto di Bologna ed è già attivo a Roma.

Subscribe now

Smart Citizen Wallet, da Roma a Bologna

Il progetto di Bologna, lo “Smart Citizen Wallet”, è stato brevemente descritto dall’’assessore Bugani:

«Il cittadino avrà un riconoscimento se differenzia i rifiuti, se usa i mezzi pubblici, se gestisce bene l’energia, se non prende sanzioni dalla municipale, se risulta attivo con la Card cultura». Comportamenti virtuosi che corrisponderanno a un punteggio che i bolognesi potranno poi «spendere» in premi in via di definizione: «Scontistiche Tper, Hera, attività culturali e così via»

L’idea dello Smart Citizen Wallet non è però nuova.

Nasce a Roma nel 2019 e inizia a essere sviluppata dal 2020, grazie all’integrazione degli strumenti di identità digitale (SPID, CIE, CNS) per l’accesso ai servizi pubblici della Capitale.

Il progetto venne presentato al FORUM PA 2019 con il nome “Eco Citizen Wallet”:

Un sistema incentivante basato su tecnologia “blockchain” che consenta di premiare i comportamenti virtuosi dei “city user” che contribuiscano al raggiungimento degli obiettivi di uno sviluppo sostenibile della Agenda 2030.

I “city user” potranno visualizzare all’interno della piattaforma dedicata tutte le informazioni utili relative alle diverse tipologie di servizi smart offerti da Roma Capitale. Prima di utilizzare il servizio il “city user” dovrà identificarsi tramite SPID consentendo così all’Amministrazione Capitolina di identificare il city-user e di attribuirgli i crediti “ecobonus” in funzione dei comportamenti agiti.

I crediti ottenuti potranno essere utilizzati per accedere a numerose iniziative per la fruizione di beni e servizi.

Fonte: forumpachallenge.it/soluzioni/…

In pratica, nasceva come sistema focalizzato sull’ecosostenibilità della città di Roma, con alcuni meccanismi di incentivo per “ridurre gli impatti negativi sul Pianeta”.

Nel corso del tempo l’idea si è allargata anche alla sostenibilità “sociale ed economica” della città (qualsiasi cosa voglia dire), prendendo così il nome di Smart Citizen Wallet.

Subscribe now

Oggi il sistema è già attivo a Roma. Si può accedere tramite la Casa Digitale del Cittadino – My Rhome, previa autenticazione con SPID, CIE o CNS.

Dalla pagina dedicata del Comune di Roma:

Il Citizen Wallet è una piattaforma di premialità che incentiva i comportamenti virtuosi messi in atto dai city user, volti a migliorare la sostenibilità ambientale, sociale ed economica della Città, in linea con gli obiettivi dell’Agenda 2030.

Per il momento il Comune ha individuato solo due tipologie di comportamento “virtuoso”:

• la compilazione del questionario sui servizi online di Roma Capitale
• l’utilizzo del servizio tap&go® di ATAC

Share

Lo stesso progetto ora vuole essere esportato anche a Bologna, dallo stesso assessore che ci aveva lavorato a Roma.

Le ambizioni della città di Bologna sono però già molto alte, considerando che si parla anche di attività come la raccolta differenziata, l’uso della carta cultura, o la gestione dell’energia - qualsiasi cosa voglia dire. Il progetto, anche qui in fase sperimentale, partirà dopo l’estate.

Già a gennaio l’assessore Bugani raccontava così il progetto:

"Sarà un sistema premiante per i cittadini virtuosi, che potranno avere punteggi in base alle azioni di tutti i giorni. Dall’utilizzo del trasporto pubblico fino al corretto conferimento della differenziata, tutto sarà valutato e attraverso un calcolo farà accumulare dei vantaggi al cittadino. […]

Un sistema di questo tipo potrà incentivare la partecipazione attiva alla vita della città. C’è da capire bene come profilare i dati e metterli insieme.”

Fonte: ilrestodelcarlino.it/bologna/p…

Cittadinanza a punti e Stato Etico

L’idea di usare incentivi (“nudge”) per plasmare il comportamento degli individui - e quindi della società, non è nuova.

I primi a ipotizzare di introdurre questo strumento nell’arsenale politico statale furono probabilmente i cinesi, con un paper scritto da Lin Junyue nel 1999.

Secondo Lin Junyue era impossibile correggere il comportamento della collettività senza agire direttamente sugli individui. Fortunatamente, questa idea fu messa per lungo tempo in un cassetto. Mancavano gli strumenti informativi per realizzarla.

Oggi però questi strumenti ci sono: si chiamano Big Data e algoritmi. I nostri politici sono consapevoli del potere di questo patrimonio informativo, e sarà inevitabile assistere alla diffusione sempre più veloce ed estesa di sistemi come lo Smart Citizen Wallet.

Quello di cui non parla mai nessuno sono i due corollari dei sistemi di punteggio sociale:

• Le persone non sanno cosa è meglio per loro, quindi devono essere incentivate ad assumere comportamenti virtuosi
• Le persone al potere sanno esattamente cosa è meglio per gli altri e per la società

Se sembrano in contraddizione, è perché lo sono.

Read more

#JOB
We are currently looking for experts on the topic of adult education and personal certification.
Find more information and apply today: noyb.eu/sites/default/files/20…

mastodon.social/@noybeu/108055…

#JOB
We are currently looking for a part time community manager for our GDPRhub.eu/@noybeu.rss and GDPRtoday projects.
Find out more and apply today: noyb.eu/sites/default/files/20…

mastodon.social/@noybeu/108055…

Il Tribunale federale approva l’accordo TikTok da 1,1 milioni di dollari sulle contestazioni di violazione del COPPA

Il Tribunale distrettuale degli Stati Uniti per il distretto settentrionale dell’Illinois ha approvato un accordo da 1,1 milioni di dollari con TikTok e la sua applicazione affiliata Musical.ly in un’azione collettiva in cui si affermava che la piattaforma “tracciava, raccoglieva e divulgava” dati di identificazione personale di bambini di età inferiore a 13 anni senza consenso dei genitori. Il reclamo sostiene che queste azioni violano il Children’s Online Privacy Protection Act.

https://www.docketalarm.com/cases/Illinois_Northern_District_Court/1–19-cv-07915/T.K._et_al_v._Bytedance_Technology_Co._Ltd_et_al/94/#q=19-cv-7915

Il PDPC di Singapore pubblica una guida sull’anonimizzazione

La Commissione per la protezione dei dati personali di Singapore ha pubblicato una “Guida all’anonimizzazione di base”, fornendo importanti indicazioni per le aziende. La guida include dettagli sui concetti di anonimizzazione e un processo di anonimizzazione in cinque fasi. Il PDPC ha affermato che è “pensato per fornire un’introduzione e una guida pratica alle organizzazioni che non conoscono l’anonimizzazione su come eseguire in modo appropriato l’anonimizzazione di base e l’anonimizzazione di set di dati strutturati, testuali e non complessi”.

pdpc.gov.sg/news-and-events/an…

Regno Unito: l‘ICO multa l’azienda per aver inviato migliaia di messaggi di testo spam durante la pandemia

L’Information Commissioner’s Office (ICO) ha multato H&L Business Consulting Ltd per £ 80.000 per aver inviato centinaia di migliaia di messaggi di testo a persone che non avevano acconsentito a riceverli. La società di Penrith, Cumbria, ha inviato 378.538 messaggi di testo di marketing diretto non richiesti tra gennaio 2020 e luglio 2020. Ciò ha portato a oltre 300 reclami.

ico.org.uk/about-the-ico/news-…

guidoscorza.it/privacy-daily-1…