Privacy Daily – 11 marzo 2022
Tik Tok: l’ok dell’Alta Corte del Regno Unito ad un’azione collettiva sulla privacy dei minori
TechCrunch riferisce che l’Alta Corte di giustizia del Regno Unito ha stabilito la procedibilità di un’azione legale collettiva contro TikTok relativa a presunte violazioni nei confronti della privacy di minori. Un portavoce di TikTok ha dichiarato che la società ha “politiche, processi e tecnologie solide in atto per aiutare a proteggere tutti gli utenti, e in particolare i nostri utenti adolescenti”. L’azione legale è stata intentata nel dicembre 2020 da una ragazza di 12 anni, cui è stato concesso l’anonimato dal tribunale, secondo cui il social network elabora i dati dei bambini in modo illegale.
techcrunch.com/2022/03/08/tikt…
Cookies e privacy le novità per gli utenti: il video informativo del Garante
Gruppo di lavoro Articolo 29: Linee guida 5/2020 sulconsenso ai sensi del regolamento (UE) 2016/679 4 maggio 2020. Corte di giustizia dell’Unione europea: Sentenza nella causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV / Planet49 GmbH – Per l’installazione di cookie è necessario il consenso attivo degli utenti di Internet.
Dubai lancia una piattaforma per rilevare le vulnerabilità dei siti web del governo
Il Dubai Electronic Security Center (DESC), parte della Dubai Digital Authority, ha lanciato una piattaforma di sicurezza informatica per rilevare le vulnerabilità nel governo e in altri siti web. La piattaforma TIRS è uno dei pilastri del Dubai Cyber Index, lanciato a metà del 2020 per supportare le prestazioni complessive della sicurezza informatica presso le istituzioni governative dell’Emirato.
smartcitiesworld.net/data-priv…
€ 20 Mio Fine for Clearview AI in Italy
20 milioni di euro di multa per Clearview AI in Italia L'azienda non può più trattare i dati biometrici delle persone in Italia e deve cancellare tutti i dati esistenti.
noybeu: “👉Your Chance to work with the …”
👉Your Chance to work with the @noybeu Team as a #Trainee! 😊
We are looking for young lawyers (like Mariam in the video below) that want to gain experience in #GDPR litigation and enforcement.
⏩Find out more & apply now for October 2022 at noyb.eu/en/traineeship
mastodon.social/@noybeu/107932…
Strumenti per l'anonimato online (sms, email, SIM)
Dopo aver affrontato le basi dell’OPSEC (Operation security), oggi vi suggerisco qualche strumento per ottenere un ragionevole livello di anonimato online. Dico ragionevole perché l’anonimato assoluto non esiste. È uno spettro variabile e dinamico, che cambia in base al contesto.
Come registrarsi in modo anonimo a servizi online
Molti servizi oggi richiedono un qualche tipo di registrazione e identificazione dell’utente per poter essere usati. Alcuni si accontentano di una email, altri chiedono anche un numero di telefono.
1) verifica tramite email
L’email è ormai un punto nevralgico delle nostre identità online, soprattutto per gli indirizzi a cui abbiamo collegato social network, account bancari e sistemi di pagamento. Usare questi indirizzi per iscriversi a servizi non essenziali non è mai una buona idea, perché aumenta esponenzialmente la nostra superficie di rischio in caso di violazione di dati.
Se non ci credi, prendi una email che usi spesso per registrarti a servizi online e inseriscila qui. Molto probabilmente scoprirai che è stata oggetto di qualche furto di dati.
Questo è il motivo per cui è sempre preferibile usare email usa e getta per iscriversi a servizi non essenziali.
Un servizio che uso spesso è Guerrilla Mail, che permette di creare una email in pochi secondi, senza alcuna registrazione, e usarla per il tempo necessario per la registrazione.
La mail creata può essere usata anche per inviare messaggi, e anche questo può essere utile. Attenzione però: non è una mail cifrata, quindi i messaggi inviati sono in chiaro (come gmail e altre email normali) - non confondere privacy delle comunicazioni con anonimato.
3) verifica tramite sms
I servizi che non si accontentano dell’email, ma che hanno bisogno per qualche motivo anche di un numero di telefono, sono più complessi da bypassare.
Il problema è che il numero di telefono è anche molto più sensibile dell’email, per ovvi motivi.
Un servizio utile in questo senso, che ho scoperto da poco, è textverified. È un servizio che permette di noleggiare un numero voip per ricevere chiamate e sms. Può essere usato per registrarsi online e anche per multi-factor authentication.
Il servizio è a pagamento, ma la cosa buona è che si può pagare con Bitcoin, Litecoin o Ethereum, evitando così di lasciar traccia della transazione alla banca.
Il funzionamento è molto semplice: cerchi il servizio a cui vuoi registrarti, verifichi le funzionalità disponibili (sms, voce, ecc.) e acquisti il numero voip da usare per ricevere l’sms o la chiamata di verifica in tempo reale. Easy peasy.
Una SIM anonima?
Grazie alla tecnologia eSIM, introdotta in Italia a partire dal 2019, oggi è possibile accedere a servizi dati e telefonia mobile senza possedere una SIM fisica. Se il telefono è abilitato a usare eSIM, è sufficiente attivare il servizio digitale inquadrando il QR code del servizio. Operatori come TIM e Vodafone offrono già questo tipo di servizio in Italia.
Ma oggi esistono anche operatori che offrono eSIM anonime, cioè senza alcuna verifica dell’identità. La cosa bella è che è possibile acquistare numerazioni da tutto il mondo, senza essere limitati geograficamente. Uno di questi è silent.link, che offre due piani tariffari: solo dati (4G/5G) oppure dati + voce.
Anche in questo caso la forza del servizio è che si può pagare tramite Bitcoin, evitando di lasciar tracce evidenti.
Un commento sull’uso di Bitcoin
Come visto, alcuni di questi servizi danno la possibilità di pagare in Bitcoin. Il motivo è che le transazioni in Bitcoin non richiedono procedure KYC (Know Your Customer) - cioè non hanno bisogno di identificare le parti per poter acquistare e vendere servizi.
Ma questo non significa che usare Bitcoin garantisca anonimato. Anzi, è l’esatto contrario: il protocollo Bitcoin è estremamente trasparente e pseudoanonimo. Sembra paradossale, ma una transazione bancaria è più riservata (verso i terzi) rispetto a una transazione Bitcoin. D’altronde, sono tutte accessibili pubblicamente.
Senza le dovute precauzioni un attaccante interessato a sorvegliare le nostre azioni (es. lo Stato) potrà comunque essere in grado di collegare una transazione Bitcoin alla nostra identità reale.
Ma allora perchè preferire Bitcoin rispetto alle banche?
Come ogni ambito umano, è tutta una questione di (dis)incentivi economici. Grazie ai meccanismi di pseudoanonimizzazione, analizzare le transazioni Bitcoin ed essere in grado di risalire all’identità reale di una persona non è facile. Servono strumenti, tempo e risorse. Tutto il protocollo Bitcoin è pensato per essere estremamente trasparente, ma al tempo stesso minimizzare all’osso i dati richiesti per effettuare una transazione. Questo rende la vita molto difficile a chiunque voglia scoprire l’identità di qualcuno.
È talmente complesso che gli Stati Uniti ci hanno messo più di 6 anni per recuperare l’equivalente di 5 miliardi di dollari in Bitcoin, rubati nell’hack di Bitfinex del 2016.
Se una delle maggiori potenze al mondo ha impiegato 6 anni per recuperare 5 miliardi di dollari, molto probabilmente il costo e le risorse necessarie per sorvegliare delle transazioni di alcune migliaia di euro rendono il tutto estremamente sconveniente da un punto di vista economico.
Viceversa, le banche e gli intermediari di pagamento tradizionali sono obbligati a conservare un elevatissimo quantitativo di dati personali e metadati, appositamente trattati e archiviati per permettere l’identificazione delle persone col minor sforzo possibile. L’incentivo in questo caso è all’identificazione, non il contrario.
A questo bisogna aggiungere che Bitcoin oggi ha a disposizione degli strumenti (Coinjoin) che permettono di ottenere un certo grado di plausible deniability sulle transazioni.
Per plausible deniability intendo la capacità di poter ragionevolmente negare qualsiasi collegamento con una determinata azione. In pratica, un attaccante farà molta difficoltà a sostenere che quella transazione è proprio la nostra.
Ma di questo magari ne parlerò la prossima volta.
Hai già risposto al sondaggio che ho proposto qualche giorno fa? Aiutami a migliorare Privacy Chronicles, ci vogliono 5 minuti!
Chi vuole può adesso sottoscrivere un abbonamento (mensile o annuale) a Privacy Chronicles.
Continuerò a scrivere contenuti gratuiti e pubblici, come questo, ma l’obiettivo è rendere sostenibile nel tempo il progetto e aiutarmi a dedicare le risorse (tempo ed energia) che servono per garantire sempre contenuti di qualità.
Grazie, alla prossima Chronicle!
privacychronicles.substack.com…
Privacy Daily – 10 marzo 2022
Riconoscimento facciale: il Garante privacy sanziona Clearview per 20 milioni di euro. Vietato l’uso dei dati biometrici e il monitoraggio degli italiani
Il Garante per la protezione dei dati personali ha imposto una sanzione di 20 milioni di euro alla società americana Clearview AI, per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano. L’Autorità ha ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.
garanteprivacy.it/home/docweb/…
Le normative globali sulla privacy stanno cambiando: cosa devono sapere gli inserzionisti in diversi mercati
Negli ultimi mesi, il panorama globale della privacy ha iniziato a cambiare. Diversi paesi hanno iniziato ad elaborare ed attuare un’articolata legislazione nazionale sulla privacy. Tra questi ci sono la Cina e gli Emirati Arabi Uniti (UAE). Entrambe le leggi di questi paesi sono modellate sul Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea, con alcune differenze chiave che influiscono notevolmente sugli sforzi di conformità
cpomagazine.com/data-protectio…
DPA tedesco pubblica la guida aggiornata sui cookie
Il Commissario per la protezione dei dati e la libertà di informazione del Baden-Württemberg ha pubblicato una nuova guida aggiornata sui cookies. Il commissario Stefan Brink ha affermato: “I cookie e il tracciamento hanno trasformato Internet e i nostri smartphone – un tempo luoghi di libertà e autodeterminazione – in spazi monitorati intensamente. Queste misure di sorveglianza sono ora percepite come normali, proprio come se non ci fossero alternative. L’invasione dei diritti civili a volte è massiccia. I chiari vantaggi della digitalizzazione sarebbero messi in discussione se potessero essere ottenuti solo al prezzo della rinuncia ai nostri diritti civili”.
baden-wuerttemberg.datenschutz…
Privacy Daily – 9 marzo 2022
Linee Guida 04/2021 sui Codici di condotta come strumenti per i trasferimenti
L’European Data Protection Board ha approvato a seguito di consultazione pubblica la versione definitiva delle Linee Guida 4/2021 sui codici di condotta come strumenti per i trasferimenti verso paesi terzi o organizzazioni internazionali.
edpb.europa.eu/our-work-tools/…
Una svolta per le leggi sulla privacy in Israele
Riconosciuto in tutto il mondo come un importante hub tecnologico, Israele è sede di centinaia di grandi società tecnologiche multinazionali che gestiscono sostanziali attività locali di ricerca e sviluppo, vendita e gestione. È l’incubatore di migliaia di startup, decine delle quali sono unicorni quotati in borsa.
L’app Premise con sede in California accusata di aiutare l’esercito russo
L’applicazione mobile con sede Premise sta sollevando problemi di sicurezza. In Ucraina, i gig worker hanno raccolto dati, in particolare foto di determinate località, per un progetto di ricerca finanziato dal Dipartimento della Difesa degli Stati Uniti. La scorsa settimana però sono stati accusati di essere agenti russi che utilizzano l’app per attacchi militari mirati. Il CEO di Premise Maury Blackman, respingendo le accuse, ha affermato che i contributori hanno raccolto dati pubblicamente accessibili, la potenziale vendita di dati viene divulgata.
nbcnews.com/news/us-news/mobil…
noybeu: “⚠CALL FOR TRAINEES⚠…”
⚠CALL FOR TRAINEES⚠
Apply today and work in the field of GDPR litigation and enforcement: noyb.eu/en/traineeship
Any open questions? We asked Maria to tell you about her traineeship here at noyb.eu/@noybeu.rss:
mastodon.social/@noybeu/107921…
Privacy Daily – 8 marzo 2022
Trasferimento dati in Russia e Ucraina
L’autorità norvegese per la protezione dei dati, Datatilsynet, ha esortato le organizzazioni a rivalutare le basi legali utilizzate per i trasferimenti di dati in Russia e Ucraina. La revisione è stata avviata da quella che il DPA ha ritenuto una “situazione modificata della politica di sicurezza” in relazione alla guerra in corso tra Russia e Ucraina. Datatilsynet ha affermato che ci sono potenzialmente diversi motivi per cui le organizzazioni norvegesi si trasferiscono in entrambi i paesi, inclusa “l'”esternalizzazione” dei servizi ai responsabili del trattamento dei dati”.
datatilsynet.no/aktuelt/aktuel…
Privacy e sicurezza per il trattamento dei big data nel settore finanziario
L’analisi dei big data nel settore finanziario di tutto il mondo è diventata sempre più cruciale per migliorare l’efficienza aziendale, ridurre i costi operativi e affrontare sfide aziendali di lunga data. Il termine big data è stato coniato all’inizio degli anni ’90 e, come suggerisce il nome, è “big”. Non solo in termini di dimensioni, ma anche in termini di velocità di generazione e diversità, motivo per cui gli algoritmi informatici tradizionali spesso non sono in grado di elaborare i big data con la stessa efficienza dei dati convenzionali.
iapp.org/news/a/privacy-and-se…
Ucraina: cronache dal fronte cyber
L’analisi di Carola Frediani prendendo spunto da uno dei tumultuosi canali e gruppi Telegram dell’IT Army che è stato messo in piedi dal governo ucraino per organizzare la controffensiva cyber e informativa contro la Russia. In questo specifico canale (56mila iscritti) dedicato ai DDoS, gli obiettivi da colpire si susseguono con quella metodicità enunciata nell’esempio (con riferimento ironico a Putin) all’inizio.
analisidifesa.it/2022/03/ucrai…
Un anno di Privacy Chronicles
Ciao,
Privacy Chronicles ha da poco compiuto 1 anno. Non è stato un anno facile, e tu che mi leggi lo sai bene. Tra green pass, identità digitale, CBDC, sistemi di social scoring e sorveglianza e censura di massa, il mondo sembra sempre più piccolo e pericoloso per chi vuole mantenere un briciolo di privacy e di libertà.
Gli ultimi eventi geopolitici ci hanno mostrato che la tecnologia è sempre più usata come arma contro le persone e/o contro nazioni intere. Ma noi non molliamo. Spero che sempre più persone capiranno l’importanza di parlare di questi temi e riuscire a deviare da questo presente e futuro distopico.
Per questo, vorrei migliorare la newsletter e fare un salto di qualità per raggiungere ancora più persone.
Chiedo anche il tuo aiuto, se vorrai dedicare 5 minuti per rispondere a questo breve sondaggio (è veramente breve).
Grazie, ci sentiamo presto!
privacychronicles.substack.com…
Il sito del #GarantePrivacy italiano non è accessibile via TOR Browser, ma in Europa non è il solo
Grazie alla segnalazione dell'utente @software_libero_e_dintorni, abbiamo potuto riscontrare che il sito web del #GarantePrivacy italiano non è raggiungibile per chi dovesse connettersi con il browser che @The Tor Project ha messo a disposizione di tutti gli utenti sensibili alla #Privacy.
Riteniamo che si tratti di una circostanza spiacevole e non sappiamo perché sia avvenuta, ma siamo anche convinti che la responsabilità vada probabilmente attribuita al provider (il consorzio #CINECA) più che all'ente in questione.
Spesso infatti i fornitori di servizi hosting preferiscono "proteggersi" escludendo l'accesso dalla rete #TOR e questa "protezione" non viene comunicata in maniera chiara al cliente che quindi potrebbe non venire mai a sapere della questione.
Resta il fatto che sarebbe opportuno che la nostra Autorità Garante per la Protezione dei Dati Personali intervenga al più presto per consentire l'accesso al proprio sito per tutti gli utenti, a prescindere dal circuito dal quale si connettono.
Abbiamo informato piazza Venezia della questione e siamo in attesa di un riscontro per conoscere i tempi tecnici per ripristinare un accesso universale al loro sito.
Abbiamo infine approfittato per sondare la situazione tra gli altri garanti europei e, fortunatamente la maggioranza non inibisce gli utenti TOR, ma alcune autorità purtroppo evidenziano lo stesso problema della nostra: infatti, negli ultimi tre giorni non siamo riusciti a connetterci ai siti web delle authority di Belgio (in entrambe le autorità: quella fiamminga e quella vallona), Bulgaria, Cipro, Irlanda e Svezia.
Speriamo infine che il nostro rilievo sia l'occasione per sensibilizzare tutti i #GarantiPrivacy europei a promuovere l'accesso libero e anonimo ai siti web di tutti gli enti pubblici, anche avvalendosi di canali di comunicazione legati al #fediverso!
Di seguito riportiamo una tabella (ovviamente brutta, come nel nostro stile) con il rilievo effettuato durante gli ultimi tre giorni.
Di seguito riportiamo la stessa tabella in formato testuale:
Nazione Autorità Sito web Accessibilità
Austria Österreichische Datenschutzbehörde dsb.gv.at/ OK
Belgium Autorité de la protection des données autoriteprotectiondonnees.be FAIL
Belgium Gegevensbeschermingsautoriteit (APD-GBA) gegevensbeschermingsautoriteit… FAIL
Bulgaria Commission for Personal Data Protection cpdp.bg/ FAIL
Croatia Croatian Personal Data Protection Agency azop.hr/ OK
Cyprus Commissioner for Personal Data Protection dataprotection.gov.cy/ FAIL
Czech Republic Office for Personal Data Protection uoou.cz/ OK
Denmark Datatilsynet datatilsynet.dk/ OK
EU European Data Protection Supervisor edps.europa.eu/ OK
Estonia Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) aki.ee/ OK
Finland Office of the Data Protection Ombudsman tietosuoja.fi/en/ OK
France Commission Nationale de l'Informatique et des Libertés – CNIL cnil.fr/ cnil.fr/en/contact-cnil OK
Germany Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bfdi.bund.de/ OK*
Greece Hellenic Data Protection Authority dpa.gr/ OK
Hungary Hungarian National Authority for Data Protection and Freedom of Information naih.hu/ OK
Ireland Data Protection Commission dataprotection.ie/ FAIL
Italy Garante per la protezione dei dati personali garanteprivacy.it/ FAIL
Latvia Data State Inspectorate dvi.gov.lv/ OK
Lithuania State Data Protection Inspectorate vdai.lrv.lt/ OK
Luxembourg Commission Nationale pour la Protection des Données cnpd.lu/ OK
Malta Office of the Information and Data Protection Commissioner idpc.org.mt/ OK
Netherlands Autoriteit Persoonsgegevens autoriteitpersoonsgegevens.nl/ OK
Poland Urząd Ochrony Danych Osobowych (Personal Data Protection Office) uodo.gov.pl/ OK
Portugal Comissão Nacional de Proteção de Dados – CNPD cnpd.pt/ OK
Romania The National Supervisory Authority for Personal Data Processing dataprotection.ro/ OK
Slovakia Office for Personal Data Protection of the Slovak Republic
Hraničná 12 dataprotection.gov.sk/ OK
Slovenia Information Commissioner of the Republic of Slovenia ip-rs.si/ OK
Spain Agencia Española de Protección de Datos (AEPD) aepd.es/ OK
Sweden Integritetsskyddsmyndigheten imy.se/ FAIL
The Privacy Post è un account Friendica curato da @informapirata :privacypride: che riporta notizie italiane ed europee inerenti la protezione di dati personali.
Privacy Daily – 7 marzo 2022
Iniziative legislative bipartisan per raccogliere l’appello del Presidente Biden al rafforzamento della tutela della privacy online dei bambini
Introdurre una legislazione bipartisan per vietare la pubblicità mirata e includere gli adolescenti nelle normative sulla privacy online, raccogliendo l’appello del Presidente Biden. I senatori Edward J. Markey (D-Mass.) e Bill Cassidy (R-La.) hanno espresso il loro sostegno all’impegno del presidente Joe Biden a ritenere Big Tech responsabile della privacy online e della salute mentale dei bambini e il benessere dopo aver usato il suo discorso sullo stato dell’Unione per chiedere un’azione per rafforzare le leggi sulla privacy online dei bambini. Il presidente Biden ha chiesto espressamente il divieto della pubblicità mirata ai bambini e la fine della raccolta di dati personali sui bambini da parte delle società di social media e online.
markey.senate.gov/news/press-r…
Il GEPD pubblica una relazione sulle attività COVID-19 delle istituzioni dell’UE
Il Garante europeo della protezione dei dati (GEPD) ha pubblicato oggi una relazione sulle nuove operazioni di trattamento e sugli strumenti informatici introdotti dalle istituzioni, organi, uffici e agenzie dell’UE (EUI) per garantire la continuità operativa durante la pandemia di COVID-19 e la conformità di tali attività con il Regolamento (UE) 2018/1725 .
edps.europa.eu/press-publicati…
Garante: pubblicato il Registro dei codici di condotta
Il Garante ha pubblicato il Registro dei codici di condotta, adempimento previsto dall’art. 40 paragrafo 6 del Regolamento (UE) 2016/679, ai sensi del quale ogni Autorità garante che approva un codice di condotta deve registrarlo e pubblicarlo. I codici di condotta rappresentano strumenti di grande importanza ai fini della corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Con questa consapevolezza il Garante è impegnato nella promozione di una serie di iniziative volte ad incoraggiare l’elaborazione di codici di condotta da parte di diverse categorie di soggetti privati.
garanteprivacy.it/home/docweb/…
Linee guida 01/2022 sui diritti degli interessati - Diritto di accesso
Ricordiamo che l'11/3 è l'ultimo giorno per partecipare alla consultazione pubblica, aperta a tutti i cittadini dell'Unione, del #GarantePrivacy europeo
edpb.europa.eu/our-work-tools/…
noybeu: “💬 "Such strategic action [...]…”
💬 "Such strategic action [...] gives a flavor of what functional (i.e., active) decentralized enforcement of EU data protection can look like."
techcrunch.com/2022/03/04/noyb…
mastodon.social/@noybeu/107899…
noybeu: “🌊 This week, noyb launched the…”
🌊 This week, noyb launched the second wave of its project against "Dark Patterns" and unlawful cookie banners. The first wave of complaints already brought some improvements - take a look! 👀 noyb.eu/en/more-cookie-banners…
mastodon.social/@noybeu/107896…
Privacy Daily – 4 marzo 2022
Il Data Act: il disegno del nuovo quadro giuridico UE
“Vogliamo dare ai consumatori e alle aziende un controllo ancora maggiore su cosa si può fare con i loro dati, chiarendo chi può accedere ai dati e a quali condizioni”, ha affermato Margrethe Vestager, vicepresidente esecutivo della Commissione responsabile del portafoglio digitale nel commentare il Data Act, la nuova proposta UE, la seconda iniziativa regolamentare europea dopo il Data Governance Act (legge sulla gestione dei dati approvata a novembre): mentre quest’ultimo crea procedure e strutture per facilitare la condivisione dei dati da parte di aziende, privati e settore pubblico, il Data Act chiarisce chi può creare valore dai dati e a quali condizioni.
iapp.org/news/a/data-act-the-e…
Gli organismi IT globali esprimono preoccupazione per la legge sulla protezione dei dati
L’Economic Times riporta che una coalizione di gruppi commerciali internazionali ha inviato una lettera al ministro indiano dell’elettronica e della tecnologia dell’informazione Ashwini Vaishnaw in merito alle raccomandazioni formulate da una commissione parlamentare mista per modificare il progetto di legge sulla protezione dei dati. “Le nostre aziende fanno affidamento su questi dati per raggiungere i consumatori, promuovere l’efficienza aziendale e continuare a innovare”, hanno scritto i gruppi, sottolineando che le modifiche raccomandate dal JPC porterebbero “potenti disincentivi per l’ecosistema dell’innovazione indiano”. I gruppi hanno anche chiesto ulteriori consultazioni sul disegno di legge prima che venga presentato in Parlamento.
economictimes.indiatimes.com/t…
Il Senato degli Stati Uniti approva il disegno di legge omnibus sulla sicurezza informatica
Il Senato degli Stati Uniti ha approvato il Strengthening American Cybersecurity Act, un pacchetto di progetti di legge presentato dal senatore Gary Peters, D-Mich., per migliorare la sicurezza informatica degli Stati Uniti. La legislazione richiederebbe alle aziende coinvolte in infrastrutture critiche, tra cui energia e assistenza sanitaria, di segnalare attacchi informatici e pagamenti di ransomware. È incluso anche un obbligo di segnalazione delle violazioni di 72 ore. Il disegno di legge è passato alla Camera degli Stati Uniti per ulteriori considerazioni.
congress.gov/bill/117th-congre…
More Cookie Banners to go: Second wave of complaints underway
Altri banner di biscotti per andare: Seconda ondata di reclami in corso noyb ha lanciato il secondo round della sua azione contro i banner ingannevoli dei cookie. La prima ondata ha già portato miglioramenti visibili nel design dei banner.
noybeu: “⚠CALL FOR TRAINEES⚠…”
⚠CALL FOR TRAINEES⚠
Apply today and work in the field of GDPR litigation and enforcement: noyb.eu/en/traineeship
Any open questions? We asked Mariam to tell you about her traineeship here at noyb.eu/@noybeu.rss:
mastodon.social/@noybeu/107893…
Privacy Daily – 3 marzo 2022
Biden e la privacy di bambini e adolescenti nel suo primo discorso sullo stato dell’Unione
“Dobbiamo ritenere responsabilile piattaforme di social media per l’esperimento nazionale che stanno conducendo sui nostri figli per profitto. E’ il momento di rafforzare le tutele alla privacy, vietare la pubblicità
mirata ai bambini e chiedere alle società tecnologiche di smetterla di raccogliere i dati personali dei nostri figli”. Lo afferma il Presidente degli Stati Uniti d’America nel suo primo discorso sullo stato dell’Unione Joe Biden. Il Presidente USA ha intenzione di richiedere ulteriori 5 milioni di dollari per avviare delle ricerche relativamente all’impatto sulla salute mentale da parte dei social media e, a tal proposito, verrà istituito un “Centro nazionale di eccellenza sui social media e le malattie mentali” con l’obiettivo di sviluppare delle nuove linee guida sull’impatto dell’uso dei social media da parte dei minori.
whitehouse.gov/briefing-room/s…
Il comitato della Camera degli Stati Uniti: informazioni sulla legislazione volta a proteggere gli utenti online
Dai danni causati dalla pubblicità mirata alla necessità di una legge federale completa sulla privacy, un’audizione ad ampio raggio della commissione della Camera degli Stati Uniti ha esplorato le modalità per proteggere gli utenti online. La sottocommissione per la protezione dei consumatori e il commercio della Commissione per l’energia e il commercio della Camera ha discusso cinque atti legislativi, tra cui il Banning Surveillance Advertising Act, con Katie McInnis, Senior Public Policy Manager statunitense di DuckDuckGo, CIPP/US, finalizzate a creare un ambiente online più sicuro e privato, il commento di IAPP nell’analisi di Jennifer Bryant
iapp.org/news/a/us-house-subco…
Garante per la protezione dei dati personali: online il GPDPDigest di Febbraio
Il racconto, in sintesi, delle principali attività del Garante, mese per meseGPDPDigest è il prodotto di informazione del Garante che raccoglie mensilmente i principali interventi dell’Autorità presentando anche una sintesi delle principali attività di European Data Protection Board e EDPS – European Data Protection Supervisor. Un semplice, utile “memo” per fornire agli utenti un sintetico quadro di riferimento sull’attività del Garante.
garanteprivacy.it/home/stampa-…
Privacy Daily – 2 marzo 2022
US-EU Privacy Shield Talks: accordo più vicino
Law360 riporta che negoziatori degli Stati Uniti e dell’Unione Europea sono vicini alla finalizzazione di un meccanismo transatlantico di trasferimento dei dati, un accordo per semplificare lo scambio di dati personali tra le due parti del mondo che potrebbe essere annunciato già questa primavera. Intervenendo alla conferenza State of the Net a Washington, DC, Alex Greenstein, direttore per il privacy shield del Dipartimento del Commercio degli Stati Uniti, ha affermato che il suo team e le loro controparti europee stanno cercando di chiarire la confusione attorno agli scambi di informazioni internazionali il più rapidamente possibile.
law360.com/consumerprotection/…
Che cos’è il fingerprinting e quanto dobbiamo preoccuparcene
“Fermare i cookies significa porre fine a un solo tipo di tracciamento online, lasciandone in essere altri probabilmente peggiori. Il fingerprinting (dall’inglese “fingerprint”, impronta digitale), che comporta la raccolta di informazioni dettagliate sulle impostazioni del proprio browser o telefono, rientra in questa categoria. È un metodo di tracciamento perlopiù nascosto, non c’è molto che si possa fare per fermarlo, e le autorità di regolamentazione hanno fatto poco per limitare il modo in cui viene sfruttato dalle aziende per seguire gli utenti su internet”, l’articolo di Wired.
wired.it/article/fingerprintin…
India: WhatsApp pubblica un avviso sulla privacy per gli utenti durante la crisi Russia-Ucraina
WhatsApp, un servizio di messaggistica di proprietà di Meta, ha offerto una serie di considerazioni critiche che potrebbero aiutare i suoi utenti in Ucraina e in tutto il mondo a proteggere e difendere la loro privacy durante la guerra in corso tra Russia e Ucraina. “Il nostro cuore è rivolto a tutti coloro che sono stati toccati dal conflitto in Ucraina”. “Ecco alcune informazioni essenziali per i nostri utenti in Ucraina e in tutto il mondo su come preservare e salvaguardare la tua privacy”,
zeenews.india.com/technology/w…
Privacy Daily – 1 marzo 2022
Con una legge in vigore dal primo marzo 2022, la Cina si prefigge di disciplinare i sistemi di algoritmini impiegati dalle piattaforme digitali, puntando alle operazioni di estrazione e predizione tipiche del capitalismo della sorveglianza. Le regole riguarderanno gli algoritmi che impostano i prezzi, controllano i risultati di ricerca, consigliano video e filtrano i contenuti. Imporranno nuovi limiti alle principali società di ride-hailing, e -commerce , streaming e social media . La strategia adottata con questa legge dalla Cybersecurity Administration of China (CAC) – la massima agenzia regolativa in materia – si muove su fronti diversi e tra loro complementari: l’affermazione di una responsabilità diretta delle piattaforme per i contenuti diffusi mediante gli algoritmi; un sindacato penetrante sugli algoritmi di raccomandazione; forti limitazioni alla profilazione e all’individualizzazione dei contenuti proposti agli utenti.
wired.com/story/china-regulate…
Ulteriori passi verso un’autorità per la protezione dei dati in Gambia
A seguito del sostegno fornito dal Consiglio d’Europa alle autorità gambiane nell’armonizzazione del quadro giuridico sulla protezione dei dati con gli standard e le migliori pratiche internazionali, il 22 febbraio è stato organizzato dal Consiglio d’Europa un seminario di convalida attraverso il progetto GLACY+ e il progetto Data Unità di protezione .
coe.int/en/web/data-protection…
National Cyber Security Center del Regno Unito raccomanda di agire sul fronte della cubersicurezza
A seguito dell’ulteriore violazione dell’integrità territoriale dell’Ucraina da parte della Russia, il National Cyber Security Center ha invitato le organizzazioni nel Regno Unito a rafforzare le loro difese online. L’NCSC, che fa parte di GCHQ, ha esortato le organizzazioni a seguire le sue linee guida sui passi da intraprendere quando la minaccia informatica aumenta . Sebbene l’NCSC non sia a conoscenza di alcuna minaccia specifica attuale per le organizzazioni britanniche in relazione agli eventi in Ucraina e dintorni, cì+ un precedente di attacchi informatici all’Ucraina con conseguenze internazionali.
ncsc.gov.uk/news/organisations…
Privacy Daily – 28 febbraio 2022
Protezione dei dati e regolamento antiriciclaggio dell’UE
Nel luglio 2021, la Commissione europea ha introdotto una potenziale autorità e regolamentazione antiriciclaggio. La studiosa Fulbright-Schuman Michelle Frasher esamina le raccomandazioni emesse dal Garante europeo della protezione dei dati sulle proposte antiriciclaggio della Commissione. Sebbene molte delle raccomandazioni. Frasher riassume gli aspetti del parere del GEPD che pongono sfide all’AMLR ( Anti-money laundering and countering the financing of terrorism) compresi i registri dei titolari effettivi e le unità di informazione finanziaria. L’ analisi su www.iapp.org.
iapp.org/news/a/the-eus-anti-m…
Adams punta sull’espansione della controversa tecnologia di sorveglianza della polizia
I gruppi per i diritti civili hanno messo in dubbio la sua costituzionalità. I legislatori statali ne stanno studiando l’efficacia. San Francisco lo ha dichiarato antitetico alla democrazia. Ma il sindaco di New York abbraccia pienamente l’uso della tecnologia di riconoscimento facciale da parte della polizia che si sta sviluppando in modo crescente e sempre più controverso.
politico.com/news/2022/02/08/a…
La Rete è di tutti. Prima dell’innovazione vengono le persone. Prima dell’efficienza, i diritti. Prima della tecnica, la democrazia
Valigia Blu ha lanciato un ciclo di incontri intitolato La Rete è di tutti
Il primo: Per una intelligenza artificiale democratica e femminista (VIDEO; podcast qui) Il secondo: Ma l’intelligenza artificiale fa bene al pianeta? (podcast qua)
valigiablu.it/rete-futuro-tecn…
Privacy Daily – 25 febbraio 2022
ICO: guida sulla video sorveglianza
L’Ufficio del Commissario per le informazioni del Regno Unito ha pubblicato linee guida sull’uso dei sistemi di videosorveglianza per raccogliere ed elaborare dati personali. Le raccomandazioni si concentrano sulle migliori pratiche per le attività relative ai dati relative a “capacità emergenti che possono aiutare il processo decisionale umano, come l’uso della tecnologia di riconoscimento facciale e degli algoritmi di apprendimento automatico”. L’ICO esorta specificamente le forze dell’ordine a prendere in considerazione le linee guida se i loro usi di videosorveglianza rientrano nell’ambito del regolamento generale sulla protezione dei dati del Regno Unito.
ico.org.uk/for-organisations/g…
La Norvegia non può fermare il trasferimento dei dati di Telenor ai governanti-ministri del Myanmar
Il ministro dell’industria norvegese ha affermato che il governo non sarebbe in grado di fermare un trasferimento di metadati di proprietà statale di Telenor che appartengono a 18 milioni di clienti del Myanmar, riferisce Reuters. In risposta a un colpo di stato militare in Myanmar l’anno scorso, Telenor ha deciso di vendere a un provider di telefonia mobile locale tra le “continue pressioni” della giunta per attivare la tecnologia di sorveglianza di intercettazione. I gruppi per i diritti umani hanno chiesto a Telenor di interrompere la vendita o eliminare i dati, ma la società ha affermato che ciò metterebbe in pericolo i dipendenti che lavorano all’interno del Myanmar.
reuters.com/business/media-tel…
EDPB: la risposta sul protocollo della convenzione sulla criminalità informatica sui trasferimenti di dati
In una risposta alla commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo, il Comitato europeo per la protezione dei dati ha affermato che la protezione dei dati personali trasferiti a paesi terzi risultanti dal secondo protocollo aggiuntivo alla Convenzione sulla criminalità informatica “deve essere essenzialmente equivalente al livello dell’UE di protezione.” L’EDPB ha inoltre adottato una versione finale delle Linee guida sui codici di condotta come strumento per i trasferimenti e una lettera sulla responsabilità dell’IA, accogliendo con favore i piani per adattare le regole all’intelligenza artificiale.
edpb.europa.eu/news/news/2022/…
giropay knows what you bought last summer
giropay sa cosa hai comprato l'estate scorsa Il servizio di pagamento tedesco non elabora solo i dati di pagamento, ma anche ogni articolo del vostro carrello. Poi danno la colpa di eventuali trasferimenti di dati illegali ai gestori dei negozi.
Privacy Daily – 24 febbraio 2022
La Commissione propone nuove regole sui dati in tutti i settori economici. Il Data Act – dice la Commissione – garantirà l’equità nell’ambiente digitale, stimolerà un mercato dei dati competitivo, aprirà opportunità di innovazione basata sui dati e renderà i dati più accessibili a tutti. Porterà a servizi nuovi e innovativi e prezzi più competitivi per i servizi aftermarket e gli oggetti connessi, in linea con gli obiettivi digitali per il 2030.
ec.europa.eu/commission/pressc…
L’appello di gruppi della società civile e di accademici ai legislatori UE
“IL DMA deve consentire agli utenti, sia individualmente che collettivamente, di intentare azioni esecutive per violazione delle regole DMA dinanzi ai tribunali nazionali”, ha affermato il gruppo in una lettera aperta alle istituzioni dell’UE.
reuters.com/article/idUSKBN2KR…
Il procuratore generale del Texas intenta una causa contro Meta per la tecnologia di riconoscimento facciale di Facebook
Il Texas ha citato in giudizio la società madre di Facebook Meta per aver sfruttato i dati biometrici di milioni di persone nello Stato. La società, secondo una causa intentata dal procuratore generale dello stato Ken Paxton, ha violato le leggi sulla privacy dello stato e dovrebbe essere responsabile per miliardi di dollari di danni.
npr.org/2022/02/15/1080769555/…
Privacy Daily – 23 febbraio 2022
Meta: watchdog irlandese e la possibile sospensione del trasferimento dei dati UE-USA
L’Irish Times riporta che la Commissione irlandese per la protezione dei dati ha raggiunto una decisione preliminare per sospendere i trasferimenti di dati di Facebook tra l’UE e gli Stati Uniti
irishtimes.com/business/facebo…
Introdotte le norme sulla privacy diversi stati degli Stati Uniti
Il senatore statale Joseph Rafferty, D-Maine, ha introdotto “Un atto per proteggere la privacy dei consumatori dando loro un maggiore controllo dei loro dati e per stabilire tutele dei consumatori”. La commissione per la tecnologia dell’informazione della Iowa House ha votato un disegno di legge, idoneo per essere votato in aula. L’Oklahoma House Technology Committee ha approvato l’HB 2969 Oklahoma Computer Data Privacy Act. Le segnalazioni di wwww.iapp.org
iapp.org/news/a/privacy-bills-…
Bando per il reclutamento di esperti a supporto dei Garanti europei
Il Comitato europeo per la protezione dei dati (EDPB), che riunisce i Garanti europei, intende costituire un pool di esperti qualificati che possano collaborare con le Autorità privacy dello Spazio economico europeo (SEE) nelle diverse fasi delle attività di indagine ed esercizio dei loro poteri previsti dalla normativa sulla protezione dei dati. Gli esperti verranno impiegati in numerosi ambiti, tra i quali: l’audit informatico, la sicurezza dei siti web, i sistemi operativi e le app mobili, l’IoT, il cloud, la pubblicità comportamentale, le tecniche di anonimizzazione, le tecniche di cifratura, l’intelligenza artificiale.
edpb.europa.eu/news/news/2022/…
Privacy Daily – 22 febbraio 2022
Lo studio: gli smartphone possono rivelare la tua identità, violando la privacy
il tempo che una persona trascorre su diverse app per smartphone è sufficiente per identificarla da un gruppo più ampio in più di uno su tre casi, affermano i ricercatori, che avvertono delle implicazioni per la sicurezza e la privacy. I ricercatori delle università di Lancaster e Bath hanno analizzato i dati degli smartphone di 780 persone.
zeenews.india.com/technology/s…
Google e i suoi piano per la privacy
I cambiamenti di Google e Apple sono significativi perché la pubblicità digitale basata sull’accumulo di dati sugli utenti ha sostenuto Internet negli ultimi 20 anni. Ma quel modello di business sta affrontando moleplici sfide, poiché gli utenti sono diventati più cauti e sospettosi riguardo la raccolta di dati di vasta portata in mezzo a una generale sfiducia nei confronti dei giganti della tecnologia.
nytimes.com/2022/02/16/technol…
Riunione plenaria dell’EDPB
L’EDPB ha annunciato che la sessione plenaria del 22 febbraio sarà caratterizzata da discussioni sulle linee guida aggiornate per l’utilizzo dei codici di condotta come strumenti per il trasferimento dei dati. Le linee guida sull’uso dei codici di condotta sono state adottate nel luglio 2021. Il consiglio discuterà anche il parere congiunto con il garante europeo della protezione dei dati sull’estensione del regolamento sulla certificazione COVID-19 e gli aggiornamenti dalla task force di Google Analytics del consiglio.
edpb.europa.eu/our-work-tools/…
Privacy Daily – 21 febbraio 2022
Il comitato della Camera degli Stati Uniti riapre il dialogo sulla legislazione federale sulla privacy
Il primo forum del Congresso del 2022 sulla legislazione globale sulla privacy viene dalla Commissione per l’amministrazione della Camera degli Stati Uniti che ha tenuto un’audizione intitolata “Big Data: Privacy Risks and Needed Reforms in the Public and Private Sectors”.
iapp.org/news/a/us-house-commi…
La CNIL adotta uno standard sul trattamento dei dati dei bambini nel settore sanitario e sociale
L’autorità francese per la protezione dei dati (“CNIL”) di aver adottato una norma sulla protezione dei dati personali dei bambini e adulti di età inferiore ai 21 anni. In particolare, la norma, destinata a privati e organizzazioni pubbliche che forniscono assistenza sociale, sanitaria, educativa e legale, fornisce regole e linee guida specifiche in merito all’applicazione del Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (‘GDPR ‘).
dataguidance.com/news/france-c…
L’università si scusa per il progetto di monitoraggio della posizione
La George Washington University si è scusata con studenti e personale per il programma pilota per il monitoraggio delle posizioni nel campus, riporta il Washington Post. Il programma ha utilizzato i dati raccolti dai punti Cisco WiFi. In una lettera alle parti potenzialmente interessate, l’Univerisità ha affermato che “potrebbe esistere in teoria la possibilità di tracciare le persone nel nostro campus, ma tale capacità non è stata utilizzata né contemplata in questo pilota”.
washingtonpost.com/dc-md-va/20…
Privacy Daily – 18 febbraio 2022
California, disegno di legge per proteggere i dati dei bambini online sul modello del Regno Unito
La California intende introdurre una nuova legislazione sulla protezione dei minori online sul modello di quello elaborata dall’ICO del Regno Unito. La legge californiana aumenterebbe ulteriormente le protezioni che i bambini online e continuerebbe la tendenza globale verso una regolamentazione che garantisca sicurezza ai bambini permettendo, al contempo, di usufruire dei vantaggi del mondo digitale”.
ico.org.uk/about-the-ico/news-…
Clearview AI mira a inserire quasi tutti gli esseri umani nel database di riconoscimento facciale
La controversa società di riconoscimento facciale Clearview AI ha detto agli investitori che mira a raccogliere 100 miliardi di foto, presumibilmente sufficienti per garantire che quasi ogni essere umano sarà nel suo database. “Clearview AI sta dicendo agli investitori che è sulla buona strada per avere 100 miliardi di foto del viso nel suo database entro un anno, abbastanza per garantire che “quasi tutti nel mondo saranno identificabili “, secondo riporta il Washington Post.
arstechnica.com/tech-policy/20…
La CNIL pubblica il piano strategico 2022-2024
Rispondere alle nuove sfide poste dalla crescente digitalizzazione della società. A quasi quattro anni dall’entrata in vigore del GDPR, la maggior parte delle aziende e dei servizi pubblici si è mobilitata per affrontare le sfide della protezione dei dati di fronte a un pubblico che conosce sempre più il nuovo quadro normativo e, soprattutto, i suoi diritti. Da parte sua, la CNIL ha adattato il suo quadro giuridico, ha dispiegato la sua esperienza tecnologica e ha dato credibilità alla sua politica sanzionatoria. La consapevolezza da parte delle autorità pubbliche delle questioni digitali ha comportato un aumento del personale dell’autorità. Nonostante tutto, rispondere a tutte le fortissime richieste ed esigenze di crescita del settore resta una sfida quotidiana per l’ente, che deve rimanere un regolatore efficiente, pragmatico e moderno.
cnil.fr/fr/la-cnil-publie-son-…
Privacy Daily – 17 febbraio 2022
Dati e pubblicità, Google vuole migliorare privacy Android
Google ha annunciato nuove misure per limitare il tracciamento sul suo sistema operativo Android, a seguito di una mossa simile di Apple per imporre restrizioni al modo in cui la pubblicità online può prendere di mira gli utenti. Le modifiche intendono ridurre la condivisione dei dati degli utenti con terze parti e a limitare il tracciamento degli annunci degli utenti che passano da un’app all’altra su miliardi di dispositivi Android. Google ha affermato che prevede di eliminare gradualmente gli identificatori pubblicitari, un codice che consente agli esperti di marketing di tracciare il comportamento dei singoli utenti, a favore di alternative che proteggano i dati degli utenti.
protocol.com/bulletins/google-…
EU Data Governance Act: l’analisi di Iapp.org
Il 10 dicembre 2021 è stato raggiunto un accordo politico sul Data Governance Act. È probabile che i restanti passaggi procedurali siano completati entro marzo 2022 e la legge diventerà applicabile 15 mesi dopo la data della sua entrata in vigore, ovvero l’estate 2023. È la prima delle nuove iniziative dell’Unione Europea sui “dati” ad arrivare al traguardo legislativo. L’analisi degli esperti di Iapp.org
iapp.org/news/a/the-eu-data-go…
Privacy, Meta (Facebook) pagherà 90 milioni di dollari ad utenti Usa
Meta pagherà 90 milioni di dollari a titolo di risarcimento per la violazione della privacy di alcuni utenti statunitensi promotori di una class action nel 2012. L’azienda di Menlo Park è stata accusata di utilizzare i cookie per tracciare la navigazione anche quando gli utenti non risultavano collegati a Facebook.
reuters.com/technology/metas-f…
Euro digitale e ID digitale europeo, due minacce al nostro futuro
In questo periodo potresti aver sentito parlare di identità digitale europea ed euro digitale. Due temi che non trovano copertura mediatica, ma che senza esagerare credo che saranno i maggiori pericoli per il genere umano nel prossimo futuro.
Oggi voglio spiegare cosa sono e il motivo per cui dico che saranno una minaccia per tutti.
Identità digitale europea - pro e contro
È una proposta di legge per creare un sistema condiviso di identità digitale europea, attraverso un cosiddetto wallet (portafoglio) digitale che dovrebbe contenere - sul dispositivo o in cloud - tutti gli attributi riferibili all’identità di una certa persona. Ad esempio, il certificato di laurea. O il fascicolo sanitario. O i dati fiscali.
Non è ancora chiaro come sarà costruito questo wallet, ma dalla lettura della proposta di legge e dalle varie FAQ europee si capisce che l’idea è di sostituire i classici metodi di identificazione personale (carta d’identità, SPID, ecc.) con questa nuova tecnologia.
Entro il 2030 la Commissione Europea prevede un uso pari almeno all’80% di identità digitale entro i prossimi 8 anni - da affiancare al 100% di servizi pubblici e sanitari digitalizzati.
Da un lato, ci sono alcuni pro: un wallet di questo tipo potrebbe dare ampio controllo alle persone sulla condivisione dei loro dati, oltre che ridurre drasticamente la quantità di dati condivisi con enti e servizi, che sarebbero sostituiti invece da certificati crittografici utili a dimostrare di possedere determinati attributi.
In sostanza, invece di dare copia della carta d’identità, potrei usare il wallet per certificare elettronicamente il possesso degli attributi richiesti per accedere a un servizio. Senza trasferimento e copia di dati personali. Non è chiaro se sarà questa la realtà delle cose, ma certamente la tecnologia allo stato dell’arte oggi lo permetterebbe (ed esistono già soluzioni di questo tipo).
Dall’altro, ci sono alcuni contro: identità digitale europea significa maggiore centralizzazione, controllo e ingerenza da parte degli Stati sulla nostra vita.
Pur nel caso in cui i dati personali siano conservati in locale, il collegamento tra persona fisica e identità digitale sarebbe in ogni caso gestito dallo Stato, come indicato anche nella proposta di legge. La gestione dell’identità non sarà quindi decentralizzata, ma anzi sarà ancora più centralizzata di oggi.
Se ora l’identità è gestita a livello locale, dalle anagrafi comunali, entro il 2030 la gestione sarà invece completamente digitale e centralizzata su sistemi informatici di Stato (e tutte le conseguenti interconnessioni a livello europeo).
Ci sarebbe poi da capire la natura di questi sistemi di Stato, visto che in UE non abbiamo né le infrastrutture né le risorse per gestire i dati attraverso servizi europei, e dobbiamo inevitabilmente rifarci a Google, Microsoft o Amazon - tre realtà soggette a normativa statunitense e alla naturale sorveglianza elettronica che ne consegue.
Ma abbiamo bisogno di essere identificabili dallo Stato?
La necessità di essere identificabili dallo Stato è tautologica: è necessario perché lo Stato ritiene che sia necessario identificare i suoi cittadini.
La stragrande maggioranza delle operazioni “KYC” (know-your-customer) sono legate a normative che hanno l’unico scopo di creare un audit trail a cui lo Stato e le autorità possono accedere. Molto spesso lo scopo è sorveglianza fiscale, contrasto al “terrorismo” e al riciclaggio di denaro (normativa assolutamente inutile che non ha mai funzionato nella storia umana, ma è un altro discorso).
La nascita di Bitcoin e poi della c.d. finanza decentralizzata ci hanno dimostrato però che per avere rapporti umani (e quindi economici) con il prossimo - anche a distanza di migliaia di km, non è necessario essere identificabili. Neanche per sottoscrivere contratti e spostare capitali miliardari a livello internazionale.
Se per spostare l’equivalente di quasi 5 miliardi di dollari in Bitcoin non serve essere direttamente identificabili da un’autorità centrale che fa da intermediario, allora non serve neanche per aprire un conto corrente su cui versare lo stipendio o per ottenere un certificato pubblico.
In Italia siamo talmente abituati all’idea di essere identificabili e possedere un documento d’identità (la carta d’identità) che pensiamo che sia la normalità; un qualcosa che funziona così e basta. Talmente radicato nella nostra cultura sociale da essere quasi un rito di passaggio, quando andiamo all’anagrafe per fare la nostra prima carta d’identità.
Ma la verità è che questa operazione di identificazione dei cittadini è un’estrema ingerenza nella sfera privata delle persone da parte dello Stato, che non porta alcun beneficio agli individui.
Ad esempio, in UK hanno deciso nel 2011 di abolire definitivamente le carte d’identità, distruggendo anche i relativi database nazionali. Questo il commento dell’Home Office Minister all’alba dell’abolizione:
"The ID cards scheme was a direct assault on our liberty, something too precious to be tossed aside. Laying ID cards to rest demonstrates the government’s commitment to scale back the power of the state and restore civil liberties."
La capacità di identificare le persone e di collegare azioni ed eventi umani a specifiche persone è un potere enorme che diamo in mano allo Stato.
Anche i Nazisti lo sapevano, e non è affatto un caso che una delle prime cose che fecero fu avviare il primo censimento nazionale al mondo utilizzando strumenti automatizzati (forniti da IBM).
Green pass - anello di congiunzione tra identità analogica e digitale
Il Green pass è a tutti gli effetti una prima bozza di wallet di identità digitale.
È infatti un sistema funzionante sia in cloud (app) che in locale (qr code) che viene usato per identificare una persona e dichiarare il possesso di determinati attributi richiesti dalla legge.
Non è un caso che già dallo scorso anno molti definiscano il green pass come l’anello di congiunzione con la prossima evoluzione dell’identità digitale.
Più recentemente, Roberto Viola, capo della Direzione Generale di Comunicazione, Reti, Contenuto e Tecnologia della Commissione europea (DG Connect) ha parlato del Green Pass in questi termini:
“Il successore del green pass sarà un intero portafoglio di attributi digitali. Qualsiasi attestato, dalla patente di guida al titolo di studio, potranno essere condivisi (anche in maniera granulare) per autenticarsi e consentiranno, per esempio, di firmare un contratto. La proposta della Commissione dello scorso giugno va in questa direzione.”
Questo è quello che dobbiamo aspettarci quindi. Non un’abolizione del green pass e di tutto ciò che rappresenta, ma un’evoluzione dello stesso ad integrazione di un sistema d’identità digitale pervasivo, completamente centralizzato e digitale.
L’euro digitale
Il progetto di euro digitale si incastra perfettamente nel quadro di identità digitale prevista entro il 2030.
Il “portafoglio” digitale potrà essere usato anche per l’euro digitale, che - ATTENZIONE - è cosa ben diversa dalla rappresentazione digitale dell’euro che tutti abbiamo nei nostri conti corrente.
In breve, l’euro digitale è la trasformazione in software della moneta. Un software completamente controllato dalla banca centrale europea e dagli Stati membri. E proprio come un software, permetterà di gestire in tempo reale e da remoto ogni sua funzionalità. L’introduzione dell’euro digitale porterà naturalmente a dismettere, fino a completamento, l’uso del contante fisico. Per approfondire sull’euro digitale consiglio di leggere qui, perché ne ho già parlato.
Quello che voglio dire oggi è che tutti dovremmo essere consapevoli dei pericoli che nascono dall’unire identità digitale e moneta digitale.
I governi avranno un controllo mai visto su ogni aspetto della nostra vita: tutte le transazioni saranno conservate, sorvegliate e analizzate in tempo reale - con una storia completa della nostra vita e delle nostre interazioni. Le persone saranno di fatto spossessate dalla proprietà della moneta, per diventarne semplici utenti soggetti a condizioni d’uso.
Le transazioni economiche sono libertà d’espressione
Non bisogna commettere l’errore di pensare che moneta e transazioni economiche abbiano esclusivamente un valore finanziario. La moneta è la principale tecnologia umana che permette l’espressione del proprio pensiero.
È fin da quando l’uomo usava conchiglie come moneta, senza saper leggere e scrivere, che usiamo questa tecnologia per esprimere il nostro pensiero e creare rapporti umani (e quindi economici).
Quando spendiamo i nostri soldi stiamo esprimendo la nostra opinione. Stiamo dicendo che il destinatario della nostra transazione è, ai nostri occhi, meritevole; che condividiamo ciò che fa, ciò che crea, o ciò che dice.
Chi in questo periodo ha supportato finanziariamente in Canada il “Freedom Convoy”, magari anche con una donazione di pochi dollari, lo ha fatto in quanto espressione della sua libertà di pensiero - per supportare ciò che altri stavano facendo.
Queste stesse persone oggi rischiano di subire conseguenze molto gravi (come il blocco del conto corrente) per il solo fatto di aver espresso la propria opinione (sotto forma di transazione economica).
Come scrive Fabrizio Baldi su Atlantico Quotidiano, accade già oggi che i governi vogliano controllare le transazioni e il flusso di denaro per reprimere il dissenso politico:
“In sostanza, i manifestanti e chi li finanzia trattati come criminali. Peggio, come terroristi. Le stesse disposizioni infatti autorizzano le banche canadesi a congelare i conti correnti dei camionisti coinvolti nelle proteste o anche i conti delle persone sospettate di finanziare le attività del Freedom Convoy, in quanto definite illegali, senza attendere una pronuncia in tal senso dei tribunali. Quindi, una pena extragiudiziale motivata dal dissenso politico.”
Ma se oggi questa operazione richiede la collaborazione di banche e intermediari finanziari, oltre a un discreto dispiego di risorse e investigazioni, con uno strumento come l’euro digitale tutto questo sarà molto più semplice e in tempo reale. In alcuni casi, anche preventivo: le transazioni potranno infatti essere bloccate ancor prima di partire, ad esempio se la persona non possiede gli attributi richiesti dalla legge o se per qualche motivo è stata inserita in qualche blacklist.
La più grande minaccia al genere umano
È chiaro allora che se già questi sono i presupposti, l’evoluzione verso una società cashless (senza contanti), dove la moneta non solo è un software sotto il controllo del governo, ma è anche collegata a un sistema centralizzato e globalizzato di identità digitale, è la più grande minaccia alla libertà umana e per il nostro futuro che sia mai esistita.
Lo Stato non può e non deve essere intermediario e socio occulto di ogni transazione umana e quindi di ogni pensiero e opinione.
Se così fosse, cesserebbe di avere qualsiasi significato il concetto stesso di libertà, che presuppone privacy (rispetto della sfera privata da parte dello Stato) e proprietà del corpo e del pensiero.
Ma come possiamo essere proprietari del nostro pensiero se l’espressione fisica e concreta di questo pensiero, la moneta e le transazioni economiche, vengono filtrate, valutate, analizzate e infine censurate dallo Stato?
Che fare?
I Cypherpunk - un gruppo di studiosi e appassionati di crittografia e privacy - avevano previsto tutto questo già nel 1992. È per questo che iniziarono a studiare e sviluppare sistemi di crittografia, reti anonime e protocolli P2P; molti dei quali usiamo ancora oggi.
È per questo che Satoshi Nakamoto ha costruito Bitcoin sulle spalle di questi giganti per donarlo all’umanità. In preparazione di questo futuro distopico che purtroppo si sta concretizzando ogni giorno di più.
Se ti stai chiedendo cosa fare, la prima cosa è essere consapevoli dei pericoli REALI a cui andiamo incontro e imparare il significato di privacy e le implicazioni per la libertà delle persone. La seconda cosa è iniziare a informarti su cosa sia Bitcoin e perché è l’unica speranza del genere umano.
Grazie per aver letto Privacy Chronicles. Se ti piace quello che scrivo, perché non ti iscrivi?
privacychronicles.substack.com…
Privacy Daily – 16 febbraio 2022
Amnesty: tecnologia riconoscimento rafforza razzismo polizia NY
Una nuova ricerca pubblicata da Amnesty International e dai suoi partner nell’ambito della campagna “Ban the scan” ha segnalato che gli abitanti di New York di quartieri dove sono più frequenti le perquisizioni sono esposti all’invadente tecnologia di sorveglianza basata sul riconoscimento facciale.
Servizi cloud PA, indagine coordinata dell’EDPB
L’EDPB ha annunciato un’azione coordinata tra le autorità nazionali di protezione dei dati sui servizi cloud forniti dal settore pubblico, affermando affermato che più di 75 enti pubblici nello Spazio economico europeo, in una vasta gamma di settori, verranno esaminati. I risultati del lavoro coordinato verranno analizzati e i singoli garanti nazionali decideranno eventuali interventi, anche di natura correttiva. Il report dell’attività sarà pubblicato entro fine 2022.
edpb.europa.eu/news/news/2022/…
Ucraina: Kiev, cyberattacco contro siti principale banche e ministero difesa
Un cyberattacco in Ucraina contro i siti di diverse banche, conferma il Centro per le comunicazioni strategiche e la sicurezza delle informazioni del
governo. L’attacco sarebbe di tipo Ddos. Le banche coinvolte sono
Privatbank e Oschadbank. Secondo fonti non confermate vi sarebbero
anche Crédit Agricole e First International Ukrainian Bank. Colpito
anche il sito del ministero della Difesa e delle forze armate. Il mese
scorso, erano stati attaccati i siti del ministero degli Esteri e
delle Emergenze.
reuters.com/world/europe/ukrai…
Privacy Daily – 15 febbraio 2022
USA: legislazione bipartisan per dare agli americani il controllo dei loro dati online
Il senatore Ossoff sta lavorando per eliminare gli usi non autorizzati dei dati da parte dei broker. Secondo il disegno di legge bipartisan gli utenti potranno chiedere a centinaia di broker di dati di eliminare i propri dati personali . Il DELETE Act indirizzerebbe la Federal Trade Commission (FTC) a creare uno strumento online tramite il quale i cittadini americano possono inviare una richiesta di cancellazione dei dati a tutti i broker di dati. Il disegno di legge creerebbe anche una “lista da non tracciare” per vietare alle aziende di raccogliere i dati di questi utenti in futuro.
ossoff.senate.gov/press-releas…
Grindr farà appello alla multa norvegese per violazioni della privacy
Il servizio di incontri Grindr intende presentare un ricorso contro la pensante sanzione inflitta dalla autorità di regolamentazione norvegese che ha accusato Grind di aver divulgato illegalmente i dati degli utenti agli inserzionisti.
axios.com/grindr-appeal-norweg…
Dating online e protezione dei dati
Quando insegui Cupido online, fai attenzione alla privacy!
Dating online e protezione dei dati. Usi siti o app per il dating per cercare la tua “anima gemella” online? Sei consapevole che, per quanto utili, questi servizi possono raccogliere, trattare ed eventualmente diffondere numerose informazioni che ti riguardano, anche di carattere molto sensibile, come ad esempio le tue abitudini sociali e i tuoi orientamenti sessuali?
Privacy Daily – 14 febbraio 2022
USA: un disegno di legge volto a proteggere i bambini online riaccende la battaglia su privacy e libertà di parola
Alcuni componenti del Congresso USA hanno proposto un disegno di legge che mira a ritenere le società tecnologiche responsabili della diffusione di post che sfruttano i bambini. Ai sensi dell’Earn It Act, le aziende tecnologiche perderebbero alcune protezioni di lunga data di cui godono sotto uno scudo legale chiamato Sezione 230, aprendole a più cause legali per post di materiale pedopornografico sulle loro piattaforme.
washingtonpost.com/technology/…
CMA e Google sugli impegni per la Privacy Sandbox
L’Autorità britannica per la concorrenza e il mercato ha annunciato l’approvazione degli impegni proposti da Google sulla sua sandbox per la privacy relativi alle alternative ai cookie di terze parti. Da qualche anno il colosso di Mountain View sta lavorando a una tecnologia che sia in grado di sostituire i cookie: un sistema che permetta agli utenti di preservare la propria privacy, e al tempo stesso che garantisca agli inserzionisti la possibilità di condurre campagne pubblicitarie mirate ed efficaci.
gov.uk/government/news/cma-to-…
IAB Europe appella la sentenza dell’Autorità belga per la protezione dei dati
IAB Europe ha confermato la presentazione di un ricorso contro la sentenza amministrativa dell’Autorità belga per la protezione dei dati (APD) relativa a IAB Europe e al Transparency & Consent Framework (TCF) alla Corte belga.
iabeurope.eu/all-news/iab-euro…
Privacy Daily – 11 febbraio 2022
USA: un gruppo di parlamentari chiede alle agenzie federali di abbandonare i contratti di riconoscimento facciale con Clearview AI
Un gruppo di quattro parlamentari progressisti — Sens. Ed Markey (D-MA) e Jeff Merkley (D-OR) e Reps. Pramila Jayapal (D-WA) e Ayanna Pressley (D-MA) – ha inviato diverse lettere alle agenzie federali chiedendo la fine del’utilizzo del controverso sistema di riconoscimento facciale di Clearview AI. Il Pentagono e il Dipartimento di Giustizia hanno contratti attivi con la controversa compagnia.
theverge.com/2022/2/9/22925094…
TikTok e YouTube condivide i tuoi dati più di qualsiasi altra app di social media e non è chiaro dove, afferma uno studio
Secondo uno studio della società di mobile marketing URL Genius, YouTube e TikTok tengono traccia dei dati personali degli utenti più di qualsiasi altra app di social media. Il documento ha rilevato che YouTube raccoglie principalmente i dati personali per i propri scopi, come il monitoraggio della cronologia delle ricerche online o persino della tua posizione e offrirti annunci pertinenti. TikTok consente principalmente a tracker di terze parti di raccogliere i tuoi dati e da lì è difficile dire cosa accada.
cnbc.com/2022/02/08/tiktok-sha…
Israele: l’indagine rileva che la polizia israeliana ha utilizzato spyware nei confronti di tre persone
L’emittente israeliana Channel 12 ha affermato che in un’indagin, la polizia ha utilizzato lo spyware Pegasus prendendo di mira tre persone. Il primo ministro Bennett ha dichiarato: “Questo strumento e strumenti simili soni importanti nella lotta al terrorismo e alla criminalità grave. Ma non erano concepite per essere destinati al ‘phishing’ diffuso di cittadini israeliani o personaggi pubblici dello Stato di Israele, dobbiamo dunque capire esattamente cosa è successo”.
theguardian.com/world/2022/feb…
Privacy Daily – 10 febbraio 2022
A che punto siamo sulla regolamentazione dell’intelligenza artificiale?
Ad aprile dello scorso anno, la Commissione Europea ha pubblicato la sua proposta per regolamentare l’Intelligenza Artificiale.
iapp.org/news/a/inside-the-eus…
Israele indaga sui rapporti di sorveglianza della polizia
Il governo israeliano istituirà una commissione d’inchiesta per esaminare i rapporti secondo cui la polizia ha utilizzato spyware creato dal gruppo NSO per hackerare i telefoni di personaggi pubblici israeliani senza autorizzazione.
bbc.com/news/world-middle-east…
Colombia: novità in arrivo dall’Autorità di protezione dati
Con decreto nazionale è stata modificata la struttura della Soprintendenza dell’Industria e del Commercio, l’autorità per la protezione dei dati personali in Colombia.
iapp.org/news/a/nueva-estructu…
Privacy Daily – 9 febbraio 2022
UK: pornografia online vietata senza controllo dell’età
Il governo britannico rilancia il progetto di imporre ai siti di pornografia online di eseguire controlli dell’età, il che richiederebbe che gli utenti britannici dpvranno fornire dati come i dettagli della loro carta di credito o del passaporto per dimostrare che sono maggiori di 18 anni. Il ministro del digitale Chris Philp afferma che è troppo facile per i bambini accedere alla pornografia online.
theguardian.com/society/2022/f…
Brasile: emendamento che protegge i dati personali come diritto costituzionale
Il Congresso Nazionale del Brasile promulgherà un emendamento costituzionale che rende la protezione dei dati personali un diritto fondamentale per tutti i brasiliani, compresi i media digitali. Il Senato ha approvato l’emendamento nell’ottobre 2021, che conferisce poteri di organizzazione e controllo della protezione e del trattamento dei dati personali delle persone ai sensi della Legge generale sulla protezione dei dati e offre all’Autorità nazionale per la protezione dei dati un “rifugio costituzionale”.
www12.senado.leg.br/noticias/m…
Il racconto, in sintesi, delle principali attività del Garante, mese per mese
GPDPDigest è il prodotto di informazione del Garante che raccoglie mensilmente i principali interventi dell’Autorità presentando anche una sintesi delle principali attività di European Data Protection Board e EDPS – European Data Protection Supervisor. Un semplice e ci auguriamo utile “memo” per fornire agli utenti un sintetico quadro di riferimento sull’attività del Garante.
garanteprivacy.it/home/stampa-…
Privacy Daily – 8 febbraio 2022
Meta avverte sul possibile stop in Europa di Facebook e Instragram senza la sostituzione del Privacy Shield
Meta ha rivelato in un rapporto finanziario annuale che Facebook e Instagram potrebbero cessare le operazioni europee se l’UE e gli Stati Uniti non riusciranno a raggiungere un accordo sui flussi di dati, lo riferisce il giornale City AM. Il deposito alla Securities and Exchange Commission degli Stati Uniti ha indicato che Meta non sarà in grado di continuare a offrire i suoi “prodotti e servizi più significativi” se l’UE e gli Stati Uniti non possono ottenere una sostituzione dello scudo per la privacy o consentire all’attuale regime di trasferimento e meccanismi di trasferimento di rimanere al suo posto.
cityam.com/mark-zuckerberg-and…
La Commissione presenta un nuovo studio sul monitoraggio dei flussi di dati in Europa
La Commissione ha pubblicato uno studio che mappa e stima il volume di dati che fluiscono verso le principali infrastrutture cloud nei 27 Stati membri, Islanda, Norvegia, Svizzera e Regno Unito. Lo studio fornisce una panoramica del volume e dei tipi di afflussi e deflussi di dati cloud per settore economico, ubicazione, dimensioni delle imprese e tipo di servizi cloud. I responsabili politici e decisionali, i leader aziendali e le pubbliche amministrazioni possono utilizzarlo come punto di riferimento per supportare il processo decisionale verso futuri accordi commerciali, decisioni industriali e investimenti nel cloud.
digital-strategy.ec.europa.eu/…
USA: Gli sforzi della legge federale sulla privacy dei dati falliscono
lo slancio dietro la creazione di una legge federale sulla privacy dei dati sta svanendo. Gli stati, nel frattempo, stanno adottando le leggi sulla privacy.
techtarget.com/searchcio/news/…
Privacy Daily – 7 febbraio 2022
Wyden, Booker e Clarke introducono l’Algorithmic Accountability Act del 2022 per richiedere nuova trasparenza e responsabilità per i sistemi decisionali automatizzati
I senatori statunitense Ron Wyden, D-Ore., Cory Booker, DN.J., e Rep. Yvette Clarke, DN.Y., hanno annunciato l’introduzione dell’Algorithmic Accountability Act, che mira a “portare nuova trasparenza e supervisione del software , algoritmi e altri sistemi automatizzati.” Il disegno di legge invita le aziende a condurre valutazioni di impatto per pregiudizi, efficacia e altri fattori all’interno di strumenti decisionali automatizzati”. La Federal Trade Commission ospiterebbe un archivio pubblico e riceverebbe risorse per aggiungere 75 membri del personale per far rispettare la legge.
wyden.senate.gov/news/press-re…
Ue, giganti della tecnologia rafforzano la cooperazione per combattere l’odio online
reuters.com/technology/empty-c…
Twitter intenta una causa contro la regola tedesca di segnalazione online
Twitter ha avviato un’azione legale in Germania contro la legge anti-discorsi d’odio online del 2018 che è stata più recentemente emendata con regole più strigenti. Secondo Twitter, obbligherebbe le piattaforme social a condividere dati degli utenti con le autorità prima ancora che sia chiaro se abbiano commesso o no un reato.
reuters.com/technology/twitter…
Privacy Daily – 4 febbraio 2022
Google: le aziende tedesche chiedono un’azione contro la raccolta di dati
Bloomberg riferisce che una rete di società pubblicitarie tedesche ha presentato un reclamo per concorrenza all’Ufficio federale tedesco contro le pratiche di raccolta dei dati di Google.
bloomberg.com/news/articles/20…
Regno Unito: il governo continua le riforme digitali post-Brexit
Boris Johnson ha annunciato l’intenzione di portare avanti il disegno di legge “Brexit Freedoms”, che includerà pratiche e standard rimodellati sulla protezione dei dati e sull’intelligenza artificiale.
gov.uk/government/news/prime-m…
L’FBI conferma di aver testato lo spyware Pegasus per hackerare gli smartphone
Il Federal Bureau of Investigation degli Stati Uniti ha confermato di aver testato lo spyware Pegasus dell’azienda tecnologica israeliana NSO Group per un potenziale utilizzo in procedimenti penali nel 2019, riferisce Axios.
axios.com/nso-spyware-fbi-e23b…
Privacy Daily – 3 febbraio 2022
Quando l’AI può aiutare l’apprendimento
Cosa accadrebbe se grazie all’intelligenza artificiale fosse possibile riassumere gli articoli scientifici più difficili e tecnici, in modo che anche un bambino di sette anni possa capirli?
theverge.com/2022/1/18/2288918…
La scelta tra sicurezza e condivisione dei dati non dovrebbe essere un’opzione
Il presidente Emmanuel Macron afferma che intende dare la priorità alla rapida adozione del Digital Markets Act (DMA) durante la presidenza francese dell’UE.
euractiv.com/section/data-prot…
Il Giappone pubblica le linee guida sulla governance dell’IA
Il Ministero dell’Economia, del Commercio e dell’Industria del Giappone ha pubblicato “Linee guida sulla governance dell’IA”.
iapp.org/news/a/japan-publishe…
Africa: : in crescita le regole su protezione dei dati