Data Protection Awareness [#1]

Newsletter edited by Nicola Fabiano and Filippo Bianchini

Selezione di news dal 9 al 13 settembre 2019 - N. 1

Mi fa molto piacere sapere che sono aumentati i lettori.

Questo è il primo numero della newsletter, perché il precedente era il “numero zero”.

Come di consueto, sono state selezionate alcune news che ritengo di maggior rilievo accompagnate da un breve commento.

La novità di questo numero è l’introduzione di alcune sezioni: Tips & Tricks con alcune informazioni utili che possono servire da spunto di approfondimento, Casi e Corti con alcune notizie di natura giudiziaria.

Se ritenete, è possibile inviare commenti o suggerimenti scrivendo a nicfab@substack.com

Arrivederci alla prossima settimana.

Buona lettura!

Selected news from 9 to 13 September 2019 - N. 1

I am happy to know that readers have increased.

It is the first issue of the newsletter because the previous one was the "number zero".

As usual, I selected some news that I believe is relevant, accompanied by a brief comment.

The novelty of this issue is the introduction of some sections: Tips & Tricks with some useful information that can serve as a starting point for further study, Cases and Courts on the judicial matter.

Please, feel free to send comments or suggestions by writing to nicfab@substack.com

See you next week.

I wish you a pleasant reading!


Tips & Tricks

Navigazione sul web – Molto spesso le persone navigano in rete senza alcuna consapevolezza dei rischi sulla sicurezza informatica. Le nostre abitudini professionali e personali sono cambiate e spesso capita di essere in viaggio, fuori dallo studio o dall’ufficio. In questi casi, se ci necessita la connessione ad internet possiamo utilizzare lo smartphone come hotspot oppure una rete wifi. In quest’ultimo caso, possono esserci rischi per la sicurezza relativi alla presenza del nostro device all’interno della rete (siamo potenzialmente esposti ad attacchi) e comunque riguardo alla navigazione sul web. Infatti, la nostra connessione ad Internet è consentita attraverso il router della rete wifi del quale non conosciamo le misure di sicurezza adottate. Quando siamo connessi a Internet veniamo identificati con un univoco indirizzo IP. Il nostro device contiene informazioni anche personali e probabilmente dei nostri clienti o contatti e siamo tenuti a preoccuparci della protezione di questi dati. Pertanto, il suggerimento è di utilizzare una VPN (Virtual Private Network), ossia un “tunnel virtuale” tra il dispositivo dell’utente e il server del provider VPN, consentendo di accedere a Internet in modo sicuro. Va precisato che la sicurezza assoluta in informatica non esiste, ma è possibile ridurre i rischi. Esistono diverse VPN e differenti soluzioni; il suggerimento è di optare per una soluzione a pagamento facendo preventivamente delle valutazioni in ordine ai servizi offerti per ridurre i rischi. Peraltro, l’EDPS ne parla nelle memorie depositate alla Corte di Giustizia nel Case C-623/17, anche in questa newsletter.

Web browsing - Very often, people surf the web without any awareness about the security risks. Our professional and personal lifestyle changed, and often it happens to travel or being outside our office. In these cases, if we need an internet connection, we can use the smartphone as a hotspot otherwise a wifi system. In the latter case, there may be security risks related to the presence of our device within the network (we are potentially exposed to attacks) and anyway regarding web browsing. We can access the Internet through the router of the wifi network of which we do not know what the security measures adopted are. When we connect to the Internet, the system identifies us by a unique IP address. We also have to consider that our device also contains personal information and probably of our clients or contacts; hence, we have to protect this data. Therefore, the suggestion is to use a VPN (Virtual Private Network), i.e. a "virtual tunnel" between the user's device and the VPN provider's server, allowing to access the Internet safely. We have to consider that absolute security in informatics does not exist, but it is possible to reduce risks. There are dissimilar VPNs and different technical solutions; the suggestion is to opt for a paid solution by making prior assessments regarding the services offered to minimize risks. Moreover, on this point, the EDPS with the pleading notes filed with the Court of Justice in the Case C-623/17, also in this newsletter.


Categorie particolari di dati personali e dati biometrici

Special categories of personal data and biometric data

AI in medicine

Algoritmo individua insufficienza cardiaca analizzando un solo battito

L’intervento dell’intelligenza artificiale è sempre maggiore nel campo della medicina. Ad esempio, ricercatori dell’Università del Surrey, utilizzando un tipo di rete neurale denominato rete neurale convoluzionale (Convolutional Neural Networks, CNN), sono riusciti a identificare l’insufficienza cardiaca congestizia (congestive heart failure, CHF) con un’accuratezza del 100%: tutto ciò analizzando un solo battito cardiaco prelevato dall’elettrocardiogramma. Tuttavia, l'IA in medicina solleva anche importanti sfide legali ed etiche, molte delle quali riguardano la privacy, la discriminazione, i danni psicologici e la relazione medico-paziente.

The intervention of artificial intelligence is growing bigger and bigger in the field of medicine. For example, researchers at the University of Surrey, using a type of neural network called Convolutional Neural Networks (CNN), were able to identify congestive heart failure (CHF) with an accuracy of 100 %: all this by analysing a single heartbeat taken from the electrocardiogram. However, the AI in medicine also raises significant legal and ethical challenges, many of which concern privacy, discrimination, psychological harm and the doctor-patient relationship.


Casi e Corti

Cases and Courts

Judge lets Facebook privacy class action proceed, calls company's views 'so wrong'

Un giudice federale ha approvato un class action nazionale contro Facebook per il risarcimento dei danni derivanti dall’aver consentito a terzi come Cambridge Analytica di accedere ai dati personali degli utenti, raccogliendoli senza la necessaria legittimazione giuridica; ha respinto le argomentazioni di Facebook, secondo cui gli utenti non avrebbero subito danni "tangibili" e non avrebbero alcun interesse alla riservatezza delle informazioni condivise con gli amici sui social media.

A federal judge has approved a national class action against Facebook for compensation for damages resulting from allowing third parties such as Cambridge Analytica to access users' personal data, collecting them without the necessary legal legitimacy; rejected the arguments of Facebook, according to which users would not have suffered "tangible" damages and would have no interest in the confidentiality of information shared with friends on social media.

Top European Court to Review National Data Retention Laws

La Corte di Giustizia dell'Unione europea ha ascoltato delle richieste di modifica alle leggi sulla conservazione dei dati di Regno Unito, Belgio e Francia. La Corte aveva precedentemente invalidato provvedimenti europei e nazionali che imponevano alle società di conservare i dati delle comunicazioni a fini di contrasto, affermando che le leggi rappresentano un'interferenza “particolarmente grave” con il diritto alla privacy.

The Court of Justice for the European Union will hear challenges to the data retention laws of the UK, Belgium, and France. The Court previously invalidated European and national data retention laws that required companies to retain communications data for law enforcement purposes. The Court said the laws were a “particularly serious” interference with the right to privacy.


Conferenze internazionali

International conferences

41st International Conference of Data Protection and Privacy Commissioners - CONVERGENCE AND CONNECTIVITY - RAISING GLOBAL DATA PROTECTION STANDARDS IN THE DIGITAL AGE - “How are laws converging, what factors are driving it? What are the challenges in building more convergence and how do we get there?” - 21-24 October - Tirana (Albania)

Dal 21 al 24 ottobre si terrà a Tirana (Albania) la 41ma conferenza internazionale dei garanti privacy. Si tratta di un appuntamento annuale fisso per i garanti di tutto il mondo. I primi due giorni ci sono “closed session” riservate ai garanti, mentre I successivi sono aperti alla partecipazione di chiunque. Il tema della conferenza di quest’anno è “convergenza e connettività - innalzamento degli standard globali di protezione dei dati nell’era digitale”. Argomenti attualissimi, anche in considerazione del ruolo attribuito dal GDPR al Comitato Europeo per la Protezione dei Dati (CEPD – European Data Protection Board – EDPB). La convergenza verso il GDPR dovrebbe essere il punto di forza dell’Europa, in sintonia con il principio di armonizzazione che è stato uno di quelli alla base del Regolamento EU 2016/679. Il meccanismo di coerenza previsto dall’art. 63 del GDPR comporta necessariamente la cooperazione tra le autorità di controllo al fine di contribuire all’applicazione del Regolamento. Si è detto che il GDPR costituisce una pietra miliare ed è una vera e propria rivoluzione nel settore della data protection. Soltanto avendo una visione globale, soprattutto in Europa, è possibile applicare correttamente le norme del GDPR. Le autorità di controllo svolgono, quindi, un ruolo determinante e di estremo rilievo.

From 21 to 24 October the 41st International Conference of Data Protection and Privacy Commissioners will be held in Tirana (Albania). It is a fixed annual appointment for guarantors around the world. In the first two days, there are "closed sessions" reserved for the privacy commissioners, while in the following days there are open sessions to anyone's participation. The theme of this year's conference is "convergence and connectivity - raising global data protection standards in the digital age". The topic is essential, also considering the role attributed by the GDPR to the European Data Protection Board (CEPD - European Data Protection Board - EDPB). The convergence towards the GDPR should be the strength of Europe, in line with the principle of harmonisation, which was one of those at the basis of EU Regulation 2016/679. The mechanism of coherence laid down by article 63 of the GDPR necessarily involves the cooperation between the supervisory authorities to contribute to the application of the Regulation. I already said that the GDPR constitutes a milestone and is a real revolution in the field of data protection. Only by having a global vision, especially in Europe, is it possible to apply the rules of the GDPR correctly. The supervisory authorities, therefore, play a decisive and significant role.


Nuove frontiere

New frontiers

Preliminary Draft of the NIST Privacy Framework

Il NIST (National Institute of Standards and Technology, USA) ha pubblicato la notizia di attendere commenti sul Preliminary Draft of the NIST Privacy Framework (Progetto preliminare del NIST Privacy Framework). Si tratta di un tool per migliorare la privacy attraverso la gestione dei rischi aziendali. Dalla notizia pubblicata si appende che il tool è destinato all'utilizzo volontario per aiutare le organizzazioni; si propone di meglio identificare, valutare, gestire e comunicare i rischi per la privacy durante la progettazione o la distribuzione di sistemi, prodotti e servizi; favorire lo sviluppo di approcci innovativi per proteggere la privacy delle persone; aumentare la fiducia nei sistemi, nei prodotti e nei servizi. In realtà, si registra, da tempo, una tendenza a preoccuparsi della privacy degli utenti focalizzando, appunto, sui relativi rischi. Volendo generalizzare il tema è strettamente connesso a quello della Privacy by Design, sfociata nell’art. 25 del GDPR che disciplina il principio di protezione dei dati fin dalla progettazione e per impostazione predefinita. Più specificamente, però, il GDPR all’art. 25 fa riferimento “ai rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”. Il tema dei rischi è diffusamente proposto nel testo del GDPR ove si pone sempre l’accento sui “rischi significativi per i diritti e le libertà fondamentali”. L’idea di un framework privacy è stata da me proposta già nel 2013 con un contributo pubblicato sulla rivista americana Cutter Journal. Il tema è importante e merita approfondimento.

NIST (National Institute of Standards and Technology, USA) has published the news to seek comments on the Preliminary Draft of the NIST Privacy Framework. We read: "A Tool for Improving Privacy through Enterprise Risk Management (“Preliminary Draft”); it is intended for voluntary use to help organizations: Better identify, assess, manage, and communicate privacy risks when designing or deploying systems, products, and services; foster the development of innovative approaches to protecting individuals' privacy; and increase trust in systems, products, and services". In reality, there has long been a tendency to worry about the users' privacy, focusing precisely on the risks related to a natural person. Generally speaking, this matter is closely related to Privacy by Design, which resulted in article 25 of the GDPR (principle of data protection by design and by default). More specifically, however, article 25 of the GDPR refers to "the risks with different probabilities and gravities for the rights and freedoms of natural persons constituted by the processing". The GDPR always stresses the risk issues for the natural persons saying "significant risks for fundamental rights and freedoms". In 2013 I already proposed the idea of ​​a privacy framework in a contribution published in the Cutter Journal (USA). The theme is important and deserves further study.

INSIGHT: How to Restore Trust in the Digital Age

L’articolo in questione fa riferimento alla necessità di recuperare la fiducia degli utenti. L’autore dell’articolo richiama il principio di accountability e fa riferimento alle posizioni dell’EDPS sull’etica, soprattutto in occasione dell’ultima conferenza internazionale (2018). In realtà, l’autore si esprime in termini di “strong accountability”, trasparenza e controllo, soprattutto in un momento in cui emergono le questioni tra intelligenza artificiale e protezione dei dati personali. Si afferma che le organizzazioni dovrebbero progredire verso un principio di “accountability plus”. Accountability, trasparenza, etica e controllo da parte degli utenti in un sistema così vasto basato sui dati impone quanto meno una riflessione sull’argomento.

The article refers to the need to restore trust in the digital age. The author recalls the principle of accountability and relates to the positions of EDPS on ethics, especially at the last international conference (2018). In reality, the author expresses himself in terms of "strong accountability", transparency and control, especially in a moment in which the issues between artificial intelligence and protection of personal data emerge. It asserts that organizations should progress towards a principle of "accountability plus". Accountability, transparency, ethics and the power of control by users in such a vast system based on data imposes at least a reflection on the subject.

Tape Quantum Encryption And Data Protection Technologies

Il tema del quantum computing è sempre più attuale. L’articolo in esame definisce il “quantum computing” come un'architettura informatica emergente che sfrutta vari fenomeni meccanici quantistici per risolvere alcuni tipi di problemi che sono effettivamente impossibili da risolvere con i computer classici. In sostanza, si tratta di qualcosa di più di un supercomputer. L’articolo è interessante per iniziare a prendere confidenza con questa realtà tecnologica basata non sul bit ma sul qubit, crasi di quantum bit, ossia il bit quantistico. Il tema è complesso perché fa riferimento alla meccanica quantistica, ma certamente di grande interesse soprattutto in relazione alla protezione dei dati personali. Leader in questo campo è IBM sul cui sito webè possibile leggere alcune informazioni di base. Il quantum computing è pensato per elaborazioni molto complesse che richiedono una enorme potenza computazionale.

Quale sarà il rapporto tra quantum computing e protezione dei dati personali?

The subject of quantum computing is increasingly relevant. The article in question defines "quantum computing" as an emerging information architecture that uses various quantum mechanical phenomena to solve some types of problems that are impossible to solve with classical computers. In essence, it is something more than a supercomputer. The article is interesting to begin to become familiar with this technological reality based not on the bit but the qubit, the quantum bit cracks, or the quantum bit. The theme is complex because it refers to quantum mechanics, but indeed of great interest, especially about the protection of personal data. The leader in this field is IBM on whose websiteit is possible to read some necessary information. Quantum computing is for very complex processing that requires enormous computational power.

What will be the relationship between quantum computing and personal data protection?


Digital life

More people are staying offline due to privacy fears, Oxford research warns

Una nuova ricerca dll'Università di Oxford ha messo in guardia sul fatto che le crescenti paure sulla privacy stanno scoraggiando un crescente numero di utenti dall’utilizzo di Internet, rischiando così di peggiorare il divario digitale. Sebbene la maggior parte delle persone scelga di non essere online perché non sono interessate, un numero crescente cita l'ansia per i problemi di privacy ampiamente segnalati, nonché una mancanza di conoscenza su come usare Internet, quale motivo per rimanere disconnesso.

New research by Oxford University, heightened privacy fears are putting more non-internet users off and risk worsening the digital divide. Though most people choose not to be online because they are not interested, a growing number cite anxiety around widely reported privacy issues, as well as a lack of knowledge on how to use the internet, as the reason for staying offline.

The Jack Bauers of Europe Love Facial Recognition

Il tema del riconoscimento facciale suscita reazioni contrastanti: mentre da una parte i governi ne ribadiscono la necessità per la difesa della sicurezza pubblica, dall’altra ci si accorge di quanto questa tecnologia possa essere invadente ed imperfetta. Un sistema con un tasso di successo del 99,9% sembra impressionante fino a quando non si considera che un tasso di falsi positivi dello 0,1% su 100.000 persone significa che ben 100 di esse persone sono state identificate erroneamente. Una revisione dei processi di riconoscimento facciale da parte della polizia di Londra ha rilevato che il 63,6%, o quasi i due terzi, delle partite generate al computer ritenute credibili da un operatore umano si sono rivelate errate. Il GDPR ha una chiara definizione di dati "sensibili" come la biometria, che richiedono il consenso per il trattamento. Ma ci sono scappatoie nel nome di un “sostanziale” interesse pubblico - e per la sicurezza nazionale. Il risultato è un'incoerenza: in Svezia, un processo per il riconoscimento facciale in una scuola ha portato a una multa di $ 20.375, mentre in Danimarca è stato sbandierato il rilevamento del viso basato sull'intelligenza artificiale in uno stadio di calcio.

The theme of facial recognition raises conflicting reactions: while on the one hand the governments reaffirm the need for the defence of public safety, on the other people realize how this technology can be intrusive and imperfect. A system with a 99.9% success rate sounds impressive until you consider that a 0.1% false positive rate in 100,000 matches means 100 people have been misidentified. One review of facial-recognition trials by London police found that 63.6%, or almost two-thirds, of computer-generated matches deemed credible by a human operator turned out to be incorrect. The General Data Protection Regulation has a clear definition of “sensitive” data like biometrics, which require consent to process. But there are loopholes in the name of “substantial” public interest – and for national security – which is the kind of thing individual countries care about. The result is inconsistency: In Sweden, a facial-recognition trial in a school led to a $20,375 fine, but in Denmark, the roll-out of AI-powered face-tracking at a football stadium was waved through.

The online privacy checklist your kids need you to have

A settembre riprendono le attività scolastiche ed extracurricolari dei figli. Mentre si compilano i vari moduli di iscrizione, occorre prestare attenzione a quelli che chiedono il permesso di condividere online le loro foto ed altri dati personali: fino a quando i figli non saranno in grado di fare queste scelte da soli, occorre che i genitori abbiamo sotto controllo questo tipo di “impronta digitale”. Non tutti coloro che condividono contenuti online chiedono prima l’autorizzazione per farlo e, prima di ottenere la rimozione di un post, il danno potrebbe già essere stato fatto: da un semplice “imbarazzo” per quanto pubblicato ad un vero e proprio danno reputazionale.

Informa amici e parenti dei tuoi desideri di privacy. Assicurati che le impostazioni dei social media richiedano l'approvazione dei post quando sei stato taggato. Imposta gli avvisi di Google per farti sapere se il nome di tuo figlio è incluso in qualcosa pubblicato online. Quando iscrivi i bambini a quale attività, comunica le tue preferenze di condivisione e chiedi esiste una policy in atto che le protegge. Cerca i sistemi basati sul Web che la scuola di tuo figlio usa in classe. Quando qualcuno condivide un'immagine di te o di tuo figlio senza chiedere, considera il motivo per il quale è stato fatto.

In September, the children's school and extracurricular activities resume. While filling out the various registration forms, attention must be paid to those who ask for permission to share their photos and other personal data online: until the children are able to make these choices by themselves, the parents must have under control of this type of digital fingerprint. Not all those who share online content ask for permission first to do so and, before getting a post removed, the damage may already have been done: from a simple “embarrassment” to what has been published to a real reputational damage.

Inform your friends and relatives of your privacy wishes. Make sure your social media settings require approval of posts when you have been tagged. Set up Google alerts to let you know if your child's name is included in something published online. When you enrol children in what activity, communicate your con-division preferences and ask for a policy in place that protects them. Search for web-based systems that your child's school uses in the classroom. When someone shares a picture of you or your child without asking, consider the reason why it was done.


Autorità di controllo

Supervisory Authorities

EDPS pleading on Data Retention

L’EDPS il 10 settembre 2019 è stato ascoltato davanti alla Corte di Giustizia nel giudizio n. Case C-623/17e l’intervento è quello menzionato. L’EDPS interviene su diversi aspetti, dei quali il principale è quello della conservazione dei dati. Tuttavia, con la memoria citata l’EDPS si sofferma su alcuni concetti importanti. La Corte ha formulato alcuni quesiti e precisamente: 

a) se l’indirizzo IP va considerato dato personale; la risposta dell’EDPS è sì, nonostante si possano utilizzare sistemi quali IP condivisi, VPN, crittografia mediante il protocollo HTTPS o in casi di Content Delivery Networks. L’EDPS precisa, inoltre, che la distinzione tra contenuto e metadati non è chiara in un ambiente di servizi multipli come Internet. 

b) quali informazioni riguardanti la vita privata delle persone interessate possano essere ottenute da indirizzi IP o da altri dati relativi alle comunicazioni elettroniche. Le precisazioni dell’EDPS a riguardo (oggi le "comunicazioni elettroniche" non si limitano più alle conversazioni telefoniche, alle videoconferenze o alla navigazione di siti Web. Il panorama tecnologico in continua evoluzione, unito al crescente uso di dispositivi che comunicano tra loro, in particolare su Internet, ha portato a un massiccio aumento della quantità di informazioni sugli individui che fluiscono attraverso le reti elettroniche); tali indicazioni, probabilmente note, rilevano in quanto sottoposte ufficialmente all’attenzione della Corte. 

c) se e fino a che punto sarebbe possibile limitare la conservazione e l'accesso ai dati di comunicazione elettronica, senza che tali misure siano in grado di fornire informazioni molto specifiche sulla vita privata delle persone interessate, pur consentendo che gli obiettivi di cui all'articolo 15, paragrafo 1, della direttiva 2002/58 siano effettivamente raggiunti. L’EDPS risponde che potrebbe essere possibile prevedere un regime limitato ma efficace di conservazione e accesso ai dati delle comunicazioni elettroniche in modo compatibile con la Carta. Proseguendo l’EDPS afferma che la conservazione e l'accesso ai dati conservati non debbano essere considerati separatamente, così come quelli del traffico e degli utenti. L’EDPS ritiene che le condizioni per la conservazione dei dati debbano essere sempre considerate insieme alle condizioni per l'accesso successivo. 

La conclusione è che resta una responsabilità del legislatore disciplinare la conservazione e l’accesso ai dati.

On 10 September 2019, the EDPS was heard before the Court of Justice in judgment no. Case C-623/17 and the intervention is the one mentioned above. The EDPS intervenes on various aspects, of which the main one is that of data storage. However, with the memory as mentioned earlier, EDPS focuses on some essential concepts. The Court has formulated some questions, namely:

a) whether the IP addresses or other data relating to electronic communications are capable of providing information on the content of communications and, inter alia, on the websites consulted; the answer of the EDPS is yes, although users can use systems such as shared IPs, VPNs, encryption using the HTTPS protocol or in cases of Content Delivery Networks. Furthermore, the EDPS states that "distinction between “content” and “metadata” is not clear-cut in a multiple service environment as the Internet".

b) what information concerning the private lives of the persons concerned can be obtained from IP addresses or other data relating to electronic communications. The details of EDPS in this regard (today, “electronic communications” are no longer limited to telephone conversations or video conferences, or website browsing. The ever-evolving technological landscape, coupled with the increasing use of devices communicating with each other, in particular over the internet, has led to a massive increase in the amount of information about individuals that flows through electronic networks); these indications, probably known, are relevant because officially submitted to the Court's attention.

c) whether, and to what extent, it would be possible to limit the retention and the access to electronic communication data, without those measures being capable of providing very specific information concerning the private lives of the persons concerned, while enabling the objectives set out in Article 15(1) of Directive 2002/58 to be effectively achieved.

The EDPS replies that it may be possible to provide for a limited but effective regime of conservation and access to electronic communication data in a way that is compatible with the Charter. 

Furthermore, the EDPS states that "the retention and access to the retained data should not be considered in isolation ... Indeed, mandatory retention of user and traffic data is not a stand-alone measure in its own right; instead, it aims to ensure that law enforcement can have at its disposal electronic communications data from which communicating parties or individuals’ whereabouts at specific moments in time can be deduced. We therefore believe that conditions for data retention must always be considered together with conditions for subsequent access".

In conclusion, the EDPS said, "We believe that it is, ultimately, the responsibility of the legislator to regulate data retention and access in a comprehensive manner".


Cybersecurity

Google Finally Confirms Security Problem For 1.5 Billion Gmail And Calendar Users

Quando un invito del calendario viene inviato a un utente, sullo smartphone viene visualizzata una notifica. I malintenzionati possono elaborare i loro messaggi in modo da includervi un link indesiderato o addirittura dannoso, sfruttando la fiducia data dalla familiarità dell'utente verso tali notifiche. I collegamenti possono portare a un falso sondaggio o a un falso questionario online con un incentivo finanziario alla partecipazione, dove è possibile raccogliere i dettagli del conto bancario o della carta di credito. Oltre al phishing, questo comportamento apre le porte a tutta una serie di attacchi di ingegneria sociale.

When a calendar invitation is sent to a user, a notification is displayed on the smartphone. The bad guys can process their messages to include an unwanted or even malicious link, taking advantage of the user's confidence in such notifications. Links can lead to a fake survey or a fake online questionnaire with a financial incentive to participate, where the attacker can collect the details of a bank account or a credit card. In addition to phishing, this bad behaviour opens the door to a whole series of social engineering attacks.


Brevi dal mondo

Worth Mentioning

Registration deadline for data controllers has been extended!

Cayman Islands Data Protection Law Goes into Force This Month

Nevada Takes A Different Approach to Data Privacy

Nigeria: Data Protectıon And The Internet Of Things

Business Roundtable urges Congress to pass consumer data privacy law

Indian Lawmaker Raises Hope of Positive Crypto Regulation

India: Data Protection Bill will have far reaching consequences on FinTech

Tech giants ask Congress for a data privacy bill that would bypass state laws

Momentum Grows for a Digital Watchdog to Regulate Tech Giants

UK privacy regulator calls on brands to stop 'bankrolling' illegal activities

Loading more posts…