Data Protection Awareness

Newsletter edited by Nicola Fabiano and Filippo Bianchini

Selezione di news dal 2 al 6 settembre 2019 - N. 0

Ho pensato che potesse essere interessante raccogliere in una newsletter settimanali le principali notizie in materia di protezione dei dati personali e privacy che sono pubblicate sul canale Telegram https://t.me/nicfabnews correlate ai temi attuali e alle nuove frontiere, quali ad esempio l’intelligenza artificiale, e alle tendenze sulla cybersecurity. Ritengo che possa essere anche utile avere i riferimenti relativi ai provvedimenti delle autorità di controllo privacy, europee e non, unitamente alle notizie sui temi in esame che provengono dal resto del mondo.

Si tratta certamente di una nuova avventura che inizia con questo numero zero.

Spero che il contributo possa destare interesse. Per restare in contatto e ricevere la newsletter vi invito ad iscrivervi cliccando sul pulsante “Subscribe Now”.

Vi auguro buona lettura.

Appuntamento alla prossima settimana!

Selected news from 2 to 6 September 2019 - N. 0

I thought it would be interesting to collect in a weekly newsletter the main news on the protection of personal data and privacy published on the Telegram channel https://t.me/nicfabnews related to current issues and new frontiers, such as artificial intelligence, and cybersecurity trends. I believe that it may also be useful to have references relating to the decisions of European and non-European supervisory authorities, together with information on the issues under consideration that come from the rest of the world.

It is indeed a new adventure that starts with this number zero.

I hope the contribution will be of interest.

To keep in touch and receive the newsletter, I invite you to subscribe it by clicking on the "Subscribe Now" button.

I wish you a pleasant reading.

Stay tuned!


Principi Data Protection e Privacy

Data Protection and Privacy Principles

The Concerns Over the Data Protection Increase as the Awareness Becomes Better

La consapevolezza costituisce uno degli aspetti di maggior rilievo soprattutto per affrontare le sfide in materia di protezione dei dati personali. Non bisogna dare nulla per scontato e soprattutto è opportuno avere ben fisso lo sguardo sui temi relativi alla protezione dei dati personali con una visione ampia che non focalizzi unicamente le vicende nazionali e/o europee. Il contributo segnalato fa riferimento ad un sondaggio sui “data breach” e viene presentato un grafico che dimostra come l'uso improprio dei dati causa preoccupazione ma non costituisce un'azione protettiva. 

Pertanto, la sensibilizzazione alla consapevolezza è assolutamente appropriata. 

Sul punto si rimanda al libroGDPR & privacy: consapevolezza e opportunità. Analisi ragionata della protezione dei dati personali tra etica e cybersecurity”.

Awareness is one of the essential aspects to face the challenges regarding the protection of personal data. We must not take anything for granted, and above all, we must have our gaze fixed on issues related to the protection of personal data with a broad vision that does not focus solely on national and/or European events. The reported contribution refers to a survey on data breaches, and the chart published shows how "data misuse causes concern but not protective action". Therefore, awareness-raising is appropriate. 

About awareness, you can refer to the book GDPR & privacy: consapevolezza e opportunità. Analisi ragionata della protezione dei dati personali tra etica e cybersecurity”.


Categorie particolari di dati personali e dati biometrici

Special categories of personal data and biometric data

Il caso svedese. Riconoscimento facciale e biometria, cosa dice il GDPR?

Facial recognition: the Swedish data protection authority fines a school

In Your Face: China’s all-seeing state

King's Cross facial-recognition plans revealed by letter

Facebook rinuncia al riconoscimento facciale automatico: ora utenti dovranno fare opt-in

Il riconoscimento facciale è legittimo: in UK la prima sentenza al mondo contro un ricorso

Zao, l'app per scambiare il proprio volto con le celebrità ha problemi di privacy

Il riconoscimento facciale è un altro tema estremamente importante in materia di protezione dei dati personali, perché fa riferimento al trattamento dei dati biometrici. Si registra un’attenzione sempre maggiore a questo tema negli ultimi tempi. Tra i contributi selezionati, si segnala il commento al provvedimento dell’autorità di controllo svedese riguardo all’utilizzo della tecnica di riconoscimento facciale in una scuola; il tema è stato affrontato, nel commento segnalato, con la proposta di alcuni spunti di riflessione sui principi stabiliti dal GDPR. Altro aspetto è l’utilizzo del sistema di riconoscimento facciale utilizzato per ragioni di sicurezza pubblica in alcuni Stati (Cina e UK). Desta preoccupazione l’uso di sistemi pubblici di riconoscimento facciale in quanto conducono inevitabilmente a soluzioni massive di “surveillance” e i cittadini si sentono considerati oggetto di controllo a discapito della loro privacy. Facebook aveva addirittura “per default” attivo il sistema di riconoscimento facciale (es. il tag dei soggetti ripresi in un’immagine con il riconoscimento automatico della identità del soggetto stesso); adesso sembra optare per il sistema opt-in, ossia chi vuole lo deve attivare. Al Regno Unito spetta il primato della prima sentenza in materia di riconoscimento facciale con la quale esso è stato dichiarato legittimo. L’utilizzo dei dati biometrici ha ricevuto attenzione anche per l’utilizzo di app che ne fanno trattamento; è il caso dell’app Zoo che permette, a mo’ di gioco, la sostituzione del proprio volto con quello di celebrità. Sono emersi anche qui problemi di privacy.

Facial recognition is another significant issue regarding the protection of personal data because it refers to the processing of biometric data. Attention is increasingly being paid to this issue in recent times. Among the selected contributions, we note the comment on the Swedish supervisory authority's measure concerning the use of the facial recognition system in a school. The topic has been addressed, in the comment reported, with the proposal of some points of reflection on the principles established by the GDPR. Another aspect is the use of the facial recognition system used for reasons of public safety in some States (China and UK). The use of public face recognition systems is a cause for concern as they inevitably lead to massive surveillance solutions and citizens feel that they are being controlled to the detriment of their privacy. Facebook had even "activated by default" the facial recognition system (e.g. the tag of the subjects shot in an image with the automatic recognition of the identity of the person); now it seems that it would chose for the opt-in system, i.e. who wants can activate it. The United Kingdom has the primacy of the first decision in the matter of facial recognition declaring it legitimate. The use of biometric data has also received attention for the use of apps that treat it; this is the case of the Zoo app which allows, as a game, the replacement of one's face with that one of celebrity. Privacy issues also emerged here.

Amazon: riconoscimento della mano per i pagamenti al supermercato

Con riferimento ai dati biometrici, suscita scalpore la notizia secondo la quale Amazon intende introdurre il sistema del riconoscimento della mano per i pagamenti al supermercato. In base al GDPR il trattamento dei dati biometrici non è consentito se non in presenza di una delle condizioni previste dall’art. 9, paragrafo 2. È appena il caso di precisare che comunque il titolare del trattamento dovrà adottare opportune misure tecniche e organizzative per garantire “garantire un livello di sicurezza adeguato al rischio”.

Concerning biometric data, the news raises a sensation according to which Amazon intends to introduce the hand recognition system for supermarket payments. According to the GDPR, the processing of biometric data is not allowed unless one of the conditions set by art. 9, paragraph 2. It is hardly necessary to point out that in any case, the title of the treatment must adopt appropriate technical and organisational measures "to ensure a level of security appropriate to the risk".

Privacy International study shows your mental health is for sale

Proseguendo sul tema delle categorie particolari di dati, si segnala la notizia di uno studio dal quale emerge che i dati sulla salute che sono a rischio; infatti, tali dati vengono condivisi con altri soggetti in violazione della disciplina sulla protezione dei dati personali. 

Continuing on the subject of special categories of personal data, we report the news of a study which shows that the health data that are at risk; in fact, some website share these data with other subjects in violation of the discipline on the protection of personal data.


Nuove frontiere

New frontiers 

AI, riconoscimento facciale e algoritmi priorità Ue della Von der Leyen

L'AI usata per le truffe

New quantum project aims for ultra-secure communication in Europe

Google launches an open-source version of its differential privacy library

L’Intelligenza Artificiale (IA o in inglese AI) costituisce una delle nuove frontiere e soprattutto delle sfide del futuro o addirittura del presente. Il tema rientra nelle priorità dell’agenda della Commissione europea. Allo stesso tempo, è noto l’abuso delle tecnologie per scopi illeciti; l’intelligenza artificiale viene utilizzata anche per porre in essere attività criminali. Desta interesse la notizia secondo la quale Google sta lavorando su una versione open-source della libreria su privacy differenziale, che costituisce una delle tecniche di anonimizzazione (sul punto si veda il provvedimento dell’art. 29WP e precisamente quello WP126).

Artificial Intelligence (AI) is one of the new frontiers and above all the challenges of the future but probably of the present. The theme falls within the priorities of the European Commission's agenda. At the same time, the abuse of technologies for illegal purposes is well-known; artificial intelligence is also used to carry out criminal activities. Interestingly, the news according to which Google is working on an open-source version of the differential privacy library, which is one of the anonymisation techniques (on this point see the provision of art. 29WP and precisely that WP126).


Digital life

Mom and Dad, It’s My (Digital) Life

Una delle grandi sfide per la privacy online dei bambini può essere l’eccessiva condivisione di contenuti da parte dei genitori; questo fenomeno, lo “sharenting” (ossia i genitori che pubblicano foto e dettagli sui propri figli sui social media senza il loro consenso – qualora siano abbastanza grandi per fornirlo), può causare fratture nelle relazioni familiari.

One of the significant challenges for children's online privacy can be excessive parental content sharing; this phenomenon, defined as "sharenting" (i.e. parents who publish photos and details about their children on social media without their consent - if they are old enough to provide it), can cause fractures in family relationships.

Facebook mega falla, online i dati di 419 milioni di utenti

Sono stati trovati online centinaia di milioni di numeri di telefono collegati agli account Facebook: il server esposto conteneva oltre 419 milioni di record suddivisi in diversi database per aree geografiche (133 milioni negli Stati Uniti, 18 milioni nel Regno Unito oltre 50 milioni nel Vietnam). Poiché il server non era protetto con una password, chiunque poteva averne accesso.

Hundreds of millions of phone numbers linked to the Facebook accounts were found online: the exposed server contained over 419 million records divided into different databases by geographic area (133 million in the United States, 18 million in the United Kingdom over 50 million in Vietnam). Since the server was not protected with a password, anyone could have access to it.


Autorità di controllo

Supervisory Authorities

San Marino - Protezione dati personali: 18 pratiche esaminate, 8 i reclami

L’Autorità Garante per la protezione dei dati personale della Repubblica di San Marino ha incontrato la stampa per illustrare il bilancio dei primi mesi di lavoro; tra i punti nodali, l'accountability e la consapevolezza del valore del dato. Dall'insediamento - avvenuto il 2 aprile scorso - ad oggi, l'Autorità si è riunita 14 volte; 10 gli incontri con categorie economiche e soggetti vari; 18 le pratiche esaminate; 8 i reclami/denunce già trattati con relative istruttorie; attualmente si stanno valutando 5 segnalazioni di cui 2 d'urgenza; emesso un provvedimento inibitorio; numerosi anche i pareri forniti alla P.A.

During the last press conference, the San Marino Data Protection Authority has illustrated the balance of the first months of work; among the nodal points, the accountability and the awareness on the value of the personal data. Since the establishment, which took place on 2 April, to July, the San Marino DPA has met 14 times; 10 meetings with economic categories and various subjects; 18 the practices examined; 8 complaints already dealt with related inquiries; currently, 5 reporting are being evaluated, of which 2 urgently; issued an injunction and there are also numerous opinions provided to the Public Bodies.

Grecia - Hellenic DPA Fines PWC for Unlawful Processing of Employee Data

L'Autorità ellenica per la protezione dei dati personali ha elevato una sanzione di € 150.000,00 nei confronti di PriceWaterhouseCoopers Business Solutions SA per il trattamento illecito dei dati dei dipendenti, dopo aver condotto un'indagine d'ufficio in risposta a una denuncia. L'Autorità ha, inoltre, ordinato una serie di misure correttive e ha concesso a PWC tre mesi di tempo per la loro attuazione. Secondo quanto riferito, la Società aveva richiesto ai dipendenti di fornire il consenso al trattamento dei propri dati personali, laddove in realtà già una norma di legge lo avrebbe consentito.

The Hellenic Data Protection Authority has raised a fine of € 150,000.00 against PriceWaterhouseCoopers Business Solutions SA for the unlawful processing of employee data, after conducting an official investigation in response to a complaint. The supervisory authority also ordered a series of corrective measures and granted PWC three months to implement them. Reportedly, the Company had requested employees to consent to the processing of their personal data, where in reality a legal regulation would already have allowed it.

How Are European Supervisory Authorities Exercising Cooperation and Consistency In Practice?

L’Autorità di controllo di Amburgo ha avviato un'indagine sulle pratiche di riconoscimento vocale di Google e sulle tecnologie dell'assistente linguistico, integrate nel prodotto Google Assistant; ciò con l'intenzione di vietare al colosso di Mountain View di effettuare valutazioni da parte di dipendenti o terzi appaltatori, con lo scopo di proteggere i diritti degli interessati.

The Hamburg Data Protection Authority has launched an investigation into Google's speech recognition practices and language assistant technologies integrated into the Google Assistant product. The investigation aims to prohibit the Mountain View giant from carrying out assessments by employees or third-party contractors, to protect the rights of the parties concerned.

Unconstitutional to record religious faith at school, says data protection body

L’autorità di controllo greca ha stabilito che conservare i dati sulla fede religiosa degli studenti viola la costituzione e la Convenzione europea sui diritti umani. Il tema è di particolare interesse in quanto sempre più si assiste ad un avvicinamento tra i diritti derivanti dalla protezione dei dati personali e i diritti umani. Il rispetto della persona – e quindi dei dati personali che le appartengono – costituisce la base anche per salvaguardare la dignità umana.

The Greek Data Protection Authority has established that keeping data on students' religious faith violates the constitution and the European Convention on Human Rights. This matter is particularly interesting in that we are increasingly witnessing an approach between the rights deriving from the protection of personal data and human rights. Respect for the person - and therefore, the personal data that belongs to them - is also the basis for safeguarding human dignity.


Cybersecurity

Pirateria informatica: come liberarsi dai ransomware senza pagare il riscatto

Non bisogna cedere al ricatto degli autori del ransomware, soprattutto nel caso di un singolo utente privato non supportato da un’indagine delle autorità o di un team di esperti. Ciò perché cedere all’estorsione favorisce il cybercrimine e contribuisce a fornire fondi con cui gli autori di questo tipo di virus potranno continuare a sviluppare attacchi sempre più sofisticati ed anche perché il pagamento non offre alcuna garanzia che i file colpiti verranno poi effettivamente ripristinati.

We must not give in to the blackmail of the authors of the ransomware, especially in the case of a single private user not supported by an investigation by the authorities or a team of experts. Giving in to the extortion favours cybercrime and contributes to providing funds with which the authors of this type of virus will be able to continue to develop increasingly sophisticated attacks and also because the payment does not offer any guarantee that the files affected will be effectively restored.

L'ombra della Cina dietro gli iPhone hackerati: "Usati per monitorare gli uiguri"

La notizia è stata riportata da TechCrunch: secondo fonti anonime, le vulnerabilità del sistema operativo Apple iOS venivano sfruttate per infettare i dispositivi della minoranza musulmana che abita la regione autonoma dello Xinjiang e raccoglierne informazioni.

TechCrunch reported the news: according to anonymous sources, the vulnerabilities of the Apple iOS operating system were exploited to infect the devices of the Muslim minority that lives in the Xinjiang autonomous region and gather information.

Password Reuse Is Fueling an Epidemic of Credential Stuffing

L'attacco sfrutta il fatto che, nonostante sia stato ripetutamente detto di non farlo, molte persone riutilizzano ancora le stesse credenziali di accesso su più siti, inclusi gli accessi a casa e al lavoro. Per aggirare le misure di sicurezza che bloccano un numero molto elevato di tentativi di accesso da un indirizzo IP, gli hacker utilizzano strumenti per far sembrare che gli accessi provengano da IP diversi e persino da browser diversi.

The attack exploits the fact that, despite having been repeatedly told not to, many people still reuse the same login credentials on multiple sites, including home and work access. To circumvent security measures that block a vast number of access attempts from an IP address, hackers use tools to make it appear that the accesses come from different IPs and even from different browsers.

Google has secret webpages that feed your personal data to advertisers, report says

Nuove prove presentate per un'indagine sulla raccolta di dati personali di Google nell'Unione europea accusano il colosso di inviare furtivamente i dati personali dell'utente agli inserzionisti. La società avrebbe trasmesso queste informazioni agli inserzionisti che utilizzano pagine Web nascoste, consentendole di eludere le normative sulla privacy dell'UE.

New evidence, presented for a survey on the collection of Google's personal data in the European Union, accuses the giant of surreptitiously sending the users' personal data to advertisers. The company would pass this information on to advertisers using hidden Web pages, allowing it to circumvent EU privacy regulations.

L'hacker che manomette le televisioni con un drone

In occasione dell’ultimo DefCon di Las Vegas, un ragazzo galiziano ha dimostrato come sia possibile hackerare gli apparecchi tv con un semplice drone commerciale, disturbando la visione di eventi o anche impossessandosi dei dati dei proprietari, specialmente qualora si tratti di “smart tv”.

During the last DefCon in Las Vegas, a Galician boy demonstrated how it is possible to hack TV sets with a simple commercial drone, disturbing the vision of events or even taking possession of the owners' data, especially in the case of "smart TV".


Brevi dal mondo

Worth Mentioning

Little Brother Is Watching: India Is Over-run By Cheap Snooping Systems

China’s Red-Hot Face-Swapping App Provokes Privacy Concern

House majority passes EU directive on data protection, Giorgos Bourdaras

Implementing The 2019 Nigeria Data Protection Regulations

Turkey: New Turkish Guidelines On Personal Data Protection In Pharmacovigilance Activities

Data Protection and Cybersecurity in Indonesia: General Requirements

Companies Act to Defend Privacy of Kazakhstanis