Data Protection Awareness [#15]
Newsletter edited by Nicola Fabiano and Filippo Bianchini
Selezione di news dal 17 dicembre 2019 al 13 gennaio 2020 - N. 15
Selected news from 17 December 2019 to 13 January 2020 - N. 15
Con questo numero 15 riprende l'invio di questa newsletter settimanale gratuita dopo la pausa natalizia, che uscirà - salvo impegni e imprevisti - ogni martedì.
Sono state selezionate, come di consueto, alcune news reputate di maggior rilievo.
Se ritenete, è possibile inviare commenti o suggerimenti scrivendo a nicfab@substack.com
With this number 15, the sending of this free weekly newsletter after the Christmas break starts again.
We selected, as usual, some of the most important news items.
You can send comments or suggestions by writing to nicfab@substack.com
CALL FOR PAPERS
La call for papers (CFP) "New frontiers of Data Privacy and Protection in a data-driven society 2020 - NFDPP" fa riferimento ad una Invited Session ospitata dalla "The 11th International Multi-Conference on Complexity, Informatics and Cybernetics: IMCIC 2020" che si terrà a Orlando, Florida, USA dal 10 al 13 marzo 2020.
Per partecipare e inviare abstract e paper, nonché per leggere il testo della CFP andate qui: https://easychair.org/cfp/NFDPP2020
Spero di vedervi a Orlando!
The Call For Papers (CFP) "New frontiers of Data Privacy and Protection in a data-driven society 2020 - NFDPP" is related to an "Invited Session" hosted by "The 11th International Multi-Conference on Complexity, Informatics and Cybernetics: IMCIC 2020" that will hold in Orlando, Florida, USA on March 10-13, 2020.
To participate, authors have to submit contributes by EasyChair platform. Any information on the CFP web page, here: https://easychair.org/cfp/NFDPP2020
I hope to meet you in Orlando!
Autorità di controllo
Supervisory Authorities
EDPS - Newsletter n° 75
https://edps.europa.eu/press-publications/publications/newsletters/newsletter-75_en
Nell'ultima edizione della newsletter dell'EDPS per il 2019, viene riportata la nomina di Wojciech Wiewiórowski quale nuovo Garante europeo della protezione dei dati, si prende un momento per riflettere sul precedente mandato quinquennale dell'EDPS e viene dato conto delle indagini dell'EDPS sulle attività per l'elezione del Parlamento europeo, tra le tante altre notizie.
In the last edition of the EDPS Newsletter for 2019, EDPS reports on the appointment of Wojciech Wiewiórowski as the new European Data Protection Supervisor takes a moment to reflect on the previous five-year EDPS mandate and covers the EDPS investigation into the European Parliament's election activities, among many other activities.
Mises en demeure de plusieurs établissements scolaires pour vidéosurveillance excessive
https://www.cnil.fr/fr/mises-en-demeure-de-plusieurs-etablissements-scolaires-pour-videosurveillance-excessive
Nel 2018 la CNIL ha ricevuto più di 25 reclami riguardanti la videosorveglianza nelle scuole, nei college o nelle scuole superiori. Tra queste denunce, alcune hanno lamentato il fatto che le telecamere filmavano continuamente luoghi della vita (campi da gioco, mense, sale computer, campi sportivi, centro di documentazione e informazione) negli istituti. È possibile filmare l'accesso agli edifici (ingressi e uscite) e alle aree di circolazione, in particolare per garantire la sicurezza di studenti, agenti e proprietà ed evitare intrusioni dannose; tuttavia, tranne in circostanze eccezionali, un sistema di videosorveglianza che sottopone gli studenti o i dipendenti a una sorveglianza sistematica e continua nei loro luoghi di vita e di lavoro risulta eccessivo.
In 2018, CNIL received more than 25 complaints regarding video surveillance in schools, colleges or high schools. Among these complaints, some complained that the cameras continuously filmed places of life (playgrounds, canteens, computer rooms, sports fields, documentation and information center) in institutions. Access to buildings (entrances and exits) and circulation areas can be filmed, in particular to guarantee the safety of students, agents and property and to avoid harmful intrusions; however, except in exceptional circumstances, a video surveillance system that subjects students or employees to systematic and continuous surveillance in their places of life and work is excessive.
The Norwegian Data Protection Authority imposes a fine on the City of Oslo
https://edpb.europa.eu/news/national-news/2019/norwegian-data-protection-authority-imposes-fine-city-oslo_en
L'autorità norvegese per la protezione dei dati ha irrogato una sanzione amministrativa di 49.300 EUR nei cofnronti della città di Oslo per aver archiviato i dati dei pazienti al di fuori del sistema di cartelle cliniche elettroniche nelle case di cura / centri sanitari della città dal 2007 a novembre 2018.
The Norwegian Data Protection Authority has issued an administrative fine of EUR 49 300 to the City of Oslo for having stored patient data outside the electronic health record system at the city’s nursing homes/health centres from 2007 to November 2018.
Administrative fine of 35 000 EUR imposed on the Swedish website Mrkoll.se
https://edpb.europa.eu/news/national-news/2019/administrative-fine-35-000-eur-imposed-swedish-website-mrkollse_en
L'Autorità di controllo svedese svedese ha irrogato una sanzione amministrativa di 35.000 EUR contro Mrkoll.se - un sito Web che pubblica dati personali di tutti gli svedesi di età superiore ai 16 anni - per violazione del Credit Information Act e del GDPR. Il sito Web ha svolto attività di informazione creditizia in modo non conforme alla legge.
The Swedish DPA has issued an administrative fine of 35 000 EUR against Mrkoll.se – a website that publishes personal data of all Swedes above the age of 16 – for infringement of the Credit Information Act and the GDPR. The website has carried out credit information activity in a way that is not in compliance with the law.
BfDI imposes Fines on Telecommunications Service Providers
https://edpb.europa.eu/news/national-news/2019/bfdi-imposes-fines-telecommunications-service-providers_en
Il commissario federale per la protezione dei dati e la libertà di informazione (BfDI) ha irrogato una sanzione amministrativa di EUR 9.550.000 al fornitore di servizi di telecomunicazioni 1 & 1 Telecom GmbH. La società non ha fornito misure tecniche e organizzative sufficienti per impedire a persone non autorizzate di ottenere informazioni sui clienti tramite il servizio di assistenza. In un altro caso, la BfDI ha disposto una sanzione di EUR 10.000 a Rapidata GmbH.
The Federal Commissioner for Data Protection and Freedom of Information (BfDI) imposed a fine of EUR 9.550.000 on the telecommunications service provider 1&1 Telecom GmbH. The company did not provide sufficient technical and organizational measures to prevent unauthorized persons from being able to obtain customer information via the customer hotline service. In another case, the BfDI imposed a fine of EUR 10. 000 on Rapidata GmbH.
EDPS - Assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data
https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en
Queste linee guida dello EDPS esplorano in modo più approfondito e forniscono esempi pertinenti di questioni relative all'impatto sui diritti fondamentali della privacy e della protezione dei dati personali, concentrandosi e integrando in particolare con il Tool#24 della "Commission Better Regulation Toolbox" e la Guida operativa, dempre della Commissione, per tener conto dei diritti fondamentali nelle valutazioni d'impatto. Le linee guida completano anche lo EDPS Necessity Toolkit.
These EDPS Guidelines explore in greater depth and provide relevant examples of, issues relating to the impact on the fundamental rights to privacy and the protection of personal data, focusing on and complementing in particular Tool#24 of the Commission Better Regulation Toolbox and the Operational Guidance on taking account of Fundamental Rights in Commission Impact Assessments. The Guidelines also complement the EDPS Necessity Toolkit.
Il Garante: "La nostra cultura della privacy? Ancora carente"
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9216061
Antonello Soro, Garante privacy italiano: "Purtroppo è la cultura della privacy, malgrado anni di battaglie e sentenze, ad essere ancora carente. L'equazione fra diritto alla riservatezza, dignità personale, tutela sul posto di lavoro, in ultima analisi libertà democratiche, viene continuamente fraintesa. Eppure è uno dei fondamenti della democrazia stessa. Oggi che il mantra, favorito dalla digitalizzazione, sembra essere la trasparenza ad ogni costo, tutto è diventato ancora più difficile".
Antonello Soro, Presidente od Italian DPA: "Unfortunately it is the culture of privacy, despite years of battles and sentences, that is still lacking. The equation between the right to privacy, personal dignity, protection at the workplace, ultimately democratic freedoms, is continually misunderstood. Yet it is one of the foundations of democracy itself. Now that the mantra, favoured by digitalization, seems to be transparency at all costs, everything has become even more difficult".
Newsletter 20/12/2019 del Garante Privacy
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9215912
Lavoro: è illecito mantenere attivo l’account di posta dell’ex dipendente - PA: il Garante Privacy chiede più tutele per chi segnala gli illeciti - Gdpr: conclusi i seminari del progetto Smedata.
Workplace: it is illegal to keep the former employee's mail account active - PA: the Italian DPA asks for more protection for those who report the offences - Gdpr: seminars of the Smedata project concluded.
EDPS - TechDispatch #3: Connected Cars
https://edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-3-connected-cars_en
Sempre più oggi i dati generati dall'auto sono condivisi su Internet con altri veicoli, infrastrutture di traffico ed enti sia pubblici che privati. Queste cosiddette auto connesse appartengono all'Internet of Things (IoT) in evoluzione - con molti rischi correlati collegati. La crescente quantità di dati personali generati dalle automobili connesse aumenta l'interesse degli assicuratori, dei produttori di automobili, delle autorità di polizia e di terzi.
Increasingly today, the data generated by the car is shared over the internet with other vehicles, traffic infrastructure and private and public entities. These so-called connected cars belong to the evolving Internet of Things (IoT) - with manifold related risks attached. The growing amount of personal data generated by connected cars raises the interest of insurers, automakers, law enforcement authorities and other third parties.
London pharmacy fined after “careless” storage of patient data
https://edpb.europa.eu/news/national-news/2019/london-pharmacy-fined-after-careless-storage-patient-data_en
L'ICO ha irrogato a una farmacia con sede a Londra una sanzione di £ 275.000 per non aver garantito la sicurezza di alcune categorie speciali di dati. Doorstep Dispensaree Ltd, che fornisce medicinali ai clienti e alle case di cura, ha lasciato circa 500.000 documenti in contenitori non protetti nel retro della sua sede in Edgware. I documenti includevano nomi, indirizzi, date di nascita, numeri NHS, informazioni mediche e prescrizioni appartenenti a un numero sconosciuto di persone.
The Information Commissioner’s Office (ICO) has fined a London-based pharmacy £275,000 for failing to ensure the security of special category data. Doorstep Dispensaree Ltd, which supplies medicines to customers and care homes, left approximately 500,000 documents in unlocked containers at the back of its premises in Edgware. The documents included names, addresses, dates of birth, NHS numbers, medical information and prescriptions belonging to an unknown number of people.
Privacy sotto l'albero - Garante Privacy
https://www.garanteprivacy.it/temi/natale
Informazioni utili su come tutelare i propri dati personali e la riservatezza durante le feste di Natale.
Useful information on how to protect your personal data and confidentiality during the Christmas holidays.
EDPS Opinion - Preliminary Opinion on data protection and scientific research
https://edps.europa.eu/press-publications/press-news/news/2020_en
La ricerca scientifica svolge una preziosa funzione in una società democratica, e questa è cresciuta in importanza con la concentrazione del controllo sui flussi di informazioni nelle mani di alcune società globali private. Gli obblighi in materia di protezione dei dati non devono poter essere utilizzati per consentire ai giocatori potenti di rifuggere gli obblighi di trasparenza e di accountability. I ricercatori che operano nell'ambito di quadri di governance etica dovrebbero, pertanto, poter accedere alle Application Programming Interface (API) e ad altri dati necessari, con una valida base giuridica e con soggezione al principio di proporzionalità e garanzie adeguate.
Scientific research serves a valuable function in a democratic society, and this has grown in importance with the concentration of control over information flows in the hands of a few private global companies. Data protection obligations should not be misappropriated as a means for powerful players to escape transparency and accountability. Researchers operating within ethical governance frameworks should, therefore, be able to access the necessary API and other data, with a valid legal basis and subject to the principle of proportionality and appropriate safeguards.
Slot. Il Garante della Privacy torna ad occuparsi della tessera sanitaria
https://www.jamma.tv/adi/slot-il-garante-della-privacy-torna-ad-occuparsi-della-tessera-sanitaria-185869
Il Garante della Privacy ha accolto la segnalazione formulata in merito all’utilizzo della tessera sanitaria che dal primo gennaio permette di per accedere ai giochi tipo VLT (e in futuro anche nelle future AWPR da remoto), note anche come videolottery, installate nelle circa 5mila sale sparse sul territorio italiano.
The President of the Italian DPA has accepted the report formulated regarding the use of the health card which from January 1st allows accessing VLT type games (and in the future also in future AWPR remotely), also known as video lottery, installed in the approximately 5 thousand lounges scattered throughout Italy.
Data Protection Commission - Guidance on Body Worn Cameras or Action Cameras
http://dataprotection.ie/en/guidance-body-worn-cameras-or-action-cameras
La guida ha lo scopo di aiutare gli utenti di questi dispositivi di registrazione nel determinare se siano un "titolare del trattamento" con obblighi ai sensi della legge sulla protezione dei dati o se le loro azioni rientrino nell'esenzione personale o domestica, nonché quali siano tali obblighi e con quali passaggi gli utenti possano assicurarsi di utilizzare queste tecnologie in conformità con la legge sulla protezione dei dati.
This guidance is intended to assist the users of recording devices in determining whether they are a ‘controller’ with obligations under data protection law, or whether their actions fall within the personal or household exemption, as well as what those obligations are and what steps users can take to ensure that they use these technologies in compliance with data protection law.
Digital life
Digital life and privacy: are we fighting against ourselves?
https://www.nicfab.it/digital-life-and-privacy-are-we-fighting-against-ourselves/
Secondo l'Avv. Nicola Fabiano, Garante privacy di San Marino, "rispettare la privacy e la protezione dei dati non dovrebbe significare comportarsi bene solo per evitare di essere esposti a multe o sanzioni ma, essenzialmente, rispettare il principio di responsabilità, guardando oltre, verso il giusto equilibrio tra etica, dignità umana e norme".
According to Nicola Fabiano, President of San Marino DPA, "respecting privacy and data protection should not mean to behave well only to avoid to be exposed to fines or sanctions but, essentially, to comply with the accountability principle, looking over, toward the right balance between ethics, human dignity and norms".
Facebook localizza gli utenti anche senza il loro consenso
https://tg24.sky.it/tecnologia/internet/2019/12/18/facebook-localizza-utenti-senza-consenso.html
In una lettera inviata ai senatori degli Stati Uniti, Facebook ha rivelato che la propria piattaforma può localizzare gli utenti in qualsiasi momento, anche se questi ultimi hanno escluso l’opzione di geolocalizzazione dal proprio profilo.
In a letter sent to U.S. senators, Facebook revealed that its platform can locate users at any time, even if the latter have excluded the geolocation option from their profile.
A Surveillance Net Blankets China’s Cities, Giving Police Vast Powers
https://www.nytimes.com/2019/12/17/technology/china-surveillance.html
Le autorità cinesi stanno raccogliendo tecnologie sia risalenti che all'avanguardia - scanner telefonici, fotocamere per il riconoscimento facciale, database di volti e impronte digitali e molti altri - in ampi strumenti per il controllo autoritario, secondo i database di polizia e privati esaminati da The New York Times. Una volta combinati e pienamente operativi, gli strumenti possono aiutare la polizia a riconoscere le persone mentre camminano per la strada, scoprire con chi si incontrano e identificare chi appartiene o meno al Partito Comunista.
Chinese authorities are knitting together old and state-of-the-art technologies — phone scanners, facial-recognition cameras, face and fingerprint databases and many others — into sweeping tools for authoritarian control, according to police and private databases examined by The New York Times. Once combined and fully operational, the tools can help police grab the identities of people as they walk down the street, find out who they are meeting with and identify who does and doesn’t belong to the Communist Party.
Federal Trade Commission Grants Final Approval to Settlement with Former Cambridge Analytica
https://www.ftc.gov/news-events/press-releases/2019/12/ftc-grants-final-approval-settlement-former-cambridge-analytica
La Federal Trade Commission ha concesso l'approvazione definitiva a un accordo con l'ex CEO di Cambridge Analytica e uno sviluppatore di app che ha lavorato con la società per definire le accuse di aver usato tattiche ingannevoli al fine di raccogliere informazioni personali da decine di milioni di utenti di Facebook per la profilazione degli elettori e il targeting.
The Federal Trade Commission has granted final approval to a settlement with the former CEO of Cambridge Analytica and an app developer who worked with the company to resolve allegations they used deceptive tactics to collect personal information from tens of millions of Facebook users for voter profiling and targeting.
EU data transfer tools are legal, says EU court adviser in Facebook privacy case
https://www.oann.com/eu-data-transfer-tools-are-legal-says-eu-court-adviser-in-facebook-privacy-case/
Secondo l’avvocato generale Saugmandsgaard e, è valida la decisione 2010/87/UE della Commissione sulle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi
https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-12/cp190165it.pdf
Nelle sue conclusioni, l’Avvocato Generale Henrik Saugmandsgaard Øe propone alla Corte di giustizia di rispondere che l’analisi delle questioni non ha evidenziato elementi atti ad inficiare la validità della decisione 2010/87. La conformità della decisione 2010/87 con la Carta dipende dalla questione se esistano meccanismi sufficientemente solidi che consentano di garantire che i trasferimenti fondati sulle clausole contrattuali tipo siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di onorarle. A suo parere ciò avviene nei limiti in cui esista un obbligo – gravante sui responsabili del trattamento e, in caso di inerzia di questi ultimi, sulle autorità di controllo – di sospendere o vietare un trasferimento allorché, a causa di un conflitto tra gli obblighi derivanti dalle clausole tipo e quelli imposti dal diritto del Paese terzo di destinazione, tali clausole non possono essere rispettate.
In his conclusions, Advocate General Henrik Saugmandsgaard Øe proposes to the Court of Justice to reply that the analysis of the issues did not reveal any elements capable of affecting the validity of Decision 2010/87. The compliance of Decision 2010/87 with the Charter depends on the question of whether sufficiently robust mechanisms exist to ensure that transfers based on standard contractual clauses are suspended or prohibited in the event of violation of these clauses or inability to honour them. In his opinion, this occurs within the limits in which there is an obligation - on the processor and, in the case of inertia of the latter, on the supervisory authorities - to suspend or prohibit a transfer when, due to a conflict between the obligations deriving by the standard clauses and those imposed by the law of the third country of destination, these clauses cannot be respected.
Twelve Million Phones, One Dataset, Zero Privacy
https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
Smartphones Are Spies. Here’s Whom They Report To
https://www.nytimes.com/interactive/2019/12/20/opinion/location-tracking-smartphone-marketing.html
Poiché la raccolta di dati sulla posizione è in gran parte non regolamentata, le grandi aziende possono ottenere legalmente l'accesso ai sensori di posizione del telefono e quindi acquistare e rivendere le informazioni che raccolgono sempre. Non tutte le aziende lo fanno, ma alcuni sì. Le opportunità commerciali sono vaste. E gli investitori hanno notato. Molti dirigenti pubblicitari ci hanno descritto in modo indipendente l'industria dei dati sulla posizione come "il selvaggio West".
Because the collection of location data is largely unregulated, the OTT can legally get access to phone location sensors and then buy and resell the information they gather in perpetuity. Not all companies do that, but some do. The business opportunities are vast. And investors have noticed. Many advertising executives have independently described the location data industry to us as “the Wild West.”
Millions of Facebook user phone numbers exposed online, security researchers say
https://www-cnet-com.cdn.ampproject.org/c/s/www.cnet.com/google-amp/news/millions-of-facebook-user-phone-numbers-exposed-online-security-researchers-say/
Facebook, esposti online i dati di 267 milioni di utenti
http://www.ansa.it/sito/notizie/tecnologia/hitech/2019/12/20/facebook-esposti-i-dati-di-267-milioni-di-utenti_88655c86-9548-4028-bbda-e2e62c7bc070.html
Un nuovo caso di esposizione dei dati personali degli utenti per Facebook. La società di sicurezza Comparitech avrebbe individuato un database contenente dati personali di 267 milioni di utenti del social network e ne da' notizia sul suo sito. La mole di informazioni personali poteva essere consultata liberamente in rete, senza necessità di inserire password. Il database è rimasto online per circa due settimane, dal 4 al 19 dicembre, ed è risultato scaricabile anche tramite un forum hacker.
A new case of exposure of users' personal data for Facebook. The security company Comparitech has identified a database containing personal data of 267 million users of the social network and reports it on its website. The amount of personal information could be consulted freely on the net, without the need to enter a password. The database remained online for about two weeks, from 4 to 19 December, and was also downloadable via a hacker forum.
Spiati dalle app: ecco perché ci chiedono la posizione. E come possiamo difenderci
https://rep.repubblica.it/pwa/generale/2019/12/26/news/spiati_dalle_app_geo-tracking-244443742/
Qualunque cosa facciamo, qualunque app usiamo, da qualche tempo ci chiedono di conoscere la nostra posizione. Non succede per caso. La Corte di Giustizia europea qualche mese fa ha ribadito che il consenso al geo-tracking non possa più essere implicito: ce lo devono chiedere espressamente. In breve: il monitoraggio della nostra posizione le app lo facevano già prima ma ora serve il nostro permesso. Che di solito arriva subito, con un clic infastidito, come se dovessimo liberarci da una incombenza.
Whatever we do, whatever app we use, they have been asking us for some time to know our position. It doesn't happen by accident. The European Court of Justice a few months ago reiterated that consent to geo-tracking can no longer be implicit: they must expressly ask us to. In short: the monitoring of our position the apps did it before but now we need our permission. Which usually arrives immediately, with an annoying click, as if we had to free ourselves from a task.
Le cose da fare (semplici) per tutelare la privacy
https://www.corriere.it/opinioni/19_dicembre_27/cose-fare-semplici-7fdfc544-28d7-11ea-b791-05af5a1a0f8d.shtml
La leggerezza con la quale «doniamo» dati personali a chi ci alletta dandoci servizi ci si rivolta contro.
The lightness with which we "give" personal data to those who entice us by giving us services turns against us.
Embrace These 7 Habits Of Powerful Privacy Leaders
https://www.forbes.com/sites/chiararustici/2019/12/28/embrace-these-7-habits-of-powerful-privacy-leaders/
Sette abitudini d'oro aiuteranno a mantenere la conversazione sulla privacy efficace: 1) Valorizzare e difendere tutte le istituzioni sulla privacy; 2) Manifestare il proprio disaccordo senza essere spiacevole; 3) Persistere e aiutare gli altri a perseverare nella mentalità della privacy; 4) Smettere di chiedere a gran voce multe: non sono la risposta definitiva; 5) Non essere un pony con un trucco; 6) Benvenuto ai neofiti della privacy; 7) Condividi ciò che sai, accredita coloro che condividono, verifica tutto.
Seven golden habits will help keep the oncoming privacy conversation level-headed and effective: 1) Value and defend all privacy institutions; 2) Disagree without being disagreeable; 3) Persist and help others persist in the privacy mindset; 4) Stop clamouring for fines: they are not the final answer; 5) Don’t be a one-trick pony; 6) Welcome privacy newbies; 7) Share what you know, credit those who share, verify everything.
Driving surveillance: What does your car know about you? We hacked a 2017 Chevy to find out
https://www.washingtonpost.com/technology/2019/12/17/what-does-your-car-know-about-you-we-hacked-chevy-find-out/
Un esperimento sulla privacy ha scoperto che i produttori di automobili raccolgono dati attraverso centinaia di sensori e una connessione Internet sempre attiva. La sorveglianza alla guida sta diventando difficile da evitare.
A privacy experiment found that automakers collect data through hundreds of sensors and an always-on Internet connection. Driving surveillance is becoming hard to avoid.
Gb, il governo pubblica online per errore l'indirizzo di oltre mille vip
https://www.tgcom24.mediaset.it/mondo/gb-il-governo-pubblica-online-per-errore-lindirizzo-di-oltre-mille-vip-c-anche-quello-di-elton-john_12837584-201902a.shtml
Star, politici, ma anche alti funzionari di polizia dei reparti antiterrorismo. Ecco chi c'era nella lista pubblicata online per errore dal governo britannico: oltre mille nomi di personalità che a fine 2019 hanno riceveranno un'onorificenza, con i relativi indirizzi di casa e di lavoro. Tutto consultabile liberamente per più di un'ora. Tra i nomi più celebri ci sono Elton John, il giocatore di cricket Ben Stokes, l'ex leader del Partito conservatore Iain Duncan Smith e la cuoca televisiva Nadiya Hussain.
Stars, politicians, but also senior police officers from the counter-terrorism departments. Here's who was on the list published online by mistake by the British government: over a thousand personalities who at the end of 2019 received an award, with their home and work addresses. All freely available for over an hour. Among the most famous names are Elton John, cricket player Ben Stokes, former Conservative Party leader Iain Duncan Smith and television cook Nadiya Hussain.
Banca, nulla la clausola che autorizza trattamento di dati eccedenti
https://www.altalex.com/documents/news/2019/12/30/banca-nulla-la-clausola-che-autorizza-trattamento-di-dati-eccedenti
Secondo la Cassazione, la clausola con cui una banca subordini l'esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, ed è quindi affetta da nullità.
According to the Italian Supreme Court, the clause with which a bank subordinates the execution of its operations to the release of consent to the processing of sensitive data contrasts with the informing principles of the privacy law, which is of a mandatory nature, and is therefore affected by nullity.
The hottest product at CES 2020 is privacy
https://amp.cnn.com/cnn/2020/01/07/tech/privacy-ces-2020/
Molte delle più grandi aziende tecnologiche presenti al Consumer Electronics Show di Las Vegas stanno ponendo particolare enfasi sulla privacy degli utenti, dopo anni di crescente controllo da parte dei regolatori e dei consumatori sul trattamento dei dati personali da parte del settore.
Several of the biggest tech companies attending the Consumer Electronics Show in Las Vegas are putting a special emphasis on user privacy, following years of mounting scrutiny from regulators and consumers over the industry's handling of personal data.
U.S. Funds Free Android Phones For The Poor — But With Permanent Chinese Malware
https://www.forbes.com/sites/thomasbrewster/2020/01/09/us-funds-free-android-phones-for-the-poor---but-with-permanent-chinese-malware/
Usa: nel telefono per i meno abbienti nascosti dei malware non rimovibili
https://www.lastampa.it/tecnologia/news/2020/01/11/news/usa-nel-telefono-per-i-meno-abbienti-nascosti-dei-malware-non-rimovibili-1.38316028
Il 9 febbraio l’azienda di sicurezza informatica Malwarebytes ha pubblicato un report nel quale denuncia la presenza sul mercato statunitense di smartphone contenenti dei malware cinesi preinstallati. Si tratta dell’UniMax U683CL, telefono cellulare a basso budget distribuito dall’operatore economico Assurance Wireless, di proprietà della multinazionale Virgin, e destinato alle fasce meno abbienti della popolazione.
On 9 February, the computer security company Malwarebytes published a report in which it denounces the presence on the US market of smartphones containing pre-installed Chinese malware. This is the UniMax U683CL, a low-budget mobile phone distributed by the economic operator Assurance Wireless, owned by the multinational Virgin, and intended for the poorest segments of the population.
Microsoft's new Office 365 terms: 'We won't use your data for advertising or profiling'
https://www.zdnet.com/article/microsofts-new-office-365-terms-we-wont-use-your-data-for-advertising-or-profiling/
Microsoft ha implementato una nuova versione dei Termini dei servizi online in risposta alle lamentele sollevate dal Ministero della Giustizia olandese in merito ai dati di telemetria che Microsoft ha raccolto dagli utenti di Office 365 Plus e Office 365. Una delle principali modifiche è che l'aggiornamento dei termini non autorizza Microsoft a elaborare i dati personali dei clienti a fini di "profilazione, pubblicità o scopi commerciali simili o ricerche di mercato" a meno che il cliente stesso non lo abbia autorizzato esplicitamente.
Microsoft has rolled out a new version of its Online Services Terms in response to gripes raised by the Dutch Ministry of Justice over telemetry data that Microsoft collected from Office 365 Plus and Office 365 users. One of the key changes to the OST update is that it doesn't authorize Microsoft to process customer or personal data for the purpose of "profiling, advertising or similar commercial purposes, or market research" unless the customer explicitly allows it.
L'Italia è il paese europeo che commina più multe per violazioni della privacy
https://www.wired.it/internet/regole/2020/01/08/privacy-sanzioni-italia-europa/
Con 30 sanzioni comminate dal Garante della privacy, l'Italia si piazza primo in Europa per le sanzioni inflitte ai trasgressori della privacy.
With 30 sanctions imposed by the DPA, Italy ranks first in Europe for the sanctions imposed on privacy offenders.
Artificial Intelligence
Facebook Removes Accounts With AI-Generated Profile Photos
https://www.wired.com/story/facebook-removes-accounts-ai-generated-photos/
Facebook ha rimosso quella che ha chiamato una rete globale di oltre 900 account, pagine e gruppi dalla sua piattaforma e da Instagram, rete che presumibilmente ha usato pratiche ingannevoli per far arrivare annunci pro-Trump a circa 55 milioni di utenti. La rete ha utilizzato account falsi, amplificazione artificiale e, in particolare, foto di profili di volti falsi generati utilizzando l'intelligenza artificiale per diffondere contenuti polarizzanti, prevalentemente di destra in tutto il Web, anche su Twitter e YouTube.
Facebook removed what it called a global network of more than 900 accounts, pages, and groups from its platform and Instagram that allegedly used deceptive practices to push pro-Trump narratives to about 55 million users. The network used fake accounts, artificial amplification, and, notably, profile photos of fake faces generated using artificial intelligence to spread polarizing, predominantly right-wing content around the web, including on Twitter and YouTube.
An artificial intelligence predicts the future
https://worldin.economist.com/article/17521/edition2020artificial-intelligence-predicts-future
Domanda: Qual è il futuro dell'IA? Risposta: Sarebbe utile se la tecnologia venisse utilizzata in modo più responsabile. In altre parole, dovremmo trattarlo come un'utilità, come uno strumento. Dovremmo fare tutti gli sforzi necessari per sviluppare la tecnologia necessaria, piuttosto che preoccuparci che ci danneggi e distrugga le nostre vite.
Question: What is the future of AI? Answer: It would be good if we used the technology more responsibly. In other words, we should treat it like a utility, like a tool. We should put as much effort into developing the technology as necessary, rather than worrying that it’s going to harm us and destroy our lives.
L’allarme: l’uso dell’intelligenza artificiale va regolato, al più presto
https://www.ilsole24ore.com/art/l-allarme-l-uso-dell-intelligenza-artificiale-va-regolato-piu-presto-ACdI9a8
I Governi dovrebbero intervenire per regolare l’uso (e il senso) dell’intel)ligenza artificiale. Questo il messaggio fortissimo lanciato nel rapporto annuale dell’"AI Now Institute" di New York e declinato in dodici raccomandazioni destinate a policy maker e aziende. Nel mirino in particolare l’uso indiscriminato degli algoritmi preditivi, la trasparenza delle “black box”, il proliferare di tecniche di riconoscimento del volto senza tutele per i cittadini.
Governments should intervene to regulate use (and the sense) of artificial) intelligence. This is the very strong message launched in the annual report of the "AI Now Institute" in New York and declined in twelve recommendations for policymakers and companies. In particular, the indiscriminate use of predictive algorithms, the transparency of "black boxes", the proliferation of face recognition techniques without protection for citizens.
Cybersecurity
The hacker behind your company's data breach may be sitting right in the next cubicle
https://www.cnbc.com/2019/12/17/hacker-behind-your-companys-data-breach-may-be-in-the-next-cubicle.html
Le aziende hackerate negli ultimi 18 mesi affermano che metà di questi incidenti sono stati causati dall'interno, secondo il Global Data Exposure Report del 2019. Nonostante questa tendenza allarmante, le aziende non sono preparate per questa minaccia alla cibersicurezza interna, ha rivelato un'indagine del Q4 CNBC Technology Executive Council. La maggior parte dei dirigenti IT pensa che la cyber war sponsorizzata dallo Stato e i singoli hacker siano le minacce più pericolose per la loro organizzazione.
Companies hacked in the last 18 months say half these incidents were an inside job, according to the 2019 Global Data Exposure Report. Despite this alarming trend, companies are ill-prepared for this insider cybersecurity threat, the Q4 CNBC Technology Executive Council Survey revealed. Most tech executives think state-sponsored cyber warfare and individual hackers are the most dangerous threats to their organization.
Cyber security, la vulnerabilità delle pubbliche amministrazioni
https://it.insideover.com/politica/cyber-security-la-vulnerabilita-delle-pubbliche-amministrazioni.html
Una delle criticità evidenziate nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2019 – 2021 è la “mancanza nelle pubbliche amministrazioni della consapevolezza sulla minaccia e l’assenza di strutture organizzative locali in grado di operare efficacemente un’attività di preparazione e risposta agli incidenti”. Secondo un paper della National Security Research Division della Rand Corp, in Italia soltanto un 28% degli attacchi perpetrati ai danni della pubbliche amministrazioni genera impatti di spionaggio, mentre resta ancora alto l’impatto di criminalità cyber.
One of the critical points highlighted in the 2019 - 2021 Three-Year Plan for Information Technology in the Public Administration is the "lack of awareness in the public administrations on the threat and the absence of local organizational structures capable of effectively operating an accident preparedness and response activity". According to a paper by Rand Corp's National Security Research Division, in Italy, only 28% of attacks perpetrated against public administrations generate espionage impacts, while the impact of cybercrime remains high.
Attacco informatico. Bloccati da due settimane tutti i dati di Iren
https://www.repubblica.it/economia/2019/12/19/news/attacco_informatico_bloccati_da_due_settimane_tutti_i_dati_di_iren-243898592/
Un blackout completo, colpa di un attacco di pirati informatici: nella prima metà di dicembre la multiservizi dell'energia Iren - un colosso con 7.000 dipendenti e due milioni e mezzo di clienti tra Torino, Genova e l'Emilia-Romagna - si è trovata in serie difficoltà.
A complete blackout, the fault of an attack by hackers: in the first half of December the multiservice of energy Iren - a giant with 7,000 employees and two and a half million customers between Turin, Genoa and Emilia-Romagna - found itself in serious difficulty.
Truffa di Natale: hacker contro NoiPA, rubati stipendi e tredicesime a dipendenti pubblici
https://www.ilsole24ore.com/art/truffa-natale-hacker-contro-noipa-rubati-stipendi-e-tredicesime-dipendenti-pubblici-ACtqa77
Secondo fonti vicine alla Polizia Postale il portale NoiPA sarebbe stato colpito da un attacco informatico che avrebbe consentito agli hacker di sottrarre stipendio e tredicesima di alcuni utenti. Un’operazione complessa, basata su tecniche di phishing, che riguarderebbe un numero non definito di dipendenti pubblici.
According to sources close to the Postal Police, the NoiPA portal would have been hit by a cyberattack that would have allowed hackers to steal the salary and thirteenth (Christmas bonus) of some users. A complex operation, based on phishing techniques, which would concern an undefined number of civil servants.
Alcuni hacker cinesi sono riusciti a superare l'autenticazione a due fattori
https://www.wired.it/internet/web/2019/12/24/autenticazione-due-fattori-hacker-cinesi/
Un gruppo di hacker cinesi è riuscito a bypassare l'autenticazione a due fattori per compiere i suoi attacchi. Tra i paesi colpiti anche l'Italia.
A group of Chinese hackers managed to bypass two-factor authentication to carry out its attacks. Italy is also among the affected countries.
Guidance on Cybersecurity for medical devices
https://ec.europa.eu/docsroom/documents/38941
Lo scopo principale di questo documento è fornire ai produttori una guida su come soddisfare tutti i requisiti essenziali pertinenti la cybersicurezza dei due nuovi regolamenti sui dispositivi medici 745/2017 (MDR) e 746/2017 (IVDR) che sono entrati in vigore il 25 maggio 2017. I due regolamenti si applicherano progressivamente fino al maggio 2020 per i dispositivi medici e al maggio 2022 per i dispositivi medico-diagnostici in vitro.
The primary purpose of this document is to provide manufacturers with guidance on how to fulfil all the relevant essential requirements for cybersecurity of the two new Regulations on medical devices 745/2017 (MDR) and 746/2017 (IVDR) that entered into force on 25 May 2017. The two Regulations will apply progressively until May 2020 for medical devices and May 2022 for in vitro diagnostic medical devices.
Focus sul riconoscimento facciale
Focus on facial recognition
Facial Recognition Laws Are (Literally) All Over the Map
https://www.wired.com/story/facial-recognition-laws-are-literally-all-over-the-map/
Why some cities and states balk at face recognition tech
https://apnews.com/2a502a917e8d899def86751ebf2e44f9
We Tested Ring’s Security. It’s Awful
https://www.vice.com/amp/en_us/article/epg4xm/amazon-ring-camera-security
Federal study of top facial recognition algorithms finds ‘empirical evidence’ of bias
https://www.theverge.com/2019/12/20/21031255/facial-recognition-algorithm-bias-gender-race-age-federal-nest-investigation-analysis-amazon
Facial and voice recognition in cars sounds like a privacy nightmare
https://mashable.com/article/facial-voice-recognition-biometric-data-ai-ces.amp/
How NIST Tested Facial Recognition Algorithms for Racial Bias
https://www.scientificamerican.com/article/how-nist-tested-facial-recognition-algorithms-for-racial-bias/
Brevi dal mondo
Worth Mentioning
What’s going on with TikTok, China, and the US government?
https://www.vox.com/platform/amp/open-sourced/2019/12/16/21013048/tiktok-china-national-security-investigation
Blog Aleid Wolfsen: le mura hanno orecchie
https://autoriteitpersoonsgegevens.nl/nl/nieuws/blog-aleid-wolfsen-de-muren-hebben-oren
How the California Consumer Privacy Act Is Affecting the Rest of the U.S.
https://fortune.com/2019/12/18/california-consumer-privacy-act-data-nationwide/
Companies should take California’s new data-privacy law seriously
https://amp.economist.com/business/2019/12/21/companies-should-take-californias-new-data-privacy-law-seriously
Facebook says California’s new privacy law doesn’t apply to its trackers. These lawyers disagree.
https://www.vox.com/platform/amp/recode/2019/12/17/21024366/facebook-ccpa-pixel-web-tracker
California is rewriting the rules of the internet. Businesses are scrambling to keep up
https://www.latimes.com/business/technology/story/2019-12-26/california-internet-data-privacy-law
Ring Throws Customers Under the Bus After Data Breach
https://www.eff.org/deeplinks/2019/12/ring-throws-customers-under-bus-after-data-breach
Ring and Amazon Sued for Security Camera Hacks They Blamed on Customers
https://gizmodo.com/ring-and-amazon-sued-for-security-camera-hacks-they-bla-1840679316/
Amazon, Apple and Google joining forces could be what makes smart homes happen
https://www.technologyreview.com/f/614978/amazon-apple-and-google-joining-forces-could-be-what-makes-smart-homes-happen/
Crittografia, app unificate e lotta alle fake: le sfide di Facebook per il 2020
https://www-corriere-it.cdn.ampproject.org/c/s/www.corriere.it/tecnologia/19_dicembre_19/zuckerberg-2020-perche-prossimo-anno-sara-fondamentale-il-futuro-facebook-9698a676-2282-11ea-8e32-6247f341a5cc_amp.html
…it can protect us from being discriminated against
https://privacyinternational.org/case-study/3308/it-can-protect-us-being-discriminated-against
Bank of England audio leak followed loss of key cybersecurity staff
https://www.theguardian.com/business/2019/dec/21/bank-of-england-audio-leak-followed-loss-of-key-cybersecurity-staff
It Seemed Like a Popular Chat App. It’s Secretly a Spy Tool.
https://www.nytimes.com/2019/12/22/us/politics/totok-app-uae.html#click=https://t.co/1gEVN0F7fH
Colleges are turning students’ phones into surveillance machines
https://www.washingtonpost.com/technology/2019/12/24/colleges-are-turning-students-phones-into-surveillance-machines-tracking-locations-hundreds-thousands/
Just got a new TV or streamer? You need to change these privacy settings
https://www.cnet.com/google-amp/news/just-got-a-new-tv-or-streamer-you-need-to-change-these-privacy-settings/
In China, A New Call To Protect Data Privacy : NPR
https://www.npr.org/2020/01/05/793014617/in-china-a-new-call-to-protect-data-privacy
Google Assistant expands privacy controls to tamp down concerns
https://www.cnet.com/google-amp/news/google-assistant-expands-privacy-controls-to-tamp-down-concerns/
TikTok, una falla mette a rischio la privacy dei video: “Per tutelarvi, aggiornate l’app”
https://www.lastampa.it/tecnologia/news/2020/01/08/news/tiktok-una-falla-mette-a-rischio-la-privacy-dei-video-per-tutelarvi-aggiornate-l-app-1.38302792
At CES, Facebook argues it's just as good on privacy as Apple
https://www.cnet.com/google-amp/news/at-ces-facebook-argues-its-just-as-good-on-privacy-as-apple/
Lifelabs Data Breach, the Largest Ever in Canada, May Cost the Company Over $1 Billion in Class-Action Lawsuit
https://www.cpomagazine.com/cyber-security/lifelabs-data-breach-the-largest-ever-in-canada-may-cost-the-company-over-1-billion-in-class-action-lawsuit/
The other (bigger) privacy problem - The Boston Globe
https://www.bostonglobe.com/2020/01/09/opinion/other-bigger-privacy-problem/
Wojciech Wiewiorowski, Supervisor at the European Data Protection Supervisor
https://platform.dataguidance.com/video/wojciech%C2%A0wiewiorowski-supervisor-european-data-protection-supervisor
Why is a 22GB database containing 56 million US folks' personal details sitting on the open internet using a Chinese IP address?
https://www.theregister.co.uk/2020/01/09/checkpeoplecom_data_exposed/
Skype audio graded by workers in China with 'no security measures'
https://amp.theguardian.com/technology/2020/jan/10/skype-audio-graded-by-workers-in-china-with-no-security-measures
Cookie consent tools are being used to undermine EU privacy rules
https://techcrunch.com/2020/01/10/cookie-consent-tools-are-being-used-to-undermine-eu-privacy-rules-study-suggests/
Il precedente numero della newsletter
The previous issue of the weekly newsletter
Data Protection Awareness [#14]
https://nicfab.substack.com/p/data-protection-awareness-14
Qualora lo abbiate perso, qui riportiamo il numero precedente della newsletter settimanale.
Here is the previous number of the weekly newsletter, if you missed it.