Data Protection Awareness [#16]
Newsletter edited by Nicola Fabiano and Filippo Bianchini
Selezione di news dal 14 al 20 gennaio 2020 - N. 16
Selected news from 14 to 20 January 2020 - N. 16
Sono state selezionate, come di consueto, alcune news reputate di maggior rilievo.
Se ritenete, è possibile inviare commenti o suggerimenti scrivendo a nicfab@substack.com
We selected, as usual, some of the most important news items.
You can send comments or suggestions by writing to nicfab@substack.com
CALL FOR PAPERS
La call for papers (CFP) "New frontiers of Data Privacy and Protection in a data-driven society 2020 - NFDPP" fa riferimento ad una Invited Session ospitata dalla "The 11th International Multi-Conference on Complexity, Informatics and Cybernetics: IMCIC 2020" che si terrà a Orlando, Florida, USA dal 10 al 13 marzo 2020.
Per partecipare e inviare abstract e paper, nonché per leggere il testo della CFP andate qui: https://easychair.org/cfp/NFDPP2020
Spero di vedervi a Orlando!
The Call For Papers (CFP) "New frontiers of Data Privacy and Protection in a data-driven society 2020 - NFDPP" is related to an "Invited Session" hosted by "The 11th International Multi-Conference on Complexity, Informatics and Cybernetics: IMCIC 2020" that will hold in Orlando, Florida, USA on March 10-13, 2020.
To participate, authors have to submit contributes by EasyChair platform. Any information on the CFP web page, here: https://easychair.org/cfp/NFDPP2020
I hope to meet you in Orlando!
Autorità di controllo
Supervisory Authorities
L’Autorità Garante di San Marino invitata a partecipare al Data Protection Day 2020 sotto la Presidenza della Croazia
https://www.sanmarinortv.sm/news/comunicati-c9/l-autorita-garante-di-san-marino-invitata-a-partecipare-al-data-protection-day-2020-sotto-la-presidenza-della-croazia-a182490
L'Avv. Nicola Fabiano, Presidente dell'Autorità Garante per la protezione dei dati personali di San Marino, su invito dell'omologa Autorità croata ha partecipato alla “Conference Data Protection Day 2020: Facing New Challenges” che si è tenuta a Zagabria il 16 gennaio. Per il Presidente dell’Autorità sammarinese è stata l'occasione per incontrare i Colleghi della Croazia, che attualmente hanno la Presidenza di turno del Consiglio dell’Unione Europea e che stanno organizzando la 30a Edizione della “Conference of European Data Protection Authorities (Spring Conference Croatia 2020)”. L'evento ha costituito un'importante opportunità di confronto sui temi più attuali in materia di protezione dei dati e di condivisione delle posizioni afferenti alle nuove sfide nel settore.
Dr Nicola Fabiano, President of the San Marino DPA, participated in the "Conference Data Protection Day 2020: Facing New Challenges", which was held in Zagreb on January 16, by invitation of the homologous Croatian Authority. For the President of the San Marino Authority, it was an opportunity to meet the colleagues from Croatia, who currently have the rotating Presidency of the Council of the European Union and who are organizing the 30th Edition of the "Conference of European Data Protection Authorities (Spring Conference Croatia 2020) ". The event was an important opportunity for discussion on the most current issues regarding data protection and sharing of positions relating to the new challenges in this sector.
French Privacy Watchdog Seeks to Keep Track of Online Cookies
https://www.bloomberg.com/amp/news/articles/2020-01-14/french-privacy-watchdog-seeks-to-keep-track-of-online-cookies
Il Garante francese per la privacy (CNIL) ha redatto delle linee guida per l'uso corretto degli strumenti di monitoraggio online sulla scia di una serie di reclami circa l'uso da parte delle aziende dei dati, presenti online, delle persone a scopi pubblicitari e di marketing senza consenso.
France’s privacy watchdog drafted guidelines for the proper use of online tracking tools in the wake of a series of complaints about companies’ use of people’s online data for advertising and marketing purposes without consent.
Right to information - guide for authorities when taking fingerprints for Eurodac
https://edps.europa.eu/sites/edp/files/publication/2020-01-16_fingerprints_guide_eurodac_en.pdf
Questa pubblicazione aiuta gli ufficiali e le autorità a informare i richiedenti asilo e i migranti in modo comprensibile e accessibile sul trattamento delle loro impronte digitali in Eurodac.
This publication assists officers and authorities to inform asylum applicants and migrants in an understandable and accessible way about the processing of their fingerprints in Eurodac.
La CNIL avvia una consultazione pubblica sul suo progetto di raccomandazione "cookie e altri traccianti"
https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation-cookies-et-autres-traceurs
Nell'ambito del suo piano d'azione sul targeting pubblicitario, la CNIL propone una consultazione su un progetto di raccomandazione riguardante le procedure pratiche per ottenere il consenso dell'utente di Internet per gli operatori che utilizzano i cookie.
As part of its action plan on advertising targeting, the CNIL is proposing a consultation on a draft recommendation concerning practical methods of obtaining the Internet user's consent for operators using cookies.
Il Garante privacy sanziona Eni Gas e Luce per 11,5 milioni. Telemarketing indesiderato e attivazione di contratti non richiesti.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351
Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell'ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
The Italian DPA has applied two penalties to Eni Gas and Luce (Egl), for a total of 11.5 million euros, relating respectively to illegal processing of personal data in the context of promotional activities and activation of unsolicited contracts. The sanctions were determined taking into account the parameters indicated in the EU Regulation, among which are the wide audience of the parties involved, the pervasiveness of the conduct, the duration of the violation, the economic conditions of Egl.
EDPS - Newsletter n. 76
https://edps.europa.eu/press-publications/publications/newsletters/newsletter-76_en
All'inizio di quello che non è solo un nuovo anno, ma un nuovo mandato per l'EDPS, la newsletter di gennaio 2020 offre uno sguardo retrospettivo sugli ultimi dodici mesi, nonché una panoramica di alcuni importanti eventi dell'EDPS che si svolgono questo mese.
At the beginning of what is not only a new year but a new mandate for the EDPS, January 2020’s Newsletter provides you with a retrospective look over the past twelve months, as well as an overview of some important EDPS events taking place this month.
Investigation regarding access to and inspection by the employer of an employee’s emails on a company server, illegal installation and operation of a closed-circuit video-surveillance system and infringement of the right of access
https://edpb.europa.eu/news/national-news/2020/investigation-regarding-access-and-inspection-employer-employees-emails_en
L'Autorità greca ha riscontrato che la società, in qualità di titolare del trattamento, aveva rispettato i requisiti del GDPR e che le sue politiche e regolamenti interni prevedevano il divieto di utilizzare le comunicazioni e le reti elettroniche della società per scopi privati e la possibilità di effettuare operazioni interne di ispezione. Pertanto, la società aveva un diritto legale ai sensi dell'articolo 5, paragrafo 1, e dell'articolo 6, paragrafo 1, lettera f), del GDPR di svolgere un'indagine interna per cercare le e-mail dei dipendenti. L'Autorità ha, invece, riscontrato che il sistema di videosorveglianza a circuito chiuso era stato installato e gestito illegalmente e, inoltre, il materiale registrato presentato all'Autorità era considerato illegale.
The Authority found that the company as a controller had complied with the requirements of the GDPR and that its internal policies and regulations provided for a ban on the use of the company’s electronic communications and networks for private purposes, and for the possibility of carrying out internal inspections. The company, therefore, had a legal right under Articles 5(1) and 6(1)(f) of the GDPR to carry out an internal investigation searching and retreating employee’s emails. The DPA, on the other hand, found that the closed-circuit video-surveillance system had been installed and operated illegally and, in addition, the recorded material submitted to the Authority was considered to be illegal.
Public bodies
The NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management
https://www.nist.gov/privacy-framework/privacy-framework
Lo strumento è destinato a consentire migliori pratiche di ingegneria della privacy che la supportino sin dalla progettazione e aiutano le organizzazioni a proteggere i dati personali.
The tool is intended to enable better privacy engineering practices that support privacy by design concepts and help organizations protect individuals’ privacy.
Digital life
New study: The advertising industry is systematically breaking the law
https://www.forbrukerradet.no/side/new-study-the-advertising-industry-is-systematically-breaking-the-law/
Secondo una ricerca del Norwegian Consumer Council, l'industria della pubblicità online è alla base della raccolta illegale completa e dell'uso indiscriminato dei dati personali.
The online advertising industry is behind the comprehensive illegal collection and indiscriminate use of personal data, research from the Norwegian Consumer Council shows.
Apple scansiona automaticamente le foto scattate da iPhone per identificare abusi sessuali sui minori
https://www.lastampa.it/tecnologia/news/2020/01/15/news/apple-scansiona-automaticamente-le-foto-scattate-da-iphone-per-identificare-abusi-sessuali-sui-minori-1.38333326
Apple ha iniziato a monitorare in automatico le foto caricate dagli iPhone per individuare eventuali immagini di abusi sessuali sui minori. E' Jane Horvath, responsabile della privacy della società di Cupertino, a svelare la notizia: in caso di identificazione di materiale illecito pedopornografico o di sfruttamento dei minori, come si legge in una pagina del sito aziendale, Apple procede a disabilitare gli account responsabili della diffusione di questo tipo di contenuti illegali. Jane Horvath non ha, però, chiarito con precisione come opera e a che livello la tecnologia impiegata.
Apple has automatically started tracking photos uploaded from iPhones to identify any images of child sexual abuse. Jane Horvath, the Cupertino company's privacy manager, revealed the news: in the event of identification of illicit child pornography or exploitation of minors, as stated on a page of the company website, Apple proceeds to disable the accounts responsible for the dissemination of this type of illegal content. However, Jane Horvath has not clarified precisely how the technology used operates and at what level.
Twitter suspends Grindr from ad network after alleged privacy violations
https://www.cbsnews.com/amp/news/twitter-bans-grindr-from-ad-network-following-personal-data-report/
Twitter ha espulso Grindr dalla sua rete pubblicitaria dopo che un rapporto ha affermato che l'app di incontri stava condividendo i dati personali degli utenti con esperti di marketing e inserzionisti.
Twitter has kicked Grindr off of its ad network after a report claimed the dating app was sharing users' personal data with marketers and advertisers.
Google plans to kill support for third-party cookies that track you all over the internet
https://www.cnbc.com/2020/01/14/google-chrome-to-end-support-for-third-party-cookies-within-two-years.html
In un post sul blog, Google ha dichiarato che prevede di eliminare gradualmente il supporto per i cookie di terze parti nel browser Chrome entro due anni. I cookie di terze parti possono essere utilizzati per tracciare gli utenti, indirizzare gli annunci e vedere come si comportano. Il browser Safari di Apple e il browser Firefox di Mozilla hanno fatto mosse simili per limitare i cookie.
In a blog post, Google said it plans to phase out support for third-party cookies in the Chrome web browser within two years. Third-party cookies can be used to track users, target ads and see how they perform. Apple’s Safari browser and Mozilla’s Firefox browser have made similar moves to limit cookies.
Google Chrome’s cookie ban is good news for Google — and maybe your privacy
https://www.vox.com/recode/2020/1/16/21065641/google-chrome-cookie-ban-advertisers
Il piano di Google per eliminare i cookie di terze parti dal suo browser Chrome entro il 2022 è una cattiva notizia per molti inserzionisti digitali. Ma è fantastico per Google, che, a differenza della concorrenza, non deve fare affidamento su questi cookie per alimentare la sua massiccia attività pubblicitaria. Potrebbe, in certi modi, essere buono anche per gli utenti che non vogliono che gli inserzionisti seguano loro e le loro attività su Internet.
Google’s plan to eliminate third-party cookies from its Chrome browser by 2022 is bad news for many digital advertisers. But it’s great for Google, which, unlike its digital advertiser competition, doesn’t have to rely on third-party cookies to power its massive ad business. It might, in certain ways, be good too for users who don’t want advertisers tracking them and their activities all over the internet.
Electronic payments usage is up, but comes with privacy issues for consumers
https://www.cnbc.com/amp/2020/01/15/digital-payments-usage-is-up-but-comes-with-consumer-privacy-issues.html
Lo shopping online è proliferato, le app di pagamento mobile sono diventate più popolari e le banche hanno reso più facile le transazioni su uno smartphone come in una filiale fisica. Semplicità e convenienza portano, tuttavia, inconvenienti per la privacy dei consumatori e problemi di flusso di cassa.
Online shopping has proliferated, mobile payment apps have become more popular, and banks have made it as easy to transact on a smartphone as in a physical branch. Simplicity and convenience come with drawbacks such as consumer privacy and cash-flow issues.
Dating apps, menstrual trackers accused of violating European data privacy law
https://www.axios.com/dating-apps-data-privacy-law-c4b5136c-90c9-4de2-88f7-cd9459a7010f.html
Il Consiglio dei consumatori norvegese, in un rapporto pubblicato martedì, ha indicato come Grindr, OkCupid, Tinder, Qibla Finder e MyDays X siano tra le 10 app che inviano i dati degli utenti - come etnia, posizione, genere ed età - alle società di annunci digitali.
Grindr, OkCupid, Tinder, Qibla Finder and MyDays X are among 10 apps feeding user data — such as ethnicity, location, gender and age — to digital ad companies, nonprofit Norwegian Consumer Council found in a report released on Tuesday.
Una Policy GDPR in previsione delle sanzioni
https://zerodays.podbean.com/e/una-policy-gdpr-in-previsione-delle-sanzioni/
Il Prof. Ziccardi, docente di Informatica Giuridica presso l’Università degli Studi di Milano, ha analizzato circa 170 sanzioni comminate negli ultimi due anni in quasi tutti i Paesi dell'Unione Europea. All'esito, ha elaborato una policy "anti-sanzioni" in 15 regole.
Prof. Ziccardi, professor of Legal Informatics at the University of Milan, has analyzed about 170 sanctions imposed in the last two years in almost all European Union countries. In the end, he elaborated an "anti-sanctions" policy in 15 rules.
Da aprile l’algoritmo (a prova di privacy) per i controlli selettivi sui conti correnti
https://www.key4biz.it/da-aprile-lalgoritmo-a-prova-di-privacy-per-i-controlli-selettivi-sui-conti-correnti/286373/amp/?__twitter_impression=true
Secondo il Garante dei dati personali Antonello Soro, la tecnica della pseudonimizzazione rappresenta un escamotage di dubbia efficacia, riporta Il Messaggero, considerato che gli interessati risultano comunque identificabili. L’Authority ha chiesto perciò che venga messo nero su bianco l’elenco dei diritti dei contribuenti che subiranno delle limitazioni e di garantire l’esercizio di rettifica da parte degli interessati.
According to the President of the Italian DPA Antonello Soro, the pseudonymisation technique represents a trick of dubious efficacy, reports Il Messaggero, considering that the interested parties are still identifiable. The Authority has, therefore, requested that the list of taxpayers' rights that will be subject to limitations be guaranteed black and white and that the data subject should correct the exercise.
Artificial Intelligence
Microsoft e Ibm al Vaticano per sottoscrivere una “carta etica” sull’intelligenza artificiale
https://www.lastampa.it/tecnologia/news/2020/01/17/news/microsoft-e-ibm-al-vaticano-per-sottoscrivere-una-carta-etica-sull-intelligenza-artificiale-1.38340427
Microsoft e Ibm firmano una 'Call for Ethics' che vuole aiutare le aziende in un percorso di valutazione degli effetti delle tecnologie collegate all'intelligenza artificiale, dei rischi che comportano, e di possibili vie di regolamentazione, anche sul piano educativo.
Microsoft and IBM sign a 'Call for Ethics' that wants to help companies in an evaluation process of the effects of technologies connected to artificial intelligence, of the risks they entail, of possible ways of regulation, also on the educational level.
Il futuro della politica è in mano all’intelligenza artificiale
https://www.internazionale.it/notizie/bruce-schneier/2020/01/17/futuro-politica-intelligenza-artificiale
Una delle principali minacce che si profilano all’orizzonte è l’arrivo di personalità artificiali, destinate a dominare il dibattito politico. Il rischio nasce da due tendenze che si presentano contemporaneamente: la generazione di testi alimentata dall’intelligenza artificiale e le chatbot (i software che simulano una conversazione con un essere umano) sui social network. Queste “persone” generate da computer sommergeranno le discussioni realmente umane su internet.
One of the main threats looming on the horizon is the arrival of artificial personalities, destined to dominate the political debate. The risk arises from two trends that arise simultaneously: the generation of texts powered by artificial intelligence and chatbots (software that simulates a conversation with a human being) on social networks. These computer-generated "people" will overwhelm the truly human discussions on the internet.
Ue, arriva il Libro bianco sull'Intelligenza artificiale: moratoria per il riconoscimento facciale
http://www.rainews.it/dl/rainews/articoli/commissione-europea-a-febbraio-presenta-libro-bianco-su-intelligenza-artificiale-20690577-3fbb-41ae-ad03-ec1796a3d8ce.html
La Commissione europea sta per pubblicare il Libro bianco sull'Intelligenza artificiale, di cui una parte, quella riguardante la moratoria sul riconoscimento facciale, ha avuto ampia eco. Ma sono principalmente le questioni etiche dell'IA ad essere al centro dell'attenzione. Non solo dell'Ue, ma anche del Vaticano e della Silicon Valley.
The European Commission is about to publish the White Paper on Artificial Intelligence, of which a part the one concerning the moratorium on facial recognition, has had a wide echo. But it is mainly the ethical issues of AI that are the centre of attention. Not only of the EU but also of the Vatican and Silicon Valley.
Cybersecurity
Enisa, 'la condivisione delle informazioni è la chiave contro le vulnerabilità'
https://www.key4biz.it/cybersecurity-report-enisa-la-condivisione-delle-informazioni-e-la-chiave-contro-le-vulnerabilita/285483/
Uno dei punti chiave del report è la standardizzazione delle informazioni, che, secondo l’Enisa, svolge un ruolo chiave nel processo di raccolta delle informazioni sulle vulnerabilità semplificando la condivisione dei dati sulle minacce e la gestione dei rischi. Lo scopo del rapporto è quello di fornire una panoramica delle opportunità e dei limiti che offre l’ecosistema di vulnerabilità.
One of the key points of the report is the standardization of information, which, according to ENISA, plays a key role in the process of collecting information on vulnerabilities by simplifying the sharing of threat data and risk management. The purpose of the report is to provide an overview of the opportunities and limits that the vulnerability ecosystem offers.
Gli hacker diventano la prima minaccia per le aziende. Salgono le paure legate al cambiamento climatico
https://www.repubblica.it/economia/rapporti/impresa-italia/tecnologia/2020/01/18/news/gli_hacker_diventano_la_prima_minaccia_per_le_aziende_salgono_le_paure_legate_al_cambiamento_climatico-245756987/
Gli attacchi hacker e la sicurezza informatica in genere diventano la prima minaccia per le aziende. Lo rileva il barometro pubblicato annualmente da Allianz, che traccia quali sono i maggiori rischi percepiti dagli imprenditori a livello globale. Anche in Italia la paura di intrusioni dalla rete web è molto forte, ma resta al secondo posto; da noi, infatti, in cima si conferma la cosiddetta "interruzione di attività", ovvero la necessità di sospendere il normale ciclo produttivo, anche per problemi alle forniture.
Hacker attacks and cybersecurity generally become the first threat to businesses. This was noted by the barometer published annually by Allianz, which tracks what are the greatest risks perceived by entrepreneurs globally. Even in Italy the fear of intrusions from the web is very strong, but remains in second place; here, in fact, the so-called "business interruption", ie the need to suspend the normal production cycle, also due to supply problems, is confirmed at the top.
Pubblicato elenco di credenziali di accesso a servizi Telnet
https://www.cert-pa.it/notizie/pubblicato-elenco-di-credenziali-di-accesso-a-servizi-telnet/
Secondo quanto riportato da un articolo pubblicato da Catalin Cimpanu su ZDnet, la scorsa settimana sono state rese pubbliche su un forum underground credenziali di autenticazione e relativi indirizzi IP per accesso tramite il protocollo Telnet. Nello specifico si tratta di un leak che comprende: indirizzi IP, username e password utilizzati per accedere a circa 515.000 dispositivi tra server, router e dispositivi IoT.
According to an article published by Catalin Cimpanu on ZDnet, last week authentication credentials and related IP addresses for access via the Telnet protocol were made public on an underground forum. Specifically, this is a leak that includes: IP addresses, username and password used to access approximately 515,000 devices between servers, routers and IoT devices.
Focus sul riconoscimento facciale
Focus on facial recognition
Riconoscimento facciale, Alexandra Ocasio-Cortez: 'Le aziende possono vendere i dati raccolti'
https://www.key4biz.it/riconoscimento-facciale-ocasio-cortez-le-aziende-possono-vendere-i-dati-raccolti-dalle-app/285928/
EU eyes temporary ban on facial recognition in public places
https://www.theguardian.com/technology/2020/jan/17/eu-eyes-temporary-ban-on-facial-recognition-in-public-places
Clearview AI, le nostre foto sui social usate per il riconoscimento facciale
https://www.repubblica.it/tecnologia/sicurezza/2020/01/20/news/clearview_ai_riconoscimento_facciale_di_massa-246209835/
Secondo il New York Times il sistema creato dal cofondatore di PayPal permette alla polizia di identificare persone grazie a un database di 3 miliardi di foto da social e web.
According to the New York Times, the system created by the PayPal co-founder allows the police to identify people thanks to a database of 3 billion photos from social and web.
Brevi dal mondo
Worth Mentioning
India threatens to tear apart any semblance of digital privacy - The Washington Post
https://www.washingtonpost.com/opinions/global-opinions/india-threatens-to-tear-apart-any-semblance-of-digital-privacy/2020/01/13/04089bdc-3640-11ea-bf30-ad313e4ec754_story.html
Ubiquitous Surveillance Cameras Are Changing Our Understanding of Human Behavior
https://www.vice.com/amp/en_us/article/qjdbxm/ubiquitous-surveillance-cameras-are-changing-our-understanding-of-human-behavior
Il precedente numero della newsletter
The previous issue of the weekly newsletter
Data Protection Awareness [#15]
https://nicfab.substack.com/p/data-protection-awareness-15
Qualora lo abbiate perso, riportiamo il numero precedente della nostra newsletter settimanale.
Here is the previous number of our weekly newsletter, if you missed it.