NicFab’s Newsletter

Share this post

NicFab’s Newsletter
NicFab’s Newsletter
Data Protection Awareness [#19]
Copy link
Facebook
Email
Notes
More

Data Protection Awareness [#19]

Newsletter edited by Nicola Fabiano and Filippo Bianchini

Nicola Fabiano
Feb 11, 2020

Share this post

NicFab’s Newsletter
NicFab’s Newsletter
Data Protection Awareness [#19]
Copy link
Facebook
Email
Notes
More
Share

Selezione di news dal 4 al 10 febbraio 2020 - N. 19

Selected news from 4th to 10th February 2020 - N. 19

Sono state selezionate, come di consueto, alcune news reputate di maggior rilievo.

Se ritenete, è possibile inviare commenti o suggerimenti scrivendo a nicfab@substack.com

We selected, as usual, some of the most important news items.

You can send comments or suggestions by writing to nicfab@substack.com

Autorità di controllo

Supervisory Authorities

Data Protection Commission launches Statutory Inquiry into Google’s processing of location data and transparency surrounding that processing

  • https://www.dataprotection.ie/en/data-protection-commission-launches-statutory-inquiry-googles-processing-location-data-and

L'inchiesta si prefigge di stabilire se Google abbia una valida base legale per il trattamento dei dati di localizzazione dei suoi utenti e se adempia ai suoi obblighi di trasparenza in qualità di titolare del trattamento.

The inquiry will set out to establish whether Google has a valid legal basis for processing the location data of its users and whether it meets its obligations as a data controller with regard to transparency.

Data Protection Commission launches Statutory Inquiry into MTCH Technology Services Limited (Tinder)

  • https://www.dataprotection.ie/en/data-protection-commission-launches-statutory-inquiry-mtch-technology-services-limited-tinder

L'indagine della DPC si prefigge di accertare se la società abbia una base giuridica per il trattamento dei dati personali dei propri utenti e se adempia agli obblighi di trasparenza e di rispetto delle richieste dell'interessato in qualità di titolare del trattamento.

The inquiry of the DPC will set out to establish whether the company has a legal basis for the ongoing processing of its users’ personal data and whether it meets its obligations as a data controller with regard to transparency and its compliance with data subject right’s requests.

Brexit - Trasferimenti di dati

  • https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-internazionale/trasferimento-dati-estero#brexit

Alla fine del periodo transitorio, i trasferimenti di dati personali verso il Regno Unito dovranno basarsi su uno degli strumenti di cui all’art. 46 del Regolamento (UE) 2016/679 (in assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono comunque utilizzare le deroghe di cui all’art. 49 del Regolamento a determinate condizioni), salva l’adozione da parte della Commissione europea di una decisione che riconosca che il Regno Unito garantisce un livello di protezione adeguato.

At the end of the transitional period, transfers of personal data to the United Kingdom will have to be based on one of the instruments referred to in Article 46 of Regulation (EU) 2016/679 (in the absence of standard data protection clauses or other appropriate safeguards, the derogations referred to in Article 49 of the Regulation may still be used under certain conditions), subject to the adoption by the European Commission of a decision recognising that the United Kingdom ensures an adequate level of protection.

La CNIL publie des contenus dédiés aux codes de conduite et aux règles d’entreprise contraignantes (BCR)

  • https://www.cnil.fr/fr/la-cnil-publie-des-contenus-dedies-aux-codes-de-conduite-et-aux-regles-dentreprise-contraignantes

Al fine di assistere le organizzazioni che desiderano implementare codici di condotta o regole aziendali vincolanti ("BCR"), la CNIL offre nuove schede esplicative per comprendere e padroneggiare questi strumenti di conformità forniti dal GDPR, nonché un servizio telematico per la presentazione di BCR.

In order to assist organizations wishing to implement codes of conduct or binding corporate rules ("BCR"), the CNIL offers new explanatory sheets to understand and master these compliance tools provided by the GDPR, as well as a teleservice to submit BCRs.

EDPB document on the procedure for the approval of certification criteria by the EDPB resulting in a common certification, the European Data Protection Seal

  • https://edpb.europa.eu/our-work-tools/our-documents/procedure/edpb-document-procedure-approval-certification-criteria-edpb_en

Documento sulla procedura di approvazione dei criteri di certificazione da parte dell'EDPB che porta ad una certificazione comune, il sigillo europeo di protezione dei dati.

Newsletter 07/02/2020 - Garante: sì al censimento permanente, ma più tutele per i dati personali - Gdpr e albo pretorio on line: Garante, illecito pubblicare dati sulla salute - Salute: Garante, no alla e-mail con più indirizzi in chiaro

  • https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9257948

Newsletter 07/02/2020 by the Italian DPA: yes to the permanent census, but more protection for personal data - Gdpr and register online: Authority, illegal to publish health data - Health: Authority, no to the e-mail with more addresses in cleartext.

EDPB Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

  • https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en

Il Comitato europeo per la protezione dei dati (EDPB) accoglie con favore i commenti sulle linee guida 1/2020 sul trattamento dei dati personali nel contesto dei veicoli collegati e delle applicazioni relative alla mobilità. Tali commenti devono essere inviati entro e non oltre il 20 marzo utilizzando l'apposito modulo.

The European Data Protection Board (EDPB) welcomes comments on the Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility-related applications. Such comments should be sent by March 20th at the latest using the provided form.

Big Data: pubblicata indagine Agcom, Agcom e Garante privacy 

  • https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9264204

Da tre prospettive diverse e complementari, l’indagine ha approfondito, anche attraverso audizioni e richieste di informazioni a imprese, associazioni di categoria ed esperti della materia, i cambiamenti derivanti dai Big Data sugli utenti che forniscono i dati, sulle aziende che li utilizzano e, dunque, sui mercati. Ciò anche al fine di cogliere appieno le possibili sinergie tra le tre Autorità e identificare gli strumenti più appropriati per eventuali interventi.

From three different and complementary perspectives, the survey has deepened, also through hearings and requests for information to companies, trade associations and experts in the field, the changes resulting from Big Data on the users who provide the data, on the companies that use them and, therefore, on the markets. This also in order to fully grasp the possible synergies between the three Authorities and identify the most appropriate tools for possible interventions.

Public bodies

Welfare surveillance system violates human rights, Dutch court rules

  • https://www.theguardian.com/technology/2020/feb/05/welfare-surveillance-system-violates-human-rights-dutch-court-rules

Un tribunale olandese, in una sentenza che potrebbe aver risonanza ben oltre i Paesi Bassi, ha ordinato l'immediata sospensione di un sistema di sorveglianza automatizzato per l'individuazione di frodi in materia di welfare perché viola i diritti umani. Il caso è stato visto come un'importante sfida legale al controverso ma crescente uso da parte dei governi di tutto il mondo dell'intelligenza artificiale (AI) e della modellizzazione del rischio nella gestione dei benefici sociali e di altri servizi fondamentali.

A Dutch court has ordered the immediate halt of an automated surveillance system for detecting welfare fraud because it violates human rights, in a judgment likely to resonate well beyond the Netherlands. The case was seen as an important legal challenge to the controversial but growing use by governments around the world of artificial intelligence (AI) and risk modelling in administering welfare benefits and other core services.

Corte dei conti: la sanzione irrogata dal Garante della Privacy costituisce danno erariale

  • https://www.entilocali-online.it/corte-dei-conti-la-sanzione-irrogata-dal-garante-della-privacy-costituisce-danno-erariale/

I Giudici della Corte dei conti statuiscono che, sul Presidente della Regione, in quanto legale rappresentante dell’Ente, ricade l’attuazione degli obblighi incardinati nei confronti del titolare. Tale responsabilità non discende dall’attribuzione della qualifica di “titolare”, ma proprio dalla necessità che gli obblighi fossero attuati dalla persona fisica rappresentante legale, attraverso cui può agire in concreto l’Ente.

The Judges of the Italian "Court of Auditors" rule that the President of the Region, as the legal representative of the Body, is responsible for the implementation of the obligations of the controller. This responsibility does not derive from the attribution of the title of "controller", but precisely from the need for the obligations to be implemented by the natural person who is the legal representative, through whom the Entity can act in practice.

Digital life

Councils let firms track visits to webpages on benefits and disability

  • https://www.theguardian.com/technology/2020/feb/04/councils-let-firms-track-visits-to-webpages-on-benefits-and-disability

I Consigli condividono le informazioni sugli utenti dei loro siti web - anche quando cercano aiuto per una richiesta di sussidio, o per una disabilità o per l'alcolismo - con decine di aziende private. Un'indagine ha rivelato che più di 400 autorità locali hanno permesso ad almeno una società terza di rintracciare gli individui che visitano i loro siti.

Councils are sharing information about users of their websites – including when they seek help with a benefit claim, or with a disability or alcoholism – with dozens of private companies. An investigation has revealed that more than 400 local authorities allowed at least one third-party company to track individuals who visit their sites.

Google admits it sent private videos in Google Photos to strangers

  • https://www.theverge.com/2020/2/4/21122044/google-photos-privacy-breach-takeout-data-video-strangers

Google sta avvisando alcuni utenti del suo servizio Google Photos che il gigante della ricerca ha inviato i loro video privati a degli sconosciuti. Il servizio Takeout di Google, che permette di scaricare i propri dati, è stato interessato da un "problema tecnico" tra il 21 e il 25 novembre dello scorso anno. L'email di allerta degli utenti di Google non fornisce alcun dettaglio su quante persone sono state colpite, né sulla quantità di singoli video che sono stati distribuiti in modo non corretto per ogni account. Google ha risolto il problema dopo cinque giorni.

Google is alerting some users of its Google Photos service that they’ve had their private videos sent to strangers by the search giant. Google’s Takeout service, that lets people download their data, was affected by a “technical issue” between November 21st and November 25th last year. Google’s nonchalant email alerting users doesn’t provide any details on how many people were affected, nor the number of individual videos that were distributed incorrectly per account. Google fixed the issue after five days.

Perché l'intelligenza artificiale deve imparare a rinunciare ai dati

  • https://www.wired.it/attualita/tech/2020/02/04/intelligenza-artificiale-rinuncia-dati/

Omar Badawi, Head of Health Data Science & Ai di Philips, oltre che Research Affiliate al Mit e docente alla School of Pharmacy della University of Maryland, mette l’etica di fronte alla necessità di raccogliere dati per nutrire gli algoritmi. “Alle volte è meglio rinunciare a dei dati. C’è un ospedale giapponese che ci fornisce dei dati ma, per come è organizzato il nostro schema, identifica subito che tutti o quasi i pazienti sono di etnia asiatica. E siccome è l’unico ospedale del Giappone con cui collaboriamo, diventa molto semplice andare ad identificare i dati. Per questo abbiamo deciso di non includerli: è meglio rinunciare a delle informazioni pur di mantenere la fiducia delle persone”.

Omar Badawi, Head of Health Data Science & Ai at Philips, as well as Research Affiliate at MIT and lecturer at the School of Pharmacy at the University of Maryland, confronts ethics with the need to collect data to feed algorithms. "Sometimes it's better to give up data. There is a Japanese hospital that provides us with data, but the way our scheme is organized, it immediately identifies that all or almost all patients are ethnic Asians. And since it is the only hospital in Japan that we work with, it becomes very easy to go and identify the data. That's why we decided not to include them: it's better to give up information in order to maintain people's trust".

Cybersecurity

Grave vulnerabilità in TeamViewer

  • https://www.certnazionale.it/news/2020/02/07/grave-vulnerabilita-in-teamviewer/

Come segnalato al CERT Nazionale dalla società Yoroi, la vulnerabilità è legata ad una lacuna nel salvataggio delle credenziali utilizzate dal servizio di assistenza remota, le quali non risultano protette da hashing. Un attaccante con accesso ad un PC su cui è installata una delle versioni vulnerabili di TeamViewer è in grado di ottenere privilegi amministrativi e recuperare le password utilizzate dal servizio di accesso remoto, potenzialmente utilizzabili per instaurare sessioni amministrative sugli ulteriori host di rete muniti di istanze TeamViewer.

As reported to the National CERT by the Yoroi company, the vulnerability is linked to a gap in the saving of the credentials used by the remote assistance service, which are not protected by hashing. An attacker with access to a PC on which one of the vulnerable versions of TeamViewer is installed is able to obtain administrative privileges and recover passwords used by the remote access service, which can potentially be used to establish administrative sessions on additional network hosts with TeamViewer instances.

CERT-PA Riepilogo per la settimana 06/2020

  • https://www.cert-pa.it/notizie/riepilogo-per-la-settimana-06-2020/

Un quadro riassuntivo delle attività svolte dal CERT-PA nel corso della settimana.

An overview of the activities carried out by CERT-PA during the week.

Focus sul riconoscimento facciale

Focus on facial recognition

Facial-recognition tech may have value, but real-time surveillance goes too far

  • https://www.bostonglobe.com/2020/02/04/opinion/facial-recognition-tech-may-have-value-real-time-surveillance-goes-too-far/

La democrazia è assistita da regole che definiscono come e quando le forze dell'ordine possono utilizzare molte tecnologie, dai telefoni ai localizzatori GPS. L'obiettivo dovrebbe essere quello di bilanciare la protezione della libertà individuale con la lotta al crimine. Tutti traggono vantaggio dalla tecnologia utilizzata solo in modo affidabile ed equo: i veri criminali sono identificati e gli innocenti sono protetti.

Democracy is well served by rules that define when and how law enforcement can use many technologies, from telephones to GPS trackers. The goal should be to balance protecting individual liberty with fighting crime. Everyone benefits from technology used in only reliable and fairways: real criminals are identified and the innocent are protected.

Google, YouTube, Venmo and LinkedIn send cease-and-desist letters to facial recognition app that helps law enforcement

  • https://www.cbsnews.com/news/clearview-ai-google-youtube-send-cease-and-desist-letter-to-facial-recognition-app/

CBS News ha appreso che Google, YouTube, Venmo e LinkedIn hanno inviato lettere di diffida a Clearview AI, un'applicazione di riconoscimento facciale che cancella le immagini dai siti web e dalle piattaforme dei social media. Le aziende tecnologiche si uniscono a Twitter, che ha inviato una lettera simile a gennaio, nel tentativo di bloccare l'app per impedire che scatti foto dalle loro piattaforme.

Google, YouTube, Venmo and LinkedIn have sent cease-and-desist letters to Clearview AI, a facial recognition app that scrapes images from websites and social media platforms, CBS News has learned. The tech companies join Twitter, which sent a similar letter in January, in trying to block the app from taking pictures from their platforms.

Facial Recognition Moves Into a New Front: Schools

  • https://www.nytimes.com/2020/02/06/business/facial-recognition-schools.html

Un distretto di New York ha adottato la tecnologia in nome della sicurezza. Gli oppositori sono preoccupati per la privacy e i pregiudizi.

A district in New York has adopted the technology in the name of safety. Opponents cite privacy and bias concerns.

Frustration grows in China as face masks compromise facial recognition

  • https://qz.com/1796833/coronavirus-face-masks-foil-facial-recognition-cameras/

Si scopre che le mascherine per il viso (diffuse in conseguenza del Coronavirus) ostacolano le funzioni basate sul riconoscimento facciale, una tecnologia necessaria per molte transazioni di routine in Cina. Improvvisamente, alcuni telefoni cellulari, porte di condominio e conti bancari non si sbloccano in un batter d'occhio.

It turns out that face masks trip up facial recognition-based functions, a technology necessary for many routine transactions in China. Suddenly, certain mobile phones, condominium doors, and bank accounts won’t unlock with a glance.

Clearview brings privacy concerns from facial recognition into focus

  • https://www.axios.com/clearview-facial-recognition-law-enforcement-ac069290-b83e-4934-a9f0-0b782af82588.html

Gli strumenti di riconoscimento facciale hanno già sollevato problemi di privacy negli Stati Uniti e all'estero, in particolare quando sono utilizzati dal governo, ma la controversia su Clearview ha dimostrato come sia l'industria che le forze dell'ordine si stanno muovendo più velocemente del dibattito.

Facial recognition tools have already raised privacy concerns in the U.S. and abroad, particularly when they're used by government, but the controversy over Clearview has shown that both industry and law enforcement are moving faster than the debate.

Brevi dal mondo

Worth Mentioning

Privacy, tra predatori sessuali e parassiti virtuali. Si può scommettere sulla saggezza digitale dei giovani?

  • https://www.orizzontescuola.it/privacy-tra-predatori-sessuali-e-parassiti-virtuali-si-puo-scommettere-sulla-saggezza-digitale-dei-giovani/

A World Without Privacy Will Revive the Masquerade

  • https://www.theatlantic.com/technology/archive/2020/02/we-may-have-no-privacy-things-can-always-get-worse/606250/

Il precedente numero della newsletter

The previous issue of the weekly newsletter

Data Protection Awareness [#18]

  • https://nicfab.substack.com/p/data-protection-awareness-18

Qualora lo abbiate perso, riportiamo il numero precedente della nostra newsletter settimanale.

Here is the previous number of our weekly newsletter, if you missed it.

Share this post

NicFab’s Newsletter
NicFab’s Newsletter
Data Protection Awareness [#19]
Copy link
Facebook
Email
Notes
More
Share

Discussion about this post

No posts

Ready for more?

© 2024 Nicola Fabiano
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More