Data Protection Awareness [#2]

Newsletter edited by Nicola Fabiano and Filippo Bianchini

SELEZIONE DI NEWS DAL 16 AL 23 SETTEMBRE 2019 - N. 2

Buongiorno a tutti e bentrovati a questa nuova uscita.

Come avrete notato, la newsletter ha cambiato collocazione settimanale, mantenendo tuttavia la sua periodicità: ciò al fine di offrire un servizio migliore ed una più facile possibilità di fruizione durante la settimana lavorativa.

Grazie per l’attenzione e buona lettura!

Hello everyone and welcome to this new issue.

As you may have noticed, the newsletter has changed weekly, while maintaining its periodicity: this in order to offer a better service and an easier possibility of fruition during the working week.

Thank you for your kind attention and enjoy your reading!


Categorie particolari di dati personali e dati biometrici

Special categories of personal data and biometric data

Svuotata una bio-banca elvetica, coinvolte 15mila famiglie italiane

La Cryo-Save di Ginevra è una delle bio-banche utilizzate dai genitori per la conservazione del cordone ombelicale dei figli, contenente preziose cellule staminali. Dallo scorso mese di agosto, le sacche di sangue stipate nei loro forzieri non ci sono più e, sebbene sembra che siano state spostate in Polonia, nessuno sa dire esattamente dove siano finite. Ciò pone seri interrogativi in relazione a quelle “categorie particolari di dati” costituite dai dati genetici: se da una parte possiamo immaginare un futuro nel quale le cellule staminali consentano una replica dell’individuo, già oggi i rischi sono legati a possibili abusi nella tutela della salute o, peggio ancora, a discriminazioni commerciali. Ancora una volta la tutela degli interessati passa necessariamente attraverso la consapevolezza del valore dei dati e dei rischi connessi al trattamento.

The Cryo-Save of Geneva is one of the bio-banks used by parents for the preservation of their children's umbilical cord, which contains precious stem cells. Since last August, the blood bags crammed into their coffers are gone and, although they appear to have been moved to Poland, nobody knows exactly where they ended up. This raises serious questions in relation to those "particular categories of data" constituted by genetic data: if on the one hand we can imagine a future in which stem cells allow a replication of the individual, already today the risks are linked to possible abuses in the protection health or, worse still, commercial discrimination. Once again, the protection of the interested parties necessarily passes through the awareness of the value of the data and the risks connected to the treatment.

Millions of Americans’ Medical Images and Data Are Available on the Internet. Anyone Can Take a Peek

Centinaia di server in tutto il mondo che memorizzano radiografie e risonanze magnetiche per i pazienti sono così insicuri che chiunque abbia un browser Web o poche righe di codice computer può visualizzare i dati dei pazienti.

Hundreds of computer servers worldwide that store patient X-rays and MRIs are so insecure that anyone with a web browser or a few lines of computer code can view patient records. 

Casi e Corti

Cases and Courts

Niente processo per l'hacker etico. Il GIP archivia: "È stata divulgazione responsabile”

Un hacker etico (o white hat) è un appassionato di informatica, esperto di programmazione, di sistemi e di sicurezza informatica in grado di introdursi in reti di computer al fine di aiutarne i proprietari a prendere coscienza di un problema di sicurezza. Il Giudice per le Indagini preliminari di Catania ha emesso un decreto di archiviazione in favore di un hacker che aveva trovato alcune vulnerabilità in un'app e le aveva segnalate al produttore; trascorso un mese senza risposta, aveva divulgato online le vulnerabilità, "a tutela dei consumatori" (si legge nel decreto di archiviazione). Tale attività secondo il Giudice rientra nella "divulgazione responsabile" e non può essere penalmente censurata.

An ethical hacker (or white hat) is a computer enthusiast, programming expert, systems and computer security able to break into computer networks in order to help their owners become aware of a security problem. The judge for preliminary investigations of Catania issued a decree of dismissal in favor of a hacker who had found some vulnerabilities in an app and had reported them to the producer; after an unanswered month, he disclosed vulnerabilities online, "to protect consumers" (reads the archiving decree). This activity according to the Judge is part of "responsible disclosure" and cannot be criminally censored.

Ricerca e studi

Research and studies

Il significato della ricerca scientifica su privacy e protezione dei dati personali in contesti internazionali

The meaning of scientific research on privacy and personal data protection in international contexts

Qual è, oggi, il senso della ricerca scientifica per un avvocato che si occupa di protezione dei dati personali e nuove tecnologie? La sfida più importante è quella di coniugare i profili giuridico-normativi con quelli più prettamente tecnici: tale approccio multidisciplinare consente di acquisire spunti validi per le proprie attività ed eventualmente avviare un confronto; occorre, inoltre, avere un’apertura internazionale, che permetta di confrontarsi con diverse culture e differenti professionalità. 

What is the meaning of scientific research today for a lawyer who deals with the protection of personal data and new technologies? The most important challenge is to combine the legal-regulatory profiles with those that are more purely technical: this multidisciplinary approach makes it possible to acquire valid ideas for one's own activities and possibly start a comparison; moreover, it is necessary to have an international opening, which allows us to deal with different cultures and different professionalisms.

Trattamento e protezione dei dati personali: ecco la UNI/PdR 66 - UNI - Ente italiano di normazione

Com’è noto UNI, ente nazionale italiano di normazione, nel 2017 ha pubblicato la norma UNI 11697:2017 dal titolo “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza”. Tale norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali individuandone 4 e precisamente: 1. Responsabile della Protezione dei Dati (DPO); 2. Manager privacy; 3. Specialista Privacy; 4. Valutatore privacy. UNI ha pubblicato la Prassi di Riferimento UNI/PdR 66:2019 dal titolo «Raccomandazioni per la valutazione di conformità ai requisiti definiti dalla UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza”». La prassi di riferimento fornisce i requisiti specifici per la valutazione di conformità di parte terza esclusivamente delle figure professionali che operano nell’ambito del trattamento e della protezione dei dati personali, secondo quanto definito nella UNI 11697:2017. Il documento è scaricabile gratuitamente dallo store UNI, previa registrazione.

UNI, the Italian national standardisation body, in 2017 published the standard UNI 11697: 2017 entitled "Unregulated professional activities - Professional profiles related to processing and protection of personal data - Knowledge, skill and competence requirements". This standard defines four professional profiles relating to the processing and protection of personal data, and precisely: 1. Data Protection Officer (DPO); 2. Privacy manager; 3. Privacy Specialist; 4. Privacy assessor. UNI published the UNI/PdR 66:2019 Reference Practice entitled "Recommendations for conformity assessment to UNI 11697:2017 “Unregulated professional activities - Professional profiles related to processing and protection of personal data - Knowledge, skill and competence requirements”. The reference practice provides the specific requirements for third party conformity assessment exclusively of the professional profiles working in the field of the processing and protection of personal data, according to the standard UNI 11697:2017. The document can be downloaded for free from the UNI store, upon registration.

Digital life

Almost Entire Population of Ecuador Has Online Data Leaked

L’Ufficio del Procuratore Generale dell’Ecuador stima che i dati di 20 milioni di persone, inclusi quasi sette milioni di minori e di cittadini deceduti, siano stati esposti alla violazione. I dati erano stati ospitati su un server non sicuro gestito da una società di analisi e marketing ecuadoriana.

ZDNet, il sito web che per primo ha segnalato la violazione, ha affermato che sarebbe coinvolti persino i dati sul Presidente e su Julian Assange, il fondatore di WikiLeaks che aveva presentato domanda di asilo in Ecuador.

Data on an estimated 20 million people, including almost seven million minors as well as deceased citizens, was exposed by the breach, the state attorney general's office said. The data was hosted on an unsecured server run by an Ecuadoran marketing and analytics firm.

ZDNet, the cybersecurity website that first reported the breach, said there was even data on the country's president and on Julian Assange, the WikiLeaks founder who applied for asylum in Ecuador.

Facebook svela la sua Corte di Appello: "40 membri che decideranno su libertà di parola e contenuti da cancellare”

Facebook ha svelato il suo piano per creare un comitato indipendente di "supervisione" per prendere decisioni su come moderare la rete. Previsto per essere composto da membri che saranno pagati da un fondo fiduciario di Facebook, il comitato inizierà a giudicare i casi nella prima metà del 2020.

Facebook has unveiled its plan to create an independent "oversight" board to make decisions over how the network is moderated. Slated to be staffed with members this year, who will be paid by a Facebook-established trust, the Oversight Board will begin judging cases in the first half of 2020.

Al Tribunale di Genova un algoritmo per prevedere gli orientamenti dei giudici

Il Tribunale di Genova e la Scuola Superiore Sant'Anna di Pisa hanno firmato una convenzione per avviare la sperimentazione di un algoritmo in grado di analizzare le sentenze emesse dai Giudici e capire quali siano le soluzioni adottate in presenza di determinati presupposti comuni ai vari casi; in particolare, questo potrebbe essere usato per creare tabelle, come nel caso di risarcimento danni per gli infortuni.

The Court of Genoa and the Scuola Superiore Sant'Anna of Pisa have signed an agreement to start experimenting with an algorithm that can analyse the judgments issued by the Judges and understand the solutions adopted in the presence of certain common assumptions to the various cases; in particular, this could be used to create tables, as in the case of compensation for injuries.

Facebook suspended apps from 400 developers for violating the privacy

La rimozione delle app rientra nell'ambito di un'indagine in corso su come gli sviluppatori utilizzano i dati, indagine avviata dalla società dopo lo scandalo Cambridge Analytica nel marzo 2018. Le decine di migliaia di app rimosse da Facebook provengono da soli 400 sviluppatori. L'accresciuto controllo arriva dopo la multa della Federal Trade Commission e l’annuncio che dozzine di Stati negli USA avvieranno indagini antitrust e sulla privacy su Google e Facebook. Diversi candidati alla presidenza hanno anche chiesto che Facebook venga chiuso.

The removals come as part of an ongoing investigation into how developers use data, which the company started after the Cambridge Analytica scandal in March 2018. The tens of thousands of apps Facebook has removed come from just 400 developers. The increased scrutiny comes after the record FTC fine and as dozens of US states have announced they will launch antitrust and privacy investigations into Google and Facebook. Several presidential candidates have also called for Facebook to be broken up.

Autorità di controllo

Supervisory Authorities

La rete, gli haters e i rischi per la libertà di espressione - Intervento di Antonello Soro

Il Presidente del Garante per la protezione dei dati personali prende spunto dalla mossa senza precedenti con la quale il 9 settembre scorso le pagine ufficiali, nazionali e locali, dei due movimenti di estrema destra CasaPound e Forza Nuova e decine di profili dei loro leader e dei loro rappresentanti sono stati rimossi sia da Facebook sia da Instagram. Il Presidente ha ricordato che per contrastare l'hatespeech la Commissione europea ha promosso sin dal 2016 un codice di condotta che ha imposto alle piattaforme specifici obblighi di collaborazione. Pur apprezzando la responsabilizzazione dei gestori viene tuttavia ricordato che la composizione, in ultima istanza, di diritti fondamentali quali dignità e libertà di espressione deve essere affidata all'autorità pubblica, impedendo tanto derive in senso lato "censorie", quanto il rischio che la rete, da spazio di promozione dei diritti di tutti, divenga il terreno su cui impunemente violarli.

The President of the Italian Data Protection Authority takes his cue from the unprecedented move with which, on 9 September, the official national and local pages of the two extreme right-wing movements CasaPound and Forza Nuova and ten profiles of their leaders and their representatives have been removed from both Facebook and Instagram. The President recalled that to counteract the fact that the European Commission has promoted since 2016 a code of conduct that has imposed specific collaboration specifications. While appreciating the responsibility of the managers, it is nevertheless remembered by the composition, in the last resort, of fundamental rights such as dignity and freedom of expression, which must be entrusted to the public authority, preventing so much in the broad sense "censorship", as the risk that the network, from a space to promote the rights of all, it becomes the land on which to violate them with impunity.

Annual report 2018 of the National Data Protection Commission (CNPD)

Consenso del dipendente: sanzione da 150 mila euro dell’Autorità Privacy greca

Con Decisione n° 26/2019, l’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority) ha disposto una sanzione da 150 mila euro – oltre a delle misure correttive – nei confronti della multinazionale Pricewaterhousecoopers Business Solutions Limited Liability Business and Accounting Service Provider SA (PWC BS) per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Regolamento (UE) 2016/679.

Nella Decisione dell’autorità greca viene contestata la correttezza della base giuridica individuata, in quanto il consenso del dipendente non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti; inoltre, la scelta del consenso del dipendente come base giuridica deve essere effettuata come extrema ratio, proprio per le sue caratteristiche di irreversibilità.

With Decision No. 26/2019, the Hellenic Data Protection Authority ordered a fine of € 150,000 - in addition to the corrective measures - against the multinational Pricewaterhousecoopers Business Solutions Limited Liability Business and Accounting Service Provider SA (PWC BS) for not having correctly identified the legal basis of the processing of personal data of its employees and not having respected the principle of accountability, in compliance with Regulation (EU) 2016/679.

In the decision of the Greek authority the correctness of the identified legal basis is disputed, since the employee's consent cannot be considered as freely granted in the context of the employment relationship due to the evident imbalance between the parties; furthermore, the choice of the employee's consent as a legal basis must be carried out as a last resort, precisely because of its irreversibility characteristics.

“Privacy: limite od opportunità? Gli esempi delle nuove tecnologie e dei dati sanitari”. 

Il video del seminario ospitato il 18 settembre dalla Scuola Superiore Sant'Anna che ha visto l’intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali 

The video of the seminar hosted on 18 September by the Scuola Superiore Sant'Anna which saw the intervention of Antonello Soro, President of the Italian Data Protection Authority

Garante privacy: nuove regole per i sistemi di informazione creditizia nella digital economy. Le novità per chi chiede prestiti, mutui e nuove forme di finanziamento

Maggiori tutele per i consumatori censiti nelle banche dati del credito, trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti, apertura alle nuove tecnologie e ai servizi del Fintech. Queste sono alcune delle novità previste nel nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (i cosiddetti “Sic”), proposto dalle associazioni di categoria e approvato dal Garante per la privacy dopo un complesso lavoro di revisione del vecchio Codice deontologico, reso inattuale dalle modifiche introdotte dalla normativa europea (GDPR) e nazionale in materia di privacy.

Greater protection for consumers surveyed in the credit databases, transparency on the functioning of the algorithms that analyse the risk in financing, openness to new technologies and Fintech services. These are some of the innovations envisaged in the new "Code of Conduct for information systems managed by private parties on the subject of consumer credit, reliability and punctuality in payments" (the so-called "Sic"), proposed by the trade associations and approved by the Italian Data Protection Authority after a complex work of revising the old code of ethics, rendered obsolete by the changes introduced by the European (GDPR) and national legislation on privacy.

The Presidency of the European Council published its proposed amendments to the Proposal for a Regulation Concerning the Respect for Private Life and the Protection of Personal Data in Electronic Communications (the “Draft ePrivacy Regulation”)

The Belgian data protection authority imposed a fine of €10,000 on a merchant for the disproportionate use of the electronical identity card for the purpose of creating a loyalty card

L'Autorità belga ha sanzionato un commerciante che offriva la lettura della carta d'identità elettronica come unico mezzo per creare una carta fedeltà. La sanzione amministrativa inflitta ammonta a € 10.000. La carta d'identità elettronica contiene molte informazioni sul titolare della carta e l'uso di questi dati, senza il consenso del cliente, è considerato sproporzionato rispetto al servizio proposto e contrario al principio di minimizzazione.

The Belgian Authority sanctioned a merchant who offered to read the electronic identity card as the only means of creating a loyalty card. The administrative penalty imposed amounts to € 10,000. The electronic identity card contains a lot of information about the cardholder and the use of these data, without the client's consent, is considered disproportionate to the proposed service and contrary to the principle of minimization.

Polish DPA imposes € 645,000 fine for insufficient organisational and technical safeguards

Le misure tecniche e organizzative adottate dalla società non erano appropriate al rischio rappresentato dal trattamento dei dati personali, il che significa che i dati di circa 2,2 milioni di persone sono caduti nelle mani sbagliate. Mancavano adeguate procedure di risposta per far fronte all'emergere di un insolito traffico di rete, ha concluso il presidente dell'Ufficio per la protezione dei dati personali (UODO).

Nella decisione che impone l'ammenda, il presidente della UODO ha concluso che la società, non avendo rispettato i mezzi tecnici necessari per la protezione dei dati, ha violato, tra l'altro, il principio di riservatezza, come stabilito all'articolo 5, paragrafo 1, lettera f del GDPR. Pertanto, vi è stato un accesso non autorizzato e l'ottenimento dei dati dei clienti. L'autorità ha ritenuto che fossero state messe in atto misure non riuscite per l'autenticazione dell'accesso ai dati. La società aveva implementato ulteriori misure di sicurezza tecniche dopo la violazione.

The company’s technical and organisational measures for the protection of personal data were not appropriate to the risk posed by the processing of personal data, which means that data of about 2.2 million people have fallen into the wrong hands. There was a lack of appropriate response procedures to deal with the emergence of unusual network traffic, concluded the President of the Personal Data Protection Office (UODO).

In the decision imposing the fine, the President of UODO concluded that the company by failing to comply with the required technical means of data protection, has breached, inter alia, the principle of confidentiality, as set out in Article 5 (1)(f) of the GDPR. Therefore, there has been unauthorised access to and obtaining of customers’ data. The authority considered that unsuccessful measures for the authentication of data access were put in place. The company had implemented additional technical security measures after the breach.

Cybersecurity

Edward Snowden: The government can hack your iPhone like a criminal to track you

Ahead of the release of his new memoir, Edward Snowden discusses the incredible lengths he goes to in order to guard against his own privacy and explains how your cell phone is tracking you.

Brevi dal mondo

Worth Mentioning

"Betrayed by an app she had never heard of" - How TrueCaller is endangering journalists

Cyber-Security Challenges In India

Personal data protection in Morocco 

Bulk surveillance is unlawful, says the High Court of South Africa

Online Lenders Publicly Shame Debtors in the Philippines Using Their Facebook Contacts

Greek schools to stop recording pupils' faith, nationality 

Documents reveal how Russia taps phone companies for surveillance

Facebook's Mark Zuckerberg visits Washington to discuss election security, data privacy

A facial recognition ban is coming to the US, says an AI policy advisor

India tells tech firms to protect user privacy, prevent abuse

Buying a smart phone on the cheap? Privacy might be the price you have to pay

India to set up one of the world's largest facial recognition systems