Benvenuti nel nostro nuovo blog mensile. Una volta al mese tratteremo brevemente alcune delle più importanti notizie sulla privacy.
Cosa è successo il mese scorso? Scopriamolo!
- Il Parlamento europeo indaga sui software spia di Stato, il GEPD interviene
- Procuratevi un telefono usa e getta per i Mondiali di calcio
- Google paga un accordo record sui dati di localizzazione
- Apple deve affrontare una causa per violazione della privacy
- Il governo indiano propone una nuova legge sulla privacy
- Rinviata la chiusura di Google Analytics 360
- Azione collettiva contro il progetto Github Copilot
- La DPA ungherese si pronuncia contro l'uso di Google Analytics
- L'ex CSO di Uber condannato per intralcio alla giustizia
- La CGUE si pronuncerà sul risarcimento per le violazioni del GDPR
Il Parlamento europeo indaga sui software spia di Stato, il GEPD interviene
L'8 novembre, una commissione d'inchiesta del Parlamento europeo ha pubblicato un rapporto sull'uso di spyware da parte dei governi europei.
Secondo i risultati, diversi Stati membri dell'UE hanno utilizzato Pegasus e altri software di sorveglianza per monitorare oppositori politici, giornalisti, attivisti e figure di alto profilo dell'imprenditoria e della finanza, sia legalmente che illegalmente, in genere con la giustificazione della sicurezza nazionale. L'indagine dipinge un quadro desolante e richiede un'azione urgente, tra cui una moratoria sull'uso e la diffusione dei software di spionaggio nell'Unione e la creazione di un quadro giuridico comune per l'uso dei software di spionaggio.
Poco dopo la pubblicazione del rapporto, il Garante europeo della protezione dei dati ha chiesto un divieto generale di spyware di tipo militare nel suo parere sulla proposta di legge europea sulla libertà dei media.
Procuratevi un telefono usa e getta per i Mondiali di calcio
Tra il trattamento disumano della forza lavoro immigrata e le accuse di corruzione nei confronti dei funzionari della FIFA, non mancano le polemiche intorno alla Coppa del Mondo del Qatar. Lo spyware di Stato è la ciliegina sulla torta.
Il Regno del Qatar richiede agli stranieri di installare due applicazioni sui loro telefoni per partecipare alla Coppa del Mondo. Diverse autorità europee per la protezione dei dati hanno recentemente rilevato che queste app sono altamente invasive e ne hanno sconsigliato l'uso. Secondo la DPA tedesca, le app elaborano molti più dati di quanto suggeriscano le note sulla privacy, al punto che le chiamate dell'utente possono essere monitorate. In altre parole, le app sono essenzialmente spyware di Stato. Le DPA norvegese e francese hanno fatto eco a queste preoccupazioni, arrivando a raccomandare l'uso di telefoni usa e getta per assistere alla Coppa del Mondo.
Google paga un accordo record sui dati di localizzazione
Il 14 novembre Google ha accettato di pagare un risarcimento di 391 milioni di dollari per aver tracciato in modo ingannevole la posizione degli utenti in un accordo che ha coinvolto gli avvocati generali di 40 Stati USA.
L'indagine è iniziata nel 2018 dopo che un articolo dell'Associated Press aveva chiesto informazioni sul trattamento dei dati di localizzazione degli utenti da parte di Google. Secondo gli avvocati generali, Google ha utilizzato un'interfaccia progettata in modo ingannevole che includeva meccanismi di opt-out separati e mal spiegati per il tracciamento della posizione, ingannando di fatto gli utenti nel credere che la loro posizione non fosse tracciata.
Oltre al pagamento record, Google si è impegnata a utilizzare un'interfaccia più chiara e a fornire agli utenti maggiori informazioni nell'ambito dell'accordo.
Apple deve affrontare una causa per violazione della privacy
Il 10 novembre è stata intentata una causa contro Apple in un tribunale distrettuale della California. L'azienda avrebbe monitorato le attività sulle app Apple, indipendentemente dalle preferenze dell'utente. Due ricercatori di sicurezza e dipendenti di Mysk, utilizzando un iPhone jailbroken, hanno notato una raccolta sospetta di dati del dispositivo sull'App Store. Secondo l'agenzia di stampa Gizmodo, il monitoraggio coinvolge diverse altre app, tra cui Apple Music, Apple TV e Stocks.
Questo sarà sicuramente un caso interessante. I dati di prima parte sono da tempo una priorità strategica per Apple. Apple sta trattando questi dati in modo lecito e sarà all'altezza della sua reputazione accuratamente costruita di azienda attenta alla privacy quando il suo trattamento dei dati sarà sottoposto a un esame legale?
Il governo indiano propone una nuova legge sulla privacy
La scorsa settimana il governo indiano ha pubblicato la bozza sulla protezione dei dati personali digitali, una proposta di legge federale sulla privacy molto attesa.
All'inizio dell'anno era stata presentata in Parlamento un'altra proposta di legge, poi ritirata dal governo. La nuova bozza incorpora alcuni dei numerosi emendamenti che il Parlamento aveva proposto per il disegno di legge ritirato. Il disegno di legge attirerà sicuramente l'attenzione dei professionisti della privacy di tutto il mondo, dal momento che l'India è un importante nodo per i trasferimenti internazionali di dati.
Rinviata la chiusura di Google Analytics 360
Il 27 ottobre, Google ha annunciato di voler posticipare l'estinzione delle proprietà di Universal Analytics 360 al luglio 2024. Le proprietà Universal Analytics saranno comunque deprecate nel 2023, come previsto.
È la seconda volta che Google ritarda la deprecazione di UA, inizialmente prevista per il 2022. All'inizio di quest'anno, l'azienda ha anche esteso il supporto per i cookie di terze parti in Google Chrome. UA utilizza cookie di terze parti, quindi il ritardo di Universal Analytics è probabilmente nella mente di Google da un po' di tempo.
Azione collettiva contro il progetto Github Copilot
Questo mese è stata presentata in un tribunale federale della California un'azione collettiva contro il progetto Copilot di Github per problemi di copyright.
Github è un servizio di hosting per lo sviluppo di software che Microsoft ha acquisito quattro anni fa. Copilot è un progetto di intelligenza artificiale generativa che scrive codice basato su istruzioni in linguaggio naturale, consentendo una compilazione più rapida del codice. L'intelligenza artificiale di Copilot è addestrata sul codice open source ospitato dal database di Github e può riprodurre le linee di codice ospitate da Github. I sostenitori della class action protestano perché la riproduzione del codice equivale a una violazione dei termini della licenza open source, in quanto Copilot non attribuisce il lavoro allo sviluppatore originale.
La DPA ungherese si pronuncia contro l'uso di Google Analytics
In una decisione non ancora pubblicata, l'autorità ungherese per la protezione dei dati (NAIH) si è pronunciata contro l'uso di Google Analytics per problemi di trasferimento dei dati, seguendo l'esempio delle autorità per la protezione dei dati austriache, francesi e italiane.
Da quello che sappiamo al momento, la decisione sembra essere simile agli altri precedenti europei. Si tratta della mancanza di garanzie efficaci contro la sorveglianza degli Stati Uniti sui dati esteri. La decisione suggerisce che la tendenza all'applicazione rigorosa delle norme sul trasferimento dei dati potrebbe continuare nonostante il recente ordine esecutivo del Presidente degli Stati Uniti Joe Biden. Abbiamo scritto di più sull'argomento qui.
Si noti che gdprhub è l'unica fonte di queste notizie al momento. Gdprhub è un progetto di noyb, una ONG che si occupa di privacy e che è direttamente coinvolta nel caso. Riteniamo che le informazioni siano affidabili, ma un avvertimento è comunque doveroso.
L'ex CSO di Uber condannato per intralcio alla giustizia
Il 3 ottobre l'ex Chief Security Officer di Uber Joe Sullivan è stato condannato per ostruzione della giustizia.
Nel 2016 la Federal Trade Commission stava indagando su una massiccia violazione dei dati di autisti e clienti di Uber. Una giuria federale ha stabilito che Sullivan ha coperto la violazione dei dati e non ha comunicato le informazioni alla Federal Trade Commission. Come evidenziato dalla IAPP, questa è la prima volta che nella giurisprudenza statunitense un CSO viene ritenuto penalmente responsabile in relazione a una violazione di dati. Il caso può quindi costituire un importante precedente.
La CGUE si pronuncerà sul risarcimento per le violazioni del GDPR
Tre anni fa, il servizio postale austriaco è stato coinvolto in uno scandalo per aver profilato i cittadini e venduto i dati a terzi per pubblicità e propaganda politica. Un cittadino ha chiesto un risarcimento in un tribunale austriaco dopo essere stato etichettato come sostenitore della destra dal servizio postale. La Corte suprema austriaca ha sottoposto tre questioni alla Corte di giustizia.
La Corte chiarirà se il danno è un requisito per il risarcimento per le violazioni del GDPR e se il semplice turbamento per una violazione equivale a un danno. La Corte si occuperà anche di questioni relative all'armonizzazione del diritto privato degli Stati membri. La sentenza potrebbe avere implicazioni di vasta portata per l'applicazione del GDPR nei tribunali.
L'avvocato generale Campos Sánchez-Bordona ha emesso il suo parere sul caso il mese scorso.