Privacy Monthy Gennaio 2024

Il 2024 inizia con un altro Mensile sulla Privacy, e questa volta è Google a rubare la scena. Il gigante della Silicon Valley ha perso un'importante causa antitrust sul suo Play Store, ha dovuto patteggiare una class action sulla privacy per la modalità Incognito di Chrome e deve fare i conti con un'importante (e ancora non patchata) falla nel suo diffusissimo sistema di autorizzazione OAuth. A parte Google, l'UE è vicina alla finalizzazione dell'AI Act, Meta sta (finalmente) criptando le chat di Messenger e altro ancora!

Michelin chose Simple AnalyticsJoin them

Grossi problemi per Google

A dicembre Google ha patteggiato una class action sul tracciamento della modalità Incognito. La causa chiedeva ** 5 miliardi di dollari** di danni, ma l'importo dell'accordo non è stato reso noto. Abbiamo scritto di più sulla gaffe di Google sulla modalità Incognito qui.

Nel frattempo, l'autorità islandese per la privacy ha multato diversi comuni per aver utilizzato Google Workspace e altri servizi Google Cloud nelle scuole. Sebbene Google non sia responsabile di alcuna violazione, la decisione suggerisce che alcuni dei suoi servizi potrebbero essere troppo invasivi per l'uso in ambito scolastico.

Tra le notizie non correlate alla privacy, Google ha perso un'importante causa antitrust contro Epic Games per il Google Play Store. Se Google dovesse perdere in appello, il caso potrebbe creare un pericoloso precedente per Google e indebolire il lucroso monopolio del Play Store sulla distribuzione di app sulla piattaforma Android.

Come se non bastassero le questioni legali, un ricercatore di sicurezza ha recentemente rivelato un'importante vulnerabilità nei sistemi OAuth di Google. Una svista nel sistema di collegamento delle e-mail per gli account Google consente agli ex dipendenti di mantenere l'accesso ai fornitori di servizi delle loro organizzazioni anche dopo la disattivazione dell'account Google aziendale. Questa vulnerabilità potrebbe causare la violazione di dati personali e di preziose informazioni aziendali, compresi i segreti commerciali.

Il ricercatore ha informato Google in agosto e ha reso pubblici i dettagli solo dopo che Google non ha risolto la vulnerabilità. I principali fornitori di servizi, come Slack, sono stati informati in anticipo della vulnerabilità, al fine di limitare le conseguenze negative della divulgazione. Ad oggi, Google non ha menzionato questa vulnerabilità sul suo blog né ha annunciato una soluzione.

Legge sull'intelligenza artificiale quasi ultimata

Dopo una maratona negoziale di tre giorni, i legislatori dell'UE hanno raggiunto un accordo provvisorio sulla legge sull'intelligenza artificiale.

L'accordo è stato reso possibile da concessioni reciproche tra il Parlamento e il Consiglio: ad esempio, il Parlamento ha accettato di ritagliare eccezioni ristrette per l'uso dell'identificazione biometrica in tempo reale nelle forze dell'ordine, in cambio di un divieto sulla tecnologia di riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole.

L'atto sarà probabilmente finalizzato a breve, poiché i legislatori dell'UE intendono spingere per il traguardo prima dell'elezione del nuovo Parlamento.

Messenger ora crittografato per impostazione predefinita

Meta ha annunciato l'introduzione della crittografia end-to-end per Messenger. La crittografia end-to-end di Messenger utilizza lo stesso protocollo Signal di WhatsApp.

La crittografia end-to-end era già disponibile dal 2016 attraverso le impostazioni dell'utente, ma ora sarà predefinita. Meglio tardi che mai, suppongo.

Il Congresso proroga temporaneamente il FISA 702

Il Congresso degli Stati Uniti ha prorogato la sezione 702 della FISA di quattro mesi, rinviando la proposta di riforma della legge, che è stata molto discussa. Le riforme proposte mirano a limitare il reverse targeting, una forma di sorveglianza senza mandato che aggira alcune delle protezioni previste dalla legge per i cittadini statunitensi.

Il FISA è molto importante per la legge sulla privacy dell'UE. Consentendo una sorveglianza estesa sui dati europei, la Sezione 702 crea un rischio per la privacy nei trasferimenti di dati tra UE e USA. Una riforma della Sezione 702 potrebbe avere conseguenze importanti per i trasferimenti di dati e per il futuro del nuovo quadro sulla privacy dei dati tra l'UE e gli USA.

L'EDPB discute l'approccio pay-or-ok alla privacy

A dicembre il Comitato europeo per la protezione dei dati (l'organismo europeo che riunisce tutte le autorità di protezione dei dati del SEE) ha discusso l'approccio pay-or-ok alla privacy e la sua compatibilità con il GDPR. Il Consiglio non ha ancora pubblicato alcun documento sull'argomento.

Sebbene il pay-or-ok non sia affatto una novità, è diventato un argomento scottante dopo che Meta ha iniziato a offrire abbonamenti a pagamento e senza pubblicità come parte della sua nuova (e controversa) strategia di conformità per la pubblicità mirata. La storia è lunga e ne abbiamo scritto qui.

Importanti sentenze della CGUE sul credit scoring

La Corte di giustizia dell'UE ha emesso due sentenze sulle pratiche di credit scoring. Data la crescente diffusione del rating del credito, queste sentenze potrebbero avere un ruolo importante in futuro.

Il risultato principale è che le persone interessate dal credit scoring godono di diritti e garanzie specifiche ai sensi del GDPR (in particolare, quelle previste per alcune forme di processo decisionale automatizzato ai sensi dell'articolo 22). La Corte ha inoltre stabilito che un'agenzia di credit scoring non può conservare le informazioni sull'insolvenza per un periodo più lungo rispetto ai registri pubblici.

X sotto indagine DSA

Il 18 dicembre la Commissione europea ha avviato un'indagine sulla conformità di X al Digital Services Act, un recente regolamento che impone obblighi di moderazione dei contenuti alle principali piattaforme online.

La cosa non sorprende. X (che allora si chiamava ancora Twitter) ha abbandonato il codice di condotta dell'UE sulla disinformazione nel giugno 2023, proprio prima dell'entrata in vigore del DSA. Di fatto, la piattaforma ha voltato le spalle a impegni volontari che sarebbero diventati obblighi legali nel giro di pochi mesi. Questa mossa confusa ha reso la piattaforma un ovvio bersaglio per l'applicazione del DSA e ha attirato le critiche della Commissione europea.

Per farla breve, l'indagine era prevedibile e X è partita con il piede sbagliato.

Noyb sfida X per la pubblicità politica

In altre notizie relative a X, l'ONG noyb ha presentato un reclamo per la pubblicità politica mirata effettuata da X per conto della Commissione europea. Questa denuncia fa seguito a un'altra recente denuncia contro la Commissione stessa.

Noyb sostiene che a un cittadino olandese sono stati mostrati annunci basati su parole chiave legate alla politica, tra cui nomi di importanti politici di destra. Le organizzazioni ritengono che questa strategia di targeting sia una violazione del GDPR e del Digital Services Act (e noi siamo d'accordo, per quel che vale).

In conclusione, la** Commissione si impegna nelle stesse pratiche che l'UE sta cercando di vietare**. Questo caso è piuttosto imbarazzante per la Commissione, indipendentemente dal suo esito.

Morgan Stanley raggiunge un accordo per un'imbarazzante violazione dei dati personali

Il gigante finanziario Morgan Stanley ha raggiunto un accordo di 6,5 milioni di dollari per una violazione dei dati. La causa è stata avviata da una coalizione di più Stati dopo che la società ha compromesso i dati personali non cancellandoli dai dispositivi dismessi.

Morgan Stanley aveva affidato lo smantellamento a una società di traslochi priva di competenze informatiche. Questo ha fatto sì che i computer e i server aziendali venissero venduti sul mercato con i dati aziendali e personali ancora disponibili nella memoria del dispositivo, talvolta in forma non criptata.