Benvenuti alla prima puntata di Privacy Perspectives. Si tratta di un nuovo spazio per l'approfondimento di materiale del Privacy Monthly e per altro materiale che non rientra nel Privacy Monthly. Ogni articolo è corredato da un link diretto alla fonte, da un commento per contestualizzare e, talvolta, da un parere personale.
- L'EDPB non dà tregua all'IA
- Youtube non si accorge delle pubblicità politiche
- Come fanno le app a proteggere i dati sulla salute femminile?
- Il Markup sulla localizzazione delle auto e i broker ipotecari
- Gli SDK e la FTC
- Come il GPS ha cambiato i dati di localizzazione
L'EDPB non dà tregua all'IA
La legge sull'IA sta conquistando i riflettori dei media, e per una buona ragione: è la prima legge di questo tipo e probabilmente darà il tono al discorso sulle politiche sull'IA in tutto il mondo, proprio come il GDPR ha fatto per la legge sulla privacy. Ma il popolo della privacy sta discutendo anche di altre notizie relative all'IA che sono passate sotto il radar dei media: l'European Data Protection Board (EDPB) ha pubblicato il suo rapporto sul lavoro della taskforce ChatGPT.
Ecco il contesto: nel 2023 il garante italiano della privacy ha vietato ChatGPT per circa un mese per problemi di privacy. Ciò ha spinto l'EDPB (ovvero il comitato in cui siedono tutti i regolatori della privacy) ad avviare un'indagine più ampia attraverso la cosiddetta "ChatGPT taskforce". Il risultato è un rapporto che illustra il terreno comune trovato dai regolatori europei.
Il rapporto è molto importante perché i problemi di ChatGPT sono in gran parte comuni a tutti i modelli fondazionali: per esempio, hanno le allucinazioni, non possono essere in grado di dimenticare i dati e sono per lo più addestrati su dati raccolti in modo non consensuale. Tutti questi sono problemi seri che le autorità di regolamentazione dovranno affrontare nel prossimo futuro e il loro approccio avrà un forte impatto sui modelli fondazionali nel mercato dell'UE.
Il rapporto non si sbilancia e afferma chiaramente che le autorità di regolamentazione si aspettano la piena conformità da parte dei fornitori di IA e che l'impossibilità tecnica non è una scusa per la mancata conformità. In altre parole, l'EDPB non è disposto a dare tregua a OpenAI (e ad altri operatori) adducendo come motivazione che la conformità al GDPR è tecnicamente impossibile.
Il rapporto sottolinea che l'implementazione di misure di salvaguardia può contribuire alla conformità. Ma dobbiamo essere realistici: molte salvaguardie che sono comuni in altri settori semplicemente non funzionano per l'IA, almeno allo stato attuale dell'arte. Se i dati per l'addestramento sono l'intero Web aperto, non è possibile effettuare operazioni come l'anonimizzazione e la sanificazione dei dati sensibili, né lavorare seriamente per migliorare la qualità dei dati.
Le singole autorità di regolamentazione possono benissimo discostarsi dalla posizione dell'EDPB, poiché il rapporto non è di natura vincolante. E naturalmente non si può dire quale sarà la posizione della Corte di giustizia quando si occuperà finalmente di IA e GDPR.
Tuttavia, se la linea del rapporto dovesse prevalere, i modelli fondazionali potrebbero essere in difficoltà sul mercato dell'UE.
Youtube non si accorge delle pubblicità politiche
Un'indagine di Access Now e Global Witness evidenzia che YouTube sta facendo poco o nulla per affrontare la disinformazione elettorale in India.
I due gruppi hanno caricato 48 annunci video contenenti informazioni elettorali grossolanamente false in tre lingue, tra cui l'inglese, che dovrebbe essere la più facile da gestire per Google. Tutti hanno superato l'esame di YouTube. L'unico motivo per cui non sono stati trasmessi è che Access Now li ha ritirati in anticipo.
Forse i licenziamenti di massa del team di sicurezza e fiducia di Google non sono stati una grande idea?
Come fanno le app a proteggere i dati sulla salute femminile?
Scrivendo per The Pulse, Matt Fisher ha analizzato e riassunto un recente studio sulla privacy nelle app di salute femminile nel mercato statunitense. Attenzione: le pratiche di privacy sono terribili in tutto il settore. In larga misura, ciò è dovuto al fatto che molte app di mhealth non sono coperte dall'HIPAA, una legge del settore sanitario statunitense che protegge le informazioni sulla salute.
Come sottolinea correttamente Matt, l 'HIPAA può essere fonte di confusione per i non giuristi. Se i dati rientrano nell'HIPAA dipende non solo dalla loro natura, ma anche dal contesto in cui sono stati raccolti. Per semplificare grossolanamente, i dati sanitari raccolti al di fuori del sistema sanitario non rientrano nel campo di applicazione dell'HIPAA, a prescindere da quanto possano essere sensibili.
Quindi, "il ciclo mestruale di Alice si è interrotto" è un'informazione sanitaria protetta quando Alice lo dice al suo medico, ma non quando lo digita nella sua app mhealh. Questo è controintuitivo e, quindi, confonde Alice. Potrebbe pensare erroneamente che le informazioni siano sempre coperte dall'HIPAA e credere che i suoi dati siano più sicuri di quanto non siano in realtà.
Vale la pena notare che la privacy dei dati sanitari è diventata incredibilmente importante dopo la sentenza Dobbs v. Jackson. Dopo la sentenza, i residenti di alcuni Stati rischiano di essere perseguiti e incarcerati per aver richiesto assistenza sanitaria e le app di mhealth sono un tesoro di prove potenzialmente incriminanti. La FTC sta facendo del suo meglio per contenere i danni, ma non ci sarà una vera soluzione finché gli Stati Uniti non proteggeranno i dati sanitari con una legge federale sulla privacy.
Il Markup sulla localizzazione delle auto e i broker ipotecari
Quando si parla dei danni della sorveglianza, di solito si pensa a distopie future e a scenari da spy story. La realtà è spesso più banale: pensate meno a "1984" e più a "un ex pericoloso che vi perseguita".
Un eccellente articolo pubblicato congiuntamente da The Markup e CalMatters spiega come la localizzazione delle auto permetta gli abusi domestici, consentendo a chi li subisce di localizzare il conducente. Come nota correttamente l'autore, le auto sono spesso un'ancora di salvezza per le vittime di abusi, il che rende ancora più problematico lo stalking con l'auto. A volte nemmeno un ordine restrittivo è sufficiente a fermare il pedinamento.
The Markup ha anche indagato sull'uso del pixel di Meta da parte dei broker di mutui statunitensi e ha scoperto che molti di essi - compresi alcuni pesi massimi - condividono i dati finanziari degli utenti con Facebook senza il loro consenso o addirittura a loro insaputa.
Meta vieta alle aziende di inviare informazioni sensibili tramite il suo pixel e sostiene di utilizzare strumenti automatici per bloccare l'invio di informazioni sensibili. Detto questo, i risultati dell'indagine di The Markup suggeriscono che Meta probabilmente non sta applicando le sue politiche in modo troppo rigoroso.
Gli SDK e la FTC
Andrew Folks analizza in modo approfondito alcune questioni legali relative ai kit di sviluppo software (SDK) e offre una panoramica delle recenti misure adottate dalla FTC contro il tracciamento illegale degli SDK.
I kit di sviluppo software (SDK) sono un insieme di strumenti per la creazione di software. In genere, i proprietari di un SDK incorporano la tecnologia di tracciamento nel codice e la mettono a disposizione di sviluppatori terzi. Di conseguenza, gli sviluppatori possono utilizzare l'SDK gratuitamente e i proprietari dell'SDK possono raccogliere dati dall'utente finale.
Gli SDK sono la catastrofe della privacy di cui quasi nessuno parla. Quasi tutti hanno questo software spia sui loro telefoni. Questo accade anche nel mercato dell'UE e nonostante il rigoroso consenso richiesto dalla direttiva ePrivacy per questo tipo di tracciamento. In effetti, molte aziende si sottraggono alla legge richiedendo il consenso al tracciamento affinché l'applicazione possa funzionare.
Come il GPS ha cambiato i dati di localizzazione
Scrivendo delle recenti multe della FCC contro i vettori di telefonia mobile, Cobun Zweifel-Keegan fornisce un'interessante panoramica di come il GPS abbia cambiato il valore economico dei dati di localizzazione. In poche parole, il GPS ha creato nuovi e redditizi flussi di entrate per i vettori di comunicazione, ma ha anche generato nuove aspettative di privacy tra i clienti.