Pillole

Pillole di informazione digitale

Segnalazioni di articoli su diritti digitali, software libero, open data, didattica, tecno-controllo, privacy, big data, AI, Machine learning...

Nel suo rapporto Draghi dice che non possiamo avere una forte tutela dei diritti fondamentali e allo stesso tempo aspettarci di promuovere l’innovazione. La critica è rivolta in particolare al GDPR, che protegge i nostri dati personali. Ma è una critica senza fondamento.

Tra le cause della scarsa competitività delle imprese europee nei settori avanzati dell’informatica, oggi chiamata “intelligenza artificiale”, il rapporto Draghi individua la regolamentazione dell’Unione Europea sull’uso dei dati1. Considerata troppo complessa e onerosa rispetto ai sistemi in vigore nei principali paesi leader, come USA e Cina, tale regolamentazione penalizzerebbe i ricercatori e gli innovatori europei impegnati nella competizione globale.

[...]

Il senso è chiaro: non possiamo avere una forte tutela dei diritti fondamentali e allo stesso tempo aspettarci di promuovere l’innovazione. Il trade-off è inevitabile, e prepariamoci ad affrontarlo.

Ma quali sarebbero gli ostacoli che questa “strong ex ante regulatory safeguard” pone all’innovazione e alla competitività delle imprese europee? Il rapporto Draghi ne individua tre: i) il GDPR impone oneri alle imprese europee impegnate nei settori di punta dell’intelligenza artificiale che le penalizzano rispetto ai concorrenti USA e cinesi; ii) l’applicazione frammentaria e incoerente del GDPR crea incertezza sull’uso legittimo dei dati e iii) questa incertezza impedisce, in modo particolare, l’uso efficiente dei dati sanitari per lo sviluppo di strumenti di intelligenza artificiale nel settore medico e farmaceutico.

Verifichiamo se gli argomenti a sostegno di queste tesi possono reggere a un’analisi un po’ approfondita.

Leggi l'articolo di Maurizio Borghi

L'Alta Corte dell'Unione Europea ha emesso una sentenza che limita l'uso dei dati personali degli utenti da parte di Meta e altre piattaforme social per scopi pubblicitari. La decisione, in linea con un parere precedente di un consulente della corte, impone restrizioni sulla durata della conservazione delle informazioni personali per il targeting degli annunci.

La sentenza fa riferimento al Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, istituito nel 2018. In particolare, si basa sul Recital 65 del GDPR, che stabilisce il "diritto all'oblio" e il diritto alla rettifica e cancellazione dei dati personali. La mancata conformità al GDPR potrebbe comportare sanzioni fino al 4% del fatturato annuo globale, cifra che per colossi come Meta potrebbe ammontare a miliardi di euro.

Link all'articolo qui

La Data Protection Commission (DPC), l’autorità irlandese che si occupa di privacy e che agisce in materia per conto dell’Unione Europea, ha multato Meta per 91 milioni di euro per non aver tutelato in maniera adeguata le password dei suoi utenti.

Meta è la società statunitense che controlla Facebook, Instagram e WhatsApp e la sanzione è stata stabilita in seguito a indagini cominciate nell’aprile del 2019, quando Meta aveva avvisato l’ente irlandese di aver inavvertitamente conservato le password nei suoi sistemi interni senza che fossero criptate: è una violazione del Regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), la legge europea in vigore dal maggio del 2018 e pensata per rafforzare la protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea.

Link all'articolo originale

Vinted, la nota piattaforma online di abbigliamento di seconda mano con oltre 100 milioni di utenti in tutto il mondo avrebbe violato il Gdpr, e per questo è stata condannata a pagare una multa di € 2.385.276.

Le autorità avevano denunciato delle “difficoltà incontrate da parte degli interessati nell’esercizio del loro diritto alla cancellazione dei dati", a cui Vinted avrebbe omesso di dare seguito senza fornire specifiche motivazioni, e senza chiarire perché in certi ambiti il trattamento dei dati degli utenti sarebbe proseguito anche dopo la loro richiesta di cancellazione.

In Italia Vinted era stata già sanzionata nel 2022 dall’Antitrust con una multa di 1,5 milioni di euro per aver dato informazioni “ingannevoli e scorrette” agli utenti.

Articolo completo qui

Sintetizzando, sono ormai parecchi anni che le piattaforme digitali sono moderate, con buona pace delle utopie libertarie della rete: la gran parte di quello che vediamo oggi su internet é gestita, direttamente dalla piattaforme di riferimento oppure da aziende terze, perché si tratta di ambienti di tipo commerciale, istituzionale, in definitiva spazi non liberi.

Link all'articolo completo qui.

Approfondimento Dal Digital services act all'AI act

"La moderazione mediata dalle macchine è la regola, con i deludenti risultati che conosciamo: opere d'arte censurate perché considerate nudi imbarazzanti, post eliminati e ricorsi che si perdono nei meandri delle big tech."

"Per effetto del Dsa Bruxelles ha bloccato il lancio di TikTok Lite in Europa, giudicano pericoloso il suo sistema di ricompense per stare sul social perché genererebbe dipendenza. Anche per Temu e Shein sono scattate le prime richieste di informazioni su come gestiscono la sorveglianza di prodotti illegali, che se insoddisfacenti potrebbe costare un'indagine a carico."

La localizzazione del dato sta diventando sempre di più un "false friend". il 24 giugno Microsoft ha ammesso agli organi di polizia scozzesi che non può garantire che i dati sensibili delle forze dell'ordine rimangano nel Regno Unito.

Può sembrare che processare i dati nei confini territoriali dello Stato sia una garanzia assoluta di sovranità. Purtroppo non è così, intanto perchè banalmente non sempre accade. Ed il caso inglese è emblematico. Ma comunque c’è sempre un dato fattuale che non possiamo più far finta di non vedere. L’operatore cloud extraeuropeo spesso si processa i dati in casa: la sua.

Nella migliore delle ipotesi, tiene fermi i dati degli utenti inattivi, ma gli altri li porta fuori e sono proprio quelli in elaborazione.

[...]

Di quale sovranità stiamo parlando quando reclamiamo la localizzazione dei dati nei confini UE? Lo capiamo facilmente seguendo il filo conduttore che ha portato al rinnovo dell’accordo di data flow UE/US.

Leggi l'articolo

L'articolo dei ricercatori del Politecnico di Zurigo, disponibile presso Usenix.org, spiega il metodo usato per documentare con i dati quello che molti utenti sospettano da tempo: i ricercatori hanno adoperato il machine learning, una particolare branca dell'intelligenza artificiale, per automatizzare il processo di interazione con queste richieste di cookie dei siti. Questo ha permesso di estendere la ricerca a ben 97.000 siti fra i più popolari, scelti fra quelli che si rivolgono principalmente a utenti dell'Unione Europea, includendo siti scritti in ben undici lingue dell'Unione.

[...]

I risultati, però, sono sconsolanti: oltre il 90% dei siti visitati con il software scritto dai ricercatori contiene almeno una violazione della privacy. Ci sono violazioni particolarmente vistose, come la mancanza totale di un avviso per i cookie nei siti che usano i cookie per la profilazione dei visitatori, che secondo i ricercatori si verifica in quasi un sito su tre, ossia il 32%.

Leggi l'articolo su ZEUS News

Sulla scia della pandemia, le scuole dell'Unione Europea hanno iniziato a implementare sempre più servizi digitali per l'apprendimento online. Se da un lato questi sforzi di modernizzazione sono uno sviluppo apprezzabile, dall'altro un piccolo numero di grandi aziende tecnologiche ha immediatamente cercato di dominare lo spazio, spesso con l'intenzione di abituare i bambini ai loro sistemi e creare una nuova generazione di futuri clienti "fedeli". Una di queste è Microsoft, i cui servizi 365 Education violano i diritti di protezione dei dati dei bambini. Quando gli studenti vogliono esercitare i loro diritti GDPR, Microsoft afferma che le scuole sono il "responsabile del trattamento" dei loro dati. Tuttavia, le scuole non hanno alcun controllo sui sistemi.

Spostamento di responsabilità tra Big Tech e scuole locali. I fornitori di software come Microsoft hanno un enorme potere di mercato, che consente loro di dettare i termini e le condizioni dei contratti con chiunque voglia utilizzare i loro prodotti. Allo stesso tempo, questi fornitori di software cercano di eludere le responsabilità insistendo sul fatto che quasi tutto ricade sulle autorità locali o sulle scuole. In realtà, nessuno dei due ha il potere di influenzare il modo in cui Microsoft tratta i dati degli utenti. Al contrario, si trovano di fronte a una situazione di "prendere o lasciare" in cui tutto il potere decisionale e i profitti spettano a Microsoft, mentre le scuole devono sopportare la maggior parte dei rischi. Le scuole non hanno alcuna possibilità realistica di negoziare o modificare i termini.

Leggi l'articolo completo

Il paese viola tutti gli standard stabiliti dal Gdpr. Le associazioni per i diritti digitali chiedono all’Europa di rivedere la sua decisione

Israele potrà trasferire nel suo paese i dati dei cittadini europei. Come se niente fosse, come non ci fosse un genocidio, come se fosse un paese sicuro dal punto di vista della privacy. Come se sulla sorveglianza di massa non avesse costruito gli strumenti per le stragi a Gaza. La notizia è di qualche tempo fa, ma si è saputa solo ora: la Commissione di Bruxelles ha dato via libera alla possibilità del trasferimento dei dati da e verso Israele. Dati dei cittadini del vecchio continente. Che ora potrebbero essere profilati, controllati, spiati da Tel Aviv.

In Europa, come sanno tutti, la materia è regolata da una serie di leggi, racchiuse nel Gdpr.

Leggi l'articolo

La Commissione europea ha violato le norme sulla protezione dei dati personali per le istituzioni, il Gdpr, usando Microsoft 365. Lo ha fatto sapere il Garante europeo per la protezione dei dati, a seguito di un’indagine aperta sull’esecutivo europeo, che ha evidenziato come la Commissione non sia stata in grado assicurare un livello adeguato di protezione ai dati trasferiti fuori dall’Unione europea o dallo Spazio economico europeo.

Secondo il Garante, Wojciech Wiewiórowski, la Commissione ha infranto diverse disposizioni del regolamento 1725 del 2018, relativo alla protezione dei dati raccolti e trattati all’interno delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione. Una violazione che ha origine dallo stesso contratto stipulato tra Microsoft e l’esecutivo, nel quale l’istituzione ha mancato di specificare quali dati siano raccolti e a quale scopo quando si utilizza Microsoft 365, che comprende World, Excel, PowerPoint, Outlook e altri applicativi.

leggi l'articolo

Noyb ha presentato un reclamo contro Meta presso l'autorità austriaca per la protezione dei dati. Gli utenti europei possono ora "scegliere" se acconsentire a essere tracciati per la pubblicità personalizzata o pagare fino a 251,88 euro all'anno per mantenere il loro diritto fondamentale alla protezione dei dati su Instagram e Facebook. Non solo il costo è inaccettabile, ma i numeri del settore indicano che solo il 3% delle persone vuole essere tracciato, mentre oltre il 99% decide di non pagare quando si trova di fronte a una "tassa sulla privacy". Se Meta riesce a farla franca, i concorrenti seguiranno presto le sue orme. Considerando che su un telefono medio sono installate 35 applicazioni, mantenere la privacy potrebbe presto costare circa 8.815 euro all'anno.

Leggi tutto sul sito di NOYB

L’azienda statunitense Meta ha annunciato il 30 ottobre che da novembre offrirà agli utenti europei abbonamenti a pagamento per usare Facebook e Instagram senza pubblicità, conformandosi così alla legislazione europea sui dati personali e sulla pubblicità mirata.

[...]

Meta e Google hanno costruito i loro imperi sui ricavi generati dalla pubblicità mirata, basata sui dati personali dei loro miliardi di utenti.

Ma l’Unione europea combatte da anni la profilazione degli utenti senza il loro consenso, prima con il Regolamento generale sulla protezione dei dati (Gdpr) del 2016 e poi con il Digital markets act (Dma), entrato in vigore quest’estate. Le piattaforme digitali avranno tempo fino al 6 marzo 2024 per adeguarsi.

A maggio Meta è stata multata per 1,2 miliardi di euro dall’autorità irlandese, che agisce per conto dell’Unione europea, per aver violato il Gdpr con Facebook. È stata la quarta multa inflitta a Meta nell’Unione europea in sei mesi.

Leggi l'articolo su "Internazionale"

"A partire dal mese di novembre 2023 il Ministero migrerà le vecchie caselle di posta @posta.istruzione.it su un nuovo sistema a seguito di decorrenza dei termini contrattuali."

Quello che il Ministero omette di dire è quale sarà il nuovo provider e quali sono le ragioni del cambio di fornitore.

Mentre il motivo del cambio di fornitore non è molto chiaro (la sezione vantaggi chiarisce solo in parte), il primo mistero è svelato facilmente visitando la sezione "Per saperne di più" sulla migrazione del sito del Ministero. Si legge: "Potrà accedere alla nuova webmail tramite il seguente link: https://outlook.office.com/". Ovvero il sistema di posta elettronica è "ospitato" sui server Microsoft.

Le domande a questo punto sono lecite:

  • siamo certi che passare da un fornitore di posta elettronica italiano (Aruba), compatibile con il regolamento per la protezione dei dati personali (GDPR) europeo, ad uno americano (Microsoft), con tutti i dubbi sulla medesima compatibilità di aziende USA e in attesa di un probabile nuovo ricorso e conseguente pronunciamento contrario della Corte di giustizia dell'Unione europea (sarebbe il terzo), sia negli interessi del sistema scuola italiano?
  • Siamo certi che i dati dei docenti "catturati" da Microsoft non siano usati all'insaputa degli insegnanti per "addestrare" ChatGPT?
  • Siamo certi che non sarebbe meglio, sia economicamente che per la crescita del sapere locale, adottare una soluzione basata su software libero (vedi gli esempi della Provincia autonoma di Bolzano)?

Queste le domande. Ci sarà mai risposta?

Quì per il sito del Ministero sulla migrazione

Per saperne di più sul GDPR

Il deputato francese Philippe Latombe ha intentato una battaglia legale control il Data privacy framework, il nuovo patto Usa-Ue per lo scambio di dati su base transatlantica.

Latombe, membro del parlamento in patria, chiede di sospendere subito l’accordo e ha depositato la richiesta alla Corte di Giustizia Ue, aprendo la stura ad una valanga di ricorsi contro il nuovo accordo per la trasmissione dati fra le due sponde dell’Atlantico.

Leggi l'articolo

Nella puntata del 19 luglio Vannini fa un po' di storia degli accordi USA - UE sulla protezione dei dati e spiega perché il tema è completamente politico.

E così gli USA hanno riottenuto da una commissione sdraiata la loro brava adeguatezza. Le aziende possono continuaree in pace a trasferire i loro dati oltreoceano. Circolare, gente, non c'è niente da vedere. Senonché nemmeno questo "aaccordo bilaterale" (trad. decidiamo che si fa come dicono gli USA) reggerà. Solo un altro giro di danza per non tirare le conclusioni dei principi che l'Europa dice di avere, salvo poi inginocchiarsi davanti allo Zio Sam.

Ascolta il podcast

Lunedì 17 luglio, si è svolto a Pordenone un incontro, organizzato dal Gruppo consiliare Misto dal titolo "Codice dell'Amministrazione digitale (Cad) e Regolamento generale sulla protezione dei dati (Gdpr): casi di successo a km zero".

Lo evidenzia in una nota il consigliere regionale promotore, Furio Honsell (componente del Misto e rappresentante di Open Sinistra Fvg), ricordando che si tratta di un appuntamento, dedicato primariamente alle istituzioni scolastiche, nel corso del quale verranno approfonditi i possibili vantaggi delle soluzioni Open Source, soprattutto rispetto al tema della riservatezza dei minori nelle scuole.

Honsell promuove ormai da anni l'utilizzo di sistemi di Open Source quale opportunità sia tecnica che culturale. Attraverso l'evento di Pordenone l'obiettivo è perciò quello di sensibilizzare i dirigenti e tutti gli operatori del mondo della scuola attraverso gli interventi di docenti, esperti e professionisti del settore. Tra questi anche Giorgio Favaro, Stefano Borroni Barale, Paolo Dongilli, Albano Battistella e Mauro Biasutti.

"È fondamentale sollecitare sul tema anche l'Amministrazione regionale - evidenzia Honsell - attraverso la discussione e l'esame di leggi ad hoc, come quella che avevamo presentato durante la scorsa legislatura e che ripresenteremo nelle prossime settimane in aula. La finalità è quella di promuovere l'utilizzo, lo sviluppo e l'educazione al software libero, affrancando il nostro Paese e le nostre amministrazioni dal colonialismo digitale di poche multinazionali e sviluppando così i principi della conoscenza aperta, creando nuovi posti di lavoro qualificati nel settore".

Guarda/Ascolta la registrazione dell'incontro

Critiche da ogni parte, anche in seno all’Europa. Schrems ha annunciato ricorso. Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia

La recente approvazione da parte della Commissione Europea del “EU-US Data Privacy Framework”, accordo sul trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, ha suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei.

Tutte le critiche al Data Privacy Framework

Ricordiamo che secondo il comunicato stampa della Commissione europea, la decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato – paragonabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro normativo”.

Leggi l'articolo su Agendadigitale.eu

Il parere di Max Schrems, watchdog delle politiche europee sul trattamento dati sul Data Privacy Framework, è impietoso

L’attività di monitoraggio di Max Schrems e del suo NOYB prosegue da tempo e il Data Privacy Framework non fa eccezione. Maximilian Schrems è noto, in particolar modo, per essere l’attivista avvocato che ha battagliato contro Facebook per i suoi numerosi atti di violazione della privacy – a partire dalle leggi europee sul trasferimento di dati personali alla NSA Usa. Una delle critiche maggiormente fatte a questo nuovo accordo, in sostanza, è quella di essere un Safe Harbor 3.0 o un Privacy Shield 2.0 – un copia-incolla degli accordi precedenti che, alla fine, non cambia le carte in tavola quanto dice di fare -. Considerate le criticità già individuate anche dall’EDPB (Comitato europeo per la Protezione dei Dati, composto dalle autorità garanti dei Paesi membri), tutto quello che abbiamo finora sembrerebbe essere il ritardo del blocco del trasferimento dati in Usa che porterebbe i cittadini Ue a non poter usare servizi come quelli forniti da Big Tech.

Leggi l'articolo su Giornalettismo

L'azienda di Zuckerberg si era rivolta alla CGUE per contestare un'indagine dell'Antitrust tedesca. Ma i giudici hanno scoperchiato un vaso di Pandora

Sono tempi difficili per Mark Zuckerberg in Europa. In attesa dell’inizio dei controlli ai sensi del Digital Service Act -che partiranno il prossimo 25 agosto – la CGUE (Corte di Giustizia Europea) è andata contro un ricorso presentato da Meta nei confronti di un’indagine avviata dall’Antitrust tedesca. Tutto era partito da un’inchiesta per “abuso di posizione dominante” avviata dalla Bundeskartellamt, con Menlo Park che aveva contestato la legittimità delle autorità nazionali di intervenire su questi ambiti. E la risposta ha deluso le aspettative della holding che controlla Instagram, Facebook e Whatsapp.

Leggi l'articolo su Giornalettismo

I garanti della privacy di Italia, Austria e Francia avevano confermato che Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati). L’autorità svedese ha invece deciso di sanzionare due aziende locali.

Il garante svedese ha esaminato i casi di CDON, Coop, Dagens Industri e Tele2. Dato che le misure tecniche implementate dalle quattro aziende non garantiscono un sufficiente livello di protezione dei dati inviati negli Stati Uniti, l’autorità ha ordinato di non usare più Google Analytics. Tele2 ha già rispettato l’ordine, ma dovrà pagare una multa di 12 milioni di corone (circa un milione di euro). Una sanzione di 300.000 corone (circa 25.400 euro) è stata invece inflitta a CDON.

Leggi l'articolo su Punto Informatico