Diverse imprese regionali operanti nell'hi-tech hanno sede nella capitale giordana Amman, detta anche la Silicon Valley del Medio Oriente. Immagine:  Dimitris Vetsikas via Pixabay [CC0].

Nel novembre del 2018, alla 31esima sessione dell'Esame Periodico Universale [en, come tutti i link successivi, salvo diversa indicazione], la Giordania ha ricevuto per la prima volta nella sua storia due raccomandazioni sul diritto alla privacy. L'Estonia e il Brasile hanno richiamato l'attenzione sulla necessità di rispettare la privacy dei cittadini. Tuttavia, l'esperienza giordana ha mostrato che le minacce alla privacy e ai diritti digitali non vengono solo dal governo, ma anche dalle agenzie internazionali e dalle multinazionali, tra cui i fornitori di servizi internet e le start-up tecnologiche.

Alla luce dell'assenza di una legge sulla privacy, come vengono gestiti i dati personali in mano ad attori pubblici, privati e internazionali? Inoltre, l'attuazione di una legge sulla protezione dei dati rafforzerà la protezione della privacy nella nazione?

Leggi che consentono la sorveglianza governativa

È credenza diffusa tra i giordani che qualcuno sia sempre all'ascolto, sia al telefono che in internet. La sorveglianza governativa rappresenta una forte minaccia al diritto alla privacy dei giordani, che ha spinto molti, inclusi anche dei giornalisti, a praticare [ar] l'auto censura.

Le regolazioni sulla privacy e sulla sorveglianza comprendono la Legge sulle Telecomunicazioni (13/1995), la quale afferma che “le chiamate telefoniche e le telecomunicazioni devono essere considerate materia confidenziale che non può essere violata, sotto responsabilità legale” (articolo 56:4). Se è vero che si parla di mezzi di comunicazione tradizionali, non c'è alcun riferimento alle piattaforme digitali. Inoltre, la legge antiterrorismo del 2006, e in particolare l'articolo 4, minaccia i diritti alla privacy con il pretesto di proteggere la sicurezza pubblica. Non ottempera nemmeno con i principi necessari e proporzionati, dato che stabilisce che una persona può essere messa sotto sorveglianza se “il procuratore generale ha ricevuto delle informazioni affidabili che indichino che la persona o il gruppo di persone è connesso a una qualsiasi attività terroristica”. Nell'articolo non sono presenti definizioni per cosa si intenda con “informazioni affidabili” o “attività terroristica”.

Nel 2018, il governo ha proposto degli emendamenti alla legge sui crimini informatici, che includono le applicazioni alla lista di “sistemi informativi” che possono essere sottoposti ad ispezione governativa. Al procuratore sono anche stati assegnati maggiori poteri di sorveglianza. Durante una sessione parlamentare del febbraio 2019, la maggioranza dei membri ha votato in favore [ar] degli emendamenti della bozza.

A peggiorare la situazione, con l'assenza di una legge sulla protezione dei dati, il governo giordano impone obbligatoriamente ai sui cittadini  l'uso di carte d'identità “smart” che contengono dati biometrici, e di un piano obbligatorio di registrazione delle carte SIM [ar] che richiederanno ai cittadini di inviare le proprie impronte digitali per registrare un nuovo numero telefonico.

Il diritto alla privacy dei rifugiati

Lo scanner dell'iride usato dai rifugiati per acquistare generi alimentari al campo profughi di Azraq, in Giordania, il 3 aprile 2019. Immagine dell'autore, usata con autorizzazione.

Nel frattempo, anche le istituzioni internazionali devono rendere conto delle proprie scelte. La Giordania ospita circa 531.000 rifugiati siriani, di cui 123.000 all'interno di campi profughi (al dicembre 2019). Una volta entrati in Giordania, i rifugiati devono registrare i propri dati biometrici. Secondo la politica di protezione dei dati dell'UNHCR, i dati dovrebbero essere ottenuti “con una dichiarazione scritta o orale oppure una chiara azione positiva.” Ma il World Food Program si è associato con l'agenzia ONU per i rifugiati (UNHCR) e con l'azienda giordano-britannica IrisGuard per mettere in funzione un sistema di transazione biometrica attraverso la quale i rifugiati possono acquistare cibo e generi alimentari e ritirare contanti dai bancomat, scannerizzando le proprie iridi. Ci sono preoccupazioni sul fatto che i rifugiati siano al corrente della possibilità di rifiutare questo sistema, per non parlare del fatto che essi abbiano effettivamente dato un consenso informato.

Il ruolo delle aziende tecnologiche

Nel settore privato, sono soprattutto le lacune nelle regolamentazioni a minacciare i diritti umani. Amman, la capitale della Giordania, ospita una vivace scena tecnologica. Molte compagnie regionali come la piattaforma secretata OpenSoog, la piattaforma di lingua araba Mawsoo3, i servizi meteorologici regionali ArabiaWeather e il rivenditore regionale di libri digitali Jamalon, hanno sede a Amman. Le aziende internazionali Expedia, Amazon, Microsoft e Careem hanno uffici di progettazione nella nazione. Senza nessuna legge sulla protezione dei dati, queste imprese vengono lasciate a se stesse in quanto alle modalità di gestione dei dati degli utenti. Basta scorrere alcuni delle regolamentazioni sulla privacy di questi siti per scoprire delle pratiche invasive.

Per esempio, il sito per trovare lavoro Akhtabood dichiara esplicitamente nella sua regolamentazione sulla privacy di vendere i dati degli utenti:

…we reserve the right to sell the information that is willingly posted by users on the site to third party customers seeking recruitment services. Akhtaboot is not responsible for any actions taken by any third party customer with regards to the information that is posted by users.

…ci riserviamo il diritto di vendere le informazioni che sono pubblicate di propria volontà dagli utenti del sito a terze parti che si occupano di servizi di assunzione. Akhtaboot non è responsabile per alcuna azione intrapresa da una terza parte in relazione alle informazioni pubblicate dagli utenti.

Dopo aver sviluppato Salma, un assistente digitale che conversa in arabo, simile a Siri ed Alexa, Mawdoo3 ha pubblicato [ar] la propria regolamentazione sulla privacy dichiarando che “si riserva il diritto di monitorare e salvare le registrazioni audio e ogni comunicazione fatta dall'utente attraverso l'applicazione, con finalità di controllo della qualità e per ragioni di sicurezza, attenendosi ai limiti legali.” Gli utenti devono “dare il proprio consenso che Mawdoo3 non sia responsabile, in nessun modo, della compromissione dei dati degli utenti in seguito ad azioni di pirateria informatica.”

L'applicazione per prenotare i taxi Careem (acquisita da Uber nel marzo del 2019) ha dovuto fornire alle forze dell'ordine, sotto richiesta [ar] del Ministero dei Trasporti, pieno accesso [ar] ai propri computer, server e dati, per avere l'autorizzazione ad operare nella nazione.

Anche i fornitori di servizi internet in Giordania sono stati coinvolti in pratiche che violano la privacy dell'utente. Un recente studio condotto da AccesNow e impACT ha mostrato che non solo tali fornitori raccolgono più dati del necessario, ma anche che non rivelano agli utenti quali dati raccolgano e come li elaborino.

La bozza del progetto di legge sulla protezione dei dati

Nel 2014, il ministero giordano dell'informazione e della tecnologia per la comunicazione (conosciuto oggi come ministero dell'economia digitale e imprenditoria) ha presentato una proposta di legge [ar] per la protezione dei dati personali, che è attualmente alla sua quarta e ultima bozza.

La bozza per la proposta di legge sulla protezione dei dati personali si conforma parzialmente agli aspetti fondamentali del regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea, e si applica a tutte le istituzioni private e pubbliche in Giordania, ivi incluse le organizzazione e agenzie internazionali registrate in loco. Rispecchia i concetti di trasparenza, accuratezza, limiti di archiviazione e minimizzazione dei dati della GDPR.

Nella sua forma attuale, tuttavia, il progetto di legge solleva ancora importanti preoccupazioni. Per esempio, la Commissione giordana per la privacy, proposta dal progetto, manca di indipendenza. Infatti, secondo la bozza attuale, questa commissione non solo sarà nominata dal governo, ma anche presieduta dal ministro dell'informazione.

Non è ancora certo se la proposta diventerà legge. Deve essere adottata dal Parlamento, prima di diventare ufficialmente una legge entro sei mesi e con il consenso del re.

Il rimpianto poeta e diplomatico siriano Nizar Qabbani si lamentò così della situazione di libertà nella regione araba:

I am trying to draw a country that will be friendly to my poetry, a country that will not come between me and my thoughts, a country that won't have soldiers wandering over my forehead.

Sto cercando di disegnare una nazione che sia amica della mia poesia, una nazione che non si frapporrà tra me e i miei pensieri, una nazione che non avrà soldati vaganti sopra la mia fronte.

In Giordania, e nell'intera regione, la sorveglianza è stata usata per far tacere il dissenso. Nel mondo iperconnesso dei nostri giorni, le minacce alla privacy in Giordania non provengono solo dal governo, ma anche dalle agenzie internazionali e dalle aziende, compresi i fornitori di servizi internet e le start-up tecnologiche.

Le leggi per la protezione dei dati tendono ad essere percepite come una panacea a tutti i mali della violazione della privacy, ma è ancora da vedere come la proposta di legge in Giordania prenderà forma, e se sarà applicata in modo efficace dopo la sua adozione.