Come proteggere le informazioni personali dei cittadini della Nigeria durante la lotta contro il COVID-19

Nota dell'editor: Il seguente post è stato scritto dagli autori ospiti Tomiwa Ilori e Adeboye Adegoke. Ilori è un ricercatore e analista politico presso il Centro per i diritti umani dell'Università di Pretoria, Sudafrica; Adegoke è un sostenitore dei diritti digitali, analista politico e responsabile del programma Paradigm Initiative presso l'organizzazione panafricana per i diritti digitali. 

Leggi la copertura speciale di Global Voices sull’impatto globale del COVID-19 ^[3] [it].

Il 5 aprile 2020, il Forum dei governatori della Nigeria (NGF) ha collaborato ^[4] [en, come tutti i link successivi, salvo diversa indicazione] con MTN Nigeria -un fornitore di servizi di telecomunicazione e internet nigeriano- per procurare una serie di servizi al fine di combattere il COVID-19. L'obiettivo è quello di utilizzare le informazioni degli abbonati per monitorare i contatti, fornire misure e servizi palliativi e altre necessità legate al COVID-19.

Il Forum ^[5] si compone di 36 governatori nigeriani che hanno per obiettivo quello di “promuovere attivamente ed efficacemente l'inclusione, i valori democratici, il buon governo e lo sviluppo sostenibile”.

Questa mossa ha fatto sorgere preoccupazioni in merito alla condivisione delle informazioni, alla privacy e alla tutela dei diritti umani. Come possono i cittadini della Nigeria minimizzare questi rischi e ottimizzare i risultati nel rispetto delle leggi vigenti?

Le avversità generano innovazione

Il COVID-19 ha sfidato le società a trovare soluzioni innovative ^[6] che siano legalmente ammissibili per combattere la diffusione del coronavirus. L'ottimizzazione ^[7] dell'accesso alle informazioni dei cittadini da parte dei governi presenta una serie di sfide per le autorità, le aziende private e i gruppi della società civile.

Secondo i dati di dicembre 2019, su oltre 200 milioni di abitanti della Nigeria, più di 184 milioni di cittadini ^[8] utilizzano connessioni mobili nella loro vita quotidiana. Di conseguenza, risulta semplice implementare l'educazione alla prevenzione nella lotta contro il COVID-19 e le misure per il monitoraggio dei contatti.

Tuttavia, queste misure si basano sulla capacità del governo di accedere alle banche dati centrali degli abbonati. Il Regolamento ^[9] per la registrazione degli abbonati telefonici del 2011 istituisce un quadro di riferimento per la registrazione delle informazioni degli abbonati e un database centrale a tale scopo. Questo regolamento rappresenta il quadro giuridico per la registrazione obbligatoria degli abbonati ai telefoni cellulari, nonostante ciò possa comportare diversi rischi ^[10] di uso improprio, di abuso e di non sicurezza legati alla registrazione obbligatoria.

La Commissione Nigeriania delle Comunicazioni (NCC), l'agenzia di regolamentazione per il settore delle telecomunicazioni in Nigeria, ha il potere di emanare una legislazione sussidiaria che include regolamenti per i futuri obiettivi.

Il Regolamento 2(b) stabilisce che “la banca dati centrale dovrebbe essere domiciliata presso la Commissione e dovrebbe fornire una piattaforma per l'elaborazione e l'archiviazione centralizzata delle informazioni relative agli abbonati”. 

Questi database contengono informazioni personali sugli abbonati, tra cui “dati biometrici e altre informazioni personali registrate e memorizzate dai licenziatari o dagli agenti di registrazione indipendenti”.

Le informazioni utilizzate per combattere la diffusione del COVID-19 saranno informazioni personali che in origine non sono state condivise o destinate a tale scopo.

Sebbene i regolamenti consentano l'uso di queste informazioni secondo il Consumer Code of Practice Regulations del 2007 ^[12] della NCC, questo deve prevedere un uso dei dati equo e legittimo, nonché un'accuratezza delle informazioni che rispetti tutti i diritti dei consumatori.

Tra questi regolamenti, forse il più rilevante descrive nel dettaglio come i licenziatari – in particolare i fornitori di servizi – possano garantire la responsabilità ai sensi del regolamento 35(2). Quest'ultimo stabilisce che gli abbonati devono essere avvisati sulle informazioni raccolte e sul loro scopo; agli abbonati devono essere presentate le alternative sulla raccolta, l'uso e la divulgazione delle informazioni; e che gli abbonati devono avere accesso a tali informazioni e alle misure di sicurezza messe in atto per proteggerle.

Se il contesto giuridico in Nigeria sulla protezione dei dati è in gran parte sconcertante, considerando che le principali agenzie governative sembrino duplicare le politiche sulla protezione dei dati, entrambi i regolamenti discussi sopra sembrano collegare l'accesso alle informazioni degli abbonati con la lotta della pandemia da COVID-19.

Questa duplicazione delle politiche è dovuta in gran parte alla mancanza all'interno della legislazione nigeriana di una protezione dei dati primaria, esaustiva e decisa da multilaterali.

Nell'aprile 2020, i princìpi dei regolamenti sopra citati sono stati anche evidenziati ^[13] dal Global System for Mobile Communications (GSMA) nei Mobile Privacy Principles (princìpi sulla privacy nella telefonia mobile) in relazione al COVID-19.

Stabilire una supervisione per la responsabilità

Uno dei modi concreti per attuare questi regolamenti è istituire un comitato multilaterale ad hoc. Nonostante le disposizioni del Regolamento n.5 sugli abbonati telefonici, secondo cui la banca dati centrale è di proprietà del governo nigeriano, questa in realtà viene affidata al governo dai cittadini nigeriani e non esonera il governo stesso da qualsiasi reclamo di uso improprio, nel caso in cui ciò dovesse verificarsi.

Un comitato con il compito di controllare la responsabilità e il rispetto della lettera della legge in un lasso di tempo concreto potrebbe aiutare i cittadini a proteggere la loro privacy e allo stesso tempo combattere il coronavirus.

Ecco alcuni punti da considerare:

Rappresentazione: Il comitato dovrà attirare i suoi membri da diversi soggetti interessati nel settore delle TIC (tecnologie dell'informazione e della comunicazione), tra cui agenzie governative, società civile, settore privato, ricerca e sviluppo, responsabili delle politiche, ecc. Questo offre la possibilità di integrare la responsabilità sull'accesso alle informazioni dei cittadini e sulla lotta contro il COVID-19 nella politica statale.

Conformità e attuazione: La maggior parte delle responsabilità di questo comitato sarebbe quella di rispettare le leggi esistenti e di implementarne altre in materia di accesso alle informazioni degli abbonati. Il consenso degli abbonati è fondamentale. Tuttavia, la maggior parte dei cittadini nigeriani non sono pronti a dare tale consenso date le attuali circostanze. Per mitigare gli effetti negativi, è importante progettare strumenti più inclusivi e accessibili come i codici USSD con opzioni facoltative di partecipazione che possono essere utilizzati per essere sicuri del consenso dell'abbonato. USSD, che significa “dati di servizio supplementari non strutturati”, è una tecnologia interattiva basata su menu e supportata su quasi tutti i telefoni cellulari. I suoi codici consentono agli utenti di accedere ai servizi di conferma e consultazione attraverso la composizione di numeri.

Inoltre, per prepararsi a possibili conseguenze negative date dall'impossibilità di ottenere il consenso degli abbonati, il comitato dovrà garantire la pubblicazione di accertamenti periodici sull'uso delle informazioni degli abbonati sui principali quotidiani online.

Risarcimento: Questo comitato potrebbe creare diversi meccanismi per ottenere un risarcimento nel caso e nel momento in cui gli abbonati si sentano lesi. Dovrebbero essere inoltre implementati sistemi per affrontare i reclami relativi alla raccolta, all'uso e alla divulgazione dei dati.

Divulgazione proattiva: Un passo importante verso la responsabilità è la trasparenza. Il comitato dovrà informare il pubblico circa i suoi propositi, poteri e funzioni. Dovrà inoltre divulgare informazioni sull'utilizzo dei dati, sulle misure di sicurezza e sui mezzi di ricorso disponibili. Il comitato potrà anche determinare il periodo di tempo per il quale i dati verranno utilizzati.

È urgente combattere il COVID-19 con tutti i mezzi legali disponibili. Tuttavia, tali mezzi non devono andare a scapito della tutela dei diritti umani, diritto alla privacy compreso.

L'utilizzo della banca dati centrale per attuare le misure relative al COVID-19 richiede progetti ottimizzati al fine di ridurre il rischio di violazione della privacy.

Il recente appello ^[14] del governo a favore di una legislazione sulla protezione dei dati sembra tardivo, ma è un impegno ancora gradito alla luce delle attuali sfide contro il COVID-19. Questa è un'opportunità per il settore delle TIC nigeriano: utilizzare un approccio multilaterale al fine di armonizzare le varie leggi verso un fronte più unificato per il COVID-19 e le future emergenze.

Anche se le opzioni sopra suggerite non precludono altri approcci consentiti legalmente, ciò dimostra che la tutela dei diritti umani non esclude la risoluzione di una situazione di emergenza pubblica.