M-PESA Un agente di credito elettronico e investimenti a Nairobi, Kenya. Photo di Fiona Graham [1] da Wikimedia Commons, CC BY-SA 2.0. [2]
Lo scorso anno, in Kenya, è stata finalmente approvata ed è entrata in vigore, l'attesissima legge sulla protezione dei dati.
LEGGI ANCHE: Il Kenya ora ha una legge sulla protezione dei dati. Cosa significa questo per i netizen? [3] [it]
La legge, la cui legislazione completa attinge a piene mani dal regolamento generale dell'Unione Europea sulla protezione dei dati (GDPR) [4], cerca di creare una struttura istituzionale e delle normative per il trattamento dei dati in Kenya e appartenenti ai keniani.
Descrive le procedure che i responsabili del trattamento dei dati dovrebbero seguire per raccogliere e elaborare i dati personali — una mossa che pone ora il Kenya alla pari con 25 [5] altri paesi africani.
Mentre le ruote dell'applicazione della legge iniziano a girare, il garante della privacy — la cui nomina è ancora in corso — dovrà lavorare rapidamente [6]per predisporre le strutture e i sistemi, registrare i responsabili e il titolare del trattamento dei dati e facilitare le effettive operazioni di regolamentazione del trattamento dei dati.
Questa potrebbe benissimo diventare una corsa contro il tempo visto che il Kenya parteciperà a un'altra elezione presidenziale nell'agosto del 2022. Se la legge non sarà in vigore prima di allora, l’ utilizzo dei big data potrebbe influire di nuovo sulle prossime elezioni.
Per due cicli consecutivi di elezioni presidenziali, l'ormai estinto Cambridge Analytica ha aiutato a sabotare [7]la democrazia del Kenya attraverso la sua interferenza digitale nel plasmare l'opinione pubblica.
I social media mobili e la tirannia dei numeri
Su una popolazione di 53 milioni di kenioti il 98% possiede uno smartphone. Secondo le statistiche di Data reportal [8] il numero di connessioni mobili in Kenya a gennaio 2020 era di circa 52 milioni. Per la maggioranza, il telefono è l'unico dispositivo usato per accedere a internet. L'utilizzo dei social media in Kenya è aumentato costantemente negli anni. A gennaio 2020 la cifra si attestava intorno agli 8,8 milioni di utenti — una crescita del 13 percento da aprile 2019 con Facebook e WhatsApp.
Nel 2020, i numeri hanno subito un’ impennata. Solo tra aprile e settembre, gli abbonamenti dati mobili, sono aumentati del 5% secondo l'autorità per le comunicazioni del Kenya. [9]
Il Kenya si è guadagnato la reputazione di essere uno degli stati africani leader in connettività ed è diventato il paese ideale dove condurre campagne politiche sui social media.
Circa la metà dei 16,9 milioni di elettori registrati in Kenya nel 2017 erano millennials (età 18-35) per la prima volta elettori — le elezioni del 2022 probabilmente non saranno diverse.
Le fake news e gli scontri politici online in Kenya
Il Kenya ha bisogno di agire rapidamente in merito alle leggi sulla protezione dei dati, non solo sulla carta, ma riguardo alla loro piena attuazione. Già a soli 20 mesi dall'inizio delle elezioni, Il giornale leader dell'Africa dell'est, The East African, ha riferito di una crescente disinformazione [10]con le battaglie politiche del Kenya che si svolgono sempre più online.
Parlando all’ Africa orientale East Africa, Alphonce Shiundu, l'editor del Kenya dell'organizzazione per la verifica dei fatti Africa Check, ha detto [10] che le attuali guerre politiche online rispecchiano la messaggistica tossica attribuita alla società di consulenza britannica ormai caduta in disgrazia Cambridge Analytica durante le elezioni del 2017.
Durante la campagna elettorale di quell'anno, il partito cattolico in carica assunse la compagnia [11] per usare i big data, il micro targeting comportamentale e la disinformazione con lo scopo di condurre alla vittoria il presidente in carica Uhuru Kenyatta.
Questa è la sfida a cui sarà chiamato il garante per la protezione dei dati (GP) chiedendo non solo che dimostri di saperla affrontare — ma che sappia costruire una fortezza che impedirà ai partiti politici di usare i dati per manipolare il loro elettorato o peggio ancora — incitare alla tensione etnica e alla violenza.
A livello di base, il nuovo ufficio del GP diventerà il luogo in cui i kenioti si recheranno per sporgere denuncia sull'uso improprio dei dati personali non solo da parte di imprese commerciali ma sempre più da parte di personalità politiche.
Il Kenya si colloca fra i primi tre paesi in cui gli utenti ricevono il maggior numero i messaggi di spam, in tutto il mondo. Come mostrano i dati di Truecoller [12], l'app di identificazione del chiamante con sede a Stoccolma.
La più grande azienda di telecomunicazioni del Kenya, Safaricom, è stata, in diverse occasioni, criticata su Twitter [13] dai suoi clienti inclusa una causa legale del 2019 [14]da parte di uno di loro per non aver protetto i dati personali raccolti attraverso il suo popolare servizio di credito elettronico Mpesa, dopo che era stato rivelato che i dati di 11,5 milioni di clienti di Safaricom [15] erano trapelati e finiti sul mercato nero.
Uno studio del 2018 [16] condotto da Myriad Connect, specialisti della tecnologia mobile USSD, ha rilevato che oltre il 70% dei kenioti è stato vittima di frodi nelle transazioni finanziarie digitali, o conosce qualcuno che lo è stato, con la maggior parte delle frodi commesse tramite telefonate, (73%), seguite dagli SMS (57%).
L'avvocato keniota Ahmednasir Abdullahi ha twittato la sua intenzione di avviare una class action contro Safaricom nel settembre dello scorso anno per queste violazioni:
Seeing the overwhelming response by Kenyan subscribers of Safaricom,I will INSHAALLAH formally write to them next week and then formally start a CLASS ACTION..Safaricom has been MINING DATA and then GIVES access to third parties to our telephones…KENYANS this is how law is made
— Ahmednasir Abdullahi SC (@ahmednasirlaw) September 18, 2020 [17]
Vedendo la risposta travolgente da parte degli abbonati kenioti di Safaricom, INSHAALLAH scriverò loro formalmente la prossima settimana e poi avvierò formalmente una CLASS ACTION..Safaricom ha MINATO DATI e poi DÀ l’ accesso ai nostri telefoni alle terze parti…KENIOTI ecco come si fa la legge.
Finanziamento, autoregolamentazione e attuazione
Secondo Mugambi Laibuta, un sostenitore keniota dell'Alta Corte del Kenya, la nomina del GP diventerà l'inizio di un lungo e complicato viaggio nell'applicazione della protezione dei dati e nel garantire il diritto alla privacy dei i kenioti, che è già pieno di questioni come meccanismi di finanziamento, assegnazione di risorse e attuazione.
L'opinione di Laibuta, condivisa tramite il suo episodio podcast [18], “Quanto è importante il garante per la protezione dei dati?” è che la mancanza di grandi finanziamenti per queste entità governative rappresenterà una sfida. Ciò ostacolerà ulteriormente gli sforzi dell'ufficio de GP di acquisire risorse – in particolare personale come analisti di dati ed esperti legali – che lo aiutino a svolgere le sue funzioni.
Laibuta prevede anche sfide relative ai meccanismi di attuazione come la registrazione e l'autoregolamentazione dei responsabili del trattamento dei dati. Tutti i titolari del trattamento dati e gli incaricati dell'elaborazione dati sono tenuti dalla legge ad essere registrati presso il commissario.
Il GP è quindi tenuto a prescrivere soglie per la registrazione obbligatoria e considerare la natura dell'ente – se le stesse regole si applicheranno alle PMI aziendali private (piccole e microimprese), al governo e ad altre istituzioni pubbliche e organizzazioni non governative. Fino a quando tali soglie non saranno stabilite, la registrazione obbligatoria, osserva Laibuta, non entra in gioco.
Laibuta si chiede come l'assessore, in consultazione con il segretario di gabinetto del ministero delle TIC Joseph Mucheru, fisserà queste soglie, ponendo un pesante fardello su entrambi i ruoli per trovare soluzioni eque. È probabile che le società di telecomunicazioni, le banche e gli istituti di istruzione aderiscano, ma Laibuta si interroga sui meccanismi di autoregolamentazione delle PMI.
Questa continua a essere una sfida anche per le autorità globali per la protezione dei dati che continuano a subire critiche per le sanzioni emesse per violazioni del GDPR.
Sarà anche interessante vedere come il GP gestirà le questioni relative al modo in cui gli enti pubblici elaborano e memorizzano i dati. Ci sono già state crescenti preoccupazioni e accuse sulla fuga di dati dagli enti governativi.
Un articolo di Global Voices [3] [it] dell'anno scorso ha catturato le reazioni online dei kenioti sull'ascesa del Data Protection Act, comprese alcune preoccupazioni di critici che hanno ritenuto sospetto il tempismo a causa di un esercizio governativo in corso per consolidare tutti i database dei cittadini nell'ambito di un sistema nazionale di gestione dell'identità integrato (NIIMS).
Sebbene la sezione 51 del Data Protection Act crei esenzioni per gli enti pubblici su questioni che sono difficili per la sicurezza nazionale, Laibuta spera che il GP fornirà chiari principi guida per gli enti pubblici nel pubblico interesse poiché la privacy regna ancora sovrana.
La legge sulla protezione dei dati del Kenya era attesa da tempo. La campagna elettorale del 2022 è già iniziata. Se non sono preparati, i fantasmi del passato politico del Kenya potrebbero tornare ancora una volta a perseguitare i suoi cittadini.