Il governo keniota sta usando delle tecnologie di sorveglianza digitale come il tracciamento dei contatti per contrastare le infezioni da COVID-19 dovute al contatto umano. Immagine di Nicola since 1972 sotto licenza di CC by 2.0

Ad agosto di quest’anno, le applicazioni malconfigurate di Microsoft hanno fatto sì che oltre mille applicazioni web [en, come i link seguenti] rendessero pubblici erroneamente 38 milioni di documentazioni su Internet, tra cui i dati di varie piattaforme per il monitoraggio della COVID-19, le prenotazioni per la vaccinazione, le candidature caricate sul portale, e i database degli impiegati. I numeri di telefono e lo stato vaccinale sono stati resi visibili a causa della falla nel sistema.

Questa recente diffusione dei dati sensibili avviene mesi dopo un rapporto congiunto a cura di Article 19. Kickanet e Pollicy hanno rivelato che, nel tentativo di contenere la COVID-19, il governo keniota ha usato varie app per il tracciamento dei contatti, tecnologie di sorveglianza digitale, e delle tecnologie biometriche per monitorare e rintracciare i cittadini, a prescindere dal giusto processo. Il rapporto ha inoltre confermato che, nonostante un uso massiccio di queste tecnologie, l’impatto e l’efficacia nel contenimento del virus sono stati limitati.

The government has upscaled contact tracing and testing in the country to determine the level of spread of the Indian variant in the community. https://t.co/w3kZW9W9Jr

— Oliver Mathenge (@OliverMathenge) June 2, 2021

Il governo ha ottimizzato il tracciamento dei contatti e la sperimentazione nel Paese per determinare il livello di diffusione della variante indiana nella comunità.

Il governo sta utilizzando delle tecnologie biometriche e telecamere a circuito chiuso nei luoghi pubblici per il riconoscimento facciale; dati telefonici, intercettazione e geotagging; e le app per il tracciamento dei contatti per aiutare ad identificare coloro che  hanno avuto contatti con persone infette. Tutta questa attrezzatura è stata acquistata o creata localmente come l’app per il tracciamento dei contatti per il coronavirus che è stata lanciata dal governo per monitorare i passeggeri sui mezzi pubblici.

Tuttavia, alcune persone sono preoccupate che gli sforzi compiuti dal governo keniota per contrastare la curva epidemiologica infrangano i diritti umani sulla vita privata dei cittadini, la protezione dei dati personali, la libertà di espressione e l’accesso alle informazioni. Gli attivisti che si battono per i diritti umani e digitali a sono preoccupati circa la sorveglianza dei luoghi pubblici mediante l’uso di videocamere e tecnologie biometriche, l’uso dei dati relativi alle telecomunicazioni per monitorare e tracciare gli individui e le applicazione per il tracciamento del coronavirus.

Sorveglianza telefonica

In un rapporto pubblicato ad aprile del 2021 da Article 19, Pollicy e Kictanet hanno rivelato che i dati delle telecomunicazioni sono stati utilizzati per monitorare “i telefoni di persone che probabilmente hanno contratto la COVID-19 in modo da imporre due settimane di isolamento obbligatorio” e di chiunque entrasse in Kenya e si mettesse in quarantena, in tempo reale. Il colosso delle compagnie telefoniche, Safaricom, ha procurato le informazioni telefoniche al governo. Non è la prima volta che il governo ha intercettato Safaricom per progetto molto importante. Nel 2021 è stato firmato un contratto per un progetto di sorveglianza poliziesca dal valore di 13.5 milioni di dollari americani.

Il servizio segreto nazionale ha utilizzato i dati per monitorare gli spostamenti delle persone affette da COVID-19, secondo un rapporto di Article19 dell’Africa orientale. I pazienti non “potevano spegnere i propri telefoni,” poiché l’infrazione delle regole ufficiali avrebbe portato alla detenzione in centri di sorveglianza gestiti dal governo.

Il rapporto cita un incidente risalente a marzo 2020, in cui una donna che viaggiava dal Regno Unito al Kenya è stata monitorata tramite il suo cellulare e portata in una struttura medica statale dopo essere andata a lavoro, violando così l’obbligo di quarantena.

Prima che le app sul coronavirus venissero suggerite, create e utilizzate, il governo keniota usava le telecomunicazioni per monitorare e tracciare la gente attraverso la localizzazione e i dati telefonici tramite smartphone. Anche la vicina Uganda ha usato la sicurezza nazionale e le esigenze di salute pubblica per giustificare le restrizioni i diritti sulla privacy e sulla protezione dei dati personali, ignorando il giusto processo e aggirando il test tripartito di legalità, necessità e proporzionalità, riconosciuto a livello internazionale.

Leggi per la protezione dei dati

L’uso dei cellulari in Kenya ha registrato un notevole aumento dovuto ai servizi mobile payment. Immagine di whiteafrican sotto licenza di CC BY 2.0

La legislazione per la protezione dei dati del Kenya nel 2019 avrebbe dovuto offrire un quadro per l’acquisizione dei dati personali in modo trasparente e nel rispetto dei diritti. Tuttavia, nel corso del primo anno della pandemia, l’evoluzione della sorveglianza documentale e la raccolta dei dati non supervisionata hanno provocato due problemi.

In primo piano, la mancata osservazione delle regole sulla protezione dei dati ha portato ad una mancata applicazione e rispetto del regolamento da parte dei responsabili del trattamento dati, tra cui le agenzie di sanità pubblica. In secondo piano, le competenze e le pratiche relative alla sorveglianza di soggetti statali e non statali non sono state limitate o controllate a causa di questo problema di supervisione.

Il governo ha il dovere di proteggere i diritti umani in qualsiasi momento, adempiendo alle leggi internazionali sui diritti umani. Le corporazioni, invece, hanno l’obbligo generale di rispettare i diritti umani in qualsiasi circostanza.

Sebbene la legge internazionale permetta una aumento temporaneo dei poteri speciali durante la pandemia, il Relatore Speciale dell’ONU sulla Privacy, nel rapporto di luglio 2020, ha avvisato il Consiglio per i Diritti Umani dell’ONU che devono innanzitutto essere soddisfatti alcuni requisiti minimi. Tra i requisiti vi sono le garanzie giuridiche che assicurano che “la sorveglianza non può essere avviata finché, o a meno che, essa non sia presentata ad un ente competente e indipendente, che garantisca che la sorveglianza in questione sia legale, necessaria e proporzionata allo scopo perseguito.”

Commentando il problema dei cellulari e delle applicazioni di tracciamento dei contatti, il Relatore Speciale sulla Privacy ha precedentemente affermato che:

Relying solely on legislative measures is insufficient. Privacy should be considered from the start, beginning with the application's engineering.’ 

Whether the app employs a centralized or decentralized approach, whether the app is deployed via required or optional techniques, whether free consent is prioritized, and whether anonymization and encryption measures exist are all important factors to consider.

Affidarsi esclusivamente alle misure legislative non è sufficiente. La privacy dovrebbe essere considerata fin da subito, a cominciare dalla progettazione dell’applicazione.

Che l’app abbia un approccio centralizzato o decentralizzato, che sia distribuita mediante tecniche richieste o opzionali, che il libero consenso sia una priorità e che vi siano misure di anonimizzazione e crittografia sono tutti fattori importanti che devono essere considerati.

Mancanza di affidabilità e trasparenza 

Il Kenya manca delle leggi necessarie che regolino e limitino il numero di volte in cui gli operatori telefonici abbiano il permesso di  “condividere con le autorità i dati di geolocalizzazione dei pazienti positivi alla COVID-19 che si sono messi in quarantena per verificare che i pazienti osservino il periodo di isolamento.” Leggi che dovrebbero anche fornire garanzie durante la condivisione dei dati personali.

Inoltre, gli enti statali e le compagnie private private del Kenya non hanno rivelato la portata delle loro operazioni di condivisione dei dati, che includono la diffusione di dati e informazioni su piattaforme accessibili al pubblico (piattaforme governative aperte) e attraverso risorse pubblicamente accessibili (relazioni sulla trasparenza aziendale).

I tentativi di vigilanza sono cresciuti a causa della mancanza di affidabilità e trasparenza, ma anche della divulgazione non proattiva di informazioni effettuata dal governo per contestare la pandemia, rendendo così difficile determinare se la privacy, la protezione dei dati e la tutela della libertà di espressione siano state rispettate.

Il rapporto di aprile 2021 di ARTICLE 19 Eastern Africa, la Rete di Azione keniota in materia di tecnologie dell’informazione e della comunicazione e policy hanno formulato delle raccomandazioni al governo del Kenya.

Review all measures and systems deployed to address the COVID-19 pandemic which includes data collection programmes, systems, and apps to ensure they strictly comply with the three-part test under international human rights law, and data protection principles, including data minimisation and privacy by design.

Rivedete tutte le misure e i sistemi utilizzati per contrastare il COVID-19 che implichino programmi e applicazioni di raccolta dati, in modo tale che siano conformi al test tripartito nel rispetto della legge internazionale per i diritti umani e dei princìpi di rispetto dei dati, tra cui la minimizzazione dei dati e la tutela della privacy sin dalla progettazione.

Anche se adesso la sorveglianza ha un’affluenza minore rispetto a quando la pandemia è iniziata, non sembra esserci alcuno sforzo compiuto dal governo keniota per affrontare le preoccupazioni relative ai diritti umani.