Foo di Mr_Achraf [1] scattata il 17 agosto 2021. Libera da diritti, attribuzione non richiesta (CC0 [2])
Unwanted Witness, una organizzazione non governativa con sede in Uganda, nel suo rapporto 2021 sulla privacy [3][en, come tutti i link successivi, salvo diversa indicazione] ha rivelato l'esistenza di difformità nelle privacy policy delle aziende di telecomunicazione Airtel e MTN, di alcune società finanziarie come la Stanbic Bank e della compagnia di assicurazioni Old Mutual. La protezione dei dati personali e le privacy policy applicate in Uganda da queste aziende panafricane, infatti, differiscono in modo sostanziale dalle policy attuate in altri luoghi del continente.
Dorothy Mukasa, CEO di Unwanted Witness, nel corso di un'intervista su Zoom ha raccontato a Global Voices i risultati della ricerca, che aveva lo scopo di valutare il grado di conformità delle varie policy con lo Ugandan Data Protection and Privacy Act [4], emanato nel 2019 per proteggere la privacy dei cittadini [5] “regolamentando la raccolta dei dati personali in Uganda e all'estero.”
Airtel, MTN, Stanbic Bank e Old Mutual hanno policy differenti per la privacy e il trattamento dei dati personali a seconda dei diversi stati africani nei quali operano. “Ciò è dimostrato dalla notevole differenza nella lunghezza delle diverse privacy policy, così come dal diverso numero opzioni a cui gli utenti hanno diritto. Questo rappresenta un caso di manifesta difformità nell'esercizio di policy private”, fa notare [3] il rapporto.
Unwanted Witness ha analizzato il numero di parole nelle policy sulla privacy e sul trattamento dei dati personali di queste aziende in Nigeria, Sud Africa e Uganda. Gli analisti hanno così scoperto che nelle informative destinate all'Uganda c'erano meno parole che in quelle della Nigeria o del Sud Africa.
Il risultato sta in quel “meno parole, meno diritti” denunciato dal rapporto [3] della Unwanted Witness Uganda.
Privacy: i pessimi indicatori dell'Uganda
Screenshot del livello medio di protezione dei dati sensibili nelle aziende appartenenti alle sette categorie merceologiche indagate nel rapporto 2021 sulla privacy di Unwanted Witness.
Mukasa ha dichiarato che il rapporto valuta “se le aziende in Uganda sono impegnate nella raccolta e nel trattamento dei dati personali. L'obiettivo primario della ricerca era quello di verificare la conformità delle procedure di raccolta dei dati, al fine di evitare lo sfruttamento degli individui attraverso la raccolta dei dati”.
La ricerca, che ha preso avvio nell'agosto del 2020, ha raggruppato 32 aziende ugandesi sotto sette categorie merceologiche principali: e-commerce, servizi finanziari, telecomunicazioni, servizi assicurativi, agenzie governative, previdenza sociale, sanità e cliniche private. Il rapporto ha attribuito alle aziende un punteggio su una scala da uno a cinque nelle aree seguenti: conformità alle migliori pratiche sulla privacy, completezza dell'informazione data al soggetto titolare prima di raccoglierne i dati sensibili, menzione delle terze parti con cui sono condivisi i dati personali, livello di sicurezza nella conservazione dei dati, e comunicazione in caso di richiesta da accesso ai dati da parte di organizzazioni governative.
Lo studio ha preso in esame “le informative sulla privacy pubblicate, chiare e accessibili” delle aziende. Questo, spiega Mukasa, per assicurarsi che “le aziende non cambiassero segretamente le loro policy”. La ricerca ha poi cercato di stabilire se le aziende ottenessero il consenso informato da parte dei clienti prima di acquisirne i dati. Inoltre, Unwanted Witness ha indagato sulla condivisione di tali dati con terze parti.
L'incoerenza dei dati e delle politiche sulla privacy di queste aziende nei vari paesi africani fa sì che i consumatori siano più vulnerabili in quei paesi che non adottano politiche di protezione dei dati. Per esempio, le informative delle aziende esaminate in Uganda sono superficiali, se paragonate alle “più robuste” privacy policy nigeriane e sudafricane. Questo suggerisce che “la legge e le autorità” in Nigeria e Sud Africa “siano autorevoli e funzionino”, secondo il rapporto [3].
Lo studio ha anche mostrato una significativa non-conformità delle policy con il Data Protection and Privacy Act promulgato in Uganda nel 2019, e il ricorso a tracker di localizzazione e profilazione da parte di molte aziende indagate, attraverso applicazioni mobili e web che raccolgono e vendono dati a scopi commerciali e in assenza di policy trasparenti.
L'analisi di come le agenzie governative e le aziende private in Uganda si stiano conformando al regolamento sulla protezione dei dati del 2019 rivela che la maggior parte dei settori ha ottenuto buoni punteggi per aver messo in pratica una gestione solida della sicurezza dei dati. In questo ambito, sono stati i fornitori di servizi sanitari ad aver fatto registrare le prestazioni più basse. Molti servizi sanitari “raccolgono dati ma… mancano delle condizioni base per la garanzia della privacy”. Mukasa ha spiegato che questi dati personali sono conservati online, dove tracker “analizzano i dati”, mettendo così a rischio “la privacy e la vita dei loro pazienti”.
La normativa sulla protezione dei dati e le aziende di telecomunicazione africane
Quella registrata dal rapporto di Unwanted Witness non è la prima violazione che grandi aziende delle telecomunicazioni come MTN o Airtel hanno commesso ai danni dei loro clienti in merito alla protezione dei loro dati personali così come sancito dalla normativa vigente in Uganda. Per esempio, il gruppo sudafricano MTN ha omesso di informare gli utenti in merito alle “modalità di raccolta dei loro dati sensibili, delle terze parti con cui essi sono stati condivisi e per quali ragioni” anche secondo [6]il Digital Rights Corporate Accountability Index del 2019.
MTN “divulga informazioni molto limitate su come gestisce i dati personali e manca di solidi meccanismi di governance in materia di diritti umani”, scrive [7] il giornalista Abdi Latif Dahir di Quartz Africa. Il gruppo di telecomunicazioni non fornisce quasi alcun dettaglio sulla quantità di dati che raccoglie, né per quanto tempo li conserva, né se terze parti vi hanno accesso, né dà informazione sui protocolli previsti in caso di violazione della privacy. “L'azienda non ha diffuso dettagli sui rischi relativi alla privacy che potrebbero derivare dai suoi servizi di pubblicità digitale mirata”, ha scritto Dahir.
In 2020, Il gruppo ha pubblicato un rapporto trasparenza [8] dove si descrivono nel dettaglio le modalità di trattamento dei dati relativi ai suoi 220 milioni di clienti residenti nei 22 paesi africani nei quali opera. Sebbene questa iniziativa rappresenti una pietra miliare nel trattamento dei dati e nella protezione della privacy, non è ancora abbastanza.
Isedua Oribhabor e Berhan Taye, esponenti dell'organizzazione per i diritti digitali Access Now, hanno chiesto che [9]“MTN … ampli il campo d'interesse del suo rapporto fino a divulgare informazioni critiche riguardanti le richieste di conservazione dei dati, i dati di comunicazione, i metadati e le informazioni sull'installazione di tecnologie di intercettazione, le procedure che MTN attua per respingere le richieste improprie, nonché informazioni dettagliate su come gestisce gli ordini di chiusura di siti Internet”.
Ad aprile 2021, 28 paesi africani (su 54) hanno emanato [10] leggi e regolamenti per proteggere i dati personali. Questo dimostra che la legislazione sulla protezione dei dati è in costante crescita nel continente. Tuttavia, Mukosa di Unwanted Witness afferma che “l'applicazione è la fase più difficile della protezione dei dati in Africa”. Quindi, Mukasa ha sottolineato che le organizzazioni non governative, essendo indipendenti, sono in una posizione migliore per difendere i diritti dei dati e le violazioni della privacy nel continente.