Mentre un conflitto in corso in Europa ci ricorda ogni giorno i rischi legati alla sicurezza informatica, anche in termini di sicurezza nazionale, la Convenzione di Malabo (capitale della Guinea Equatoriale), voluta dall’Unione Africana e firmata nel 2014 da 27 stati, è divenuta finalmente efficace con la ratifica da parte della Mauritania.
È utile ricordare che le convenzioni internazionali, una volta sottoscritte, per divenire efficaci devono essere ratificate da almeno un certo numero, stabilito nelle convenzioni stesse, di paesi aderenti. Nel caso di specie il numero da raggiungere era quindici.
Al momento i paesi che hanno ratificato la Convenzione sono i seguenti: Angola, Capo Verde, Costa d’Avorio, Congo, Ghana, Guinea Equatoriale, Mozambico, Mauritania, Mauritius, Namibia, Niger, Ruanda, Senegal, Togo e Zambia. Gli stati che hanno sottoscritto la Convenzione ma non la hanno ancora ratificata sono: Benin, Camerun, Ciad, Comore, Gibuti, Gambia, Guinea-Bissau, Sierra Leone, Sud Africa, Sao Tomé e Principe, Tunisia e Sudan. Di fatto quindi la Convenzione non è stata sottoscritta da tutti gli stati africani (54 per noi occidentali, in quanto uno non è riconosciuto) mancando all’appello, tra gli altri, stati quali la Nigeria (la nazione più popolosa del Continente) e il Kenya, l’Egitto e l’Uganda che rappresentano esempi di eccellenza nel settore della digitalizzazione.
Cosa dice la Convenzione
Nel preambolo della Convenzione si legge con chiarezza che l’intento della medesima è quello, nel rispetto dei diritti fondamentali della persona, di creare un quadro giuridico che consenta il compimento di operazioni digitali con particolare riferimento all’e-commerce, garantire la protezione dei dati personali e assicurare la sicurezza informatica.
Nelle articolazioni in cui la Convenzione si compone l’aspetto della data protection è fondamentale, con statuizioni dei principi con dissimili da quelli previsti dalla regolamentazione europea, dove la creazione di un’autorità garante è considerata un presupposto fondamentale per assicurare l’effettività della protezione.
Nell’ottica della creazione di un’area di libero scambio voluta con la Convenzione AfCTA (African Continental Free Trade Area), divenuta efficace nel 2019 anche se necessita di ulteriori azioni perché abbia una concreta attuazione, è chiaro che la Convenzione di Malabo, anche se precedente a quello sul libero scambio (sottoscritta nel 2018), costituisce un ulteriore tassello per dare concretezza a quest’ultima in un quadro di reciproca collaborazione tra gli stati aderenti.
Proprio come per la Convenzione AfCTA, divenuta efficace ma di fatto non operativa perché mancano ancora istruzioni concrete per fare sì che essa funzioni, anche la Convenzione di Malabo richiede ulteriori passaggi.
Essi possono essere in sostanza individuati nell’azione propulsiva da parte dell’Unione Africana per l’identificazione delle aree grigie e le lacune da colmare per assicurare la tutela dei diritti umani, anche in considerazione dell’uso sempre più invasivo dell’intelligenza artificiale; lo stimolo e l’assistenza per la creazione di quadri giuridici di riferimento a livello di ordinamenti nazionali anche attraverso una vero e proprio cronoprogramma che vincoli gli stati aderenti; il supporto e la creazione di una rete di collaborazione tra le autorità nazionali competenti per la protezione dei dati personali.
La protezione dei dati personali in Africa
L’entrata in efficacia della Convenzione in argomento non deve indurre a pensare che sinora gli stati africani siano stati inerti nella protezione dei dati personali.
Basti citare alcuni esempi.
L’Egitto, che non è parte della Convenzione di Malabo, ha adottato una regolamentazione ispirata a quella europea nel luglio 2020, anche se al momento sembrano ancora mancare strumenti di normazione secondaria per rendere efficace la regolamentazione stessa. Anche la Nigeria ha adottato principi simili a quelli europei a partire dal 2019 attraverso la National Information Technology Development Authority che vigila sulla protezione dei dati personali con capacità di imporre sanzioni che possono giungere al 2% del fatturato.
La regolamentazione, di carattere secondario, perché emanata da un’Authority, presenta però degli elementi di debolezza ed è per questo che è in corso un iter legislativo (in realtà assai lungo se pensiamo che la prima proposta è stata presentata nel 2020) che dovrebbe condurre presto a una normazione di carattere primario (la proposta ha di recente ricevuto l’endorsement da parte del Federal Executive Council – ricordo che la Nigeria è una repubblica federale).
Sia l’Uganda sia il Kenya hanno adottato strumenti normativi di tutela dei dati personali, entrambi nel 2019.
Tra gli stati parte della Convenzione di Malabo, il Sud Africa ha adottato una specifica legislazione a partire dal 2021, anche a seguito della pandemia Covid-19 che ha dato una forte spinta all’utilizzazione dei servizi digitali.
Il fronte della sicurezza informatica
Sul fronte della sicurezza informatica molti paesi africani si sono mossi con ampio anticipo rispetto a quello che il lettore occidentale potrebbe ipotizzare. Un esempio ne è il Kenya con il Kenya Information and Communication Act del 1998 con il quale venne dato mandato alla Communication Authority of Kenya di sviluppare una strategia nazionale per la cybersecurity. Per rimanere in Africa orientale, in Ruanda la National Cyber Security Authority è stata costituita nel 2017.
A beneficio del lettore, ricordo che in Italia l’Agenzia per la Cybersicurezza Nazionale è stata istituita nel 2021 (qualcosa da ricordare quando si pensa all’approccio tutto italiano al Continente ancora in parte impregnato da spirito paternalistico).
Conclusioni
Da questa panoramica si possono trarre alcune considerazioni.
I paesi africani si sono mossi con diverse velocità nell’adozione di normativa a tutela della sicurezza informatica e della protezione dei dati personali: del resto ciò appare normale in considerazione dei diversi gradi di sviluppo che li caratterizzano e anche della diversa vocazione al digitale dove abbiamo teste di serie quali il Sud Africa, la Nigeria e il Kenya e altri paesi che corrono meno.
In considerazione di tali differenti velocità, la Convenzione di Malabo può essere uno strumento per facilitare i paesi che sembrano essere indietro nell’adozione di specifiche norme di tutela, ma soprattutto può contribuire a creare una quadro comune di regole che aiuti non solo a sviluppare reti digitali comuni ma anche a rispondere alle sfide e, purtroppo anche le minacce, che l’intelligenza artificiale sta ponendo ai paesi che non sono protagonisti della sua creazione, noi inclusi (sul punto richiamo la lettura dell’articolo scritto con Alessandro Longo su questa testata “Intelligenza artificiale, perché è il momento di tifare Africa”).
