Più della metà dei paesi africani non dispone di leggi o regolamentazioni in materia di protezione dei dati. Dei quattordici paesi che hanno una legge o una regolamentazione in materia, nove non dispongono di autorità di regolamentazione o di mezzi per far rispettare le varie misure. E’ quanto emerge da uno studio condotto nel 2018 dal gruppo londinese “Articolo 19” i cui risultati sono, in effetti, sbalorditivi.
Qualcosa sta cominciando a muoversi, con Kenya e Uganda che hanno promulgato nuove leggi volte a disciplinare la protezione dei dati. L’attenzione è ora rivolta al resto dell’Africa.
Il contesto normativo africano nell’ambito della protezione dei dati
In molti hanno puntato il dito contro i governi dei paesi africani, accusati di avere un interesse a ritardare l’adozione di leggi sulla protezione dei dati, come la conseguente semplicità di raccolta dei dati dei propri cittadini per farne un uso personale. Per fare un esempio concreto, il governo della Tanzania è stato accusato di aver represso in tal modo il dissenso politico, con l’approvazione della legge sulla criminalità informatica nel 2015. Questa circostanza crea, tuttavia, una tendenza preoccupante, poiché la maggior parte della popolazione africana non può contare su alcuna protezione per quanto riguarda i propri dati.
In aggiunta, il sopracitato vuoto normativo solleva ulteriori preoccupazioni per la riservatezza dei dati, se associato al fatto che, in ogni caso, anche quella minoranza che ha la possibilità di pagare per il consumo del traffico dati sembra in ogni caso preferire i servizi ‘a costo zero’, come il servizio ‘Free Basics’ di Facebook, a qualsiasi altro sito Internet.
Non dobbiamo dimenticare che Free Basics di Facebook è stato accusato di essere solo uno strumento per raccogliere enormi quantità di metadati sugli utenti e di violare i principi di neutralità della rete. Questa accusa può essere preoccupante, in quanto il numero di utenti Facebook attivi sembra non trascurabile. Secondo quanto riferito, 9,9 milioni di kenioti, 33 milioni di nigeriani e 26 milioni di sudafricani utilizzano Facebook mensilmente, mentre 4,7 milioni di kenioti, 16 milioni di nigeriani e 16 milioni di sudafricani la utilizzano quotidianamente.
Qualunque sia il suo vero obiettivo, grazie a Free Basics tutte le attività dei suoi utenti passano attraverso i server di Facebook e quindi la piattaforma potrebbe essere in grado di sapere quali siti di terze parti gli utenti stanno guardando, quando e per quanto tempo.
Lungi dall’essere definitivamente adottate, la maggior parte delle proposte di legge sulla protezione dei dati sono rimaste a lungo in sospeso nei parlamenti africani, circostanza questa che rende dubbia la possibilità che un giorno tali proposte possano essere adottate senza essere preventivamente sottoposte a un processo di revisione e di aggiornamento. Sebbene l’opinione pubblica africana guardi con attenzione minore che negli Stati Uniti e in Europa al tema della protezione dei dati, alcuni segnali di crescente preoccupazione e la recente promulgazione della legge keniota sulla protezione dei dati del 2019 fanno ben sperare per il futuro dei dati africani.
Il Data Protection Bill keniota del 2019
L’8 novembre 2019, il presidente keniota Uhuru Kenyatta ha firmato il Data Protection Bill 2019. La legge è stata introdotta per disciplinare la protezione dei dati e dare attuazione all’articolo 31, lettere c) e d) della costituzione keniota. Ciò è avvenuto mesi dopo le preoccupazioni sollevate in relazione a Huduma Namba per il sistema nazionale integrato di gestione dell’identità e dopo un lungo periodo di deliberazioni sia in Senato che in Parlamento. La legislazione è stata definita progressista dal segretario di gabinetto del paese Joe Mucheru e incorpora i medesimi principi del regolamento europeo sulla protezione dei dati.
La legge keniota sulla protezione dei dati del 2019 sancisce i diritti dell’interessato, tra cui:
- il diritto di accesso alle informazioni personali,
- il diritto di impedire il trattamento dei dati personali,
- il diritto di impedire il trattamento dei dati personali a fini di commercializzazione diretta,
- il diritto relativo alle decisioni automatizzate e il diritto di rettifica e blocco, cancellazione e distruzione dei dati personali.
Inoltre, prevede una commissione per l’attuazione della legge e un’autorità di vigilanza. Sono menzionati anche i doveri del responsabile del trattamento dei dati. La legge ha anche un approccio liberale e mette in evidenza questioni quali il flusso transfrontaliero di dati nonché l’applicazione e i mezzi di ricorso in caso di violazione dei diritti della persona interessata.
Per molti versi, la situazione attuale del Kenya e il settore delle Information and Communications Technology (ICT) hanno fortemente richiesto l’adozione di tale legge. Il Kenya occupa una posizione strategica nel mondo digitale e nell’economia globale poiché possiede un settore ICT robusto ed in piena espansione, destinato a crescere in modo esponenziale nei prossimi anni. Il Kenya ha una popolazione di circa 53 milioni di abitanti, una penetrazione di internet del 90% e un’età media di circa 19 anni. Il paese è famoso per essere all’avanguardia nel campo del mobile money con invenzioni come M-Pesa, un’applicazione per il trasferimento di denaro su cellulare.
Il Kenya si trova in quella che viene spesso definita come la quarta rivoluzione industriale, e sta facendo passi da gigante nel settore delle ICT. Ciò può essere attribuito a una politica governativa favorevole, a vari investimenti in infrastrutture e a una vivace economia imprenditoriale.
Nell’agosto 2019, il Kenya è stato classificato come secondo polo di innovazione leader nell’Africa subsahariana nel Global Innovation Index (GII) 2019 Report. Secondo il Rapporto, il successo del Kenya, in particolare nel campo della proliferazione delle startup, deriva in gran parte dal facile accesso al credito e ai prestiti di microfinanza. Il panorama tecnologico del Kenya è oggi popolato da oltre 200 Startup che hanno investito in media 1 miliardo di dollari.
Non sorprende, allora, che alla firma della legge keniota fossero presenti anche i rappresentanti di Amazon. Sia Microsoft che Amazon ambiscono a raccogliere i frutti del mercato keniota in forte crescita. Microsoft, nel maggio 2019, ha annunciato che investirà circa 100 milioni di dollari per aprire un Africa Technology Development Center con sedi in Kenya e Nigeria, che avrà il compito di realizzare progetti di intelligenza artificiale, realtà mista e machine learning. Microsoft ha presentato questo investimento come ‘senza precedenti’ e ha già iniziato a collaborare con le università locali e i loro migliori laureati “to create a modern intelligent edge and cloud curriculum, totally unique to Africa”.
Amazon, invece, ha annunciato che realizzerà proprio in Kenya parte della sua infrastruttura cloud e, in particolare, l’‘Amazon Web Services’, ovvero la più grande piattaforma mondiale di cloud computing, con diversi centri già sparsi in tutto il mondo. Si prevede che il centro africano di prossima istituzione sarà operativo a breve e che, grazie a quest’ultimo, i clienti africani potrebbero ottenere una riduzione fino al 50% dei tempi di latenza. Gli investimenti di Amazon in Africa erano stati finora piuttosto modesti a causa della mancanza di leggi sulla protezione dei dati. La presenza di rappresentanti di Amazon alla firma della legge keniota, unita ai recenti annunci, conferma da un lato l’alto livello della nuova legislazione adottata e, dall’altro, i dubbi che l’improvvisa e ben accolta attuazione della riforma possa aver ricevuto più di una spinta da parte di questi giganti tecnologici.
Tra i giganti tecnologici appena citati, anche Mozilla ha applaudito pubblicamente il governo del Kenya, l’Assemblea Nazionale e tutti gli stakeholder che hanno partecipato alla stesura di questa nuova ‘storica’ legge. Mozilla ha espresso il proprio apprezzamento affermando che “the Data Protection Act is consistent with international data protection standards, through its approach to placing users’ rights at the centre of the digital economy” e che “the law has maintained integrity throughout the process, and many of the critical comments Mozilla submitted on the initial Data Protection Bill (2018) have been reflected in the final act”
Il futuro dell’approccio africano alla protezione dei dati
Deve essere dato atto che in Africa Orientale, l’Uganda ha introdotto una specifica legislazione in tema di protezioni dei dati già da inizio 2019. Con l’entrata in vigore della legge sulla protezione dei dati da parte del Kenya (considerata la rilevanza di questo Paese nel contesto regionale e continentale soprattutto per il mondo digitale), l’attenzione è ora rivolta al resto dell’Africa. Tuttavia, per la maggior parte di tali paesi questo argomento è ancora in fase di avviamento, come ad esempio per la Repubblica Unita di Tanzania. La Costituzione della Repubblica Unita di Tanzania garantisce il diritto alla privacy all’articolo 16. Nonostante la garanzia costituzionale e la crescente preoccupazione, anche nel continente africano, per la protezione dei dati e della privacy, la Tanzania non ha ancora una legislazione unica e uniforme sulla protezione dei dati. Si dice che il governo stia preparando un nuovo disegno di legge, ma finora nulla di concreto è stato pubblicato e molti sono in attesa di nuovi aggiornamenti.
Le attuali disposizioni della Tanzania in materia di protezione dei dati personali sono sparse in innumerevoli leggi, ognuna delle quali tratta una questione specifica.
L’Electronic and Postal Communications Act del 2010 (l’“EPOCA”) impone un obbligo di riservatezza i concessionari dei servizi di rete, agenti e clienti e vieta la divulgazione non autorizzata di informazioni. Nato sulla scia dell’EPOCA, il Regolamento sulle Comunicazioni Elettroniche e Postali (Tutela dei Consumatori) prevede la protezione delle informazioni dei consumatori contro la divulgazione impropria o accidentale.
Ulteriori disposizioni sono contenute:
- nel Cybercrimes Act del 2015 che prevede la protezione contro la manipolazione illegali dei dati;
- nel Registration and Identification of Persons Act Cap 36, che vieta la divulgazione non autorizzata di fotografie, impronte digitali o altri dati sensibili;
- nel Records and Archives Management Act No. 3 del 2002, che consente la distruzione dei documenti dopo un periodo di trent’anni dalla loro creazione; nello Statistics Act and Access to Information Act del 2016 relativo alla divulgazione (permessa/non permessa) di informazioni.
È evidente che il sistema, molto frammentato, lascia spazio ad attività malevole e non consente al cittadino medio della Tanzania di prevenire i rischi di interferenza o violazione in relazione ai propri dati, e in particolare a quelli sensibili.
Mentre molti sperano che la legge keniota possa aprire la strada ad una riforma della legislazione della Tanzania che guardi al precedente europeo, il resto del continente africano ha certamente sentito la notizia del vicino keniota, e potrebbe essere tentato dagli investimenti che una solida legislazione sulla protezione dei dati appare in grado attrarre.
