Foto de Mr_Achraf [1] datada de 17 de agosto de 2021. Utilização livre sem necessidade de atribuição (CC0 [2])
O relatório de privacidade de 2021 [3] da Unwanted Witness, uma organização da sociedade civil sediada em Uganda, revelou inconsistências na política de privacidade das empresas de telecomunicação Airtel e MTN, de empresas de serviços financeiros como a Stanbic Bank e da empresa de seguros Old Mutual. As políticas de privacidade e proteção de dados dessas empresas pan-africanas que operam em Uganda diferem significantemente de suas políticas em outras partes do continente.
Dorothy Mukasa, diretor-executivo da Unwanted Witness, disse à Global Voices em uma entrevista concedida via Zoom que a pesquisa avaliou o cumprimento dos requisitos da Lei Ugandesa de Privacidade e Proteção de Dados de 2019 [4] que foi promulgada para proteger os direitos de privacidade dos cidadãos [5] ao “regulamentar a coleta de informações pessoais dentro e fora de Uganda”.
As empresas Airtel, MTN, Stanbic Bank e Old Mutual têm políticas de privacidade e proteção de dados diferentes em outros países africanos. “Isso é evidenciado a partir das visíveis variações na extensão das políticas de privacidade bem como no número de direitos atribuídos aos usuários. Isso é um caso de práticas inconsistentes no exercício de políticas de privacidade”, observa [3] o relatório.
A Unwanted Witness analisou o número de palavras nos documentos de política de privacidade e dados dessas empresas na Nigéria, África do Sul e Uganda. Foi constatado que o texto das políticas de Uganda possui uma quantidade menor de palavras em comparação ao texto dos documentos da Nigéria e da África do Sul.
A consequência disso é que “quanto menor o número de palavras, menor o número de direitos mencionados ou não mencionados” lamenta a Unwanted Witness no relatório [3] sobre Uganda.
Fraca pontuação de privacidade em Uganda
Captura de tela do nível de proteção de dados prevalente em sete categorias organizacionais investigadas pelo relatório de desempenho de privacidade da Unwanted Witness de 2021.
Mukasa declarou que o relatório avalia “se empresas em Uganda estão engajadas no negócio de coleta e processamento de dados. O principal motivo era garantir que houvesse conformidade com a coleta de dados, para se livrar da exploração de indivíduos por meio da coleta de dados”.
A pesquisa, que iniciou em agosto de 2020, classificou 32 empresas ugandesas em sete categorias: e-commerce, serviços financeiros, serviços de telecomunicação, serviços de seguro, agências governamentais, seguridade social e saúde/hospitais privados. Com base em uma escala de cinco estrelas, o relatório atribuiu notas para essas empresas nas seguintes áreas: conformidade com as melhores práticas de privacidade, fornecimento de informações ao titular dos dados antes de coletá-las, menção de terceiros a quem os dados podem ser repassados, práticas robustas de segurança de dados e solicitações governamentais para quebra de sigilo de dados.
O estudo analisou as “políticas de privacidade, visíveis, claras e disponíveis ao público” das empresas. De acordo com Mukasa, isso foi feito para garantir que “coletores de dados não alterem as suas políticas secretamente”. O relatório procurou estabelecer se as empresas receberam o “consentimento informado” dos clientes antes de coletar seus dados. A Unwanted Witness também investigou o repasse de dados a terceiros.
As inconsistentes políticas de privacidade e proteção de dados dessas empresas deixam clientes vulneráveis em países que não possuem fortes políticas de proteção de dados por toda a África. Por exemplo, a política de documentos dessas empresas em Uganda é superficial se comparada às políticas de privacidade de documentos “mais robustas” da Nigéria e da África do Sul. Isso sugere que “a legislação e as autoridades” na Nigéria e na África do Sul “são mais fortes e funcionais”, segundo o [3] relatório.
O estudo também apresentou uma falta significativa de conformidade com a Lei de Privacidade e Proteção de Dados de Uganda de 2019, e a presença de rastreadores de localização e perfil em aplicativos móveis e da internet de várias das empresas investigadas que coletam e vendem dados para benefício comercial sem políticas transparentes.
Análises de como agências do governo de Uganda e empresas estão cumprindo com o regulamento de proteção de dados revelam que a maioria dos setores obteve boas notas por terem aderido à uma segurança robusta de dados. Prestadores de serviços de saúde de Uganda foram classificados com o pior desempenho nesse quesito. Muitos serviços de saúde “coletam dados, mas…carecem de uma linha de base para privacidade”. Mukasa explicou que esses dados pessoais são hospedados on-line com rastreadores que “analisam os dados” e, portanto, colocam em risco” a privacidade e a vida dos seus pacientes”.
Direitos de proteção de dados e empresas africanas de telecomunicação
A Unwanted Witness relata que essa não é a primeira vez que grandes empresas de telecomunicação como a MTN e a Airtel foram cúmplices na violação de direitos de privacidade de dados de seus clientes em Uganda, conforme estabelecido pela lei ugandesa. Por exemplo, o grupo MTN, com sede na África do Sul, não informou aos usuários a respeito de “como seus dados são coletados, com quem eles são compartilhados e o porquê”, de acordo [6] com o Índice de Responsabilidade Corporativa de Direitos Digitais de 2019.
A MTN “divulga muito pouco a respeito de como gerencia dados pessoais e carece de fortes mecanismos de governança sobre questões de direitos humanos”, escreveu [7] o jornalista Abdi Latif do Quartz Africa. O grupo de telecomunicação fornece pouca ou nenhuma informação sobre a quantidade de dados que ele coleta, por quanto tempo retém tais dados, se terceiros têm acesso ou se há protocolos em caso de violação de dados. “A empresa também não divulgou detalhes sobre os riscos relacionados à privacidade que poderiam surgir em decorrência dos seus serviços de publicidade digital direcionados”, escreveu Dahir.
Em 2020, o grupo MTN publicou um relatório de transparência [8] que detalha como processa as informações de 220 milhões de assinantes nos 22 países africanos nos quais opera. Embora isso tenha sido um marco na proteção de dados e privacidade, ainda não foi o bastante.
Isedua Oribhabor e Berhan Taye, da organização de direitos digitais Access Now, demandou que [9] “o MTN… amplie os seus relatórios para divulgar informações críticas sobre requisições de retenção de dados, comunicação de dados, metadados e informação a respeito da instalação de tecnologia de interceptação, e medidas que o MTN adota para combater solicitações impróprias, incluindo informações detalhadas sobre como lida com pedidos de desativação da internet”.
Até abril de 2021, 28 de 54 países africanos publicaram [10] leis e regulamentos para proteger dados pessoais. Isso mostra que leis de proteção de dados estão em crescimento constante no continente. No entanto, Mukosa da Unwanted Witness afirma que “a aplicação das leis é o estágio mais difícil da proteção de dados na África”. Portanto, Mukasa enfatizou que a sociedade civil, por ser independente, está melhor posicionada para defender os direitos dos dados e lutar contra a violação da privacidade no continente.