Le agenzie federali maldestrano le garanzie sulla privacy nel rinnovamento del sistema di asilo, mettendo a rischio i dati dei rifugiati

Secondo quanto appreso dalla CBC News, tre agenzie governative che hanno collaborato a un progetto da 68 milioni di dollari per rinnovare il sistema di asilo canadese non sono riuscite a completare i test obbligatori di tutela della privacy per anni, durante l'implementazione del progetto.

Secondo gli avvocati, la mancanza di tutela della privacy solleva "campanelli d'allarme" e potrebbe aver messo a rischio i dati e le domande dei richiedenti asilo.

Immigrazione, Rifugiati e Cittadinanza Canada (IRCC), l'Agenzia dei servizi di frontiera del Canada (CBSA) e la Commissione per l'immigrazione e i rifugiati (IRB) hanno collaborato al "progetto di interoperabilità in materia di asilo", che trasformerebbe il sistema di asilo in uno digitale più efficiente e risolverebbe il problema del crescente arretrato di domande di asilo in sospeso, che attualmente ammonta a oltre 290.000 .

All'inizio di quest'anno, la CBC ha riferito che il progetto, lanciato nel 2019, era stato interrotto prematuramente nel 2024, in quella che la CBSA ha definito una mossa "inaspettata".

Ora, i documenti ottenuti tramite la legislazione sull'accesso alle informazioni dimostrano che c'erano delle valutazioni d'impatto sulla privacy (PIA) "in sospeso" per il progetto, che è stato silenziosamente accantonato quando era stato completato solo al 64%.

Secondo un manuale governativo sulla privacy digitale , una PIA è un "processo politico per identificare, valutare e mitigare i potenziali rischi per la privacy prima che si verifichino".

"Tutti questi passaggi devono essere completati prima del lancio dell'iniziativa", afferma la guida.

Sebbene il progetto di interoperabilità sia stato ora abbandonato, ha apportato modifiche al modo in cui i dati vengono raccolti digitalmente e utilizzati, il che significa che il completamento delle PIA rimane una parte essenziale del processo di identificazione del rischio, ha affermato Andrew Koltun, avvocato specializzato in immigrazione e rifugiati che si occupa anche di diritto della privacy.

Tuttavia, i dipartimenti hanno comunicato alla CBC via e-mail che le valutazioni sulla privacy sono ancora incomplete. L'IRCC ha affermato di stare attualmente redigendo la sua parte del PIA e prevede di completarla entro la fine del 2025.

Il fatto che non siano ancora terminati, ha detto Koltun, solleva "molti segnali d'allarme".

"Purtroppo, se non si dispone di una valutazione dell'impatto sulla privacy, il rischio che tali dati possano essere divulgati e ottenuti da soggetti indesiderati aumenta", ha affermato.

Ladirettiva del Segretariato del Consiglio del Tesoro del Canada richiede che questo controllo sullo stato di salute della privacy venga effettuato "prima" del lancio o dell'aggiornamento di progetti, nei casi in cui un'istituzione intenda "modificare sostanzialmente" il modo in cui le informazioni vengono raccolte e utilizzate per motivi amministrativi.

Il progetto di interoperabilità in materia di asilo ha creato una procedura di richiesta di asilo online, un cambiamento significativo rispetto alle domande cartacee.

Secondo i documenti, il progetto ha contribuito a integrare una certa automazione e a consentire un maggiore scambio di informazioni in tempo reale tra i dipartimenti. Ha inoltre integrato la capacità del governo di annullare automaticamente i permessi di lavoro o di studio validi quando viene emesso un ordine di espulsione, tra gli altri miglioramenti.

'Patata bollente' con responsabilità

L'Ufficio del Commissario per la privacy del Canada definisce le valutazioni della privacy un "sistema di allerta precoce" che può contribuire a creare fiducia nel pubblico, garantendo che le agenzie governative siano conformi alla legge e proteggano la privacy delle persone.

L'organismo di controllo della privacy ha rifiutato un'intervista, affermando che conduce consultazioni sulla privacy in via riservata, ma ha ribadito in un'e-mail che il commissario aveva precedentemente raccomandato che gli obblighi PIA fossero integrati nella legge.

Secondo una nota informativa della CBSA ottenuta dalla CBC, sembrava esserci confusione interna riguardo a chi fosse responsabile delle PIA.

I documenti rivelano che inizialmente ci si aspettava un'ampia valutazione della privacy condotta dall'IRCC.

Ma tre anni dopo, alla fine del 2022, l'IRCC ha notificato sia all'ASFC che all'IRB che non avrebbero più effettuato un PIA "per l'intero progetto e che ciascun partner sarebbe stato responsabile per il proprio".

Successivamente, l'ASFC ha affermato che l'IRCC ha modificato l'approccio "e ha ampliato la portata a una valutazione a livello di programma", come mostrano i documenti.

Quando il progetto si è interrotto inaspettatamente l'anno scorso, l'ASFC ha dichiarato che le PIA erano "una questione in sospeso" e l'IRCC si aspettava ancora che gli altri partner completassero i loro piani sulla privacy.

"Tuttavia, data la mancanza di finanziamenti, la mancanza di risorse... sono necessarie ulteriori discussioni", si legge nella nota dell'ASFC.

Le schiene di due guardie di sicurezza che camminano lungo un corridoio bianco di un centro di detenzione per immigrati a Toronto. — Guardie di sicurezza nel centro di detenzione per immigrati dell'ASFC a Toronto nel febbraio 2025. Il progetto di interoperabilità in materia di asilo, lanciato nel 2019, è stato interrotto prematuramente lo scorso anno, in quella che l'ASFC ha definito una mossa "inaspettata". (Chris Young/The Canadian Press)

Koltun, che ha esaminato i documenti interni, descrive i dipartimenti come se stessero giocando alla "patata bollente" con i controlli sulla privacy, quando invece avrebbero dovuto essere un "elemento fondamentale".

"[Questo] è emblematico dell'instancabile impegno dell'IRCC nel perseguire la modernizzazione digitale a una velocità vertiginosa, senza necessariamente garantire che tutte le misure di mitigazione del rischio siano state adottate in anticipo", ha affermato.

"Il settore dei rifugiati è un'area poco adatta ad adottare un approccio di beta testing del tipo 'lavora velocemente, rompi le cose e poi riparale'".

Le violazioni della privacy "traumatizzano" i clienti, afferma l'avvocato

Greg Willoughby, un avvocato specializzato in rifugiati di London, Ontario, afferma che l'IRCC gli invia e-mail "più spesso di quanto possa contare" in cui vengono divulgati documenti privati e informazioni altamente sensibili per i richiedenti che non sono suoi clienti.

"Sembra esserci una mancanza sistematica di preoccupazione per le questioni relative alla privacy e alla riservatezza", ha affermato Willoughby.

Uno degli esempi peggiori, ha ricordato, è stato quando l'IRCC ha inviato un'e-mail ai familiari di una sua cliente in Iran (da cui stava fuggendo), avvisandoli della sua richiesta di protezione per rifugiati.

"Ho pensato: 'Cos'è questo? Sono gli agenti della persecuzione'", ha detto Willoughby. "È stato davvero traumatico e dannoso per lei. È stato orribile."

Un agente di polizia è in piedi dietro un cancello in un ex valico di frontiera. — Un membro della Royal Canadian Mounted Police (RCMP) è fotografato alla fine di Roxham Road, al confine tra Canada e Stati Uniti, nel 2019. Gli avvocati dei rifugiati temono che la mancanza di valutazioni d'impatto sulla privacy stia mettendo a rischio le persone vulnerabili e le "informazioni altamente sensibili" dei richiedenti. (Jonathan Hayward/CP)

Non è chiaro se esista un collegamento tra gli aggiornamenti digitali nel progetto di interoperabilità in materia di asilo e le esperienze di Willoughby in materia di violazioni della privacy negli ultimi anni.

Ma Willoughby avverte che l'attenzione del governo sull'efficienza e sull'integrazione tecnologica senza adeguate garanzie di privacy è "molto, molto pericolosa", soprattutto se i dati rischiano di essere accessibili in modo improprio da malintenzionati.

"I governi e i dipartimenti per l'immigrazione dovrebbero essere molto paranoici. Questa dovrebbe essere la loro priorità."

Un importante progetto per garantire e rinnovare il sistema di asilo canadese è stato chiuso l'anno scorso: una mossa "inaspettata" per alcuni esponenti del governo, secondo quanto appreso da CBC News. Ora, alcuni critici temono che i risultati ottenuti possano essere più dannosi che benefici per le persone che cercano protezione in Canada.

La risposta del Dipartimento e del Tribunale è "inadeguata"

In una dichiarazione, l'IRCC ha affermato che il tipo di informazioni raccolte e condivise tra i partner non è cambiato, ma piuttosto "il [progetto] ha creato interfacce IT per garantire la trasmissione sicura di queste informazioni".

L'IRCC continua a sostenere di seguire la direttiva del Segretariato del Consiglio del Tesoro, sebbene tale direttiva stabilisca che i PIA devono essere completati prima di implementare le iniziative, soprattutto quando si "utilizza una tecnologia informatica nuova o modificata".

"Tutti gli accordi tra partner governativi includono solide garanzie", ha scritto l'IRCC.

Nel frattempo, l'ASFC ha dichiarato che "non sta più portando avanti" una valutazione dell'impatto sulla privacy e ha indicato l'IRCC come responsabile di questo progetto.

"L'ASFC riconosce l'importanza del processo PIA", ha scritto un portavoce.

L'IRB ha affermato di aver "esaminato attentamente le implicazioni sulla privacy" al momento del lancio del progetto e di aver stabilito che le preoccupazioni relative alla privacy "erano ancora adeguatamente affrontate" in un PIA esistente per i propri sistemi.

Koltun ha affermato che le risposte dell'IRCC e dell'IRB sono "inadeguate" perché "ignorano gli obblighi legali" previsti dalla direttiva federale.

"Quando si utilizza una tecnologia informatica o un processo IT nuovo o modificato, il requisito minimo è la creazione di un PIA aggiornato", ha affermato.

cbc.ca

Le agenzie federali maldestrano le garanzie sulla privacy nel rinnovamento del sistema di asilo, mettendo a rischio i dati dei rifugiati