La mayoría de los encuestados que respondieron afirman estar preocupados y niegan haber compartido sus datos con Smart Africa. Varios vinculan su preocupación con un intento de movilización de votos y una mala higiene del correo electrónico. Resultados de la encuesta: la preocupación domina, el consentimiento está en disputa. Hace unas semanas, Smart Africa filtró miles de direcciones de correo electrónico pertenecientes a miembros de AFRINIC y titulares de recursos. BTW Media investigó cómo pudo ocurrir tal violación de la privacidad.
Nuestro primer Informe Especial mostró cómo la mayoría de los propietarios de esas direcciones de correo electrónico afirmaron no haber dado nunca su consentimiento a Smart Africa para usar su dirección para comunicaciones. Nuestras entrevistas muestran un patrón claro: la abrumadora mayoría de las personas que respondieron manifestaron su preocupación por el correo electrónico de destinatarios visibles de Smart Africa y dicen que nunca proporcionaron sus datos de contacto a Smart Africa.
Algunos destacan que el contacto coincide con los esfuerzos por influir en los resultados de la gobernanza, específicamente, los impulsos de votación, lo que aumenta su incomodidad sobre cómo se recopila y utiliza la lista. Un grupo muy reducido se opone, argumentando que sus direcciones son deliberadamente públicas para las operaciones de Internet (por ejemplo, como contactos de abuso de recursos o técnicos) y, por lo tanto, el mensaje, aunque torpe, no representa una violación para ellos. Incluso dentro de este grupo, varios califican el manejo de "muy deficiente" y se preguntan por qué.
Lea también: Smart Africa filtra miles de direcciones de correo electrónico de miembros de AFRINIC Datos públicos frente a listas no públicas: por qué importa la distinción. A menudo se confunden dos conjuntos de datos en este debate. En primer lugar, los objetos de contacto WHOIS/IRR están diseñados para ser públicos, de modo que los operadores puedan comunicarse con los ingenieros en tiempo real sobre incidencias de enrutamiento, abusos y cambios en el registro. Esas entradas (admin-c, tech-c, abuse) son conductos operativos, no listas de correo de uso general.
En segundo lugar, las listas de correo de miembros seleccionadas por un registro (o un tercero) no suelen publicarse de forma masiva. La transparencia operativa no es un consentimiento general para realizar campañas políticas o contactos masivos. Por lo tanto, la protesta se centra menos en la visibilidad de un contacto concreto y más en la posesión y exposición por parte de Smart Africa de una lista consolidada alineada con AFRINIC con una procedencia poco clara. Implicaciones legales y de seguridad: existe un riesgo material.
Independientemente de que un destinatario concreto considere el incidente como una violación o no, el entorno de riesgo cambia una vez que un conjunto de direcciones grande, adyacente al registro, es ampliamente visible. Las campañas de phishing prosperan con ganchos temáticos; un correo electrónico que haga referencia a elecciones, validación de recursos o "actualizaciones de cuenta" puede solicitar de forma creíble contraseñas, autorizaciones de ruta o metadatos de pago.
Desde el punto de vista jurisdiccional, los regímenes de protección de datos en Mauricio y la UE imponen obligaciones a los responsables del tratamiento cuando los datos personales se exponen de una manera que pueda generar un riesgo para los individuos. Si alguna parte de la lista se basa en registros de miembros no públicos, directa o indirectamente, surgen preguntas sobre la base legal del tratamiento, la limitación de la finalidad y la divulgación a terceros.
Incluso si Smart Africa recopiló la lista a partir de fuentes públicamente operativas, aún debe aplicar las medidas técnicas y organizativas apropiadas para evitar una divulgación accidental. Lo que Smart Africa debe responder ahora. Procedencia y base legal. ¿Cómo se elaboró la lista? ¿Se compartieron datos de registros de miembros desde dentro de AFRINIC o sus proveedores de servicios? ¿Cuál es la base legal para poseerla y utilizarla, y quién es el responsable del tratamiento? Respuesta a la violación.
¿Ha iniciado Smart Africa una respuesta documentada al incidente, incluyendo la notificación a los destinatarios afectados del mayor riesgo de phishing, la rotación de cualquier credencial de correo y la auditoría del acceso a la lista? ¿Cuáles son las futuras salvaguardas? Por qué algunos no están preocupados, y por qué eso no resuelve el asunto. Quienes no están preocupados suelen citar una de estas dos razones: (a) su dirección es pública por diseño (esperan ser localizables para operaciones de red), o (b) consideran que no hay un daño significativo en este caso. La transparencia de WHOIS apoya la fiabilidad de Internet.
Pero no niegan los problemas centrales planteados por otros: consentimiento, finalidad y competencia. Incluso si un subconjunto de direcciones es público, la creación, retención y exposición accidental de una lista masiva dirigida a AFRINIC por parte de un actor no registral aún exige escrutinio y, como mínimo, mejores controles. El trasfondo de la gobernanza: por qué la confianza está en juego. El episodio se desarrolla en medio de continuas disputas sobre la gobernanza y las elecciones de AFRINIC.
Varios entrevistados enmarcan el correo electrónico en ese contexto, afirmando que la lista se utilizó para influir en los resultados de las votaciones, y argumentan que el comportamiento de Smart Africa erosiona la confianza en un momento delicado. Independientemente de la opinión que se tenga sobre la disputa de gobernanza, la confianza en la gestión de datos es un requisito previo para un compromiso constructivo. Smart Africa aspira a un liderazgo continental en la transformación digital; ese papel conlleva responsabilidades reforzadas en materia de privacidad, seguridad y disciplina de las comunicaciones. En resumen.
Las respuestas a nuestra pregunta son mixtas, pero el centro de gravedad es claro: la mayoría de los que respondieron están preocupados, niegan el consentimiento y desean una rendición de cuentas transparente sobre cómo se obtuvieron y expusieron sus datos. Una minoría lo ve con menos preocupación, pero aun así critica la forma en que se envió el mensaje. Hasta que Smart Africa explique el origen de la lista y mejore sus prácticas, el escepticismo de la comunidad de AFRINIC es predecible y justificado.

