Un miembro de la Cámara de los Lores ha manifestado su preocupación por el hecho de que los datos del gobierno del Reino Unido, incluidos los registros de pacientes del NHS, se están almacenando en jurisdicciones extranjeras sin las protecciones adecuadas de ciberseguridad, calificando la práctica de "inaceptable" a medida que el gobierno avanza con planes para un sistema de identidad digital voluntario.
La Baronesa Manzila Uddin, quien copreside el Grupo Parlamentario Multipartidario sobre Identidad Digital Descentralizada, declaró en una entrevista con Yellow.com que datos gubernamentales críticos están siendo subcontratados a Estados Unidos y Rumanía sin garantías de que permanecerán sujetos a los estándares de protección de datos del Reino Unido.
"Muchos de los datos de los pacientes de médicos generales van hasta América. Y creo que esto es inaceptable", dijo la Baronesa Uddin. "Sé que los saudíes, los EAU, Singapur y algunos otros países de África han asegurado que los datos y toda la información permanezcan locales en su propia nube, nube nacional. Me gustaría alguna garantía sobre eso y creo que por el momento no podemos garantizarlo."
La Baronesa citó específicamente la infraestructura de Gov.UK como subcontratada sin suficiente supervisión.
"Si la fuente principal de recopilación de datos del gobierno, Gov.UK, está siendo aprovechada en otro lugar, digamos, subcontratada en alguna parte, y no tenemos ningún control y obligación de resiliencia en ciberseguridad, protección de datos como lo haríamos aquí, creo que eso es preocupante", dijo.
Mencionó Rumanía como uno de los lugares donde se almacenan datos del gobierno del Reino Unido, cuestionando si las consideraciones de costo están tomando prioridad sobre la seguridad.
"Si todos los ciudadanos son clientes del gobierno, gov.uk, entonces ¿por qué está en Rumanía? ¿Es simplemente porque ofrecieron la menor cantidad de dinero para dirigir el contrato? Y esas son las preguntas que debemos hacer."
Los comentarios llegan mientras el gobierno del Reino Unido empuja hacia adelante con propuestas para un sistema de identidad digital voluntario, que ha enfrentado escepticismo público desde que un intento previo del gobierno laborista en 2008 fue rechazado.
La Baronesa Uddin señaló que la oposición pública a los sistemas de identificación obligatoria sigue siendo fuerte en el Reino Unido.
"Como saben, creo que fue en 2008, el gobierno laborista trató de implementar una identificación digital y el contexto era muy claro de que nuestro público no lo apoyaba", dijo.
Expresó su preocupación de que la propuesta actual se esté implementando de manera incremental en lugar de a través de una consulta pública transparente.
"Sé que lo están haciendo casi a escondidas. Así que, por ejemplo, la propuesta es que todas nuestras licencias de conducir serán huella digital. Quizás siguiendo eso habrá una propuesta para que el siguiente conjunto de pasaportes sea así."
La Baronesa enfatizó que personalmente no tiene objeciones a los sistemas de identidad digital, pero requiere transparencia sobre el manejo de datos.
"Como alguien que copreside el grupo parlamentario de identidad digital, no tengo problema con tener una identificación. Tenemos identificaciones para muchos aspectos de nuestra vida ahora. Creo que mi preocupación, y creo que hay muchas preocupaciones a nivel público, es ¿dónde están yendo esos datos?"
La Baronesa Uddin citó una experiencia personal reciente que ilustra vulnerabilidades más amplias de ciberseguridad en los servicios financieros.
"Tan pronto como mi familiar colgó la llamada con Amex, por ejemplo, hubo una llamada inmediata de alguien más diciendo que eran Amex y tenían toda la información y se supone que es un entorno seguro donde hablas sobre la interacción financiera", dijo, sugiriendo que las grandes corporaciones carecen de salvaguardas suficientes contra violaciones de datos y fraudes.
Argumentó que ni las grandes corporaciones ni las entidades gubernamentales locales tienen recursos adecuados para protegerse contra actores maliciosos sofisticados.
"Ya sea una factura de energía o un gobierno local, simplemente no hay suficiente incentivo financiero o recursos para protegerse contra algunos de estos actores muy, muy malos que están defraudando", dijo.
Una parte significativa de las preocupaciones de la Baronesa Uddin se centraba en la exclusión digital y la educación pública inadecuada sobre derechos de datos.
Señaló que aproximadamente un millón de hogares en el Reino Unido carecen de acceso a internet y teléfonos inteligentes, lo que los hace vulnerables a la exclusión de los servicios digitales.
"Cuando ocurre la exclusión, solo estamos hablando de exclusión para poder argumentar que debemos tener un mayor alcance para incluir a las personas en este enredo de recopilación de datos voluntaria", dijo, sugiriendo que abordar la exclusión digital se está utilizando como justificación para expandir la recopilación de datos en lugar de proteger a las poblaciones vulnerables.
Enfatizó la necesidad de una educación integral sobre alfabetización digital desde la infancia.
"En muchos países como Japón y otros lugares, se enseña a los niños muy temprano a protegerse en la red. Y creo que eso es algo muy crítico, no solo la educación de nuestros miembros en el parlamento, sino miembros que no están en este espacio, porque todos estos emprendedores y empresas están ganando dinero a costa de nuestras prácticas mal informadas", dijo.
La Baronesa citó una experiencia reciente con el Grupo Parlamentario Multipartidario sobre Niños, donde los jóvenes demostraron un entendimiento sofisticado de los riesgos digitales.
"Tuvimos niños que vinieron aquí actuando en su rol de parlamentarios, haciendo preguntas de expertos. Y son preguntas muy perspicaces, están mucho más conscientes que nuestra generación o tal vez incluso tu generación. Así que el deseo de aprender está ahí."
La Baronesa Uddin argumentó que los marcos regulatorios actuales no pueden seguir el ritmo del avance tecnológico.
"Tan pronto como proteges un marco, aparecerá otro y estará más allá de nuestro control. Así que tiene que ser muy fluido, toda nuestra legislación tiene que ser muy fluida para satisfacer las demandas de la tecnología avanzada."
Señaló que las regulaciones existentes, incluido el GDPR, no han impedido la recopilación excesiva de datos o las ventas de datos no autorizadas.
"En este momento, muchas instituciones, incluidas instituciones gubernamentales, organizaciones del sector privado, están pidiendo datos excesivos. Y no es necesario. Mi temor es que cuando estamos recopilando ese nivel de detalles, ¿quién lo aloja? ¿Dónde se está guardando? ¿Quién lo está monitoreando? ¿Quién lo está rastreando? ¿Y va a entrar en la web oscura y algún día usarse contra nosotros como ciudadanos individuales?", preguntó.
La Baronesa declaró que las organizaciones actualmente pueden comprar los datos de ciudadanos de los gobiernos locales sin suficientes restricciones.
"Las personas pueden comprar del gobierno local una gran cantidad de nuestros datos, pueden comprarlo. Porque en este momento no hay restricción. Entonces el GDPR obviamente tiene algunos límites, pero las personas todavía están recopilando y extrayendo nuestros datos para su bienestar", dijo.
Cuando se le preguntó sobre los sistemas de identidad descentralizada basados en tecnología blockchain, la Baronesa Uddin expresó su apoyo a enfoques que den a los ciudadanos control sobre sus propios datos.
"La promesa de la nueva tecnología digital, incluido Web3 y la IA y todo eso, es que tendremos un sistema democrático de intercambio de información para que se convierta en nuestras propias fuentes privadas de información y nosotros como individuos decidamos si queremos dar acceso o no", dijo.
Sin embargo, enfatizó que cualquier sistema debe priorizar la soberanía de los datos de los ciudadanos.
"Si vamos a continuar con esta tendencia, en dónde están mis datos? ¿Quién los tiene? ¿Por qué no son responsables? ¿Por qué los están entregando a personas que pueden comprarlos?”
Argumentó que las soluciones blockchain podrían proporcionar una alternativa a los modelos actuales de almacenamiento de datos subcontratados.
"La promesa de la nueva tecnología emergente es la democratización de la información para que tengas mucho más control sobre cómo se mantiene, envía, da, lo que sea la información sobre ti. Eso tiene que ser el principal, uno de los compromisos principales del gobierno”, dijo.
La Baronesa Uddin expresó su preferencia por alinear los estándares de datos del Reino Unido con la Unión Europea en lugar de con Estados Unidos.
"Sé que hay discusiones sobre con quién nos alineamos y yo habría preferido mucho más que nos alineáramos con la UE porque son nuestros vecinos, son nuestras fronteras", dijo.
Manifestó su preocupación por la creciente dependencia de las empresas tecnológicas de EE. UU. para infraestructuras críticas.
"Supongo que necesitamos asegurarnos de que no estemos yendo a EE. UU. para todo. Solo porque son nuestra relación especial y tenemos una obligación de hacer ABC, lo que sea. Recientemente hubo conversaciones sobre una organización corporativa de gran tamaño particular tomando el control de nuestra seguridad. Estoy muy preocupada por eso", agregó.
La Baronesa argumentó que mantener la soberanía de los datos dentro del Reino Unido es esencial para preservar la reputación del país como un centro financiero seguro.
"Quiero que la fuga de cerebros regrese aquí y que se asegure de que todo lo que terminemos haciendo en términos de si su ID digital es soberana, digitalmente soberana para el Reino Unido, eso para mí es realmente crítico. Si es digitalmente soberana en el Reino Unido, entonces será digitalmente soberana para el individuo porque respetamos los derechos individuales”, dijo.
Cuando se le preguntó sobre las afirmaciones de que los sistemas de identidad digital acelerarían el crecimiento económico, la Baronesa Uddin expresó su escepticismo.
"No creo que hayamos probado el caso", dijo. "Sé que algunos de los interesados tienen experiencia. Suecia fue citada como una buena práctica, Utah, Wyoming. Pero no creo que tengamos hasta ahora en el Reino Unido nada que demuestre ya sea el crecimiento económico o el caso de uso como un beneficio positivo para los ciudadanos comunes. Creo que las grandes corporaciones siguen beneficiándose."
La Baronesa Uddin cuestionó si el gobierno puede implementar sistemas de identidad digital dados los niveles actuales de desconfianza pública.
"En el marco actual de desconfianza pública hacia el gobierno, como saben, el gobierno ha estado enfrentando una gran cantidad de críticas con varias políticas. Así que no sé si podemos realmente reclamar la confianza del público. Por lo tanto, a la luz de eso, no sé cómo lo manejarán." Contenido: No hay una indicación clara de cómo intentan ganar la confianza pública para una identificación digital.
Ella advirtió contra la implementación de sistemas a través de medidas de emergencia como ocurrió durante el COVID-19. "Creo que el público siente que se le obliga a proporcionar la mayor cantidad de información posible porque la gente piensa, si no tengo nada que ocultar, no tengo nada que perder. Pero ese no es el caso porque la información que estás proporcionando se convierte en un activo para otra persona."
La Baronesa concluyó enfatizando la necesidad de marcos regulatorios basados en la confianza. "Todo lo que estamos haciendo acerca de cualquier marco regulatorio propuesto tiene que basarse en la confianza y la seguridad. Eso es obvio, y creo que ahí es donde radica el problema."
Ella pidió establecer estándares que protejan los derechos individuales mientras permiten la innovación tecnológica. "Si vamos a tener una identificación digital, debemos tener un legado de confianza y luego asegurarnos de que el marco sea lo suficientemente flexible para que las personas puedan venir y trabajar con nosotros."
La Baronesa Uddin afirmó que la reputación regulatoria del Reino Unido podría establecer puntos de referencia globales si se prioriza la soberanía de los datos.
"Creo que podemos establecer un gran punto de referencia para que otros lo sigan, incluidos los EE. UU. Creo que tenemos una cantidad suficiente de credibilidad y tantas instituciones surgieron de Gran Bretaña que ahora están operando en Dubái, Singapur y los EE. UU.", dijo.